Статьи

Криптография. Уже среди нас.

24.03.2014

/

Информационные технологии все обширнее и глубже проникают в повседневную жизнь человечества. Появляются новые способы связи между людьми, изменяются способы обмена информацией. На смену бумажным документам приходят их электронные аналоги, а электронной почтой сейчас пользуются гораздо чаще, чем обычной.


Такая глубокая интеграция электронного информационного обмена заставляет при разработке технологий передачи информации ставить вопросы безопасности информации на первое место. Одно из основных решений этих вопросов – применение криптографических методов и средств. Криптография это наука о методах обеспечения конфиденциальности (т.е. методах не позволяющих третьей, не участвующей в информационном обмене, стороне получить доступ к передаваемой информации) и аутентичности (т.е. методах проверки подлинности передаваемой информации и однозначного определения авторства) информации. При таком подходе (т.е. при использовании криптографии), у каждого пользователя имеется криптографический ключ (или набор ключей), при помощи которых он зашифровывает/расшифровывает передаваемые сообщения.

Наверняка не многие об этом задумывались, но с криптографией сейчас встречается практически каждый человек. Криптографией мы пользуемся как в повседневной жизни, так и во время рабочего процесса: это и системы «Клиент-Банк», и системы предоставления различной отчетности через интернет, и СУФД (система удаленного финансового документооборота) и пр. Ниже рассмотрим варианты применения криптографии.

Система «Клиент-Банк» представляет собой один из способов реализации технологии дистанционного банковского обслуживания (предоставление банковских услуг на основе удаленной передачи распоряжений, т.е. без визита клиента в филиал банка). В большинстве случаев, при этом, используются международные сети передачи данных. Обе взаимодействующие стороны (клиент и банк соответственно) заинтересованы в корректности передаваемой информации. Никто не будет спорить, что замена во время передачи платежного документа реквизитов получателя денежных средств не принесет радости автору этого платежного документа. В целях безопасности в системах «Клиент-Банк» используются различные средства криптографической защиты информации (СКЗИ), обеспечивающие шифрование и контроль целостности передаваемой информации.

СУФД является составной частью «Автоматизированной системы Федерального казначейства». Она предназначена для формирования отчетности об исполнении бюджета и организации информационного взаимодействия органов Федерального казначейства с участниками процессов исполнения. Для доступа к СУФД на рабочем месте должен быть установлен набор необходимого программного обеспечения, в который входят, в том числе, СКЗИ «Континент-АП» и «КриптоПро CSP», обеспечивающие надежный и безопасный канал связи между участниками электронного обмена. Без установки вышеуказанного программного обеспечения работа в СУФД невозможна.

При использовании СКЗИ весь информационный обмен происходит по защищенному каналу (зашифрованному для посторонних), что позволяет защитить данные от намеренных искажений или перехвата во время сеанса связи между точками передачи.

Также применение СКЗИ, осуществляющего шифрование информации на устройствах ее хранения, позволит защитить данные в случае утери или кражи как самих устройств хранения (флеш-накопителей, CD-дисков) так и компьютера целиком.

В отдельных ситуациях, пользователь обязан применять определенные программные средства, использование которых регламентировано при работе с конкретной прикладной системой (как например в описанном выше случае при работе с СУФД Федеральное казначейство предписывает использовать вполне конкретные СКЗИ - «Континент-АП» и «КриптоПро CSP»). В тоже время для собственных нужд можно использовать любые СКЗИ. Однако следует помнить, что в случае если СКЗИ применяются для защиты персональных данных то эти СКЗИ должны быть только российского производства и только прошедшие сертификацию по нормам российского законодательства. В случае же передачи персональных данных по сети Интернет применение таких СКЗИ и вовсе обязательно.

Порядок применения СКЗИ на территории РФ жестко регламентирован. Так, если организация использует СКЗИ – она обязана выполнять требования «Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом Федерального агентства правительственной связи и информации, №152 от 13.06.2001г. Полномочия за соблюдением требований данной Инструкции в настоящее время возложены на Федеральную службу безопасности России. Кроме того, если СКЗИ используются для защиты персональных данных, то использующая их организация обязана выполнять требования, утвержденные приказом 8-го Центра Федеральной службы безопасности России №149/6/6-622 от 21.02.2008г. Если организация приняла решение использовать в своей повседневной деятельности СКЗИ для обработки персональных данных, ее руководству стоит помнить, что ряд работ как при внедрении СКЗИ, так и при их эксплуатации относится к лицензируемым видам деятельности. Это, свою очередь влечет необходимость либо получить соответствующую лицензию самостоятельно, либо привлекать стороннюю организацию – лицензиата.

Не соблюдение действующего законодательства и нормативных документов в области защиты информации, защиты персональных данных и, в частности, в вопросах применения СКЗИ неизбежно приводит к ответственности за противоправные действия. При этом ответственность может быть, как дисциплинарной, так и административной, и уголовной. Стремясь защитить персональные данные своих граждан наше государство предъявляет высокие требования к тем, кто эти данные обрабатывает. В тоже время выполнение требований законодательства позволит свести риски и потери к минимуму, а применение криптографии сделать удобным и безопасным.