USE OF TOOLS OF CRYPTOGRAPHIC PROTECTION OF INFORMATION IN ORGANIZATIONS
ИСПОЛЬЗОВАНИЕ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В ОРГАНИЗАЦИЯХ
Научная статья
ORCID: 0000-0003-0684-7731,
Самарский государственный технический университет, Самара, Россия
* Корреспондирующий автор (as_baranov[at]bk.ru)
АннотацияЦель работы – исследовать варианты использования средств криптографической защиты информации в организациях. В данной статье рассматривается история появления шифрования, его использование во второй половине XX века в России, нормативные документы в сфере защиты информации. В статье затрагивается тема сертификации технических средств защиты информации. Автором предложены варианты применения криптографических средств, а также сделан вывод о месте криптосредств в комплексной защите информации. Сведения для статьи взяты из открытых источников, в соответствии с 149-ФЗ «Об информации, информационных технологиях и о защите информации». Рекомендации, данные в статье, не распространяются на организации, в которых происходит обработка, передача, хранение сведений, содержащих государственную тайну.
Ключевые слова: информационная безопасность, средства криптографической защиты информации, электронная подпись, персональные данные.
USE OF TOOLS OF CRYPTOGRAPHIC PROTECTION OF INFORMATION IN ORGANIZATIONS
Research article
Baranov A.S.*
ORCID: 0000-0003-0684-7731,
Samara State Technical University, Samara, Russia
* Corresponding author (as_baranov[at]bk.ru)
AbstractThe purpose of the work is to explore the ways of using the tools of cryptographic information protection in organizations. This article discusses the history of encryption emergence, its use in the second half of the 20th century in Russia, as well as existing regulatory documents in the field of information protection. The article touches on the topic of certification of technical means of information protection. The author proposes options for the use of cryptographic tools and makes the conclusion about the place of crypto tools in the system of integrated protection of information. Information for the article was taken from open sources, in accordance with 149-FZ “On Information, Information Technologies and the Protection of Information.” Recommendations given in the article do not apply to organizations that process, transfer, or store National Security Information.
Keywords: information security, means of cryptographic protection of information, electronic signature, personal data.
ВведениеПреступления в сфере информационных технологий происходят ежедневно. В 2019 году за первые 8 месяцев было совершено 180 153 (+66,8 % по сравнению с 2018 годом) [7]. Большая часть связана с кражами конфиденциальной информации как физических, так и юридических лиц. Информационный прогресс привел не только к большим достижениям, но и к возникновению новых видов злодеяний, поэтому организациям на сегодняшний день необходимо защищать разного рода информацию, и важное место в этой работе отводится средствам криптографической защиты информации (СКЗИ).
Первоначально письменность сама защищала себя, поскольку ей могли пользоваться немногие. С течением времени рукописные произведения получили распространение, появилась необходимость сохранения информации от, как сейчас говорят, несанкционированного доступа (НСД). Обеспечивать сохранность сведений начинают шифры – проводимые над текстом действия по искажению «исходного текста» и превращению информации в нечитабельный вид. Появляются симметричные и ассиметричные шифры. Примером симметричного является шифр Цезаря, он заключается в замене букв открытого сообщения на иные, отличающиеся от исходных на некоторое число (ключ). Ассиметричные шифры являются сложными, поэтому получили большее распространение и используются в настоящее время [3].
Во второй половине XX века криптография в СССР находилась под грифом «секретно», её могли использовать только вооруженные силы и спецслужбы. Ситуация начала меняться в начале 90-х годов, когда был введен стандарт шифрования ГОСТ 28147-89, который стал публичным в 1994 [4]. Сегодня СКЗИ – это аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие свои задачи. Под «своими задачами» понимаются индивидуальные действия по защите информации, в основном, шифрование, которое используется в организациях при защите персональных данных, сохранении конфиденциальной информации, корпоративной переписки, защите электронной подписи.
В XXI веке разработано множество продуктов, которыми могут пользоваться организации или физические лица без специального разрешения в рамках действующего законодательства Российской Федерации. Делая выбор в пользу тех или иных СКЗИ, следует обращать внимание на сертификацию продукции. Две организации в основном занимаются сертификацией - это Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России) и ФСБ России. ФСТЭК России специализируется в области технической защиты информации некриптографическими методами, а ФСБ России – в области криптографической защиты информации [1].
Информационная система любой организации содержит персональные данные (ПДн) о сотрудниках и клиентах, которые в соответствии с 152-ФЗ «О персональных данных» должны быть защищены. На основании данного закона принят ряд нормативных документов, регламентирующих требования по защите ПДн, например, Постановление Правительства РФ от 01.11.2012 №1119 [6]. Защита от утечек строится чаще всего с применением криптографии, необходимыми условиями внедрения и использования которой являются:
- корректное совмещение с другими техническими и программными средствами, которые могут повлиять на его работу;
- разработка модели нарушителя, на основании которой создается система защиты ПДн;
- верный выбор класса СКЗИ (из 6 возможных на сегодняшний день) на основе модели нарушителя;
- использование методических рекомендаций ФСТЭК России и ФСБ России [2].
Путем шифрования сегодня может происходить и защита конфиденциальной (коммерческая тайна, ноу-хау, интеллектуальная собственность и др.) информации фирмы. СКЗИ обеспечивают использование сотрудниками токенов, для хранение закрытых ключей; поддержку ассиметричного шифрования; шифрование данных как на средствах вычислительной техники, так и за ее приделами, на серверах; разграничение прав доступа к корпоративной информации. Простой пример: сравним всю информацию с пазлом, у сотрудников должна быть только часть пазла, чтобы злоумышленнику нельзя было собрать картину.
События весны 2020 года, связанные с распространением по всему миру коронавирусной инфекции, заставили перейти большинство организаций на дистанционную работу. Заключать договоры на расстоянии, удостоверять электронные документы помогает электронная подпись (ЭП), используемая в электронном документообороте (ЭДО).
Согласно 63-ФЗ «Об электронной подписи» существует несколько видов ЭЦП:
- простая электронная подпись (ПЭП);
- усиленная электронная подпись:
- неквалифицированная электронная подпись (НЭП);
- квалифицированная электронная подпись (КЭП).
При выборе ЭП организациям следует учесть, что электронные подписи обладают различной юридической силой, и только использование КЭП придает юридическую силу документу без дополнительных условий. Так же следует учесть, что КЭП и НЭП сертифицированы ФСБ России и данные ЭП выдаются удостоверяющим центром [5].
Для безопасной работы с развитием ЭДО защита в организациях требуется и корпоративной почте. Существует множество почтовых клиентов, например, Outlook, Thinderbird и другие, которые позволяют осуществлять защищенный обмен почтовой переписки на основании открытого и закрытого ключа. На примере Thinderbird можно показать, насколько просто использовать подобные почтовые клиенты. Пользователи, которые собираются обмениваться информацией, создают пару ключей (открытый и закрытый), обмениваются открытыми ключами, устанавливают их и могут осуществлять зашифрованную переписку. Сами по себе почтовые клиенты не являются криптографическими средствами, однако они позволяют интегрироваться с СКЗИ.
Рассмотрим применение конкретных криптографических средств защиты информации на примере компании по разработке программного обеспечения «Самара Софт». Организация с клиентом должна заключить договор, который стороны могут подписывать дистанционно, используя КЭП (данной вид ЭП уже был описан выше), также электронная подпись понадобится при отправке финансовых документов, например, в Федеральную налоговую службу. Для использования КЭП в организации необходимо наличие токена, Рутокен ЭЦП 2.0, который выдается удостоверяющим центром, и криптодрайвер, КриптоПро CSP 5.0. Данные продукты является отечественными, имеют сертификат соответствия ФСБ России [8,9]. Предотвращение внесения правок в документы фирмы, будь то договоры, заключаемые с клиентами или финансовые документы, поможет избежать организации убытков, например, изменение банковских реквизитов в счете на оплату, при котором фирма понесет финансовые потери. Также ЭП позволит передавать документы по открытым каналам связи, если в этом возникнет необходимость, например, по электронной почте, не боясь нарушения целостности документа.
Для защищенной переписки между сотрудниками фирмы можно использовать Microsoft Outlook. Настройка шифрования сводится к настройке программы почтового клиента. ЭП и шифрование почтовых сообщений осуществляется за счет сертификата, хранящегося на устройстве Рутокен. Данный вид использования СКЗИ позволяет обеспечивать конфиденциальность передаваемой информации, разглашение которой может нанести как материальный, так и репутационный ущерб.
Для защиты рабочих мест от внешних и внутренних сетевых атак предлагается использовать программный комплекс ViPNnet Client 4, который обеспечивает защищенную работу с корпоративными данными через зашифрованный канал, в том числе для удаленных пользователей. Данный продукт также является отечественным и имеет сертификат соответствия ФСБ России [10].
Из этого примера видно, что все СКЗИ являются продукцией отечественного производства, имеют действующий сертификат соответствия ФСБ России, шифрование данных производится в соответствии с ГОСТ в сфере защиты информации. Данные продукты не первый год используются в организациях России, позволяя обеспечивать защиту информации.
Заключение
Для обеспечения информационной безопасности организации необходимо использовать средства криптографической защиты информации, позволяющие защищать конфиденциальность, целостность, аутентификацию и авторство конфиденциальной информации организаций, что позволит фирмам избежать финансовых потерь.
Конфликт интересов Не указан. | Conflict of Interest None declared. |
Список литературы / References
- Постановление Правительства РФ от 26.06.1995 № 608 (ред. от 21.04.2010) "О сертификации средств защиты информации" [Электронный ресурс]. URL: http://docs.cntd.ru/document/9028987 (дата обращения: 14.04.2020).
- Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. № 378 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности". [Электронный ресурс]. URL: https://rg.ru/2014/09/17/zashita-dok.html (дата обращения: 14.04.2020).
- Бутакова Н.Г. Криптографические методы и средства защиты информации: учеб. пособие /Н.Г. Бутакова, Н.В. Федоров. − СПб.: ИЦ «Интермедия», 2019. – 384 с.
- Вострецова, Е.В. Основы информационной безопасности: учебное пособие для студентов вузов / Е.В. Вострецова. — Екатеринбург: Изд-во Урал. ун-та, 2019. — 204 с.
- Миронов И.В. Правовое регулирование электронной подписи в России / И.В. Миронов // Вопросы науки и образования. – 2020. - №3(87). – С. 50-55.
- Хачатурова С.С. Персональные данные под защиту! / С.С. Хачатурова// Международный журнал прикладных и фундаментальных исследований, 2016. № 5-4. С. 666-668.
- Статистические данные о зарегистрированных преступлениях на территории Российской Федерации в январе - августе 2019 года. [Электронный ресурс]. URL: https://genproc.gov.ru/smi/news/genproc/news-1703326/ (дата обращения: 14.04.2020).
- КриптоПро CSP 5.0. Сертификаты [Электронный ресурс]. URL: https://www.cryptopro.ru/certificates?pid=1417 (дата обращения: 14.04.2020).
- Рутокен ЭЦП 2.0. Сертификаты [Электронный ресурс]. URL: https://www.rutoken.ru/products/all/rutoken-ecp/#certify (дата обращения: 14.04.2020).
- ViPNnet Client 4. Сертификаты и патенты. [Электронный ресурс]. URL: https://infotecs.ru/product/vipnet-client-.html#soft (дата обращения: 14.04.2020).
Список литературы на английском языке / References in English
- Postanovleniye Pravitelstva RF ot 26.06.1995 № 608 (red. ot 21.04.2010) "O sertifikatsii sredstv zashchity informatsii" [Electronic resource]. URL: http://docs.cntd.ru/document/9028987 (accessed: 14.04.2020). [in Russian]
- Prikaz Federalnoy sluzhby bezopasnosti Rossiyskoy Federatsii ot 10 iyulya 2014 g. № 378 g. Moskva "Ob utverzhdenii Sostava i soderzhaniya organizatsionnykh i tekhnicheskikh mer po obespecheniyu bezopasnosti personalnykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personalnykh dannykh s ispolzovaniyem sredstv kriptograficheskoy zashchity informatsii. neobkhodimykh dlya vypolneniya ustanovlennykh Pravitelstvom Rossiyskoy Federatsii trebovaniy k zashchite personalnykh dannykh dlya kazhdogo iz urovney zashchishchennosti". [On approval of the composition and content of organizational and technical measures to ensure the security of personal data when they are processed in personal data information systems using the cryptographic protection of information necessary to perform requirements established by the Government of the Russian Federation for the protection of personal data for each of the security levels] [Electronic resource]. URL: https://rg.ru/2014/09/17/zashita-dok.html (accessed: 14.04.2020). [in Russian]
- Butakova N.G. Kriptograficheskiye metody i sredstva zashchity informatsii: ucheb. Posobiye [Cryptographic methods and means of information protection: textbook. allowance] /N.G. Butakova. N.V. Fedorov. - SPb.: ITs «Intermediya». 2019. – 384 p. [in Russian]
- Vostretsova. E.V. Osnovy informatsionnoy bezopasnosti: uchebnoye posobiye dlya studentov vuzov [The basics of information security: a textbook for university students] / E.V. Vostretsova. — Ekaterinburg: Izd-vo Ural. un-ta. 2019. — 204 p. [in Russian]
- Mironov I.V. Pravovoye regulirovaniye elektronnoy podpisi v Rossii [Legal regulation of electronic signatures in Russia] / I.V. Mironov // Voprosy nauki i obrazovaniya. – 2020. - №3(87). – S. 50-55. [in Russian]
- Khachaturova S.S. Personalnyye dannyye pod zashchitu! [Personal data is protected!] / S.S. Khachaturova// Mezhdunarodnyy zhurnal prikladnykh i fundamentalnykh issledovaniy. 2016. № 5-4. P. 666-668. [in Russian]
- Statisticheskiye dannyye o zaregistrirovannykh prestupleniyakh na territorii Rossiyskoy Federatsii v yanvare - avguste 2019 goda. [Statistical data on registered crimes in the territory of the Russian Federation in January - August 2019.] [Electronic resource]. URL: https://genproc.gov.ru/smi/news/genproc/news-1703326/ (accessed: 14.04.2020). [in Russian]
- KriptoPro CSP 5.0. Sertifikaty [CryptoPro CSP 5.0. Certificates] [Electronic resource]. URL: https://www.cryptopro.ru/certificates?pid=1417 (accessed: 14.04.2020). [in Russian]
- Rutoken ETsP 2.0. Sertifikaty [Rutoken EDS 2.0. Certificates] [Electronic resource]. URL: https://www.rutoken.ru/products/all/rutoken-ecp/#certify (accessed: 14.04.2020). [in Russian]
- ViPNnet Client 4. Sertifikaty i patenty. [ViPNnet Client 4. Certificates and patents] [Electronic resource]. URL: https://infotecs.ru/product/vipnet-client-.html#soft (accessed: 14.04.2020). [in Russian]