Криптографические средства

Механизмы защиты информации

Криптографические методы защиты информации

Криптографические методы защиты информации – это мощное оружие в борьбе за информационную безопасность.

Криптография (от древне-греч. κρυπτος – скрытый и γραϕω – пишу) – наука о методах обеспечения конфиденциальности и аутентичности информации.

Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы сделать эти данные бесполезными для злоумышленника. Такие преобразования позволяют решить два главных вопроса, касающихся безопасности информации:

  • защиту конфиденциальности;
  • защиту целостности.

Проблемы защиты конфиденциальности и целостности информации тесно связаны между собой, поэтому методы решения одной из них часто применимы для решения другой.

Известны различные подходы к классификации методов криптографического преобразования информации. По виду воздействия на исходную информацию методы криптографического преобразования информации могут быть разделены на четыре группы:


увеличить изображение
Рис. 2.1. Классификация методов криптографического преобразования информации

Процесс шифрования заключается в проведении обратимых математических, логических, комбинаторных и других преобразований исходной информации, в результате которых зашифрованная информация представляет собой хаотический набор букв, цифр, других символов и двоичных кодов.

Для шифрования информации используются алгоритм преобразования и ключ. Как правило, алгоритм для определенного метода шифрования является неизменным. Исходными данными для алгоритма шифрования служит информация, подлежащая зашифрованию, и ключ шифрования. Ключ содержит управляющую информацию, которая определяет выбор преобразования на определенных шагах алгоритма и величины операндов, используемых при реализации алгоритма шифрования. Операнд – это константа, переменная, функция, выражение и другой объект языка программирования, над которым производятся операции.

В отличие от других методов криптографического преобразования информации, методы стеганографии позволяют скрыть не только смысл хранящейся или передаваемой информации, но и сам факт хранения или передачи закрытой информации. В основе всех методов стеганографии лежит маскирование закрытой информации среди открытых файлов, т.е. скрываются секретные данные, при этом создаются реалистичные данные, которые невозможно отличить от настоящих. Обработка мультимедийных файлов в информационных системах открыла практически неограниченные возможности перед стеганографией.

Графическая и звуковая информация представляются в числовом виде. Так, в графических объектах наименьший элемент изображения может кодироваться одним байтом. В младшие разряды определенных байтов изображения в соответствии с алгоритмом криптографического преобразования помещаются биты скрытого файла. Если правильно подобрать алгоритм преобразования и изображение, на фоне которого помещается скрытый файл, то человеческому глазу практически невозможно отличить полученное изображение от исходного. С помощью средств стеганографии могут маскироваться текст, изображение, речь, цифровая подпись, зашифрованное сообщение.

Скрытый файл также может быть зашифрован. Если кто-то случайно обнаружит скрытый файл, то зашифрованная информация будет воспринята как сбой в работе системы. Комплексное использование стеганографии и шифрования многократно повышает сложность решения задачи обнаружения и раскрытия конфиденциальной информации.

Содержанием процесса кодирование информации является замена исходного смысла сообщения (слов, предложений) кодами. В качестве кодов могут использоваться сочетания букв, цифр, знаков. При кодировании и обратном преобразовании используются специальные таблицы или словари. В информационных сетях кодирование исходного сообщения (или сигнала) программно-аппаратными средствами применяется для повышения достоверности передаваемой информации.

Часто кодирование и шифрование ошибочно принимают за одно и тоже, забыв о том, что для восстановления закодированного сообщения, достаточно знать правило замены, в то время как для расшифровки сообщения помимо знания правил шифрования, требуется ключ к шифру.

Сжатие информации может быть отнесено к методам криптографического преобразования информации с определенными оговорками. Целью сжатия является сокращение объема информации. В то же время сжатая информация не может быть прочитана или использована без обратного преобразования. Учитывая доступность средств сжатия и обратного преобразования, эти методы нельзя рассматривать как надежные средства криптографического преобразования информации. Даже если держать в секрете алгоритмы, то они могут быть сравнительно легко раскрыты статистическими методами обработки. Поэтому сжатые файлы конфиденциальной информации подвергаются последующему шифрованию. Для сокращения времени передачи данных целесообразно совмещать процесс сжатия и шифрования информации.

Основным видом криптографического преобразования информации в компьютерных сетях является шифрование. Под шифрованием понимается процесс преобразования открытой информации в зашифрованную информацию (шифртекст) или процесс обратного преобразования зашифрованной информации в открытую. Процесс преобразования открытой информации в закрытую получил название зашифрование, а процесс преобразования закрытой информации в открытую – расшифрование.

За многовековую историю использования шифрования информации человечеством изобретено множество методов шифрования или шифров. Методом шифрования (шифром) называется совокупность обратимых преобразований открытой информации в закрытую информацию в соответствии с алгоритмом шифрования. Большинство методов шифрования не выдержали проверку временем, а некоторые используются и до сих пор. Появление компьютеров и компьютерных сетей инициировало процесс разработки новых шифров, учитывающих возможности использования компьютерной техники как для зашифрования/расшифрования информации, так и для атак на шифр. Атака на шифр (криптоанализ, криптоатака) – это процесс расшифрования закрытой информации без знания ключа и, возможно, при отсутствии сведений об алгоритме шифрования.

Современные методы шифрования должны отвечать следующим требованиям:

  • стойкость шифра противостоять криптоанализу (криптостойкость) должна быть такой, чтобы вскрытие его могло быть осуществлено только путем решения задачи полного перебора ключей;
  • криптостойкость обеспечивается не секретностью алгоритма шифрования, а секретностью ключа;
  • шифртекст не должен существенно превосходить по объему исходную информацию;
  • ошибки, возникающие при шифровании, не должны приводить к искажениям и потерям информации;
  • время шифрования не должно быть большим;
  • стоимость шифрования должна быть согласована со стоимостью закрываемой информации.

Криптостойкость шифра является его основным показателем эффективности. Она измеряется временем или стоимостью средств, необходимых криптоаналитику для получения исходной информации по шифртексту, при условии, что ему неизвестен ключ.

Сохранить в секрете широко используемый алгоритм шифрования практически невозможно. Поэтому алгоритм не должен иметь скрытых слабых мест, которыми могли бы воспользоваться криптоаналитики. Если это условие выполняется, то криптостойкость шифра определяется длиной ключа, так как единственный путь вскрытия зашифрованной информации – перебор комбинаций ключа и выполнение алгоритма расшифрования. Таким образом, время и средства, затрачиваемые на криптоанализ, зависят от длины ключа и сложности алгоритма шифрования.

Работа простой криптосистемы проиллюстрирована на рис. 2.2.


увеличить изображение
Рис. 2.2. Обобщённая схема криптографической системы

Отправитель генерирует открытый текст исходного сообщения М, которое должно быть передано законному получателю по незащищённому каналу. За каналом следит перехватчик с целью перехватить и раскрыть передаваемое сообщение. Для того чтобы перехватчик не смог узнать содержание сообщения М, отправитель шифрует его с помощью обратимого преобразования Ек и получает шифртекст (или криптограмму) С=Ек(М) , который отправляет получателю.

Законный получатель, приняв шифртекст С, расшифровывает его с помощью обратного преобразования Dк(С) и получает исходное сообщение в виде открытого текста М.

Преобразование Ек выбирается из семейства криптографических преобразований, называемых криптоалгоритмами. Параметр, с помощью которого выбирается отдельное преобразование, называется криптографическим ключом К.

Криптосистема имеет разные варианты реализации: набор инструкций, аппаратные средства, комплекс программ, которые позволяют зашифровать открытый текст и расшифровать шифртекст различными способами, один из которых выбирается с помощью конкретного ключа К.

Преобразование шифрования может быть симметричным и асимметричным относительно преобразования расшифрования. Это важное свойство определяет два класса криптосистем:

  • симметричные (одноключевые) криптосистемы;
  • асимметричные (двухключевые) криптосистемы (с открытым ключом).

Симметричное шифрование

Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных. Для того чтобы обеспечить конфиденциальность данных, пользователи должны совместно выбрать единый математический алгоритм, который будет использоваться для шифрования и расшифровки данных. Кроме того, им нужно выбрать общий (секретный) ключ, который будет использоваться с принятым ими алгоритмом шифрования/дешифрования, т.е. один и тот же ключ используется и для зашифрования, и для расшифрования (слово «симметричный» означает одинаковый для обеих сторон).

Пример симметричного шифрования показан на рис. 2.2.

Сегодня широко используются такие алгоритмы шифрования, как Data Encryption Standard (DES), 3DES (или «тройной DES») и International Data Encryption Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Если объем сообщения превышает 64 бита (как это обычно и бывает), необходимо разбить его на блоки по 64 бита в каждом, а затем каким-то образом свести их воедино. Такое объединение, как правило, происходит одним из следующих четырех методов:

  • электронной кодовой книги (Electronic Code Book, ECB);
  • цепочки зашифрованных блоков (Cipher Block Changing, CBC);
  • x-битовой зашифрованной обратной связи (Cipher FeedBack, CFB-x);
  • выходной обратной связи (Output FeedBack, OFB).

Triple DES (3DES) – симметричный блочный шифр, созданный на основе алгоритма DES, с целью устранения главного недостатка последнего – малой длины ключа (56 бит), который может быть взломан методом полного перебора ключа. Скорость работы 3DES в 3 раза ниже, чем у DES, но криптостойкость намного выше. Время, требуемое для криптоанализа 3DES, может быть намного больше, чем время, нужное для вскрытия DES.

Алгоритм AES (Advanced Encryption Standard), также известный как Rijndael – симметричный алгоритм блочного шифрования – шифрует сообщения блоками по 128 бит, использует ключ 128/192/256 бит.

Шифрование с помощью секретного ключа часто используется для поддержки конфиденциальности данных и очень эффективно реализуется с помощью неизменяемых «вшитых» программ (firmware). Этот метод можно использовать для аутентификации и поддержания целостности данных.

С методом симметричного шифрования связаны следующие проблемы:

  • необходимо часто менять секретные ключи, поскольку всегда существует риск их случайного раскрытия (компрометации);
  • достаточно сложно обеспечить безопасность секретных ключей при их генерировании, распространении и хранении.

В СКЗИ класса КС2 не применяются меры по противодействию атакам, который обязательны для выполнения при эксплуатации СКЗИ класса КС1, а именно:

  1. утвержден перечень лиц, имеющих право доступа в помещения;
  2. утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;
  3. утверждены правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
  4. доступ в контролируемую зону и помещения, где располагается ресурсы информационные системы персональных данных (ИСПДн) и(или) СКЗИ, обеспечивается в соответствии с контрольно-пропускным режимом;
  5. сведения о физических мерах защиты объектов, в которых размещены ИСПДн, доступны ограниченному кругу сотрудников;
  6. документация на СКЗИ хранится у ответственного за СКЗИ в металлическом сейфе (шкафу);
  7. помещения, в которых располагаются документация на СКЗИ, СКЗИ и компоненты СФ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;
  8. представители технических, обслуживающих и других вспомогательных служб при работе в помещениях (стойках), где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;
  9. сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;
  10. пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;
  11. осуществляется регистрация и учет действий пользователей с персональными данными;
  12. осуществляется контроль целостности средств защиты информации.

Узнать разницу классов защиты СКЗИ КС1, КС2 и выше, а также зависимость мер по противодействию атакам от актуальной возможности источников атак, возможно с помощью калькулятора «Расчет класса СКЗИ на основе актуальных возможностей атак»

Классы СКЗИ

Для обеспечения защиты информации используются следующие типы систем:

Каждый уровень предусматривает следующий комплекс мер:

  1. Физические,
  2. Технические,
  3. Контролирующие,
  4. Организационные.

4-й уровень

На этом уровне действует комплект документов «УЗ4»:

  • порядок доступа в помещения, где находятся СКЗИ и любые носители информации по ним,
  • список лиц, имеющих на это право,
  • журнал учёта носителей ПД,
  • перечень лиц с правом доступа к обрабатываемым данным.

3-й уровень

На этом уровне действует Комплект «УЗ3», содержащий шаблоны следующих документов:

  • план мероприятий ПД 3 уровня защищённости,
  • правила допуска в помещения хранения СКЗИ, включая нештатные ситуации,
  • перечень, имеющих впуск в вышеуказанные помещения и к ПД,
  • журнал учёта носителей ПД,
  • приказ о назначении ответственного за безопасность данных.

2-й уровень защиты

Комплекс мер «УЗ2» с документами 2-го уровня:

  • план мероприятий безопасности 2 уровня,
  • правила доступа в помещения хранения СКЗИ, включая нештатные ситуации,
  • перечень лиц, которым разрешён доступ в вышеуказанные помещения к ПД,
  • журнал учёта носителей ПД,
  • приказ о назначении ответственного за безопасность данных,
  • список лиц, имеющих допуск к электронному журналу в ИСПДн.


1-й уровень
комплекте «УЗ1»:
Требуемые документы:

  • план мероприятий 1-го уровня защищённости,
  • правила допуска в помещения хранения СКЗИ, включая нештатные ситуации,
  • список лиц, имеющих доступ в вышеуказанные помещения и к ПД,
  • журнал учёта,
  • положение об отделе защиты ПД.

Что такое СКЗИ: особенности, функции и где используется

В этой статье вы узнаете, что такое СКЗИ и для чего это нужно. Это определение относится к криптографии – защите и хранению данных. Защиту информации в электронном виде можно сделать любым способом – даже путем отключения компьютера от сети и установки возле него вооруженной охраны с собаками. Но намного проще это осуществить, используя средства криптозащиты. Давайте разберемся, что это и как реализуется на практике.

Основные цели криптографии

Расшифровка СКЗИ звучит как «система криптографической защиты информации». В криптографии канал передачи информации может быть полностью доступен злоумышленникам. Но все данные конфиденциальны и очень хорошо зашифрованы. Поэтому, невзирая на открытость каналов, информацию злоумышленники получить не могут.

Современные средства СКЗИ состоят из программно-компьютерного комплекса. С его помощью обеспечивается защита информации по самым важным параметрам, которые мы и рассмотрим далее.

Конфиденциальность

Прочесть информацию невозможно, если нет на это прав доступа. А что такое СКЗИ и как он шифрует данные? Главный компонент системы – это электронный ключ. Он представляет собой комбинацию из букв и чисел. Только при вводе этого ключа можно попасть в нужный раздел, на котором установлена защита.

Целостность и аутентификация

Это важный параметр, который определяет возможность несанкционированного изменения данных. Если нет ключа, то редактировать или удалить информацию нельзя.

Аутентификация – это процедура проверки подлинности информации, которая записана на ключевом носителе. Ключ должен соответствовать той машине, на которой производится расшифровка информации.

Авторство

Это подтверждение действий пользователя и невозможность отказа от них. Самый распространенный тип подтверждения – это ЭЦП (электронная цифровая подпись). Она содержит в себе два алгоритма – один создает подпись, второй ее проверяет.

Обратите внимание на то, что все операции, которые производятся с электронными подписями, проходят обработку сертифицированными центрами (независимыми). По этой причине подделать авторство невозможно.

Основные алгоритмы шифрования данных

На сегодняшний день распространено немало сертификатов СКЗИ, ключи при шифровании используются различные – как симметричные, так и ассиметричные. И длина ключей достаточна для того, чтобы обеспечить необходимую криптографическую сложность.

Самые популярные алгоритмы, которые используются в криптозащите:

Во многих странах имеются свои стандарты для шифровальных алгоритмов. Например, в Соединенных Штатах применяют модифицированное AES-шифрование, ключ может быть длиной от 128 до 256 бит.

В Российской Федерации существует свой алгоритм – Р-34.10.2001 и Р-28147.89, в котором применяется ключ размером 256 бит. Обратите внимание на то, что существуют элементы в национальных криптографических системах, которые запрещено экспортировать в другие страны. Вся деятельность, связанная с разработкой СКЗИ, нуждается в обязательном лицензировании.

Аппаратная криптозащита

При установке тахографов СКЗИ можно обеспечить максимальную защиту информации, которая хранится в приборе. Все это реализуется как на программном, так и на аппаратном уровнях.

Аппаратный тип СКЗИ – это устройства, которые содержат специальные программы, обеспечивающие надежное шифрование данных. Также с их помощью происходит хранение информации, ее запись и передача.

Аппарат шифрации выполняется в виде шифратора, подключаемого к портам USB. Существуют также аппараты, которые устанавливаются на материнские платы ПК. Даже специализированные коммутаторы и сетевые карты с криптозащитой можно использовать для работы с данными.

Аппаратные типы СКЗИ устанавливаются довольно быстро и способны с большой скоростью обмениваться информацией. Но недостаток – это достаточно высокая стоимость, а также ограниченная возможность модернизации.

Программная криптозащита

Это комплекс программ, позволяющий осуществлять шифрование информации, которая хранится на различных носителях (флешках, жестких и оптических дисках, и т. д.). Также, если имеется лицензия на СКЗИ такого типа, можно производить шифрование данных при передаче их по сети Интернет (например, посредством электронной почты или чата).

Программ для защиты большое количество, причем существуют даже бесплатные – к таким можно отнести DiskCryptor. Программный тип СКЗИ – это еще и виртуальные сети, позволяющие осуществлять обмен информацией «поверх Интернет». Это известные многим VPN-сети. К такому типу защиты можно отнести и протокол HTTP, поддерживающий шифрование SSL и HTTPS.

Программные средства СКЗИ по большей части используются при работе в Интернете, а также на домашних ПК. Другими словами, исключительно в тех областях, где нет серьезных требований к стойкости и функциональности системы.

Программно-аппаратный тип криптозащиты

Теперь вы знаете, что такое СКЗИ, как работает и где используется. Нужно еще выделить один тип – программно-аппаратный, в котором собраны все самые лучшие свойства обоих видов систем. Такой способ обработки информации на сегодняшний день является самым надежным и защищенным. Причем идентифицировать пользователя можно различными способами – как аппаратными (путем установки флеш-носителя или дискеты), так и стандартным (путем введения пары логин/пароль).

Программно-аппаратными системами поддерживаются все алгоритмы шифрования, которые существуют на сегодняшний день. Обратите внимание на то, что установку СКЗИ должен производить только квалифицированный персонал разработчика комплекса. Понятно, что такое СКЗИ не должно устанавливаться на компьютеры, на которых не осуществляется обработка конфиденциальной информации.

Основы информационной безопасности. Часть 2. Информация и средства её защиты

В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.

Информация и ее классификация

Существует достаточно много определений и классификаций «Информации». Наиболее краткое и в тоже время емкое определение дано в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 2: Информация – это сведения (сообщения, данные) независимо от формы их представления».
Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.
Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:

  1. Свободно распространяемую
  2. Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях
  3. Которая в соответствии с федеральными законами подлежит предоставлению или распространению
  4. Распространение, которой в Российской Федерации ограничивается или запрещается

Информация по назначению бывает следующих видов:

  1. Массовая — содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума.
  2. Специальная — содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.
  3. Секретная — доступ, к которой предоставляется узкому кругу лиц и по закрытым (защищённым) каналам.
  4. Личная (приватная) — набор сведений о какой-либо личности, определяющий социальное положение и типы социальных взаимодействий.

Средства защиты информации необходимо применять непосредственно к информации доступ к которой ограничен — это государственная тайна и конфиденциальные данные.
Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:

  1. Сведения в военной области.
  2. Сведения в области экономики, науки и техники.
  3. Сведения в области внешней политики и экономики.
  4. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента от 6 марта 1997 г. №188 (ред. от 13 июля 2015 г.) «Об утверждении перечня сведений конфиденциального характера».
Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:

  • Личные конфиденциальные данные: Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Исключением является только информация, которая распространяется в СМИ.
  • Служебные конфиденциальные данные: Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
  • Судебные конфиденциальные данные: О государственной защите судей, должностных лиц правоохранительных и контролирующих органов. О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ «Об исполнительном производстве».
  • Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них предприятием (секретные разработки, технологии производства и т.д.).
  • Профессиональные конфиденциальные данные: Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)

Рисунок 1. Классификация видов информации.

Персональные данные

Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.
Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).
Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.
Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.
Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.
Основные носители информации:

  • Печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
  • Сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
  • Средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
  • Документы всех типов: личные, служебные, государственные;
  • Программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
  • Электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Определив, какая информация подлежит защите, носители информации и возможный ущерб при ее раскрытии, Вы можете подобрать необходимые средства защиты.

Классификация средств защиты информации

В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  • Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • Соблюдение конфиденциальности информации ограниченного доступа;
  • Реализацию права на доступ к информации.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

  • Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  • Своевременное обнаружение фактов несанкционированного доступа к информации;
  • Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  • Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  • Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  • Постоянный контроль за обеспечением уровня защищенности информации;
  • Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (п. 7 введен Федеральным законом от 21.07.2014 № 242-ФЗ).

Исходя из закона № 149-ФЗ защиту информации можно разделить так же на несколько уровней:

  1. Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
    Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.
  2. Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
    Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
    Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.
  3. Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).

Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты информации

Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.
Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.
Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

  • Статья 272 «Неправомерный доступ к компьютерной информации»;
  • Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
  • Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Административные (организационные) мероприятия играют существенную роль в создании надежного механизма защиты информации. Так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями. Например нерадивостью, небрежностью и халатностью пользователей или персонала защиты.
Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.
В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.
Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.

Формальные средства защиты информации

Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.
Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.
Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.
Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.
К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.
Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.
Примером комплексных решений служат DLP-системы и SIEM-системы.
DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.
SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.
Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.
Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.
Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.
Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.
В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.
Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.
Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.
Рисунок 2. Классификация средства защиты информации.