ТЕХНОЛОГИИ И ТЕХНИЧЕСКИЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

§ 1. Правовые технологии обеспечения информационной безопасности

Как уже упоминалось, при перехо­де от индустриального общества к информационному наряду с тради­ционными ресурсами — материаль­ными, энергетическими, техническими и др. — резко возрастает роль ресурсов информационных и интеллектуальных. Знания и ин­формация становятся стратегическим ресурсом общества, определя­ющим перспективы его экономического, социального, культурного развития в новом тысячелетии. Кроме того, информационные ре­сурсы — объект собственности конкретных юридических и физичес­ких лиц, они нуждаются в защите, обеспечении правового режима их владения, распоряжения и пользования.

Особое место отводится информационным ресурсам в услови­ях рыночной экономики. В конкурентной борьбе широко распро­странены разнообразные действия, направленные на получение конфиденциальной информации различными способами. Установ­лено, что сегодня в мире 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа'. В этих условиях защите информации от неправомерного овладения ею отводится значительная и всевозрастающая роль.

Как мы уже говорили, под информационной безопасностью в целом понимается защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий, чреватых нанесением ущерба как владельцам или пользователям информации, так и соответствующим техническим структурам, причем независимо от того, носят ли эти действия естественный или искусственный характер.

В соответствии с Законом РФ от 25 января 1995 г. «Об информа­ции, информатизации и защите информации» целями обеспече­ния информационной безопасности являются:

■ предотвращение разглашения, утечки и несанкционирован­
ного доступа к охраняемым сведениям;

■ предотвращение противоправных действий по уничтожению,
модификации, искажению, копированию, блокированию
информации;

■ предотвращение других форм незаконного вмешательства в
информационные ресурсы и информационные системы;

■ обеспечение правового режима документированной инфор­
мации как объекта собственности;

■ защита конституционных прав граждан на сохранение лич­
ной тайны и конфиденциальности персональных данных,
имеющихся в информационных системах;

■ сохранение государственной тайны, конфиденциальности
документированной информации в соответствии с законо­
дательством;

■ обеспечение прав субъектов в информационных процессах
и при разработке, производстве и применении информаци­
онных систем, технологии и средств их обеспечения.

Как показывает практика, для защиты интересов субъектов информационных отношений необходимо сочетать меры следую­щих уровней:

■ законодательного (законы, нормативные акты, стандарты

и т.п.);

■ административного (действия общего характера, предпри­
нимаемые руководством организации);

■ процедурного (конкретные меры безопасности, имеющие
дело с людьми);

■ программно-технического (конкретные технические меры).

На законодательном уровне закла­дываются общие предпосылки для обеспечения безопасности. Так, Кон­ституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий. Но создает условия для такого регулирования, закрепляя как пра­ва граждан (свободно искать, получать, передавать, производить и распространять информацию любым законным способом —

ст. 29, ч. 4; на охрану личной тайны — ст. 24, ч. 1 и др.), так и обязанности государства (по обеспечению возможности ознаком­ления гражданина с документами и материалами, непосредствен­но затрагивающими его права и свободы, — ст. 24, ч. 2).

На законодательном уровне различают две группы мер: направ­ленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности; способствующие повышению об­разованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.

К первой группе следует отнести гл. 28 («Преступления в сфере компьютерной информации») разд. IX новой редакции Уголовно­го кодекса, в которой достаточно полно охарактеризованы основ­ные угрозы информационным системам. Однако до реализации соответствующих статей кодекса еще далеко.

Закон «Об информации, информатизации и защите информа­ции» также можно причислить к этой группе. Важнейшими эле­ментами лежащей в его основе концепции являются объявление информационных ресурсов объектом права собственности и вклю­чение их в состав имущества (ст. 6). В отношении этих объектов установлены:

■ основы правового режима информационных ресурсов (ст. 4);

■ состав государственных информационных ресурсов (ст. 7) и
порядок их формирования (ст. 8);

■ режимы доступа к информационным ресурсам (ст. 10) и по­
рядок их использования (ст. 12, 13);

■ порядок использования информации о гражданах (персо­
нальные данные) как части государственных информаци­
онных ресурсов (ст. 11, 14);

■ порядок сертификации информационных систем, техноло­
гий, средств их обеспечения и лицензирования деятельно­
сти по формированию и использованию информационных
ресурсов (ст. 19);

■ принципы защиты информации и прав субъектов в области
информатизации (ст. 20, 21, 22, 23 и 24).

Насколько можно судить по планам Государственной думы, в настоящее время готовятся законы «О праве на информацию», «О коммерческой тайне», «О персональных данных». Это, безус­ловно, шаги в правильном направлении, так как они позволяют государству охватить все категории субъектов информационных от­ношений.

20 - 4386

Ко второй группе — направляющих и координирующих зако­нов и нормативных актов — относится пакет документов, регла­ментирующих процессы лицензирования и сертификации в обла­сти информационной безопасности. Главная роль здесь отведена Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехко-миссии) при Президенте Российской Федерации.

В связи с этим стоит упомянуть Указ Президента РФ от 3 апре­ля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифроваль­ных средств, а также предоставления услуг в области шифрования информации». Данный указ вводит запрет на:

■ использование государственными организациями и предпри­
ятиями шифровальных средств, включая криптографичес­
кие средства обеспечения подлинности информации (элек­
тронная подпись), и защищенных технических средств хра­
нения, обработки и передачи информации, не имеющих
сертификата ФАПСИ, а также размещение государствен­
ных заказов на предприятиях, в организациях, использую­
щих указанные технические и шифровальные средства, не
имеющие сертификата ФАПСИ;

■ деятельность юридических и физических лиц, связанную с
разработкой, производством, реализацией и эксплуатацией
указанных технических и шифровальных средств и предос­
тавлением соответствующих услуг без лицензий, выданных
ФАПСИ;

■ ввоз на территорию РФ шифровальных средств иностранного
производства без лицензии Министерства внешних экономи­
ческих связей РФ, выданной по согласованию с ФАПСИ.

Указ Президента РФ от 6 марта 1997 г. № 188 определяет поня­тие и содержание конфиденциальной информации. Действия по защите информации от несанкционированного доступа регламен­тирует Указ Президента РФ от 8 мая 1993 г. № 664 «О защите ин­формационно-телекоммуникационных систем и баз данных от утеч­ки конфиденциальной информации по техническим каналам свя­зи», а также постановление Правительства РФ от 15 сентября 1993 г. № 912-51 «Положение о государственной системе защиты инфор­мации от иностранной технической разведки и от утечки по тех­ническим каналам».

В области информационной безопасности законы дополняются нормативными документами, подготовленными соответствующи-

ми ведомствами. Очень важны руководящие документы Гостех-комиссии, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем (ГОСТ 29339-92 «Информационная технология. Защита информа­ции от утечки за счет ПЭМИН* при ее обработке средствами вычислительной техники»; ГОСТ Р 50739-95 «СВТ. Защита от не­санкционированного доступа к информации»; ГОСТ Р 3410-94 «Про­цедуры выработки и проверки электронной подписи на базе асим­метрического криптографического алгоритма»; ГОСТ Р.В. 50170-92 «Противодействие иностранной технической разведке. Терми­ны и определения»). Особенно выделим утвержденный в июле 1997 г. руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защит­ных средств.

В мире глобальных сетей норматив­но-правовая база должна разраба­тываться с учетом международной практики. Российские стандарты и сертификационные нормативы еще не приведены в соответствие с международными информационными технологиями и уровнем информационной безопасности. Есть много причин, по которым это следует сделать в ближайшем будущем. Одна из них — необхо­димость защищенного взаимодействия с зарубежными организа­циями и зарубежными филиалами российских организаций. Вто­рая (более существенная) — доминирование аппаратно-программ­ных продуктов зарубежного производства.

Требует законодательного решения и вопрос об отношении к таким изделиям. Здесь выделяются два аспекта: независимость в области информационных технологий и информационная безопас­ность. Использование зарубежных продуктов в некоторых крити­чески важных системах (в первую очередь военных) в принципе может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встра­ивания закладных элементов. В большинстве случаев потенциаль­ные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использова­ния зарубежных разработок (ввиду сложностей их сертификации) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то ос­нований.

* ПЭМИН — побочные электромагнитные излучения и наводки.

20*

Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако она мо­жет быть успешно решена. Сложившаяся в Европе система серти­фикации по требованиям информационной безопасности позво­лила оценить операционные системы, системы управления база­ми данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в серти­фикационных испытаниях в состоянии снять противоречие между независимостью в области информационных технологий и инфор­мационной безопасностью без снижения уровня национальной без­опасности.

Главное же, чего не хватает современному российскому зако­нодательству (и что можно почерпнуть из зарубежного опыта), это позитивной направленности. Информационная безопасность — новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать. Необходимо осознать важность данной проблематики, понять основные пути решения соответ­ствующих задач, скоординировать научные, учебные и производ­ственные планы. Государство может сделать это оптимальным об­разом. Здесь не нужно больших материальных затрат, требуются лишь интеллектуальные вложения.

Пример позитивного законодательства — Британский стан­дарт BS 7799:1995, описывающий основные положения поли­тики безопасности. Более 60% крупных организаций использу­ют этот стандарт в своей практике, хотя закон этого не требует. Еще один пример — Computer Security Act (США), возлагаю­щий на конкретные государственные структуры ответственность за методическую поддержку работ в области информационной безопасности. Со времени вступления этого закона в силу (1988) действительно было разработано много важных и полезных до­кументов.

В заключение перечислим перспективные направления законо­дательной деятельности государства в области обеспечения инфор­мационной безопасности:

■ разработка новых законов с учетом интересов всех катего­
рий субъектов информационных отношений;

■ ориентация на созидательные, а не карательные законы;

■ интеграция в мировое правовое пространство;

■ учет современного состояния информационных технологий.

Опираясь на государственные пра­вовые акты и ведомственные ру­ководящие документы, отдельные организации (фирмы, предприя­тия) могут разрабатывать собственные нормативно-правовые до­кументы, ориентированные на обеспечение информационной бе­зопасности. К таким документам относятся:

■ положение о сохранении конфиденциальной информации;

■ перечень сведений, составляющих конфиденциальную ин­
формацию;

■ положение о специальном делопроизводстве и документоо­
бороте;

■ перечень сведений, разрешенных к опубликованию в откры­
той печати;

■ положение о работе с иностранными фирмами и их пред­
ставителями;

■ обязательство сотрудника о сохранении конфиденциальной
информации;

■ памятка сотруднику о сохранении коммерческой информа­
ции.

Основанием мер административного уровня, т.е. мер, предпри­нимаемых руководством организации, является политика безопас­ности— совокупность документированных управленческих реше­ний, направленных на защиту информации и ассоциированных с ней ресурсов. Она определяет стратегию организации в области информационной безопасности, а также меру внимания и то ко­личество ресурсов, которые руководство считает целесообраз­ным выделить для этих целей.

Работы по созданию комплексной системы информационной безопасности в организации включают в себя следующие этапы:

■ анализ состава и содержания конфиденциальной информа­
ции, циркулирующей на конкретном объекте защиты;

■ анализ ценности информации для организации с позиций
возможного ущерба от ее получения злоумышленниками
(конкурентами);

■ оценка уязвимости информации, доступности ее для средств
злоумышленника;

■ исследование действующей системы информационной бе­
зопасности в организации;

■ оценка затрат на разработку новой (или совершенствование
действующей) системы;

■ организация мер защиты информации;

■ закрепление персональной ответственности;

■ реализация новой технологии обеспечения информацион­
ной безопасности;

■ создание обстановки сознательного отношения к информа­
ционной безопасности;

■ контроль результатов разработки и прием в эксплуатацию
новой системы информационной безопасности².

Эти этапы можно считать типовыми для разработки системы защиты, так как они охватывают практически весь объем работ на организационном уровне.

Стандарт BS 7799:1995 рекомендует включать в документ, ха­рактеризующий политику безопасности организации, следующие разделы:

■ вводный, подтверждающий озабоченность высшего руковод­
ства проблемами информационной безопасности;

■ организационный, содержащий описание подразделений,
комиссий, групп и т.д., отвечающих за работы в области
информационной безопасности;

■ классификационный, описывающий материальные и ин­
формационные ресурсы и необходимый уровень их защиты
в организации;

■ штатный, характеризующий меры безопасности, применя­
емые к персоналу (описание должностей с точки зрения
информационной безопасности, организация обучения и
переподготовки персонала, порядок реагирования на
нарушения режима безопасности и т.п.);

■ освещающий вопросы физической защиты;

■ управляющий, описывающий подход к управлению компь­
ютерами и компьютерными сетями;

■ описывающий правила разграничения доступа к производ­
ственной информации;

■ характеризующий порядок разработки и сопровождения
систем;

■ описывающий меры, направленные на обеспечение непре­
рывной работы организации;

■ юридический, подтверждающий соответствие политики безо­
пасности действующему законодательству.

Разработка и осуществление политики безопасности строятся на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализи­рованы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безо­пасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения про­граммы и т.п.

Что касается российского общества, то на сегодняшний день административный уровень — это белое пятно в отечественной практике информационной безопасности. В нашей стране, по сути, нет законов, обязывающих организации иметь политику безопас­ности. Ни одно из ведомств, курирующих информационную безо­пасность, не предлагает типовых разработок в данной области. Мало кто из руководителей знает, что такое политика безопасности, еще меньшее число организаций такую политику имеет. В то же время без подобной основы прочие меры информационной безо­пасности повисают в воздухе, они не могут быть всеобъемлющи­ми, систематическими и эффективными. Например, меры защиты от внешних хакеров и от собственных обиженных сотрудников дол­жны быть совершенно разными, поэтому в первую очередь необ­ходимо определить, какие угрозы чреваты наибольшим ущербом. (По статистике, наибольший ущерб происходит от случайных оши­бок персонала, обусловленных неаккуратностью или некомпетент­ностью, поэтому в первую очередь важны не хитрые технические средства, а меры обучения, тренировка персонала и регламенти­рование его деятельности.)

Разрабатывая политику безопасности, следует учитывать спе­цифику конкретных организаций. Бессмысленно переносить прак­тику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. Для того чтобы¹ избежать подобной ситуации, целесооб­разно разработать, во-первых, основные принципы политики бе­зопасности, а во-вторых — готовые шаблоны для наиболее важных разновидностей организаций.

Анализ ситуации на административном уровне информацион­ной безопасности доказывает важность созидательного, а не кара­тельного законодательства. Можно потребовать от руководителей политики безопасности (и в перспективе это правильно), но сна­чала нужно разъяснить, научить, показать, для чего она нужна и как ее разрабатывать.

В отечественных организациях на­коплен богатый опыт составления и реализации процедурных (орга­низационных) мер безопасности,

т.е. мер, реализуемых людьми. Однако проблема состоит в том, что это меры из докомпьютерногопрошлого, и они поэтому нуждают­ся в существенном пересмотре.

На наш взгляд, целесообразно выделить следующие группы процедурных мер, направленных на обеспечение информацион­ной безопасности:

управление персоналом;

физическая защита;

поддержание работоспособности;

реагирование на нарушения режима безопасности;

планирование восстановительных работ.

Управление персоналом в контексте информационной безо­пасности является в России весьма неразработанным направлени­ем деятельности как в государственных, так и в корпоративных структурах. Во-первых, для каждой должности должны существо­вать квалификационные требования по информационной безопас­ности. Во-вторых, в должностные инструкции следует в обязатель­ном порядке включать разделы, касающиеся информационной бе­зопасности. В-третьих, каждому работнику необходимо освоить меры безопасности как в теории, так и на практике (причем по­добные тренировки желательно проводить не менее двух раз в год).

Государству и корпорациям в равной степени необходима соб­ственная система информационной (гражданской) обороны. Кро­ме того, нужно спокойно, без нагнетания страстей разъяснять на­селению не только преимущества, но и опасности использования современных информационных технологий. Причем акцент, на наш взгляд, следует делать не на военную или криминальную сторону вопроса, а на чисто гражданские аспекты, связанные с поддержа­нием нормального функционирования аппаратного и программ­ного обеспечения, т.е. на проблемы доступности и целостности данных. Разумеется, разделы, касающиеся информационной безо­пасности, должны стать частью школьных и тем более вузовских курсов информатики.

Меры физической защиты информации известны с давних вре­мен, но сегодня они нуждаются в доработке в связи с распрост-

i

ранением сетевых технологий и миниатюризацией вычислитель­ной техники. Прежде всего следует защититься от утечки инфор­мации по техническим каналам. Этим занимается Гостехкомиссия России.

Поддержание работоспособности компьютерных сетей — еще одно неразработанное направление, издержки невнимания к ко­торому стали видны сравнительно недавно. В эпоху господства боль­ших ЭВМ удалось создать инфраструктуру, способную обеспечить, по существу, любой заданный уровень работоспособности (дос­тупности) на всем протяжении жизненного цикла информацион­ной системы. Эта инфраструктура включала в себя как техничес­кие, так и процедурные регуляторы (обучение персонала и пользо­вателей, проведение работ в соответствии с апробированными регламентами и т.п.). При переходе к персональным компьютерам и технологии «клиент—сервер» инфраструктура обеспечения дос­тупности во многом оказалась утраченной, однако важность дан­ной проблемы не только не уменьшилась, но, напротив, существенно возросла. Перед государственными и коммерческими организация­ми стоит задача соединения упорядоченности и регламентирован­ности, присущих миру больших ЭВМ, с открытостью и гибкостью современных систем.

Еще одна проблема общенационального характера — реагиро­вание на нарушения информационной безопасности. Допустим, пользователь или системный администратор понял, что произош­ло нарушение. Что он должен делать? Попытаться проследить зло­умышленника? Немедленно выключить оборудование? Позвонить в милицию? Проконсультироваться со специалистами ФАПСИ или Гостехкомиссии? В настоящее время ни одно ведомство, в ведении которого находятся вопросы информационной безопасности, еще не предложило регламента действий в подобной экстремальной ситуации или своей консультационной помощи. Так что совершенно очевидно, что необходимо организовать национальный центр ин­формационной безопасности, в круг обязанностей которого вхо­дили бы, в частности, отслеживание состояния этой области зна­ний, информирование пользователей всех уровней о появлении новых угроз и мерах противодействия, оперативная помощь орга­низациям в случае нарушения их информационной безопасности.

Нуждается в дальнейшем совершенствовании и работа по пла­нированию восстановительных работ, т.е. все направления деятель­ности государственных и коммерческих организаций, связанные с восстановлением работоспособности организационных структур после аварий. Ведь ни одна организация от таких нарушений не

застрахована. Здесь необходимо отработать действия персонала во время и после аварий, заранее позаботиться об организации ре­зервных производственных площадок, предусмотреть процедуру пе­реноса на эти площадки основных информационных ресурсов, а также процедуру возвращения к нормальному режиму работы. По­добный план нужен не только сверхважным военным организаци­ям, но и обычным коммерческим компаниям, если они не хотят понести крупные финансовые потери.

В целом решение задачи комплексного обеспечения информа­ционной безопасности на процедурном и программно-техничес­ком уровнях предполагает выполнение следующих требований:

■ защита информации (с целью обеспечения ее конфиденци­
альности, целостности и достоверности) при ее хранении,
обработке и передаче по каналам связи;

■ подтверждение подлинности объектов данных и пользова­
телей (аутентификация сторон);

■ обнаружение и предупреждение нарушения целостности
объектов данных;

■ живучесть сети связи при компрометации части ключевой
информации;

■ защита технических средств и помещений, в которых ведет­
ся обработка конфиденциальной информации, от утечки ин­
формации по побочным каналам и от возможного внедре­
ния в технические средства устройств съема информации;

■ защита программных продуктов от внедрения программных
закладок и вирусов;

■ защита от несанкционированного доступа к информацион­
ным ресурсам и техническим средствам сети, в том числе и
к средствам ее управления, с целью предотвращения сни­
жения уровня защищенности информации и самой сети в
целом;

■ реализация организационно-технических мероприятий, на­
правленных на обеспечение сохранности и конфиденциаль­
ности данных.

Львиная доля активности в области информационной безопасности при­ходится на программно-технический уровень ее обеспечения. Зарубежные разработки в этой области содержат полный спектр решений. В на­шей стране картина, к сожалению, далеко не столь радужная.

Согласно современным воззрениям в рамках информационных систем должны быть доступны по крайней мере следующие меха­низмы безопасности:

■ идентификация и проверка подлинности (аутентификация)
пользователей;

управление доступом; протоколирование и аудит; криптография; межсетевое экранирование; обеспечение высокой доступности.

Кроме того, информационной системой в целом и механизма­ми безопасности в особенности необходимо управлять. И управле­ние, и механизмы безопасности должны функционировать в раз­нородной, распределенной среде, построенной, как правило, в архитектуре клиент—сервер, а следовательно:

■ опираться на общепринятые стандарты;

■ быть устойчивыми к сетевым угрозам;

■ учитывать специфику отдельных сервисов.

В соответствии с действующим в России порядком за иденти­фикацию (аутентификацию), управление доступом, протоколи­рование (аудит) отвечает Гостехкомиссия России, за криптогра­фию — ФАПСИ. Межсетевое экранирование является спорной тер­риторией, никто конкретно не занимается и доступностью.

На сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. Наиболее значи­мая информация концентрируется на иных, серверных платфор­мах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но в первую очередь существенно более продвинутые современные корпора­тивные системы. Пока для этого почти нет сертифицированных средств.

Рассмотрим типичную государственную организацию, имею­щую несколько производственных площадок, и на каждой — кри­тически важные серверы, в доступе к которым нуждаются работ­ники, базирующиеся на других площадках, и мобильные пользо­ватели. В число поддерживаемых информационных сервисов входят файловый и почтовый сервисы, системы управления базами дан­ных (СУБД), web-сервис и т.д. В локальных сетях и при межсете­вом доступе основным является протокол ТСРЛР.

Для построения эшелонированной обороны подобной инфор­мационной системы необходимы по крайней мере следующие за­щитные средства программно-технического уровня:

■ межсетевые экраны (разграничение межсетевого доступа);

■ средства поддержки частных виртуальных сетей (реализация
защищенных коммуникаций между производственными пло­
щадками по открытым каналам связи);

■ средства идентификации/аутентификации, поддерживающие
концепцию единого входа в сеть (пользователь один раз до­
казывает свою подлинность при входе в сеть организации,
после чего получает доступ ко всем имеющимся сервисам в
соответствии со своими полномочиями);

■ средства протоколирования и аудита, отслеживающие ак­
тивность на всех уровнях — от отдельных приложений до
сети организации в целом, и оперативно выявляющие по­
дозрительную активность;

■ комплекс средств централизованного администрирования
информационной системы организации;

■ средства защиты, входящие в состав приложений, сервисов
и аппаратно-программных платформ.

До недавнего времени из интересующего нас спектра продук­тов по требованиям безопасности для применения в госорганиза­циях были сертифицированы межсетевые экраны, операционные системы и реляционные СУБД. Даже если включить в этот пере­чень продукты, сертифицированные ФАПСИ для применения в коммерческих организациях (систему ШИП, поддерживающую вир­туальные частные сети, и средства криптографической защиты семейства «Верба»), большинство рубежей остается без защиты. Таким образом, государственной организации сегодня чрезвычай­но трудно получить современную информационную систему, за­щищенную сертифицированными средствами.

Коммерческие структуры, в отличие от госорганизаций, в оп­ределенной степени свободнее в своем выборе защитных средств. Тем не менее в силу ряда обстоятельств (необходимость взаимо­действия с госструктурами, расширительная трактовка понятия государственной тайны — «гостайна по совокупности», необходи­мость получения лицензии на эксплуатацию криптосредств, огра­ничения на их импорт) эта свобода не слишком велика. Практи­чески на все категории субъектов информационных отношений распространяются требования, рассчитанные на госструктуры.

По мере расширения использования Интернета и других открытых тех­нологических решений в качестве транспортной сети передачи данных

особую значимость приобретает вопрос обеспечения конфиден­циальности, целостности и достоверности передаваемой инфор­мации.

Проблема защиты информации путем преобразования, ис­ключающего ее прочтение посторонним лицом, волновала че­ловеческий ум с давних времен. История криптографии — ро­весница истории человеческого языка. Первоначально письмен­ность сама была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии — тому примеры. С широким распространением письменности криптография стала форми­роваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей пере­писке использовал более или менее систематический шифр, получивший его имя.

Бурное развитие криптографические системы получили в годы Первой и Второй мировых войн. Появление в послевоенное время вычислительных средств ускорило разработку и совершенствова­ние криптографических методов, которые продолжаются и по нынешний день.

Почему проблема использования криптографических методов в информационных системах (ИС) сегодня особо актуальна? С одной стороны, расширилось использование компьютерных се­тей, по которым передаются большие объемы информации госу­дарственного, военного, коммерческого и частного характера, не допускающего возможности доступа к ней посторонних лиц. С дру­гой — появление новых мощных компьютеров, технологий сете­вых и нейронных вычислений сделало возможным дискредитацию криптографических систем, еще недавно считавшихся нераскры-ваемыми.

Проблемой защиты информации путем ее преобразования за­нимается криптология{kryptos— тайный, logos— наука).Она разде­ляется на два направления — криптографию и криптоанализ. Цели этих направлений прямо противоположны.

т

Криптографиязанимается поиском и исследованием матема­тических методов преобразования информации. Сфера интересов криптоанализа— исследование возможности расшифровывания информации без знания ключей.

Современная криптография включа­ет в себя четыре крупных раздела:

■ симметричные криптосистемы;

■ криптосистемы с открытым ключом;

■ системы электронной подписи;

■ управление ключами.

Криптографические методы используются для передачи кон­фиденциальной информации по каналам связи (например, элект­ронная почта), установления подлинности передаваемых сообще­ний, хранения информации (документов, баз данных) на носите­лях в зашифрованном виде.

Итак, криптография дает возможность преобразовать инфор­мацию таким образом, что ее прочтение (восстановление) воз­можно только при знании ключа — шифра. Под шифрованиемпри­нято понимать преобразовательный процесс: исходный текст, который носит также название открытого текста,заменяется шиф­рованным текстом. Дешифрование— обратный шифрованию про­цесс, преобразование текста в исходный. Он осуществляется с по­мощью ключа— информации, необходимой для беспрепятствен­ного шифрования и дешифрования текстов. Электронной (цифровой) подписьюназывается присоединяемое к тексту его крипто­графическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

Содержание терминов распределение ключейи управление клю­чами— составление и распределение ключей между пользовате­лями.

Криптостойкостьюназывается характеристика шифра, опреде­ляющая его стойкость к дешифрованию без знания ключа (т.е. крипто­анализу). Имеется несколько показателей криптостойкости, глав­ные из которых:

■ количество всех возможных ключей;

■ среднее время, необходимое для криптоанализа.

Процесс криптографического закрытия данных может осуще­ствляться как программно, так и аппаратно. Аппаратная реализа-

ция отличается существенно большей стоимостью, однако у нее есть и преимущества: высокая производительность, простота, за­щищенность и т.д. Программная реализация более практична, до­пускает известную гибкость в использовании.

Криптографические методы применимы к любому носителю информации: можно пересылать дискеты по почте, шифровать го­лос при телефонном разговоре, а также видеоизображение.

Криптосистемы разделяются на симметричные и с открытым ключом.

В симметричных криптосистемахи для шифрования, и для де­шифрования используется один и тот же ключ. Достоинством этих алгоритмов (DES, GOST, BlowFish, IDEA, RC5) является то, что они хорошо изучены, в том числе теоретически обоснована их крип-тостойкость. По сравнению с «асимметричными» алгоритмами от­носительно проста как программная, так и аппаратная реализация, выше скорость работы в прямом и в обратном направлениях, а так­же обеспечен необходимый уровень защиты при использовании су­щественно более коротких ключей. Основные недостатки — необхо­димость дополнительных мер секретности при распространении клю­чей, а также то, что алгоритмы с секретным ключом работают только в условиях полного доверия корреспондентов друг к другу, так как не позволяют реализовать настоящую «цифровую подпись».

В системах с открытым ключом(RSA, PGP, ECC) используют­ся два ключа — открытыйи закрытый,которые математически свя­заны друг с другом. Информация шифруется с помощью открыто­го ключа, который доступен всем желающим, а расшифровывает­ся с помощью закрытого ключа, известного только получателю сообщения. Открытые ключи публикуются для того, чтобы каж­дый мог зашифровать сообщение или проверить цифровую под­пись; расшифровать же такое сообщение или поставить подпись может только тот, кто знает второй — секретный — ключ. Такие алгоритмы по сравнению с «симметричными» более требователь­ны к вычислительным ресурсам, их реализация и использование обходятся дороже, а криптостойкость на сегодняшний день обо­снована хуже. Но они работают там, где «классические» крипто-схемы неприменимы: позволяют реализовывать различные хитро­умные протоколы, такие как цифровая подпись, открытое рас­пределение ключей и надежная аутентификация в сети, устойчивая даже к полному перехвату трафика.

За последние двадцать лет отношения между традиционной и асимметричной криптографией развивались очень драматично. С появлением асимметричной криптографии возникла определен-

ная эйфория — была организована Криптографическая ассоциа­ция (Международная ассоциация криптологических исследований, www.iacr.org), строились перспективные теоретические модели. Но когда эти идеи стали реализовывать уже в конкретных системах, выявилась не менее сложная, чем в симметричной криптографии, проблема.

В традиционных системах существовала внекриптографическая проблема — нахождение сверхнадежного канала для обмена клю­чами. Асимметричное решение выглядело многообещающе: не ну­жен скрытый обмен ключами, гарантией надежности шифра слу­жат алгоритмическая неразрешимость и экспоненциально расту­щая вычислительная сложность определенных математических задач, связанных со взломом ключа. Однако слабое место асиммет­ричной криптографии именно в том, что она может рухнуть из-за какого-то неожиданного прорыва в математике.

В «классической» криптографии таких проблем нет. Некоторые ее шифры доведены до стандарта, например, американская система DES. Есть и соответствующий российский стандарт СКЗД. Стойкость этих шифров подтверждается безрезультатными попытками вскрыть их всеми известными способами. А шифры с открытым ключом дер­жатся на вере в такие вещи, как трудность разложения числа на множители. Существует немало алгоритмов такого типа, опублико­ванных за последние 10—15 лет, которые взламывались через два месяца после публикации. С симметричными этого не происходит еще и потому, что опубликованы только стандарты. На сегодняшний день, спустя 20 лет, перспективы развития этих двух направлений асимметричной криптографии оцениваются как 50 : 50.

В сфере компьютерной безопасности важнейшим условием ус­пеха остается четкое выполнение пользователями всех правил бе­зопасности при работе на компьютере. Обычно пользователи этим пренебрегают, поскольку строгое следование всем правилам тре­бует сил, времени, аккуратности, а для шифрования сообщений — дополнительных усилий. Кстати, одно из требований при разра­ботке криптографических средств: у пользователя не должно воз­никать желания их отключить. Наиболее ярко сложность реализа­ции этого требования проявилась в последние годы при разработ­ке хороших цифровых подписей для банковских приложений. Использование качественных систем подписи может существенно замедлять обработку документов. Это отдельная серьезная пробле­ма для криптографии.

При проектировании комплексной системы информационной безопасности на уровне организации и предприятия следует учи­тывать ряд организационных моментов:

21 - 4386

безопасность системы шифрования зависит от соблюдения режима секретности используемых ключей, поэтому необ­ходимо уделить особое внимание порядку безопасной гене­рации и администрирования ключей шифрования и обуче­нию пользователей этим приемам. Ключи шифрования счи­таются критической информацией, и доступ к ним должен быть ограничен кругом сотрудников, которому он требуется в силу их обязанностей; зашифрованные данные могут быть навсегда потеряны при утере или искажении ключа. Так как шифрование обычно используется для защиты важной ин­формации, утрата ключа может привести к значительным потерям. Все средства шифрования должны обеспечивать доступность ключей для руководства организации. При этом необходимо использовать утвержденную в организации тех­нологию восстановления ключа;

шифрование с отсутствием такой возможности может осу­ществляться только с письменного разрешения ответственно­го лица; секретные ключи пользователей должны храниться так же, как и пароли доступа. О любом подозрении на ком­прометацию секретного ключа пользователь должен немед­ленно доложить в службу безопасности; от порядка применения шифрования зависит способность руководства организации контролировать внутренние кана­лы связи и аудировать свои информационные системы (при­менение отдельными сотрудниками несертифицированных шифров не позволяет системным администраторам произ­водить аудит отдельных сообщений и файлов). Если органи­зации требуется подобный контроль, политика безопаснос­ти в обязательном порядке предполагает использование си­стем шифрования, поддерживающих восстановление ключей; существует большое число алгоритмов шифрования и стан­дартов длин ключей. Для соблюдения безопасности необхо­димо использовать алгоритмы, которые на практике пока­зали свою надежность. Длина ключей шифрования должна определяться на основе важности шифруемых данных. Как правило, ключи, короче чем 40 бит, используются только в корпоративной сети, защищенной брандмауэром. В Ин­тернете ведущие криптографы рекомендуют использовать ключи длиной не менее 75 бит. Стандарт DES использует 56 бит, но это приемлемо только на 1 —2 года. Пока же реко­мендуется тройной DES, имеющий эффективную длину ключа 112 бит.

I

J

При построении систем информационной безопасности необ­ходимо руководствоваться следующим принципом: затраты на со­здание систем защиты не должны превышать величину гипотети­чески предполагаемого ущерба.

Актуальные проблемы Отдельные проблемы, связанные

применения криптографических _с разработкой и применением тех-
методов защиты информации ., ,

нологии криптозащиты информа­ции, имеют достаточно острый политический характер.

Так, неприятной особенностью некоторых криптографических систем оказалось наличие люков — универсальных паролей, свое­го рода отмычек, дающих доступ к информации без знания истин­ного ключа. В большинстве случаев люки — всего лишь особен­ность конкретной реализации, результат либо ошибки, либо зло­намеренности разработчиков программного продукта. Существуют влиятельные структуры, заинтересованные в доступе к зашифро­ванной информации через «черный ход» (black door). К их числу относятся правоохранительные органы и службы государственной безопасности.

Сегодня многие страны открыто (США) или завуалированно (Франция, Россия) проводят такую политику. Российское законо­дательство предполагает использование только «сертифицирован­ных» криптосистем. Широкое распространение в мировой практи­ке приобрело также законодательное ограничение длины ключа, закрепляющее легальное существование только искусственно «ос­лабленных» криптосистем. Главным ограничителем остается жест­кая политика в области экспорта криптотехнологий американско­го правительства, которое стремится ограничить свободный экс­порт криптографии не только из США, но и из других стран мира, оказывая порой политическое давление на иностранные прави­тельства и компании-производители.

Доводы в пользу либерализации криптографии сулят стимули­рование использования сети Интернет и расширение глобальной электронной торговли, резкое увеличение степени доверия пользо­вателей к безопасности онлайновых транзакций. Против «сильного крипто» категорически выступают спецслужбы, военные и право­охранительные органы ведущих стран мира.

Широкий общественный резонанс приобрела проводимая в течение последних 5 лет кампания по внедрению в сознание по­тенциальных пользователей необходимости применения так назы­ваемой доверительной технологии (или технологии «доверенного

третьего лица»), суть которой в том, что копии всех шифровальных ключей хранятся в специальных «доверенных» агентствах и могут быть доступны правоохранительным органам при необходимости.

Прямые или завуалированные требования предоставления со­ответствующим структурам «черного хода» к любой существую­щей и разрабатываемой криптосистеме значительно усилились после событий 11 сентября 2001 г. Уже во второй половине того злопо­лучного дня эксперт по вопросам национальной безопасности Дж. Данниган в интервью американской телекомпании NBC зая­вил, что ответственность за совершенные теракты следует возло­жить в том числе и на «PGP и интернет-криптование».

В июне 2001 г. защитники гражданских свобод праздновали де­сятилетие со дня рождения первой версии PGP (Pretty Good Privacy) — программы, которая впервые позволила пользователям Интернета кодировать файлы и электронные сообщения с помо­щью криптографических алгоритмов. Автор программы — Ф. Цим­мерман, будучи активистом антиядерного движения, создал в 1991 г. PGP 1.0, чтобы обеспечить безопасность общения между всеми членами этого движения. Уже через несколько дней после ее со­здания программа появилась на интернет-серверах далеко за пре­делами США. Следствие по делу Циммермана, обвиненного в не­легальном экспорте средств криптозащиты, продолжалось пять лет и было закрыто департаментом юстиции США. Теперь PGP абсо­лютно свободно можно загрузить с сайта pgp.com, а его автор раз­рабатывает новые версии своего продукты и схемы шифрования телефонных переговоров.

256-битовый код PGP существенно осложняет жизнь пра­воохранительных органов и спецслужб. Так, файлы Рамзи Юзе-фа, человека, ответственного за первую попытку взрыва во Всемирном торговом центре в 1993 г., ФБР смогло прочесть только спустя годы, и то благодаря использованию правитель­ственных суперкомпьютеров.

Альтернативная технология криптозащиты, вызывающая не меньшую головную боль у спецслужб, называется стеганографией. Суть ее в том, что секретные сообщения вкладываются в другие, открытые послания. Не будучи осведомленным заранее, посторон­ний наблюдатель, увидев такое сообщение, вряд ли заподозрит что-то неладное. Обычно зашифрованное послание «вшивается» в файлы, содержащие музыку, видео или графические изображения. Широкодоступные пользователям интернет-программы White Noise Storm, S-Tools, Steghide и т.д. «зашивают» информацию в самые ма­лозначительные биты цифровых файлов. Расшифровать такое со-

общение можно, разумеется, только имея специальный ключ-код, поэтому передают их открыто, например, размещают на общедо­ступных развлекательных, информационных и прочих сайтах. Сре­ди нескольких миллиардов сайтов и десятков миллиардов изобра­жений, наполняющих сетевое пространство, несложно спрятать несколько битов информации, а работа служб безопасности при этом превращается в поиск иголки в стоге сена. Впрочем, не сле­дует недооценивать возможностей спецслужб, активно разрабаты­вающих различные способы выявления и дешифрования данных, защищенных подобными общедоступными средствами.

В России сегодня идет процесс формирования рынка техноло­гий и услуг, связанных с криптозащитой. Растет спрос на квали­фицированных специалистов среди коммерческих и государствен­ных структур. Официально утверждены две специальности: 013200 (криптография) и 220600 (организация и технология защиты ин­формации). Для того чтобы вести обучение по каждой из них, нужна лицензия Минобразования, которая выдается после аттестации учебно-методическим объединением (УМО) по информационной безопасности. Лицензию на подготовку специалистов по крипто­графии имеет только ИКСИ (Институт криптографии, связи и информатики Академии ФСБ, http://www.fssr.ru). К числу учебных заведений, которые уже несколько лет готовят студентов по защи­те информации, относятся МИФИ (факультет информационной безопасности), РГГУ (факультет защиты информации). За после­дние два года к ним подключились МИЭМ и МИРЭА. Еще не­сколько вузов России получили лицензии.

В МГУ организуется новое подразделение «Учебно-научный центр по проблемам информационной безопасности». В его со­ставе — Высшие курсы переподготовки и повышения квали­фикации по информационной безопасности. Предполагается, что после юридического оформления и получения лицензии эти курсы будут заниматься переподготовкой дипломирован­ных специалистов, т.е. давать второе высшее образование в об­ласти информационной безопасности. В первую очередь они предназначены для людей, работавших в близких областях, в частности, для военнослужащих, увольняемых из вооружен­ных сил, офицеров войск связи, например.

Факультет защиты информации в МГУ открывать не пред­полагается. Но по вопросам, связанным с этой тематикой, чи­таются спецкурсы на механико-математическом факультете по четырем кафедрам: дискретной математики, теории чисел, мате­матической логики, математической теории интеллектуальных систем.

Сегодня руководство многих факультетов и вузов активно до­бивается получения лицензии на преподавание информацион­ной безопасности. С каждым днем появляются новые области при­менения криптографии, и специалисты остро необходимы.

Вопросы для обсуждения

1. Все согласны с тем, что проникновение и незаконное использова­
ние чужой собственности противозаконно и аморально, и трудно сегодня
найти человека, симпатизирующего квартирному вору или автоугонщику.
Почему в таком случае фигуры хакера и компьютерного пирата окружены
ореолом романтики и сочувствия? Есть ли у хакерства идеологический
«мессадж»?

2. Почему спецслужбы испытывают проблемы в противостоянии сете­
вым формам активности политических акторов?

3. Известно, что причинами нарушений информационной безопасно­
сти в организациях чаще оказываются некомпетентность, безответствен­
ность и злонамеренность собственных сотрудников, нежели действия вне­
шних злоумышленников. Представьте себя в роли руководителя. Какие меры
вы бы предприняли для того, чтобы снизить связанные с этим риски?

4. Организуйте симуляционную игру по методу «на следующий день»:
в качестве руководителей государственных ведомств, отвечающих за бе­
зопасность и стабильность в городе, вы сталкиваетесь с угрозами «кибер-
террористов» парализовать жизнь в многомиллионном мегаполисе. Какой
комплекс мер следовало бы реализовать в такой ситуации, на какие объекты
обратить особое внимание?

5. Самый верный способ обезопасить себя от угроз информационной
безопасности — вынуть штепсель компьютера из розетки (или не иметь
его вообще). Некоторые радикальные режимы (например, афганские та­
либы) полагают, что таким образом можно обеспечить «безопасность»
народов и государств. Почему такой вариант сегодня является тупиковым?
Обречено ли современное общество сосуществовать с угрозами безопас­
ности в новую информационную эпоху?

Рекомендуемая литература

Доктрина информационной безопасности РФ. Утверждена Президентом Российской Федерации В. Путиным 9 сентября 2000 г.

Колобов, О. А., В. Н. Ясенев. Информационная безопасность и антитеррори­стическая деятельность современного государства. Н. Новгород, 2001.

Ярочкин В. И. Информационная безопасность. М., 2000.

Hundley, Richard and Robert H. Anderson. «Emerging Challenge: Security And Safety In Cyberspace», in: In Athen's Camp: Preparing for Conflict in the Information Age. RAND, 1997.

«Networks, Netwar, and Information-Age Terrorism» John Arquilla, David Ronfeldt, and Michele Zanini, in: Countering the New Terrorism. RAND, 1999.

Примечания