Что такое криптографическая защита. Механизмы защиты информации

совокупность форм повседневного поведения человека (в труде, в быту, в общении с др. людьми), в к-рых находят внешнее выражение моральные и эстетические нормы этого поведения. Если нравственные нормы определяют содержание поступков, предписывают, что именно люди должны делать, то и, раскрывает, каким конкретно образом осуществляются в поведении требования нравственности, каков внешний облик поведения человека, в какой мере органично, естественно и непринужденно эти нормы слились с его образом жизни, стали повседневными жизненными правилами. Напр., требование уважения к людям применительно к повседневному поведению выражается в правилах вежливости, деликатности, в такте, предупредительности, в умении беречь чужое время и т. п. Верность принятым на себя обязательствам с т. зр. К. п. означает аккуратность в выполнении обещаний и возвращении позаимствованного, своевременность и точность в осуществлении договоренности и др. Честность по форме своего проявления совпадает с прямотой, искренностью. В широком плане в понятие К. п. входят все области внешней и внутренней культуры человека: этикет, правила обхождения с людьми и поведения в общественных местах; культура быта, включающая характер личных потребностей и интересов, взаимоотношения людей вне работы (Быта нравственность), организация личного времени, гигиена, эстетические вкусы в выборе предметов потребления (умение одеваться, украсить жилище); эстетические свойства присущей человеку мимики и пантомимики, выражений лица и телодвижений (грация). Особо выделяют культуру речи, умение грамотно, ясно и красиво выражать свои мысли, не прибегая к вульгарным выражениям. В известном смысле к К. п. можно отнести культуру труда, способность правильно организовать рабочее время и место, найти целесообразные приемы и Операции для достижения максимально полезных результатов и получения высокого качества производимой продукции. В марксистской этике и педагогике К. п. рассматривается как органическое единство этического и эстетического в духовном и внешнем облике человека. Попытки противопоставить эти два понятия являются пережитком представлений, связанных с классовым об-вом, где манера вести себя, одеваться и обладание изысканным эстетическим вкусом служили внешним признаком принадлежности к «высшему кругу», в то же время внешняя культура часто не соответствовала внутреннему облику человека. Вежливость и вообще соблюдение определенного этикета в об-ве, основанном на принципах эгоизма, часто скрывали за собой взаимное равнодушие и отчужденность, безразличное или даже пренебрежительное и враждебное отношение к людям. Поэтому этикет, принимая в осн. характер чисто внешнего ритуала, не основывался на действительно гуманном отношении к людям. Такое формальное понимание К. п. совершенно чуждо социалистическому об-ву, в к-ром она рассматривается как общепринятая форма внешнего выражения подлинной человечности, Здесь К. п. того или иного человека в известной мере характеризует его духовный и морально-эстетический облик, показывает, насколько глубоко и органично он усвоил культурное достояние человечества, сделал его своим собственным достоянием (Нравственная культура личности).

В цивилизованном обществе предполагается знание правил этикета и поэтому их соблюдение необходимо. Эти нормы и правила складывались на протяжении длительного времени в процессе совместной жизни и дея­тельности многих поколений. Их основу составляет многовековая мудрость, которая передавалась от старшего поколения младшему. Сегодня перед российским обществом выдвигаются новые требования к личности, ее мо­рали, поведению и поступкам. В этой связи большое значение приобрета­ют профессиональная этика и деловая культура. Ведь там, где деловые отношения строятся на основе взаимопомощи, взаимоуважения и внима­ния к каждому человеку, велика гарантия успеха и надежности. Деловой этикет - важная составляющая деловых отношений, это внешнее прояв­ление внутренней морали и культуры человека.

Вопросы и задания

1. Дает ли этика ответ на вопрос: «Что мы должны делать, чтобы совер­шать нравственные поступки»? Ответ поясните.

а) да; б) нет.

2. Кем был впервые введен термин «этика»:

а) Цицероном;

б) Архимедом;

в) Аристотелем;

г) Сократом?

3. Важнейшими категориями этики являются: «добро», «зло», «спра­ведливость», «благо», «долг», «совесть» и т.п. А что означает термин «ка­тегория»? (Ответ на данный вопрос найдите в философском словаре или учебнике по философии.)

4. Из предложенных определений выберите те, которые по смыслу под­ходят к понятиям:

а) «этика»;

б) «нравственность»;

в) «мораль».

А. Устоявшиеся в обществе принципы, нормы, правила поведения.

Б. Осмысление ценности не только самого себя, но и других.

В. Наука, изучающая нравственность.

5. Сформулируйте «золотое» правило нравственности и объясните, почему его назвали «золотым»?

6. Потребность вести себя нравственно выступает в виде таких поня­тий, как «долг», «совесть», «честь», «достоинство». Какие понятия прояв­ляются в следующих ситуациях:

а) коммерсант заботится о своем добром имени, авторитете коллек­тива, престиже своей профессии;

б) грубость коллеги по работе вызывает у членов коллектива чувство стыда перед клиентами не меньше, чем собственная вина.

7. В каких правилах и нормах раскрывается принцип добросовестного отношения к труду?

8. Согласны ли вы с утверждением: «Совесть - моральное осознание человеком своих действий»? Ответ поясните на примере.

а) да; б) нет.

9. Как можно сформулировать «золотое» правило этики общения в от­ношении руководителя к подчиненному и наоборот - подчиненного к руководителю?

10. Докажите правоту (или неправоту) высказывания специалистов ве­дущих фирм, считающих, что знание этикета и культуры поведения яв­ляется важным условием успешной работы в любой организации.

11. К профессиональному поведению предъявляются нравственные кри­терии: «вежливость», «тактичность», «деликатность», «доброжелатель­ность».

Какие нравственные критерии проявились в следующих ситуациях:

а) женщина в возрасте, полной комплекции выбирает себе джинсы для отдыха. Продавец осторожно, чтобы не обидеть, порекомендовал ей купить красивый спортивный костюм, рассказав о его преимуществах перед джинсами. Покупательница согласилась и купила спортивный костюм;

б) в сберегательном банке к «окошку» оплаты за коммунальные услу­ги подходит очень раздраженный посетитель, не сумевший разобраться в заполнении квитанции нового образца. Кассир сберегательного банка го­ворит: «Не волнуйтесь, сейчас я вам все объясню»?

12. Как вы понимаете высказывание М.Сервантеса: «Ничего не стоит так дешево и не ценится так дорого, как вежливость»?

13. Этикет- это:

а) наука о морали;

б) манера поведения;

в) общая культура.

14. Нормами этикета являются:

а) упорство, настойчивость;

б) принципиальность, беспрекословность;

в) вежливость, тактичность.

15. На нормах морали основаны традиции, обычаи, привычки. Дайте оп­ределение этим понятиям (для этого воспользуйтесь словарями, например словарем русского языка или Российским энциклопедическим словарем).

Объясните, почему важно знать традиции и обычаи.

16. Есть ли разница между деловым и бытовым этикетом?

17. Предупредительность - это:

а) галантность по отношению к дамам;

б) подобострастность;

в) умение оказать небольшую услугу;

г) льстивость;

д) приветливость по отношению к старшему;

е) умение вовремя сгладить неловкость.

18. Укажите правильный ответ. Соблюдение чувства меры в разговоре - это:

а) вежливость;

б) дипломатичность;

в) тактичность;

г) предупредительность;

д) все ответы верны;

е) все ответы неверны.

19. Какие профессиональные моральные нормы нарушены в следую­щих примерах:

а) «Что же вы, дедушка, дожили до старости, а считать не научи­лись?!» - сказала кассир сберегательного банка клиенту;

б) «Я не желаю слушать ваши возражения. Мне нет дела до того, что Вы дома обнаружили дефект на рукаве. Была примерка, надо лучше смот­реть на готовое изделие, а не собой в зеркале любоваться» (из монолога приемщицы трикотажного ателье).

20. Являются ли «скромность» и «застенчивость» синонимами? Ответ поясните.

21. Вежливость предполагает приветствие. Как надо поздороваться, ока­завшись первый раз в незнакомом коллективе?

22. Чего нельзя делать во время приветствия?

23. Из предложенных вариантов выберите правильные. Кто и кого пер­вым должен приветствовать в следующих парах: старший-младший, жен­щина-мужчина, начальник-подчиненный, пожилой мужчина-девушка?

24. Инициатором рукопожатия в большинстве случаев должны быть:

а) женщины;

б) мужчины;

в) младшие по возрасту;

г) младшие по положению (подчиненный).

25. Прокомментируйте высказывание Саади: «Умен ты или глуп, ве­лик ты или мал, не знаем мы, пока ты слова не сказал».

26. Хороший вкус - это:

а) стиль;

б) элегантность;

27. Из приведенных примеров выберите те, которые соответствуют этическим запретам на некоторые ответы и вопросы в процессе телефон­ного разговора.

а) «Алло, это кто?»

б) «Петрова сейчас нет. Чем я могу вам помочь?»

в) «Иванова нет на месте, не знаю, где он!»

г) «Лады, договорились. Пока»

д) «Куда я попала?»

е) «Иванова сейчас нет. Будет в 14.30. Может быть, ему что-нибудь передать?»

28. При завершении разговора первым кладет трубку тот, кто позвонил. А как поступить мужчине, который позвонил женщине?

29. Почему деловую переписку называют общением в миниатюре?

30. При обмене визитными карточками получивший сразу же убрал ее в кейс. Какие правила этикета он нарушил?

31. Отличаются ли визитные карточки женщин от визитных карточек мужчин? Выберите правильный ответ:

а) отличаются по размеру;

б) не отличаются;

в) отличаются по цвету;

г) отличаются за счет «украшательств».

32. Укажите правильный ответ. Деловой протокол - это:

а) осознание добросовестного исполнения сотрудниками своих обя­занностей;

б) свод правил в деловых и служебных отношениях;

в) правила, регламентирующие порядок встреч и проводов, проведе­ние бесед и переговоров, организацию приемов и деловой переписки;

г) все ответы верны;

д) все ответы неверны.

33. Укажите, какие позиции делового взаимодействия соответствуют нравственным критериям:

а) современный коммерсант при совершении сделки должен быть убеж­ден, что честь превыше прибыли;

б) не доверяй никому и уважай себя;

в) нужно быть внимательным и вежливым в общении, корректным с окружающими (коллегами, начальством и клиентами, партнерами по общению), уметь щадить самолюбие собеседников;

г) принципом деловых отношений должна быть только конкуренция (противоборство);

д) следует быть тактичным в общении, т.е. предоставлять возможность партнеру выйти из затруднений с честью и достоинством, не потеряв своего «лица»;

е) всегда нужно ориентироваться на конечную цель (например, полу­чение прибыли, заключение крупного контракта). Следовательно, цель оправдывает средства.

34. Какие «заповеди», сформулированные Дж.Ягер, относятся к дело­вому этикету.

а) делайте все вовремя;

б) громко не смейтесь;

в) сдерживайте свое раздражение;

г) не болтайте лишнего;

д) будьте любезны, доброжелательны и приветливы;

е) думайте о других, а не только о себе;

ж) не будьте неряшливы;

з) одевайтесь как положено;

и) говорите и пишите хорошим языком?

35. Знакомство с организацией (фирмой) начинается с интерьера по­мещения. Относится ли интерьер рабочего помещения к области делового этикета?

а) да; б) нет.

36. Укажите, какие позиции при проведении деловой беседы необхо­димо учитывать:

а) этические нормы и правила;

б) помещение не должно препятствовать установлению атмосферы доверия;

в) начальная фаза беседы задает тон всей дальнейшей беседы;

г) все позиции верны;

д) все позиции неверны.

37. Укажите правильный ответ. Атмосфера доброжелательности во вре­мя деловой беседы зависит от:

а) пунктуальности;

б) правильного выбора места проведения беседы;

в) интерьера помещения;

г) установления контакта с партнером;

д) первых фраз во время беседы;

е) использование обращения по имени;

ж) все ответы верны;

з) все ответы неверны.

38. Опишите последовательность приготовления бутерброда.

39. Груши и яблоки едят:

а) с помощью ножа, разрезая плод на несколько частей;

б) откусывают от целого плода;

в) вначале очищают от кожуры, а затем откусывают от целого плода.

40. Укажите правильный ответ. Ножом принято чистить:

а) мандарины;

б) апельсины;

в) все ответы верны;

г) все ответы неверны.

41. Куски сахара из сахарницы берут:

а) руками;

б) щипчиками;

в) чайной ложкой.

42. Салфетку за столом принято:

а) повязывать вокруг шеи;

б) засовывать за воротник;

в) раскладывать на груди;

г) класть на колени.

43. По завершении трапезы вилку и нож следует положить:

а) параллельно друг другу на тарелку ручками вправо;

б) по обе стороны тарелки;

в) на тарелку крест-накрест.

44. Хлеб с общей тарелки берут:

а) руками;

б) вилкой, которую держат в правой руке;

в) вилкой, которую держат в левой руке;

г) специальной вилкой, лежащей на общей тарелке с хлебом.

45. Почему подарок может многое рассказать о его дарителе?

46. Что главное в подарке:

б) искренность;

в) намек;

г) желание доставить радость?

Ответы

Этика - наука о морали (нравственности). Мораль дает человеку воз­можность оценивать поступки окружающих людей, понять себя и осмыс­лить, правильно ли он живет, как надо жить, к чему необходимо стре­миться.

Термин «этика» впервые употребил Аристотель для обозначения прак­тической философии, которая должна дать ответ на вопрос: «Что мы дол­жны делать, чтобы совершать нравственные поступки?»

3. Категория (греч. - высказывание, свидетельство) - форма осозна­ния в понятиях всеобщих способов отношения человека к миру, отража­ющие наиболее общие и существенные свойства, законы природы, об­щества и мышления (Философский словарь / Под ред. И.Т.Фролова. - М, 1991).

5. «Золотое» правило нравственности: «Поступай по отношению к другим так, как ты хотел бы, чтобы они поступали по отношению к тебе».

«Золотым» оно стало именоваться потому, что ему придавалось очень большое значение и оно прочно укрепилось в общественном сознании. Например, русская пословица гласит: «Чего в другом не любишь, того сам не делай».

6. а) честь; б) совесть.

7. Добросовестное отношение к труду раскрывается в нормах и прави­лах: любовь к избранной профессии, стремление к совершенствованию мастерства, соблюдение дисциплины труда, аккуратность в выполнении своих обязанностей, бережное отношение к орудиям труда, желание по­делиться секретами своего труда (наставничество) и т. п.

9. В отношении руководителя к подчиненному: «Относитесь к своему подчиненному так, как вы хотели бы, чтобы к вам относился руководи­тель».

В отношении подчиненного к своему начальству: «Относитесь к свое­му руководителю так, как вы хотели бы, чтобы к вам относились ваши подчиненные» (Психология и этика делового общения: Учебник для ву­зов / Под ред. В. Н.Лавриненко. - М., 1997).

10. Знание этикета - необходимое профессиональное качество, кото­рое постоянно совершенствуется.

Культура поведения - часть делового этикета. Она рассматривает поступки и формы общения людей, которые основаны на нравствен­ности, соблюдении определенных норм, правил и на эстетическом вкусе.

Не зная правил хорошего тона, можно попасть в нелепую ситуацию, дискредитировать себя и фирму.

11. а) тактичность; б) вежливость.

12. Истинная вежливость может быть только доброжелательной, благо­желательной. 13.6).

15. Ожегов С. И, Словарь русского языка. - М., 1988.

Обычай - с. 355;

Привычка - с. 477;

Традиция - с. 658.

Придерживаясь традиций, можно избежать многих конфликтов, недо­понимания. Важно знать традиции и обычаи той страны, куда человек едет в командировку или на отдых, учитывать их в дружеском общении, в деловых межличностных контактах.

16. Деловой этикет по сравнению с бытовым более официален, поэто­му деловая вежливость не приемлет длительных благодарностей и извине­ний.

17. а), в), д), е).

19. а) тактичность; б) корректность.

20. Скромность - способность личности сдерживать себя в обнаружении своих достоинств. Застенчивый - стыдливо-робкий в обращении, в поведе­нии, смущающийся (Ожегов СИ. Словарь русского языка. - М., 1988).

Следовательно, скромность не является синонимом застенчивости.

21. Входя в кабинет (комнату), следует приветствовать находящихся там людей, даже если вы не знакомы с ними.

22. Во время приветствия нельзя держать во рту сигарету, жевать, дер­жать руку в кармане.

23. Первым здоровается младший; мужчина с женщиной; подчинен­ный с начальником; девушка с пожилым мужчиной.

25. Сказанные слова демонстрируют уровень культуры, являются ин­дикатором воспитанности.

27. а), в), г), д).

28. Мужчина, позвонивший женщине, ждет, когда она первой поло­жит трубку.

29. Деловая переписка способствует установлению взаимосвязей с по­требителями, с различными службами. Деловая переписка так же, как и деловое общение, должна быть грамотной, корректной, основанной на соблюдении этических принципов.

30. Получивший визитную карточку должен прочитать ее, поблагода­рить и потом убрать.

33. а), в), д).

34. а), г), д), е), з), и).

38. Чтобы приготовить бутерброд, масло общим ножом перекладывают на край своей тарелки, а затем своим ножом намазывают на хлеб. Колба­су, ломтики рыбы или мяса кладут на бутерброд вилкой.

45. Подарок - это зеркало, в котором отражаются черты характера человека.

Криптографическая защита информации - защита информации с помощью ее криптографического преобразования.

Криптографические методы в настоящее время являются базовыми для обеспечения надежной аутентификации сторон информационного обмена, защиты.

К средствам криптографической защиты информации (СКЗИ) относятся аппаратные, программно-аппаратные и программные средства, реализующие криптографические алгоритмы преобразования информации с целью:

Защиты информации при ее обработке, хранении и передаче;

Обеспечения достоверности и целостности информации (в том числе с использованием алгоритмов цифровой подписи) при ее обработке, хранении и передаче;

Выработки информации, используемой для идентификации и аутентификации субъектов, пользователей и устройств;

Выработки информации, используемой для защиты аутентифицирующих элементов защищенной АС при их выработке, хранении, обработке и передаче.

Криптографические методы предусматривают шифрование и кодирование информации . Различают два основных метода шифрования: симметричный и асимметричный. В первом из них один и тот же ключ (хранящийся в секрете) используется и для зашифрования, и для расшифрования данных.

Разработаны весьма эффективные (быстрые и надежные) методы симметричного шифрования. Существует и национальный стандарт на подобные методы - ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

В асимметричных методах используются два ключа. Один из них, несекретный (он может публиковаться вместе с другими открытыми сведениями о пользователе), применяется для шифрования, другой (секретный, известный только получателю) - для расшифрования. Самым популярным из асимметричных является метод RSA, основанный на операциях с большими (100-значными) простыми числами и их произведениями.

Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов (таких как поток сообщений); определять подлинность источника данных; гарантировать невозможность отказаться от совершенных действий ("неотказуемость").

В основе криптографического контроля целостности лежат два понятия:

Электронная подпись (ЭП).

Хэш-функция - это труднообратимое преобразование данных (односторонняя функция), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.

Криптография как средство защиты (закрытия) информации приобретает все более важное значение в коммерческой деятельности.

Для преобразования информации используются различные шифровальные средства: средства шифрования документов, в том числе и портативного исполнения, средства шифрования речи (телефонных и радиопереговоров), средства шифрова-ния телеграфных сообщений и передачи данных.

Для защиты коммерческой тайны на международном и отечественном рынке предлагаются различные технические устройства и комплекты профессиональной аппаратуры шифрова-ния и криптозащиты телефонных и радиопереговоров, деловой переписки и пр.

Широкое распространение получили скремблеры и маскираторы, заменяющие речевой сигнал цифровой передачей данных. Производятся средства защиты те-летайпов, телексов и факсов. Для этих целей использу-ются шифраторы, выполняемые в виде отдельных уст-ройств, в виде приставок к аппаратам или встраивае-мые в конструкцию телефонов, факс-модемов и других аппаратов связи (радиостанции и другие). Для обеспечения достоверности передаваемых электронных сообщений широко применяется электронная цифровая подпись.

Термин «криптография» происходит от древнегреческих слов «скрытый» и «пишу». Словосочетание выражает основное назначение криптографии – это защита и сохранение тайны переданной информации. Защита информации может происходить различными способами. Например, путем ограничения физического доступа к данным, скрытия канала передачи, создания физических трудностей подключения к линиям связи и т. д.

Цель криптографии В отличие от традиционных способов тайнописи, криптография предполагает полную доступность канала передачи для злоумышленников и обеспечивает конфиденциальность и подлинность информации с помощью алгоритмов шифрования, делающих информацию недоступной для постороннего прочтения. Современная система криптографической защиты информации (СКЗИ) – это программно-аппаратный компьютерный комплекс, обеспечивающий защиту информации по следующим основным параметрам.

+ Конфиденциальность – невозможность прочтения информации лицами, не имеющими соответствующих прав доступа. Главным компонентом обеспечения конфиденциальности в СКЗИ является ключ (key), представляющий собой уникальную буквенно-числовую комбинацию для доступа пользователя в определенный блок СКЗИ.

+ Целостность – невозможность несанкционированных изменений, таких как редактирование и удаление информации. Для этого к исходной информации добавляется избыточность в виде проверочной комбинации, вычисляемой по криптографическому алгоритму и зависящая от ключа. Таким образом, без знания ключа добавление или изменение информации становится невозможным.

+ Аутентификация – подтверждение подлинности информации и сторон, ее отправляющих и получающих. Передаваемая по каналам связи информация должна быть однозначно аутентифицирована по содержанию, времени создания и передачи, источнику и получателю. Следует помнить, что источником угроз может быть не только злоумышленник, но и стороны, участвующие в обмене информацией при недостаточном взаимном доверии. Для предотвращения подобных ситуации СКЗИ использует систему меток времени для невозможности повторной или обратной отсылки информации и изменения порядка ее следования.

+ Авторство – подтверждение и невозможность отказа от действий, совершенных пользователем информации. Самым распространенным способом подтверждения подлинности является электронная цифровая подпись (ЭЦП). Система ЭЦП состоит из двух алгоритмов: для создания подписи и для ее проверки. При интенсивной работе с ЭКЦ рекомендуется использование программных удостоверяющих центров для создания и управления подписями. Такие центры могут быть реализованы как полностью независимое от внутренней структуры средство СКЗИ. Что это означает для организации? Это означает, что все операции с электронными подписями обрабатываются независимыми сертифицированными организациями и подделка авторства практически невозможна.

На текущий момент среди СКЗИ преобладают открытые алгоритмы шифрования с использованием симметричных и асимметричных ключей с длиной, достаточной для обеспечения нужной криптографической сложности. Наиболее распространенные алгоритмы:

симметричные ключи – российский Р-28147.89, AES, DES, RC4;
асимметричные ключи – RSA;
с использованием хеш-функций - Р-34.11.94, MD4/5/6, SHA-1/2. 80

Многие страны имеют свои национальные стандарты алгоритмов шифрования. В США используется модифицированный алгоритм AES с ключом длиной 128-256 бит, а в РФ алгоритм электронных подписей Р-34.10.2001 и блочный криптографический алгоритм Р-28147.89 с 256-битным ключом. Некоторые элементы национальных криптографических систем запрещены для экспорта за пределы страны, деятельность по разработке СКЗИ требует лицензирования.

Cистемы аппаратной криптозащиты

Аппаратные СКЗИ - это физические устройства, содержащие в себе программное обеспечение для шифрования, записи и передачи информации. Аппараты шифрации могут быть выполнены в виде персональных устройств, таких как USB-шифраторы ruToken и флеш-диски IronKey, плат расширения для персональных компьютеров, специализированных сетевых коммутаторов и маршрутизаторов, на основе которых возможно построение полностью защищенных компьютерных сетей.

Аппаратные СКЗИ быстро устанавливаются и работают с высокой скоростью. Недостатки – высокая, по сравнению с программными и программно-аппаратными СКЗИ, стоимость и ограниченные возможности модернизации. Также к аппаратным можно отнести блоки СКЗИ, встроенные в различные устройства регистрации и передачи данных, где требуется шифрование и ограничение доступа к информации. К таким устройствам относятся автомобильные тахометры, фиксирующие параметры автотранспорта, некоторые типы медицинского оборудования и т.д. Для полноценной работы таким систем требуется отдельная активация СКЗИ модуля специалистами поставщика.

Системы программной криптозащиты

Программные СКЗИ - это специальный программный комплекс для шифрования данных на носителях информации (жесткие и флеш-диски, карты памяти, CD/DVD) и при передаче через Интернет (электронные письма, файлы во вложениях, защищенные чаты и т.д.). Программ существует достаточно много, в т. ч. бесплатных, например, DiskCryptor. К программным СКЗИ можно также отнести защищенные виртуальные сети обмена информацией, работающие «поверх Интернет»(VPN), расширение Интернет протокола HTTP с поддержкой шифрования HTTPS и SSL – криптографический протокол передачи информации, широко использующийся в системах IP-телефонии и интернет-приложениях.
Программные СКЗИ в основном используются в сети Интернет, на домашних компьютерах и в других сферах, где требования к функциональности и стойкости системы не очень высоки. Или как в случае с Интернетом, когда приходится одновременно создавать множество разнообразных защищенных соединений.

Программно-аппаратная криптозащита

Сочетает в себе лучшие качества аппаратных и программных систем СКЗИ. Это самый надежный и функциональный способ создания защищенных систем и сетей передачи данных. Поддерживаются все варианты идентификации пользователей, как аппаратные (USB-накопитель или смарт-карта), так и «традиционные» - логин и пароль. Программно-аппаратные СКЗИ поддерживают все современные алгоритмы шифрования, обладают большим набором функций по созданию защищенного документооборота на основе ЭЦП, всеми требуемыми государственными сертификатами. Установка СКЗИ производится квалифицированным персоналом разработчика.

Post Views: 296

С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.

А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот .

В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.

Термины и определения

В начале статьи, дабы не пугать неподготовленного читателя сложными определениями, мы широко использовали термины криптографический ключ или криптоключ, теперь настало время усовершенствовать наш понятийный аппарат и привести его в соответствие действующему законодательству. Это очень важный шаг, поскольку он позволит эффективно структурировать информацию, полученную по результатам аудита.

1. Криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (определение из «розовой инструкции – Приказа ФАПСИ № 152 от от 13 июня 2001 г. , далее по тексту – ФАПСИ 152).
2. Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока [ФАПСИ 152].
   Понять принципиальное отличие между криптоключем и ключевой информации можно на следующем примере. При организации HTTPS, генерируются ключевая пара открытый и закрытый ключ, а из открытого ключа и дополнительной информации получается сертификат. Так вот, в данной схеме совокупность сертификата и закрытого ключа образуют ключевую информацию, а каждый из них по отдельности является криптоключом. Тут можно руководствоваться следующим простым правилом – конечные пользователи при работе с СКЗИ используют ключевую информацию, а криптоключи обычно используют СКЗИ внутри себя. В тоже время важно понимать, что ключевая информация может состоять из одного криптоключа.
3. Ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах. (определение из Постановления Правительства № 313 от от 16 апреля 2012 г. , далее по тексту – ПП-313)
   Простым языком, ключевой документ - это ключевая информация, записанная на носителе. При анализе ключевой информации и ключевых документов следует выделить, что эксплуатируется (то есть используется для криптографических преобразований – шифрование, электронная подпись и т.д.) ключевая информация, а передаются работникам ключевые документы ее содержащие.
4. Средства криптографической защиты информации (СКЗИ) – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства. [ПП-313]
   При анализе данного определения можно обнаружить в нем наличие термина ключевые документы. Термин дан в Постановлении Правительства и менять его мы не имеем права. В тоже время дальнейшее описание будет вестись из расчета что к СКЗИ будут относится только средства осуществления криптографических преобразований). Данный подход позволит упростить проведение аудита, но в тоже время не будет сказываться на его качестве, поскольку ключевые документы мы все равно все учтем, но в своем разделе и своими методами.

Методика аудита и ожидаемые результаты

Основными особенностями предлагаемой в данной статье методике аудита являются постулаты о том, что:

• ни один работник компании не может точно ответить на вопросы, задаваемые в ходе аудита;
• существующие источники данных (перечни, реестры и др.) не точны или слабо структурированы.

Поэтому предлагаемая в статье методика, это своеобразный data minning, в ходе которого будут один и те же данные извлекаться из разных источников, а затем сравниваться, структурироваться и уточняться.

Приведем основные зависимости, которые нам в этом помогут:

1. Если есть СКЗИ, то есть и ключевая информация.
2. Если есть электронный документооборот (в том числе с контрагентами и регуляторами), то скорее всего в нем применяется электронная подпись и как следствие СКЗИ и ключевая информация.
3. Электронный документооборот в данном контексте следует понимать широко, то есть к нему будут относится, как непосредственный обмен юридически значимыми электронными документами, так и сдача отчетности, и работа в платежных или торговых системах и так далее. Перечень и формы электронного документооборота определяются бизнес-процессами компании, а также действующим законодательством.
4. Если работник задействован в электронном документообороте, то скорее всего у него есть ключевые документы.
5. При организации электронного документооборота с контрагентами обычно выпускаются организационно-распорядительные документы (приказы) о назначении ответственных лиц.
6. Если информация передается через сеть Интернет (или другие общественные сети), то скорее всего она шифруется. В первую очередь это касается VPN и различных систем удаленного доступа.
7. Если в сетевом трафике обнаружены протоколы, передающие трафик в зашифрованном виде, то применяются СКЗИ и ключевая информация.
8. Если производились расчеты с контрагентами, занимающимися: поставками средств защиты информации, телекоммуникационных устройств, оказанием услуг по передаче отёчности, услуг удостоверяющих центров, то при данном взаимодействии могли приобретаться СКЗИ или ключевые документы.
9. Ключевые документы могут быть как на отчуждаемых носителях (дискетах, флешках, токенах, …), так и записаны внутрь компьютеров и аппаратных СКЗИ.
10. При использовании средств виртуализации, ключевые документы могут храниться как внутри виртуальных машин, так и монтироваться к виртуальным машинам с помощью гипервизора.
11. Аппаратные СКЗИ могут устанавливаться в серверных и быть недоступны для анализа по сети.
12. Некоторые системы электронного документооборота могут находится в неактивном или малоактивном виде, но в тоже время содержать активную ключевую информацию и СКЗИ.
13. Внутренняя нормативная и организационно-распорядительная документация может содержать сведения о системах электронного документооборота, СКЗИ и ключевых документов.

Для добычи первичной информации будем:

• опрашивать работников;
• проводить анализ документации компании, включая внутренние нормативные и распорядительные документы, а также исходящие платежные поручения;
• проводить визуальный анализ серверных комнат и коммуникационных шкафов;
• проводить технических анализ содержимого автоматизированных рабочих мест (АРМ), серверов и средств виртуализации.

Конкретные мероприятия сформулируем позже, а пока рассмотрим конечные данные, которые мы должны получить по итогам аудита:

Перечень СКЗИ:

1. Модель СКЗИ . Например, СКЗИ Крипто CSP 3.9, или OpenSSL 1.0.1
2. Идентификатор экземпляра СКЗИ . Например, серийный, лицензионный (или регистрационный по ПКЗ-2005) номер СКЗИ
3. Сведения о сертификате ФСБ России на СКЗИ , включая номер и даты начала и окончания сроков действия.
4. Сведения о месте эксплуатации СКЗИ . Например, имя компьютера на которое установлено программное СКЗИ, или наименование технических средств или помещения где установлены аппаратные СКЗИ.

Данная информация позволит:

1. Управлять уязвимостями в СКЗИ, то есть быстро их обнаруживать и исправлять.
2. Отслеживать сроки действия сертификатов на СКЗИ, а также проверять используется ли сертифицированное СКЗИ в соответствии с правилами, установленными документацией или нет.
3. Планировать затраты на СКЗИ, зная сколько уже находится в эксплуатации и сколько еще есть сводных средств.
4. Формировать регламентную отчетность.

Перечень ключевой информации:

По каждому элементу перечня фиксируем следующие данные:

1. Наименование или идентификатор ключевой информации . Например, «Ключ квалифицированной ЭП. Серийный номер сертификата 31:2D:AF», при этом идентификатор следует подбирать таким образом, чтобы по нему можно было найти ключ. Например, удостоверяющие центры, когда посылают уведомления обычно идентифицируют ключи по номерам сертификатов.
2. Центр управления ключевой системой (ЦУКС) , выпустивший данную ключевую информацию. Это может быть организация выпустившая ключ, например, удостоверяющий центр.
3. Физическое лицо , на имя которого выпущена ключевая информация. Эту информацию можно извлечь из полей CN сертификатов X.509
4. Формат ключевой информации . Например, СКЗИ КриптоПРО, СКЗИ Верба-OW, X.509 и т.д (или другими словами для использования с какими СКЗИ предназначена данная ключевая информация).
5. Назначение ключевой информации . Например, «Участие в торгах на площадке Сбербанк АСТ», «Квалифицированная электронная подпись для сдачи отчетности» и т.д. С точки зрения техники, в данном поле можно фиксировать органичения зафиксированные полях extended key usage и др сертификатов X.509.
6. Начало и окончание сроков действия ключевой информации .
7. Порядок перевыпуска ключевой информации . То есть знания о том, что нужно делать и как, при перевыпуске ключевой информации. По крайней мере желательно фиксировать контакты должностных лиц ЦУКС, выпустившего ключевую информацию.
8. Перечень информационных систем, сервисов или бизнес-процессов в рамках которых используется ключевая информация . Например, «Система дистанционного банковского обслуживания Интернет Клиент-Банк».

Данная информация позволит:

1. Отслеживать сроки действия ключевой информации.
2. В случае необходимости быстро перевыпускать ключевую информацию. Это может понадобится как при плановом, так при внеплановом перевыпуске.
3. Блокировать использование ключевой информации, при увольнении работника на которого она выпущена.
4. Расследовать инциденты информационной безопасности, отвечая на вопросы: «У кого были ключи для совершения платежей?» и др.

Перечень ключевых документов:

По каждому элементу перечня фиксируем следующие данные:

1. Ключевая информация , содержащаяся в ключевом документе.
2. Носитель ключевой информации , на который записана ключевая информация.
3. Лицо , ответственное за сохранность ключевого документа и конфиденциальность содержащейся в нем ключевой информации.

Данная информация позволит:

1. Перевыпускать ключевую информацию в случаях: увольнения работников, обладающих ключевыми документами, а также при компрометации носителей.
2. Обеспечивать конфиденциальность ключевой информации, путем инвентаризации носителей ее содержащих.

План аудита

Настало время рассмотреть практически особенности проведения аудита. Сделаем это на примере кредитно-финансовой организации или другими словами на примере банка. Данный пример выбран не случайно. Банки используют довольно большое число разношерстных систем криптографической защиты, которые задействованы в гигантском количестве бизнес-процессов, да и к тому же практически все банки являются Лицензиатами ФСБ России по криптографии. Далее в статье будет представлен план аудита СКЗИ и криптоключей, применительно к Банку. В тоже время данный план может быть взят за основу при проведении аудита практически любой компании. Для удобство восприятия план разбит на этапы, которые в свою очередь свернуты в сполйеры.

Этап 1. Сбор данных с инфраструктурных подразделений компании

№	Действие
Источник – все работники компании
1	Делаем рассылку по корпоративной почте всем работниками компании с просьбой сообщить в службу информационной безопасности обо всех используемых ими криптографических ключах	Получаем электронные письма, на базе которых формируем перечень ключевой информации и перечень ключевых документов
Источник – Руководитель Службы информационных технологий
1	Запрашиваем перечень ключевой информации и ключевых документов	С некоторой вероятностью Служба ИТ ведет подобные документы, будем использовать их для формирования и уточнения перечней ключевой информации, ключевых документов и СКЗИ
2	Запрашиваем перечень СКЗИ
3	Запрашиваем реестр ПО, установленного на серверах и рабочих станциях	В данном реестре ищем программные СКЗИ и их компоненты. Например, КриптоПРО CSP, Верба-OW, Signal-COM CSP, Сигнатура, PGP, ruToken, eToken, КритоАРМ и др. На базе этих данных формируем перечень СКЗИ.
4	Запрашиваем перечень работников (вероятно техническая поддержка), помогающих пользователям по использованию СКЗИ и перевыпуску ключевой информации.	Запрашиваем у данных лиц аналогичную информацию, что и у системных администраторов
Источник – системные администраторы Службы информационных технологий
1	Запрашиваем перечень отечественных криптошлюзов (VIPNET, Континент, S-terra и др.)	В случаях, когда в компании не реализованы регулярные бизнес процессы управления ИТ и ИБ, подобные вопросы могут помочь вспомнить системным администраторам о существовании того или иного устройства или ПО. Используем данную информацию для получения перечня СКЗИ.
2	Запрашиваем перечень отечественных программных СКЗИ (СКЗИ МагПро КриптоПакет, VIPNET CSP, CryptonDisk, SecretDisk, …)
3	Запрашиваем перечень маршрутизаторов, реализующих VPN для: а) связи офисов компании; б) взаимодействия с контрагентами и партнерами.
4	Запрашиваем перечень информационных сервисов, опубликованных в Интернет (доступных из Интернет). Они могу включать: а) корпоративную электронную почту; б) системы обмена мгновенными сообщениями; в) корпоративные web-сайты; г) сервисы для обмена информации с партнерами и контрагентами (extranet); д) системы дистанционного банковского обслуживания (если компания – Банк); е) системы удаленного доступа в сеть компании. Для проверки полноты предоставленных сведений сверяем их с перечнем правил Portforwarding пограничных межсетевых экранов.	Анализируя полученную информацию с высокой вероятностью можно встретить использование СКЗИ и криптоключей. Используем полученные данные для формирования перечня СКЗИ и ключевой информации.
5	Запрашиваем перечень информационных систем, используемых для сдачи отчетности (Такском, Контур и т. д.)	В данных системах используются ключи квалифицированной электронной подписи и СКЗИ. Через данный перечень формируем перечень СКЗИ, перечень ключевой информации, а также узнаем работников, пользующихся этими системами для формирования перечня ключевых документов.
6	Запрашиваем перечень систем внутреннего электронного документооборота (Lotus, DIRECTUM, 1С: Документооборот и др.), а также перечень их пользователей.	В рамках внутренних систем электронного документооборота могут встретиться ключи электронной подписи. На основании полученной информации формируем перечень ключевой информации и перечень ключевых документов.
7	Запрашиваем перечень внутренних удостоверяющих центров.	Средства, используемые для организации удостоверяющих центров, фиксируем в перечне СКЗИ. В дальнейшем будем анализировать содержимое баз данных удостоверяющих центров для выявления ключевой информации.
8	Запрашиваем информацию об использовании технологий: IEEE 802.1x, WiFiWPA2 Enterprise и систем IP-видеонаблюдения	В случае использования данных технологий мы можем обнаружить в задействованных устройствах ключевые документы.
Источник – Руководитель кадровой службы
1	Просим описать процесс приема и увольнение работников. Фокусируемся на вопросе о том, кто забирает у увольняющихся работников ключевые документы	Анализируем документы (обходные листы) на предмет наличия в них информационных систем в которых могут использоваться СКЗИ.

Этап 2. Сбор данных с бизнес-подразделений компании (на примере Банка)

№	Действие	Ожидаемый результат и его использование
Источник – Руководитель служба расчетов (корреспондентских отношений)
1	Просим предоставить схему организации взаимодействия с платежной системой Банка России. В частности, это будет актуально для Банков, имеющих развитую филиальную сеть, при которой филиалы могут подключать в платежную систему ЦБ напрямую	На базе полученных данных определяем местоположение платежных шлюзов (АРМ КБР, УТА) и перечень задействованных пользователей. Полученную информацию используем для формирования перечня СКЗИ, ключевой информации и ключевых документов.
2	Запрашиваем перечень Банков, с которыми установлены прямые корреспондентские отношения, а также просим рассказать кто занимается осуществлением переводов и какие технические средства используются.
3	Запрашиваем перечень платежных систем, в которых участвует Банк (SWIFT, VISA, MasterCard, НСПК, и т.д), а также месторасположение терминалов для связи	Аналогично, как для платежной системы Банка России
Источник – Руководитель подразделения, отвечающего за предоставление дистанционных банковских услуг
1	Запрашиваем перечень систем дистанционного банковского обслуживания.	В указанных системах анализируем использование СКЗИ и ключевой информации. На основании полученных данных формируем перечень СКЗИ и ключевой информации и ключевых документов.
Источник – Руководитель подразделения, отвечающего за функционирование процессинга платежных карт
1	Запрашиваем реестр HSM	На базе полученной информации формируем перечень СКЗИ, ключевой информации и ключевых документов.
2	Запрашиваем реестр офицеров безопасности
4	Запрашиваем информацию о компонентах LMK HSM
5	Запрашиваем информацию об организации систем типа 3D-Secure и организации персонализации платежных карт
Источник – Руководители подразделений, выполняющих функции казначейства и депозитария
1	Перечень банков, с которыми установлены корреспондентские отношения и которые участвую в межбанковском кредитовании.	Используем полученную информацию для уточнения ранее полученных данных от службы расчетов, а также фиксируем информацию о взаимодействии с биржами и депозитариями. На базе полученной информации формируем перечень СКЗИ и ключевой информации.
2	Перечень бирж и специализированных депозитариев с которыми работает Банк
Источник – Руководители служб финансового мониторинга и подразделений ответственных за сдачу отчетности в Банк России
1	Запрашиваем информацию о том, как они отправляют сведения и получают сведения из ЦБ. Перечень задействованных лиц и технических средств.	Информационное взаимодействие с Банком России жестко регламентировано соответствующими документами, например, 2332-У, 321-И и многими другими, проверяем соответствие этим документам и формируем перечни СКЗИ, ключевой информации и ключевых документов.
Источник – Главный бухгалтер и работники бухгалтерии, занимающиеся оплатой счетов по внутрибанковским нуждам
1	Запрашиваем информацию, о том, как происходит подготовка и сдача отчетности в налоговые инспекции и Банк России	Уточняем ранее полученные сведения
2	Запрашиваем реестр платежных документов, для оплаты внутрибанковских нужд	В данном реестре будем искать документы где: 1) в качестве адресатов платежей указаны удостоверяющие центры, специализированные операторы связи, производители СКЗИ, поставщики телекоммуникационного оборудования. Наименования данных компаний можно получить из Реестра сертифицированных СКЗИ ФСБ России, перечня аккредитованных удостоверяющих центров Минкомсвязи и других источников. 2) в качестве расшифровки платежа присутствуют слова: «СКЗИ», «подпись», «токен», «ключевой», «БКИ» и т. д.
Источник – Руководители служб по работе с просроченной задолженностью и управления рисков
1	Запрашиваем перечень бюро кредитных историй и коллекторских агентств, с которыми работает Банк.	Совместно со службой ИТ анализируем полученные данные с целью выяснения организации электронного документооборота, на базе чего уточняем перечни СКЗИ, ключевой информации и ключевых документов.
Источник – Руководители служб документооборота, внутреннего контроля и внутреннего аудита
1	Запрашиваем реестр внутренних организационно распорядительных документов (приказов).	В данных документах ищем документы, относящиеся к СКЗИ. Для этого анализируем наличие ключевых слов «безопасность», «ответственное лицо», «администратор», «электронная подпись», «ЭП», «ЭЦП», «ЭДО», «АСП», «СКЗИ» и их производных. После чего выявляем перечень работников Банка зафиксированных в этих документах. Проводим с работниками интервью на тему использования ими криптосредств. Полученную информацию отражаем в перечнях СКЗИ, ключевой информации и ключевых документов.
2	Запрашиваем перечни договоров с контрагентами	Стараемся выявить договора об электронном документообороте, а также договора с компаниями, занимающимися поставной средств защиты информации или оказывающими услуги в этой области, а также компаниями, предоставляющими услуги удостоверяющих центров и услуги сдачи отчетности через Интернет.
3	Анализируем технологию хранения документов дня в электронном виде	При реализации хранения документов дня в электронном виде обязательно применяются СКЗИ

Этап 3. Технический аудит

№	Действие	Ожидаемый результат и его использование
1	Проводим техническую инвентаризацию ПО установленного на компьютерах. Для этого используем: · аналитические возможности корпоративных систем антивирусной защиты (например, Антивирус Касперского умеет строить подобный реестр). · скрипты WMI для опроса компьютеров под управлением ОС Windows; · возможности пакетных менеджеров для опроса *nix систем; · специализированное ПО для инвентаризации.	Среди установленного ПО ищем программные СКЗИ, драйвера для аппаратных СКЗИ и ключевых носителей. На базе полученной информации обновляем перечень СКЗИ.
2	Осуществляем поиск ключевых документов на серверах и рабочих станциях. Для этого · Logon-скриптами опрашиваем АРМ в домене на предмет наличия сертификатов с закрытыми ключами в профилях пользователей и профилях компьютера. · На всех компьютерах, файловых серверах, гипервизорах ищем файлы с расширениями: crt, cer, key, pfx, p12, pem, pse, jks и др. · На гипервизорах систем виртуализации ищем примонтированные дисководы и образы дискет.	Очень часто ключевые документы представлены в виде файловых ключевых контейнеров, а также контейнерами, хранящимися в реестрах компьютеров, работающих под управлением ОС Windows. Найденные ключевые документы фиксируем в перечне ключевых документов, а содержащеюся в них ключевую информацию в перечне ключевой информации.
3	Анализируем содержание баз данных удостоверяющих центров	Базы данных удостоверяющих центров обычно содержат в себе данные о выпущенных этим центрами сертификатов. Полученную информацию заносим в перечень ключевой информации и перечень ключевых документов.
4	Проводим визуальный осмотр серверных комнат и коммутационных шкафов, ищем СКЗИ и аппаратные ключевые носители (токены, дисководы)	В некоторых случаях, невозможно провести инвентаризацию СКЗИ и ключевых документов по сети. Системы могут находится в изолированных сетевых сегментах, либо вообще не иметь сетевых подключений. Для этого проводим визуальный осмотр, в результатах которого должно быть установлены названия и назначение всего оборудования, представленного в серверных. Полученную информацию заносим в перечень СКЗИ и ключевых документов.
5	Проводим анализ сетевого трафика, с целью выявления информационных потоков, использующих шифрованный обмен	Шифрованные протоколы – HTTPS, SSH и др. позволят нам идентифицировать сетевые узлы на которых выполняются криптографические преобразования, и как следствие содержащие СКЗИ и ключевые документы.

Заключение

В данной статье мы рассмотрели теорию и практику проведения аудита СКЗИ и криптоключей. Как вы убедились, процедура эта довольно сложная и трудоемкая, но если к ней грамотно подходить вполне осуществимая. Будем надеется данная статья вам поможет в реальной жизни. Спасибо за внимание, ждем ваших комментариев

Теги:

• скзи
• криптография
• электронная подпись
• аудит
• менеджмент

Добавить метки