Распечатать

Мир безопасности 

Защита информации: последний рубеж обороны

6 марта 2006

Мир безопасности 

Защита информации: последний рубеж обороны

Основным объектом внимания компаний становится задача по выбору надежного исполнителя, поскольку проектирование, разработка и внедрение криптографических методов защиты информации требовала и требует высокой квалификации.

Для гарантии этого и существует государственная система лицензирования деятельности в области криптографии и сертификации продуктов информационной безопасности.

***

"Я превосходно знаком со всеми видами тайнописи и сам являюсь автором научного труда, в котором проанализировано 160 различных шифров, однако я вынужден признаться, что этот шифр для меня совершенная новость"

(А. Конан Дойль. "Пляшущие человечки". Записки о Шерлоке Холмсе)

***

В настоящее время в мире различают два типа криптографии: защита, которая помешает окружающим читать ваши файлы, и защита, которая помешает их прочесть конкурентам или недоброжелателям.

В случае корпоративного применения криптография - это совокупность методов преобразования данных, направленных на то, чтобы защитить данные, сделав их бесполезными для злоумышленников.

ВВЕДЕНИЕ В КРИПТОГРАФИЮ

Сложное и неразрешимое всегда привлекало человека. Секретность на протяжении веков имела огромное значение для соблюдения национальных интересов любой страны. Криптография, по сути своей, является "плодом древа военных", поскольку все разработки в области криптографической защиты долгое время велись в рамках военного заказа, и достижения в области криптографии охранялись соответствующим образом. Сегодня криптография призвана хранить тайны в самых различных масштабах - от персональных данных граждан и коммерческих секретов организаций до информации уровня национальной безопасности.

В настоящее время в мире различают два типа криптографии: защита, которая помешает окружающим читать ваши файлы, и защита, которая помешает их прочесть конкурентам или недоброжелателям. В случае корпоративного применения криптография - это совокупность методов преобразования данных, направленных на то, чтобы защитить данные, сделав их бесполезными для злоумышленников.

Криптография считается "последним рубежом обороны": если злоумышленник преодолел все рубежи защиты и противнику удалось:

  • получить локальный или физический доступ к компьютеру, на котором обрабатывается конфиденциальная информация, или получить сетевой доступ к компьютеру;
  • обойти систему обнаружения вторжений, а также подсистемы идентификации, аутентификации и авторизации;
  • не оставить следов в журнале аудита.

Именно на этом этапе недоброжелатель чаще всего сталкивается с криптографией: он вошел в систему, нашел интересующий файл, а его содержимое - зашифровано. Конечно, грамотно созданная система подключит криптографию к процессу защиты данных намного раньше, например, на этапе аутентификации будут использованы не регистрационное имя пользователя и пароль, а смарт-карта и цифровой сертификат стандарта Х. 509 и т. д.

Криптография позволяет эффективно решить ряд важнейших проблем информационной безопасности компьютерных сетей и систем, в том числе обеспечить:

  • Подлинность (аутентификацию). Получатель сообщения должен иметь возможность установить источник сообщения, а злоумышленник - неспособность замаскироваться под кого-либо другого.
  • Конфиденциальность. Данные могут быть прочитаны только теми лицами, для которых они предназначаются. Злоумышленник, получивший доступ к зашифрованным данным, не должен суметь восстановить исходный текст сообщения.
  • Целостность. Получатель сообщения может проверить, не было ли сообщение изменено в процессе доставки, а злоумышленник - не способен выдать ложное сообщение за подлинное, оригинальное.
  • Неотрицание авторства. Отправитель сообщения впоследствии не должен иметь возможности ложно отрицать отсылку сообщения.

ИНФОРМИРОВАН - ЗНАЧИТ, ВООРУЖЕН

В последнее время в российской и западной прессе активно обсуждается тема, связанная с тем, что на пути повсеместного использования криптографии появляются разнообразные барьеры. Например, государства дополняют общедоступные стандарты шифрования засекреченным алгоритмом правительственного контроля, причем отрицательные аспекты такой программы могут простираться от потенциально опасного раскрытия тайны личности или корпоративных процессов до высокой стоимости аппаратной модернизации продуктов. Но рынок все же видит свое будущее не в политике, а в получении надлежащей защиты, причем эффективно и грамотно реализованной.

При таком подходе основным объектом внимания компаний становится задача по выбору надежного исполнителя, поскольку проектирование, разработка и внедрение криптографических методов защиты информации требовала и требует высокой квалификации. Для гарантии этого и существует государственная система лицензирования деятельности в области криптографии и сертификации продуктов информационной безопасности.

Существует ряд компаний, которые предлагают свои услуги в области разработки средств криптографической защиты для создания систем информационной безопасности, не имея лицензий на право заниматься этой деятельностью. Так ли это надежно для заказчиков, как может показаться на первый взгляд? Вообще, как выбрать подрядчика для построения будущей системы информационной безопасности?

Для безошибочного выбора, прежде всего, требуется понимание того, как организован процесс лицензирования деятельности и сертификации продуктов и услуг в области информационной безопасности, какие жесточайшие профессиональные требования предъявляет сегодня законодательство к исполнителю, оказывающему услуги в области создания систем информационной безопасности с использованием криптографических средств. Задача состоит не в том, как защитить себя математикой, а в защите знанием законов.

ПРОБЛЕМЫ СЕРТИФИКАЦИИ

"План, что и говорить, был превосходным: простой и ясный, лучше не придумаешь. Недостаток у него имелся только один: было совершенно неизвестно, как привести его в исполнение"

(Л. Кэролл.Алиса в стране чудес")

СЕРТИФИКАЦИЯ И АТТЕСТАЦИЯ

Мы не будем касаться вопросов, относящихся к защите информации, составляющей государственную тайну. Здесь мы осветим вопросы, связанные с защитой конфиденциальной информации для корпоративных клиентов. Начнем с того, что необходимо знать компаниям, собирающимся использовать криптографические средства. В конце 90-х в РФ был принят закон, регламентирующий использование лицензионных средств в области криптографической защиты информации. При этом сертифицированы могут быть исключительно отечественные продукты в области средств криптографической защиты информации (СКЗИ). На территории РФ органом, выдающим лицензии на деятельность в области проектирования и разработки СКЗИ, является Федеральная Служба Безопасности (ФСБ).

В связи с высокими требованиями, предъявляемыми как к компании-разработчику, так и к его продуктам, только единицы отечественных компаний заслужили право продвигать на рынок свои разработки - как отдельные криптографические алгоритмы, так и СКЗИ (имея на то соответствующую лицензию от ФСБ). Другая - и большая часть ИТ-компаний - пошла по пути встраивания уже имеющегося СКЗИ от стороннего производителя в свой продукт. Для этого фирме также требовалось получить от ФСБ лицензии на проектирование, техническое обслуживание, сопровождение, а также на распространение продукта. Для того, чтобы понять, насколько грамотно и корректно разработчик встроил имеющийся функционал СКЗИ в свой продукт, ФСБ России регулярно проводит экспертную оценку результатов разработки.

На данном этапе у корпоративных клиентов может возникнуть ряд вопросов, например, нужно ли требовать от разработчика реализации криптографических функций в системах защиты информации; кто должен сертифицировать (проводить аттестацию) вашей информационной системы, программного обеспечения или объекта целиком; всегда ли разработчик заявляет реализованные в продукте криптографические функции для их сертификации?Начнем с ведомств, занимающихся сертификацией решений в области СКЗИ. В настоящее время в нашей стране существует две организации, проводящие сертификацию средств защиты информации и аттестацию объектов. Это ФСТЭК (Федеральная служба таможенного контроля, бывшая Гостехкомиссия) и ФСБ России. ФСТЭК не сертифицирует криптографические методы защиты информации, а только комбинаторно-перестановочные (то есть вероятностные) методы защиты (например, оценивает вероятность подбора злоумышленником пароля, исходя из реализованных в продукте требованиях к его качеству). Сертификация СКЗИ, равно как и продуктов, использующих криптографию, - зона полномочий исключительно ФСБ России.

Сегодня мы можем наблюдать удивительную ситуацию, при которой на рынке могут одновременно предлагаться две (и обе сертифицированные!) версии решения. При этом первая версия продукта может обладать сертификатом ФСТЭК (с полностью исключенным из документации криптографическим функционалом), а другая - с сертификатом от ФСБ России, с документированным российским криптографическим функционалом. Нетрудно представить себе, какую путаницу вызывает это в голове рядового потребителя, ведь ему надо сделать выбор и приобрести то решение, которое является "правильным" - как для закона, так и для его бизнеса.

ЗАПАДНЫЕ ПРОДУКТЫ И МУЛЬТИВЕНДОРНЫЙ ПОДХОД

Итак, установить СКЗИ и начать его использовать - еще не означает, что все будет сделано в рамках закона. Сегодня импортные средства криптографической защиты, принятые в западной практике, хотя и нашли массовое применение в России, но "проглядели" потенциальную угрозу: они могут остаться "в тени закона", то есть стать нелегальным программным обеспечением, так как - повторимся - в нашей стране регламентируется использование сертифицированных отечественных средств криптографической защиты информации. Однако западные продукты могут быть разрешены к импорту (на основании экспертного заключения ФСБ России, лицензии ФСБ России и лицензии Минэкономразвития) и, соответственно, к использованию. Но при проектировании корпоративной автоматизированной системы, в состав которой они входят, их криптографический функционал задействован быть не может - это трактуется как нарушение закона.

Путаницы для компаний, только еще присматривающихся к системам информационной безопасности, может добавить и переход ФСТЭК к сертификации продуктов информационной безопасности по так называемым "Общим критериям" (стандарты ГОСТ Р ИСО/МЭК 15408-2002). Сегодня мало кто может разобраться в таких определениях, как "профиль защиты", "задание по безопасности", "оценочный уровень доверия"-и может правильно прочитать постановления и другие документы. В этом случае заказчику опять же необходим "переводчик" - компания, разбирающаяся в дисциплине, обладающая ресурсами для исполнения и знающая требования законодательства. Эта роль сегодня принадлежит мультивендорному системному интегратору, как "лицу", не заинтересованному продать конкретный продукт, но обладающему набором решений, услуг и компетенции, призванных грамотно и эффективно решить задачу всеми возможными методами и средствами.

СИСТЕМНЫЙ ИНТЕГРАТОР НА СТРАЖЕ ИНТЕРЕСОВ КЛИЕНТОВ

"Все-таки желательно, господин артист, чтобы вы незамедлительно разоблачили бы перед зрителями технику ваших фокусов"

(М. Булгаков. "Мастер и Маргарита")

Никто не ожидает, что безопасность в организациях будет обеспечена на все сто процентов. В конце концов, информационная безопасность связана с человеческим фактором, и никакие технологии не способны снизить превалирующее влияние сложных, противоречивых и специфических особенностей, связанных с человеком.

Первая рекомендация, которую мы адресуем компаниям, заключается в том, что необходимо видеть вашу автоматизированную систему целиком. Дать рекомендации, в каких подсистемах защиты надлежит использовать криптографию, следует ли вообще использовать криптографию для обеспечения информационной безопасности, может, как правило, только системный интегратор. Если же решение будет принято в пользу применения криптографии, то независимый исполнитель, являющийся адвокатом, духовником и системным интегратором в одном лице, сможет разобраться во всем многообразии представленных на рынке средств и подсказать, криптография какого производителя и в каких условиях может быть использована.

Квалифицированный исполнитель сможет построить для вас эффективную надежную систему, гармонично объединяющую технические, программные и организационные меры и отвечающую строгим критериям российского законодательства в области СКЗИ. Он же поможет вам правильно прочитать сертификационные документы, пояснить, что именно стоит за его строчками и какие именно функции безопасности сертифицированного продукта были заявлены в сертификации и проверены соответствующими ведомствами.

Системный интегратор обязан оградить заказчика от недобросовестной рекламы со стороны производителя продукции, поскольку зачастую сертифицированной оказывается лишь малая доля функционала продукта, хотя в заявлениях пишется, что сертифицирован весь продукт, вся его функциональность. И, как правило, только системный интегратор сможет вам подсказать, где вам следует сертифицировать вашу информационную систему, и поможет провести необходимую подготовку к сертификации.

***

Сегодня импортные средства криптографической защиты, принятые в западной практике, могут стать нелегальным программным обеспечением, так как в нашей стране регламентируется использование сертифицированных отечественных средств криптографической защиты информации.

***

Именно человек изобретает средства защиты и он же развивает их с тем, чтобы придумать еще более изощренный метод обороны, к которому относится криптография.

Юлия ХИТЬКОВА, руководитель отдела маркетинга решений ЗАО "Энвижн Груп"