Информационная безопасность предприятия

Интерес к исследованиям по адаптации  алгоритмов к различным аппаратным и программным платформам вызван созданием кроссплатформных телекоммуникационных систем на базе единых стандартов на алгоритмы. Один и тот же алгоритм должен эффективно выполняться на самых различных аппаратных и программных платформах от мобильного телефона до маршрутизатора, от смарт-карты до настольного компьютера.

Существующие  средства защиты данных в телекоммуникационных сетях можно разделить на две  группы по принципу построения ключевой системы и системы аутентификации. К первой группе отнесем средства, использующие для построения ключевой системы и системы аутентификации симметричные криптоалгоритмы, ко второй - асимметричные.

Проведем  сравнительный анализ этих систем. Готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается  и тем самым преобразуется  в шифрограмму, т. е. в закрытые текст или графическое изображение документа. В таком виде сообщение передается по каналу связи, даже и не защищенному. Санкционированный пользователь после получения сообщения дешифрует его (т. е. раскрывает) посредством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям.

Методу  преобразования в криптографической  системе соответствует использование  специального алгоритма. Действие такого алгоритма запускается уникальным числом (последовательностью бит), обычно называемым шифрующим ключом. Для  большинства систем схема генератора ключа может представлять собой  набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все это вместе, но в любом  случае процесс шифрования (дешифрования) реализуется только этим специальным  ключом. Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю, необходимо знать  правильную ключевую установку и  хранить ее в тайне.

Стойкость любой системы закрытой связи  определяется степенью секретности  используемого в ней ключа. Тем  не менее, этот ключ должен быть известен другим пользователям сети, чтобы  они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы  также помогают решить проблему аутентификации (установления подлинности) принятой информации. Взломщик в случае перехвата сообщения  будет иметь дело только с зашифрованным  текстом, а истинный получатель, принимая сообщения, закрытые известным ему  и отправителю ключом, будет надежно  защищен от возможной дезинформации.

Кроме того, существует возможность шифрования информации и более простым способом — с использованием генератора псевдослучайных  чисел. Использование генератора псевдослучайных  чисел заключается в генерации  гаммы шифра с помощью генератора псевдослучайных чисел при определенном ключе и наложении полученной гаммы на открытые данные обратимым  способом. Этот метод криптографической  защиты реализуется достаточно легко  и обеспечивает довольно высокую  скорость шифрования, однако недостаточно стоек к дешифрованию.

Для классической криптографии характерно использование  одной секретной единицы —  ключа, который позволяет отправителю  зашифровать сообщение, а получателю расшифровать его. В случае шифрования данных, хранимых на магнитных или  иных носителях информации, ключ позволяет  зашифровать информацию при записи на носитель и расшифровать при чтении с него.

Из  изложенного следует, что надежная криптографическая система должна удовлетворять ряду определенных требований[7].

• Процедуры  зашифровывания и расшифровывания  должны быть «прозрачны» для пользователя.

• Дешифрование закрытой информации должно быть максимально  затруднено.

• Содержание передаваемой информации не должно сказываться  на эффективности криптографического алгоритма.

Наиболее  перспективными системами криптографической  защиты данных сегодня считаются  асимметричные криптосистемы, называемые также системами с открытым ключом. Их суть состоит в том, что ключ, используемый для зашифровывания, отличен  от ключа расшифровывания. При этом ключ зашифровывания не секретен и  может быть известен всем пользователям  системы. Однако расшифровывание с  помощью известного ключа зашифровывания невозможно. Для расшифровывания  используется специальный, секретный  ключ. Знание открытого ключа не позволяет определить ключ секретный. Таким образом, расшифровать сообщение  может только его получатель, владеющий  этим секретным ключом.

Специалисты считают, что системы с открытым ключом больше подходят для шифрования передаваемых данных, чем для защиты данных, хранимых на носителях информации.

Одной из важных социально-этических проблем, порождённых всё более расширяющимся  применением методов криптографической  защиты информации, является противоречие между желанием пользователей защитить свою информацию и передачу сообщений  и желанием специальных государственных  служб иметь возможность доступа  к информации некоторых других организаций  и отдельных лиц с целью  пресечения незаконной деятельности.

В развитых странах наблюдается широкий  спектр мнений о подходах к вопросу о регламентации использования алгоритмов шифрования. Высказываются предложения от полного запрета широкого применения криптографических методов до полной свободы их использования. Некоторые предложения относятся к разрешению использования только ослабленных алгоритмов или к установлению порядка обязательной регистрации ключей шифрования. Чрезвычайно трудно найти оптимальное решение  этой проблемы.

Как оценить  соотношение потерь законопослушных  граждан и организаций от незаконного  использования их информации и убытков  государства от невозможности получения  доступа к зашифрованной информации отдельных групп, скрывающих свою незаконную деятельность? Как можно гарантированно не допустить незаконное использование  криптоалгоритмов лицами, которые нарушают и другие законы?

Кроме того, всегда существуют способы скрытого хранения и передачи информации. Эти  вопросы ещё предстоит решать социологам, психологам, юристам и  политикам.

Криптография  предоставляет возможность обеспечить безопасность информации в INTERNET и сейчас активно ведутся работы по внедрению необходимых криптографических механизмов в эту сеть. Не отказ от прогресса в информатизации, а использование современных достижений криптографии – вот стратегически правильное решение. Возможность широкого использования глобальных информационных сетей и криптографии является достижением и признаком демократического общества. 

2.3. Нетрадиционные методы  защиты информации

Потребности современной практической информатики  привели к возникновению нетрадиционных задач защиты электронной информации, одной из которых является аутентификация электронной информации в условиях, когда обменивающиеся информацией  стороны не доверяют друг другу. Эта  проблема связана с созданием  систем электронной цифровой подписи.

В отечественной  литературе прижились три термина  для определения одного понятия: электронная подпись; электронно-цифровая подпись (ЭЦП); цифровая подпись. Последний  вариант является прямым переводом  английского словосочетания digital signature. Термин «цифровая подпись» более удобен и точен.

Федеральные органы государственной власти, органы государственной  власти субъектов Российской Федерации, органы местного самоуправления,   а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций.

Содержание  документа на бумажном носителе, заверенного  печатью и преобразованного в  электронный документ, в соответствии с нормативными  правовыми актами или соглашением сторон может заверяться электронной цифровой подписью уполномоченного лица.

В случаях, установленных законами и иными  нормативными правовыми актами Российской Федерации или соглашением сторон, электронная цифровая подпись в  электронном документе, сертификат которой содержит необходимые при  осуществлении данных отношений  сведения о правомочиях его владельца, признается равнозначной собственноручной подписи лица в документе на бумажном носителе, заверенном печатью.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для  защиты данного электронного документа  от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа  электронной цифровой подписи и  позволяющий идентифицировать владельца  сертификата ключа подписи, а  также установить отсутствие искажения  информации в электронном документе.[8]

Электронная цифровая подпись представляет собой  последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭЦП добавляется  к блоку данных и позволяет  получателю блока проверить источник и целостность данных и защититься от подделки. ЭЦП используется в  качестве аналога собственноручной подписи[9].

Электронная цифровая подпись в электронном  документе равнозначна  собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

- сертификат  ключа подписи, относящийся к  этой электронной цифровой подписи,  не утратил силу (действует) на  момент проверки или на момент  подписания электронного документа  при  наличии доказательств, определяющих момент подписания. Сертификат ключа  подписи  - это документ на бумажном носителе или электронный  документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для  подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

- подтверждена  подлинность электронной цифровой  подписи в электронном документе.  Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия  искажений в подписанном данной электронной цифровой подписью электронном документе;

- электронная  цифровая подпись используется  в соответствии со сведениями, указанными в сертификате ключа  подписи.

ЭЦП, как и другие реквизиты документа, выполняющие удостоверительную  функцию (собственноручная подпись, печать и др.), является средством, обеспечивающим конфиденциальность информации.

Механизм  выполнения собственноручной (физической) подписи непосредственно обусловлен психофизиологическими характеристиками организма человека, в силу чего эта подпись неразрывно связана с биологической личностью подписывающего. Собственноручная подпись позволяет установить (идентифицировать) конкретного человека по признакам почерка.

ЭЦП, являясь криптографическим средством, не может рассматриваться в качестве свойства, присущего непосредственно  владельцу ЭЦП как биологической  личности. Между ЭЦП и человеком, ее поставившим  существует взаимосвязь не биологического, а социального характера. Возникновение, существование и прекращение данной связи обусловлено совокупностью различных правовых, организационных и технических факторов.

Отождествление  человека по собственноручной подписи  и подтверждение на этой основе подлинности  документа, которой он заверен, достигается  путем проведения судебно-почерковедческой экспертизы, решающей данную идентификационную  задачу.

Определение подлинности ЭЦП  свидетельствует только о знании лицом, ее поставившим, закрытого ключа ЭЦП. Для того чтобы установить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо выяснить помимо подлинности ЭЦП и указанные выше факторы.

Задача  установления факта удостоверения  электронного документа ЭЦП владельцем сертификата ключа подписи решается в результате процессуальной деятельности по доказыванию в ходе судебного  разбирательства.

3. Информационная БЕЗОПАСНОСТЬ  ПРЕДПРИЯТИЯ

3.1. Концепция информационной безопасности предприятия

Отличительным признаком коммерческой деятельности является соизмерение затрат и результатов  работы, стремление к получению максимальной прибыли. Кроме того, одной из отличительных  особенностей коммерческой деятельности является то, что она осуществляется в условиях жесткой конкуренции, соперничества, борьбы предприятий  за получение выгод и преимуществ  по сравнению с предприятиями  аналогичного профиля.

Конкурентная  борьба это спутник и движитель  коммерческой деятельности, а также  условие выживания коммерческих предприятий. Отсюда их стремление сохранить  в секрете от конкурента приемы и  особенности своей деятельности, которые обеспечивают им преимущество над конкурентом. Отсюда и стремление конкурентов выявить эти секреты, чтобы использовать их в своих  интересах для получения превосходства  в конкурентной борьбе. Несанкционированное  получение, использование (разглашение) таких секретов без согласия их владельцев отнесены к одной из форм недобросовестной конкуренции, называемой промышленным шпионажем.

Защищаемые  секреты коммерческой деятельности получили название коммерческой тайны. Под коммерческой тайной предприятия  понимаются не являющиеся государственными секретами сведения, связанные с  производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка), которых может нанести ущерб его интересам.

В Гражданском  кодексе РФ изложены основания отнесения  информации к коммерческой тайне: информация составляет коммерческую тайну в  случае, когда она имеет действительную или потенциальную ценность в  силу неизвестности ее третьим лицам, к ней нет доступа на законном основании и обладатель (носитель) информации принимает меры к охране ее конфиденциальности.