СКЗИ: что это, какие бывают и для чего применяются

• Проблемы защиты информации
• Что такое СКЗИ и его принцип работы
• Основные методы криптографической защиты информации
• Классы СКЗИ
• Где и для чего применяется криптографическая защита
• Виды СКЗИ для электронной подписи
• Ограничения при использовании СКЗИ
• Виды криптографических атак
• Как компании защитить криптографическую информацию

Проблемы защиты информации

Угрозы защиты информации (ЗИ) можно условно поделить на три вида: перехват, модификация и подмена авторства. Эти угрозы возникают из-за того, что информация передается по открытой сети через множество узлов, и злоумышленники могут получить к ней доступ. Если это произошло, нужно сделать так, чтобы киберпреступник не смог воспользоваться похищенными данными. Для этого и применяют СКЗИ.

Что такое СКЗИ и его принцип работы

СКЗИ (аббревиатура — средства криптографической защиты информации) позволяет сделать похищенную информацию недоступной для злоумышленника. Это совокупность программных и технических решений для шифрования, кодирования (иного преобразования) информации таким образом, что ее содержимое становится недоступным без ключа криптограммы и обратного преобразования.

Принцип работы СКЗИ прост — информация кодируется по определенным правилам и отправляется адресату. Получатель использует аналогичный набор правил для расшифровки. Таким образом содержимое сообщения получает защиту от злоумышленников, даже если будет перехвачено. Без знания использованных алгоритмов получить содержимое сообщения очень сложно.

Основные методы криптографической защиты информации

Выделяют два метода обратимого преобразования данных: симметричный и асимметричный.

В симметричном методе применяется один ключ для шифрования и расшифровки информации.

Преимущество — легко внедрить в программный код для автоматического кодирования. Недостатки — требуется постоянное обновление ключей. Если злоумышленник получит ключи, защита станет неэффективной.

В асимметричном методе ключи для шифрования и расшифровки разные. Адресат и отправитель используют приватный и публичный ключи. Публичный ключ передается по открытому каналу связи. Данные кодируются с помощью открытого ключа, а декодируются приватным. Метод более эффективен, чем предыдущий.

Единственный недостаток — необходимость защиты приватного ключа от кражи.

Классы СКЗИ

Приказ ФСБ России от 10.07.2014 №N 378 устанавливает основные классы СКЗИ:

• КС1 — защита от внешних угроз, например атак хакеров. Базовый уровень.
• КС2 — защита от внутренних угроз, например, когда сотрудник неправомерно пытается получить данные, относящиеся к корпоративной тайне.
• КС3 — защита от утечки критически -важных сведений: персональных данных,; государственной или коммерческой тайны.
• КВ — защита от злоумышленников, хорошо осведомленных об уязвимостях средств защиты организации.
• КА — защита от хакеров, сотрудников и других потенциальных нарушителей, которые осведомлены обо всех возможностях СКЗИ и информационной системы, даже тех, что не задекларированы.

В приказе также описаны основные отличия классов и критерии выбора класса при использовании СКЗИ в организации.

Важно!

Класс СКЗИ показывает способность технического средства к противодействию атакам. Необходимый уровень защиты системы и отсутствие претензий к организации со стороны ФСБ обеспечиваются правильным выбором класса СКЗИ.

Где и для чего применяется криптографическая защита

Криптографические средства защиты информации применяются для:

• шифрования данных — это процесс защиты данных от несанкционированного доступа через их преобразование;
• аутентификации — проверка подлинности;
• цифровой подписи — для подтверждения авторства документа;
• протоколов безопасности SSL/TLS — способ безопасной передачи данных через открытые каналы связи.

Виды СКЗИ для электронной подписи

Электронная подпись (ЭП) — это специальная информация о документе, позволяющая определить его владельца и наличие (либо отсутствие) внесения в документ изменений после подписания. Существует два вида СКЗИ для ЭП: программное — когда программа установлена отдельно, и аппаратное – программа встроена в устройство. К первому виду относятся КриптоПро, VipNet, ко второму — Рутокен, JaCArta SE.

Ограничения при использовании СКЗИ

У нас в стране правовой составляющей информационной безопасности (ИБ) занимается ФСБ России. Ведомство разработало типовые требования, они описаны в ФЗ № 149-ФЗ от 27.07.2006.

Также есть и другие нормативно-правовые акты, которые устанавливают правила использования СКЗИ: ФЗ № 126-ФЗ «О связи», ППРФ № 313 «О лицензировании деятельности по использованию шифровальных (криптографических) средств», ППРФ № 188 «О классификации информации».
Вся используемая продукция (ПО и технические средства) по защите сведений обязательно должна пройти сертификацию.

За границей регулирование ИБ основывается на системе стандартов. Например, в США стандарты разрабатываются под каждый штат, с учетом единых требований. А в КНР требования прописаны на законодательном уровне. Причем основанием для наказания в зарубежных компанияхй чаще всего является факт несоблюдения стандартов, а не утечка информации.

Виды криптографических атак

Информация о криптографических методах и средствах не является закрытой, поэтому, изучив ее и выполнив определенные условия, злоумышленник может взломать криптографическую систему. Как это может произойти? Допустим, злоумышленник перехватил зашифрованные данные. Он может попытаться разгадать ключ для расшифровки методом перебора или подстановки по словарю.

Еще один пример — атака на основе известного текста — когда криптоаналитик, зная часть текста из сообщения (догадался или знает типовое содержание подобных сообщений), пытается подобрать ключ к шифру. Он   сопоставляет пары: исходный текст — зашифрованный текст.

И, конечно же, нельзя забывать про человеческий фактор. Если у злоумышленника есть знакомые среди работников организации, на которую он совершает атаку, они могут передать информацию для расшифровки данных.

Методы криптографической защиты разрабатывались с учетом сложности получения исходных данных, но развитие технологий и человеческий фактор оставляют шанс злоумышленнику добраться до ценной информации.

Как компании защитить криптографическую информацию

Современные средства защиты информации эффективны с технологической точки зрения, но в компаниях по-прежнему работают люди, а человеческий фактор часто становиться причиной нарушения ЗИ. Для того чтобы минимизировать количество случаев, связанных с нарушением ЗИ, необходимо регулярно обучать сотрудников правилам безопасности, исследовать случаи нарушения работоспособности системы и попытки проникновения, использовать средства шифрования информации. Организовать ЗИ на высоком уровне поможет специализированное ПО.

Staffcop Enterprise — это комплекс сертифицированных решений: система может контролировать действия пользователей, информационные потоки и события.

Возможности Staffcop Enterprise:

• Сводим к минимуму риск хищения и потери информации, а также угрозы, связанные с дистанционной работой.
• Следим за дисциплиной сотрудников, прогнозируем угрозу опасных и мошеннических действий сотрудников.
• Контролируем периферийное оборудование и ПО.
• Система способна быстро расследовать инциденты и собирать доказательства, которые можно использовать в суде.

Мы предоставляем 15 дней на бесплатное тестирование. Оцените полный функционал Staffcop Enterprise прямо сейчас.