Официальное определение понятия “конфиденциальная информация” дано в законе “Об информации, информатизации и защите информации”, принятом Федеральным собранием России 20 февраля 1995 г. Согласно этому закону, конфиденциальная информация - это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Под защитой конфиденциальной информации понимается комплекс мероприятий, направленных на предотвращение утечки, хищения, утраты, несанкционированного искажения, подделки, несанкционированного копирования, блокирования информации и т. п. Защиту конфиденциальной информации средствами криптографических преобразований можно рассматривать как одно из возможных решений проблемы ее безопасности.
Обычно при криптозащите конфиденциальной информации присутствуют три основных компонента: информация, ключ (шифр) и алгоритм преобразования.
Различают предварительное и линейное шифрование. Предварительное шифрование подразумевает, что “искажение” информации будет произведено перед отправкой данных. Так, например, все разведданные шифровались предварительно. Линейное шифрование (шифрование в линию) - это вид шифрования, при котором процесс “искажения” информации идет параллельно с ее отправкой.
Система с открытыми ключами
При создании как программных, так и аппаратных средств криптографической защиты информации широко используется система с открытыми ключами, когда каждый пользователь имеет два ключа: секретный (закрытый), известный только ему, и открытый, который рассылается всем. Пользователь шифрует данные, используя свой закрытый ключ и открытый ключ получателя информации. Из закрытого ключа отправителя и открытого ключа получателя информации формируется последовательность символов, называемая секретным ключом связи.
Процесс шифрования представляет собой наложение по определенному алгоритму псевдослучайной последовательности символов на отправляемые данные. Ключ связи задает значения параметров этого алгоритма. Дешифрация данных осуществляется с помощью закрытого ключа получателя информации и открытого ключа ее отправителя. Интересной особенностью системы с открытыми ключами является то, что после шифрования данных отправитель уже не может произвести их дешифрацию.
Таким образом, для работы с системой с открытыми ключами каждый пользователь должен иметь свой закрытый ключ и справочник открытых ключей других пользователей системы.
Во многих системах криптографической защиты информации предусматривается защита от ошибок и навязывания ложных данных. Для этого либо перед шифрованием, либо параллельно с ним из информационных блоков и секретного ключа связи по определенному алгоритму формируется последовательность символов. Эта последовательность носит название имитовставки. Имитовставка передается получателю информации вместе с зашифрованными данными. При дешифрации также вырабатывается имитовставка. Затем осуществляется сравнение имитовставки, полученной с зашифрованными данными, и имитовставки, выработанной при дешифрации. Если при сравнении имитовставки окажутся разными, то считается, что при передаче данных произошла ошибка или были получены ложные данные.
Одной из проблем при работе с системой открытых ключей является формирование справочника открытых ключей и обеспечение его подлинности. Возможны следующие подходы к решению этой проблемы. Например, справочник открытых ключей может формироваться в некотором центре, которому доверяют абсолютно все пользователи системы. В этом случае администратор центра полностью несет ответственность за подлинность публикуемой информации. В другом случае каждый пользователь самостоятельно формирует свой открытый ключ и рассылает его своим респондентам. При таком подходе для разрешения возможных споров достоверная копия открытого ключа выдается третьей стороне (арбитру).
Проблема формирования справочника открытых ключей - частный случай задачи, связанной с формированием и распределением ключей. Эта задача весьма сложна, и не столько в техническом плане, сколько в плане юридическом. При формировании ключей всегда возникает вопрос о том, кто несет ответственность, если произойдет утечка конфиденциальной информации. Каждый производитель системы криптографической защиты информации решает эту проблему по-своему. Так, в некоторых зарубежных системах криптозащиты информации формирование ключей, как открытых, так и закрытых, осуществляется автоматически, в других - администратор системы выезжает к конечному потребителю со специальным устройством. Такое устройство подключается к компьютеру, а загрузка ключа начинается лишь после того, как администратор системы введет свой пароль. Существуют системы криптозащиты информации, в которых формирование ключей происходит в специально оборудованном и хорошо защищенном центре, а пользователю ключи доставляются специальным курьером.
Электронная цифровая подпись
Электронная цифровая подпись вырабатывается по специальному алгоритму с использованием секретного ключа лица, заверяющего документ, и самого текста документа. Другие пользователи системы проверяют подлинность документа, заверенного цифровой подписью, используя открытый ключ, но внести какие-либо изменения в документ они не могут. Механизм цифровой электронной подписи часто используется для заверения справочника открытых ключей.
До недавнего времени электронная цифровая подпись не имела юридической силы, но закон “Об информации, информатизации и защите информации” определил, что документ, заверенный электронной цифровой подписью, имеет юридическую силу при наличии в сетях передачи данных “программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования”.
Чтобы использовать лицензированные ФАПСИ шифровальные средства в составе сети передачи данных, - неважно, корпоративной или общего пользования, - необходимо получить лицензию ФАПСИ на право установки, эксплуатации сертифицированных ФАПСИ средств криптографической защиты информации и предоставления услуг по шифрованию информации.
Для защиты конфиденциальной информации в системах финансового и фондового рынка в системах “Банк - клиент” в корпоративных сетях требуется лицензия на защиту информации по уровню “С”, т. е. на защиту информации, не содержащей сведений, составляющей государственную тайну. В лицензии обязательно указывается, какие шифровальные средства разрешено использовать. Для работы с другими типами шифровальных средств требуется получение новой лицензии.
Заявка на получение лицензии заполняется предприятием, которое в дальнейшем будет эксплуатировать сеть, после чего она представляется в лицензионный центр ФАПСИ или в аккредитованный им аттестационный центр. Заявку сопровождает следующий комплект документов: представление органа государственной власти РФ или копия лицензии на вид деятельности, копии учредительных документов, справка налогового органа о постановке на учет, перечень заявляемых средств защиты информации.
Аккредитованным центром ФАПСИ проводится специальная экспертиза заявителя с целью определения необходимых условий для проведения работ по заявленным видам деятельности. Материалы проведенной экспертизы направляются для рассмотрения и утверждения в лицензионный центр ФАПСИ.
Экспертная комиссия проверяет уровень подготовки сотрудников, которые будут осуществлять установку и эксплуатацию систем криптографической защиты информации, наличие охраны в помещениях, где будут размещены шифровальные средства, и оценивает возможность обеспечения безопасности шифрключей.
Для соответствия персонала требованиям, предъявляемым экспертной комиссией, необходимо, чтобы как минимум два сотрудника фирмы прошли обучение в аккредитованном центре ФАПСИ.
Для обеспечения безопасности шифрключей предприятие-заявитель должно иметь специально оборудованные помещения. Одно из них отводится для хранения средств криптографической защиты информации, другое - для выработки шифрключей. Кроме того, должны быть выделены комнаты для работы, показа, рекламы и заключения договоров с клиентами. Все перечисленные помещения должны быть оборудованы в соответствии с требованиями ФАПСИ. Не допускается, чтобы выделяемые помещения были проходными и располагались на первом и последнем этажах здания.
Пользователю, развивающему свою корпоративную сеть, имеет смысл строить ее на базе сети общего пользования, оператор которой уже имеет лицензию ФАПСИ.
Одной из первых компаний, получивших лицензию ФАПСИ на использование средств криптографической защиты информации, является ЗАО РОСПАК, оператор одноименной сети общего пользования. В полученной ЗАО РОСПАК лицензии оговаривается, что “настоящая лицензия дает право абонентам сети передачи данных ЗАО РОСПАК осуществлять эксплуатацию сертифицированных ФАПСИ шифровальных средств, приобретенных у организаций, имеющих лицензии ФАПСИ на реализацию или установку (инсталляцию) этих средств на основании заключенных ими с ЗАО РОСПАК договоров, без получения отдельных лицензий ФАПСИ”.
ЗАО РОСПАК весьма своевременно получило лицензию ФАПСИ, так как эта компания совместно с АО РОСТЕЛЕКОМ (АО РОСТЕЛЕКОМ - учредитель ЗАО РОСПАК) ведет работы по созданию магистральной ATM-сети - единой транспортной платформы, объединяющей различные регионы РФ, для передачи непрерывных и дискретных информационных потоков, которая позволит с наибольшей отдачей использовать широкополосные цифровые каналы. Разворачиваемая ATM-сеть строится на аппаратуре производства компании Northern Telecom. В центре управления сети будет установлена система Passport 160. Узлы сети комплектуются голосовыми картами и картами, позволяющими организовывать сети frame rеlay поверх ATM. Таким образом корпоративные клиенты ЗАО РОСПАК получат возможность развивать на базе создаваемой АТМ-сети корпоративные сети frame relay.
Дистрибьюторские соглашения с компаниями Northern Telecom и Newbridge Networks Corporation позволят ЗАО РОСПАК предлагать услуги по проектированию региональных АТМ- и frame relay-сетей, а полученная лицензия предоставляет право продавать своим абонентам “шифровальные средства, предназначенные для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, при ее обработке, хранении и передаче по каналам связи”.
В настоящее время сеть РОСПАК имеет узлы в 280 регионах и ориентирована на работу в чрезвычайных ситуациях.
С авторами можно связаться по телефону: (095) 229-6051.
Ольга Макарова, Анатолий Соколов