Практическое применение средств криптографической защиты в информационных системах

1.2 Практическое применение средств криптографической защиты в информационных системах

В последнее время широкое распространение начинают получать системы электронной торговли, включая платежные системы (коммунальные платежи, услуги провайдеров, заказы продукции и т.д.), а также системы обмена электронными юридически значимыми документами (предоставление финансовой отчетности, налоговые декларации, заключение договоров и т.д.) при взаимодействиях между гражданами, фирмами, муниципальными и государственными органами. Вместе с тем, по мере развития технической информационной базы повышается и уязвимость информационного пространства. При этом на одно из первых мест встают вопросы обеспечения информационной безопасности при использовании открытых каналов передачи данных. Главной причиной этого является массовое использование для обработки информации средств вычислительной техники с программным обеспечением, позволяющим сравнительно легко модифицировать, копировать и разрушать обрабатываемую информацию, а также легкость доступа в современные открытые информационно-телекоммуникационные системы. Данное обстоятельство привело к тому, что в последнее время во всем мире, и в России в частности, резко растет число преступлений, связанных с применением компьютерной техники. Информационное пространство России включает в себя федеральный и региональный компоненты. Причем эти компоненты должны быть взаимосвязаны самым тесным образом и построены зачастую с использованием одинаковых или аналогичных технических средств. Отсюда с очевидностью следует, и об этом четко сказано в Доктрине информационной безопасности Российской Федерации, что задача обеспечения информационной безопасности этих компонентов может быть эффективно решена в рамках единой государственной политики, как на федеральном, так и на региональном уровнях.

Законодательством Российской Федерации, как и во многих передовых развитых странах, регулирование деятельности в области защиты информации отнесено к компетенции федеральных органов, среди которых можно выделить Гостехкомиссию и ФСБ России. В соответствии с проведенными в 2003г. мероприятиями по совершенствованию государственного управления в области безопасности Российской Федерации, регулирование деятельности в области защиты информации криптографическими методами отнесено к ведению ФСБ России (ранее эту функцию выполняло ФАПСИ). Названными выше организациями определяется порядок разработки и использования средств защиты информации, разрабатываются требования к средствам защиты в зависимости от важности защищаемой информации, сертифицируются разработанные средства защиты, выдаются лицензии на право разработки, производства и эксплуатации средств защиты. Принимая во внимание тот факт, что гражданам необходимы гарантии сохранения тайны их частной жизни, неприкосновенность имущества при осуществлении документированных операций с ним (например, операций с банковскими вкладами), а также возможность получать достоверную информацию из государственных органов, применяемые технические средства защиты информации должны иметь достаточно высокие характеристики по надежности защиты информации. Применение криптографических методов и средств защиты информации при современном уровне развития криптографии и электронных технологий является, как правило, экономически более предпочтительным по сравнению с другими мерами защиты. Точнее, применение криптографических методов в комплексе с другими мерами является в ряде случаев обязательным условием надежной защиты перспективных информационно-телекоммуникационных технологий.

К настоящему времени отечественными предприятиями-разработчиками создан достаточно широкий спектр средств криптографической защиты информации, позволяющий обеспечивать защиту многих современных технологий обработки информации. Эти средства обеспечивают возможность защиты информации, обрабатываемой под управлением различных операционных систем и передаваемой по всевозможным каналам связи в соответствии с различными протоколами. ФСБ и ФСО сертифицировано 87 криптографических средств, предназначенных для защиты конфиденциальной информации. Необходимо отметить, что у нас в стране уже давно действует стандарт на криптографический алгоритм шифрования ГОСТ-28147, а также разработан и в 2001 году введен в действие новый стандарт ЭЦП ГОСТ Р 34.10-2001, по своим криптографическим свойствам не уступающий лучшим зарубежным стандартам. В 2004 году разработан межгосударственный стандарт ЭЦП стран СНГ ГОСТ 34.310-2004, который призван обеспечить защиту подлинности информации при организации защищенного документооборота с организациями и фирмами стран СНГ. К настоящему времени у нас в стране только ФСБ и ФАПСИ лицензировало порядка 300 организаций, которым дано право на разработку и производство средств криптографической защиты. Выдано 3500 лицензий на право распространения и эксплуатации криптографических средств защиты. При этом указанные лицензии получили организации, осуществляющие свою деятельность во всех экономически развитых регионах, и география лицензиатов охватывает всю территорию Российской Федерации. Одним из важных аспектов обеспечения возможности организации информационного взаимодействия регионов на всех уровнях (внутрирегиональный, межрегиональный, связь регионов с Центром и т.п.) является проблема подключения к сети Internet в так называемом информационно безопасном варианте. Необходимо отметить, что 12 мая 2004 года Президент Российской Федерации подписал Указ № 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена». В соответствии с этим Указом субъектам международного информационного обмена в Российской Федерации запрещается включение в состав средств международного информационного обмена, в том числе и в сеть «Интернет», информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, либо служебная информация ограниченного распространения, а также запрещается подключать системы, для которых установлены особые правила доступа к информационным ресурсам. В качестве примера можно привести то обстоятельство, что в настоящее время создан и успешно функционирует Центр мониторинга, который обеспечивает оперативное обнаружение и установку источника компьютерных атак и вирусных заражений, направленных на информационные ресурсы органов государственной власти, включая и атаки, поступающие из сети Интернет. В 2003 году только на сайт Президента Российской Федерации было осуществлено около 100 тысяч компьютерных атак. Всего же количество зарегистрированных атак на Интернет - представительства органов государственной власти Российской Федерации только в 2003 году превысило величину 730 тысяч. Все компьютерные атаки были успешно нейтрализованы средствами защиты сайтов, разработанными специалистами Центра.

ГЛАВА 2. ЗАКОНОДАТЕЛЬНАЯ БАЗА ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ