Какую информацию необходимо шифровать в компании
Перейти к содержимому

Какую информацию необходимо шифровать в компании

  • автор:

Использование шифрования в компаниях России

Немногим более двух десятилетий тому назад криптография в России находилась приблизительно на том же уровне секретности, что и технологии производства оружия – ее практическое применение относилось к сфере деятельности исключительно военных и спецслужб, то есть было полностью подконтрольно государству. В открытом доступе встретить какие-либо издания и научные работы по этому вопросу не представлялось возможным – тема криптографии была закрыта.

Ситуация изменилась лишь в 1990 году, когда в действие был введен стандарт шифрования ГОСТ 28147-89. Изначально алгоритм имел гриф ДСП и официально «полностью открытым» стал лишь в 1994 году.

Сложно точно сказать, когда именно в отечественной криптографии был совершен информационный прорыв. Скорее всего, это произошло с появлением у широкой общественности доступа в интернет, после чего в сети начали публиковаться многочисленные материалы с описаниями криптографических алгоритмов и протоколов, статьи по киптоанализу и другая информация, имеющая отношение к шифрованию.

В сложившихся условиях криптография больше не могла оставаться прерогативой одного лишь государства. Кроме того, развитие информационных технологий и средств связи обусловило потребность в использовании средств криптографической защиты коммерческими компаниями и организациями.

Сегодня к средствам криптографической защиты информации (СКЗИ) относят: средства шифрования, средства имитозащиты, средства электронной цифровой подписи, средства кодирования, средства изготовления ключевых документов и сами ключевые документы. [4, с2-3.]

Далее в статье речь пойдет о том, какое практическое применение на настоящий момент шифрование и СКЗИ нашли в российских компаниях и организациях. Будут рассмотрены следующие направления:

  • защита информационных систем персональных данных;
  • защита конфиденциальной информации компании;
  • шифрования корпоративной электронной почты;
  • создание и проверки цифровых подписей.
Применение криптографии и СКЗИ в российских компаниях
1. Внедрение криптосредств в системы защиты персональных данных

Деятельность практически любой российской компании сегодня связана с хранением и обработкой персональных данных (ПДн) различных категорий, к защите которых законодательством РФ выдвигается ряд требований [1]. Для их выполнения руководство компании, прежде всего, сталкивается с необходимостью формирования модели угроз персональным данным и разработки на ее основе системы защиты персональных данных, в состав которой должно входить средство криптографической защиты информации. [2, с 1.]

К СКЗИ, внедренному в систему защиты персональных данных, выдвигаются следующие требования:

  • Криптографическое средство должно штатно функционировать совместно с техническими и программными средствами, которые способны повлиять на выполнение предъявляемых к нему требований. [3, с 15.]
  • Для обеспечения безопасности персональных данных при их обработке должны использоваться сертифицированные в системе сертификации ФСБ России криптосредства. [3, с 15.]

Таким образом, средства криптографической защиты сегодня эффективно используются компаниями и организациями для защиты персональных данных российских граждан и являются одной из наиболее важных составляющих в системах защиты персональных данных.

2. Защита корпоративной информации

Если в п.1 использование крпитогарфических средств обусловлено, прежде всего, требованиями законодательства РФ, то в данном случае в применении СКЗИ заинтересовано руководство самой компании. С помощью средства шифрования компания получает возможность защитить свою корпоративную информацию – сведения, представляющие коммерческую тайну, интеллектуальную собственность, оперативную и техническую информацию и др.

На сегодняшний день для эффективного применения в корпоративной среде, программа для шифрования должна обеспечивать:

  • шифрование данных на удаленном сервере;
  • поддержку асимметричной криптографии;
  • прозрачное шифрование;
  • шифрование сетевых папок;
  • возможность разграничения прав доступа к конфиденциальной информации между сотрудниками компании;
  • возможность хранения сотрудниками закрытых ключей на внешних носителях информации (токенах).
3. Электронная подпись

Электронная подпись (ЭП) сегодня является полноценным аналогом собственноручной подписи и может быть использована юридическими и физическими лицами для того, чтобы обеспечить документу в цифровом формате юридическую силу. Применение ЭП в электронных системах документооборота значительно увеличивает скорость заключения коммерческих сделок, уменьшает объем бумажных бухгалтерских документов, экономит время сотрудников. Кроме того, ЭП сокращает расходы предприятия на заключение договоров, оформление платежных документов, получение различных справок от государственных учреждений и многое другое.

Средства криптографической защиты, как правило, имеют в своем составе функции по созданию и проверке электронных подписей. Российским законодательством к таким СКЗИ выдвигаются следующие требования [5, с 3.]:

  • показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
  • создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;
  • однозначно показывать, что ЭП создана.
  • показывать содержание электронного документа, подписанного ЭП;
  • показывать информацию о внесении изменений в подписанный ЭП электронный документ;
  • указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.
4. Шифрование электронной почты

Для большинства компаний электронная почта является основным средством коммуникации между сотрудниками. Ни для кого не секрет, что по корпоративной электронной почте сегодня пересылается огромное количество конфиденциальной информации: договора, счета, сведения о продуктах и ценовых политиках компании, финансовые показатели и др. Если подобная информация окажется доступной для конкурентов, это может нанести значительный ущерб компании вплоть до прекращения ее деятельности.

Поэтому защита корпоративной почты – крайне важная составляющая в обеспечении информационной безопасности компании, реализация которой становится возможной также благодаря использованию криптографии и средств шифрования.

Большинство почтовых клиентов, таких как Outlook, Thinderbird, The Bat! и др., позволяют настроить обмен зашифрованными сообщениями на основе сертификатов открытого и закрытого ключа (сертификаты в форматах X.509 и PKCS#12 соответственно), создаваемых при помощи средств криптографической защиты.

Здесь также следует упомянуть о возможности криптографических средств работать в качестве удостоверяющих центров (УЦ). Основное предназначение удостоверяющего центра — выдача сертификатов шифрования и подтверждение подлинности ключей шифрования. В соответствии с российским законодательством, УЦ подразделяются на классы (КС1, КС2, КС3, КВ1, КВ2, КА1), к каждому из которых выдвигается ряд требований [5]. При этом, класс СКЗИ, использующегося в средствах УЦ, должен быть не ниже соответствующего класса УЦ [5, с 14.].

Использование CyberSafe Enterprise

Разрабатывая программу CyberSafe Enterprise мы постарались учесть все вышеописанные возможности, включив их в функциональный набор программы. Так, она поддерживает функции, перечисленные в п.2 данной статьи, шифрование электронной почты, создание и проверку цифровых подписей, а также работу в качестве удостоверяющего центра.

Наличие в CyberSafe сервера публичных ключей позволяет компаниям организовать удобный обмен ключами между своими сотрудниками, где каждый из них может опубликовать свой открытый ключ, а также скачать открытые ключи других пользователей.

Далее более подробно остановимся на возможности внедрения CyberSafe Enterprise в системы защиты персональных данных. Эта возможность существует благодаря поддержке программой криптопровайдера КриптоПро CSP, сертифицированного ФСБ РФ в качестве СКЗИ классов КС1, КС2 и КС3 (в зависимости от исполнения) и оговорена в п. 5.1 «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных»:

«Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы)».

Таким образом, имея в своем составе встроенное СКЗИ КриптоПро CSP, программа CyberSafe Enterprise может быть использована в системе защиты персональных данных классов КС1 и КС2.

После установки КриптоПро CSP на компьютер пользователя при создании сертификата в CyberSafe Enterprise появится возможность создать сертификат КриптоПРО:

Далее необходимо выбрать место хранения контейнера закрытого ключа КриптоПро и задать пароль к контейнеру. Для хранения может быть использован реестр операционной системы либо съемный носитель (токен):

После завершения создания сертификата CyberSafe ключи КриптоПРО также созданы, отображаются на вашей связке и доступны для использования:

В том случае, если возникает необходимость экспортировать ключи КриптоПро в отдельный файл, это можно сделать через стандартную функцию экспорта ключей CyberSafe:

Если вы хотите зашифровать файлы для передачи другим пользователям (или подписать их своей цифровой подписью) и использовать для этого ключи КриптоПро, из списка доступных криптопровайдеров необходимо выбрать КриптоПро:

В том случае, если вы хотите использовать ключи КриптоПро для прозрачного шифрования файлов, в окне выбора сертификатов в качестве криптопровайдера также следует указать КриптоПро:

В CyberSafe существует возможность использовать КриптоПРО и алгоритм ГОСТ для шифрования логических дисков/разделов и создания виртуальных зашифрованных дисков:

Также, на основе сертификатов КриптоПро, может быть настроено шифрование электронной почты. В КприптоПро CSP алгоритмы формирования и проверки ЭП реализованы в соответствии с требованиями стандарта ГОСТ Р 34.10-2012, алгоритм шифрования/дешифрования данных реализован в соответствии с требованиями стандарта ГОСТ 28147-89.

На сегодняшний день CyberSafe является единственной программой, которая сочетает в себе функции по шифрованию файлов, сетевых папок, логических дисков, электронной почты и возможность работы в качестве удостоверяющего центра с поддержкой стандартов шифрования ГОСТ 28147-89 и ГОСТ Р 34.10-2012.

Документы:
  • защита информации
  • защита данных
  • криптография
  • шифрование
  • шифрование данных
  • шифрование информации
  • информационная безопасность
  • защита персональных данных
  • шифрование электронной почты
  • электронная подпись

Нужно ли шифровать
данные компании?
5 самых популярных мифов

Небольшие компании, малые предприятия и ИП часто избегают темы шифрования данных, считая, что их ресурсы не представляют ценности для злоумышленников. И напрасно – по статистике, каждая третья компания, вне зависимости от размера и географического расположения, подвергается нападению киберпреступников. Не случайно в разных странах мира шифрование данных является обязательным для организаций, работающих с конфиденциальной информацией.

шифрование данных - ИТ Профит

Как не попасться на удочку «социальных» хакеров и обеспечить безопасность
ИТ-инфраструктуры? Содержать в штате высококлассных специалистов – дорогое удовольствие, которое могут позволить себе только крупные компании. И, помимо этого, придется приобрести технологии и оборудование для защиты, что стоит совсем недешево.
Мы предлагаем более разумный вариант –
ИТ-аутсорсинг для вашего бизнеса.

Так нужно ли шифровать данные компании или такая процедура
усложнит бизнес? Мы разоблачим 5 самых популярных мифов.

Шифрование необходимо только по требованию закона

Информация – это самый важный ресурс компании, будь то данные о клиентах или персонале, уникальные разработки и т.д. Но не стоит забывать, что эти секретные сведения важны не только для вас. Часто злоумышленники выносят из офиса компьютер, флешку и другие носители информации, чтобы продать или использовать данные в личных целях. А некоторые хакеры заинтересованы в причинении вреда компании – как правило, по заказу конкурентов. Они открыто публикуют полученную информацию в Интернете, разрушая вашу репутацию всего за пару часов. Наш совет – зашифровать важные данные, даже если закон к этому не обязывает. Только в таком случае вы помешаете преступнику нанести непоправимый вред вашей компании.

Шифрование информации на основе профилей пользователей

Криптографическая защита важной, конфиденциальной или критичной информации на дисках рабочих станций уже давно зарекомендовала себя эффективной и в то же время простой мерой безопасности, помогающей организациям бороться с рисками компрометации своих секретов.

Существует несколько базовых методов шифрования, активно используемых для противодействия утечкам информации:

  • шифрование томов;
  • шифрование системного тома ОС Windows;
  • шифрование файлов и папок;
  • шифрование файл-контейнеров (виртуальные диски, подключаемые части файловой системы).

У каждого метода есть своё назначение, особенности и ограничения, именно поэтому специалистам информационной безопасности приходится зачастую сочетать использование нескольких методов шифрования одновременно, что, безусловно, усложняет процесс защиты информации и систему защиты в целом.

Рассмотрим подробнее основные методы шифрования.

1. Традиционные методы шифрования

1.1 Шифрование томов диска (FDE)

Суть метода и объекты защиты: Основной сутью данного метода является полное шифрование всего содержимого для выбранного раздела жёсткого диска. Стоит отметить, что полное шифрование всего накопителя вышло из употребления в связи с широким распространением GPT-разметки разделов. Поэтому термин FDE (Full Disk Encryption) поменял значение и обозначает теперь шифрование отдельных разделов. Данный метод является наиболее распространённым по причине простоты его использования.

Сценарий использования: При удачной аутентификации пользователя производится расшифрованное представление всего содержимого раздела (тома) жёсткого диска.

Сценарии утечек и их предотвращения: Сфера применения метода достаточно широка, но наиболее часто такой метод применятся при шифровании разделов на внешних USB-дисках и дополнительных разделах жёсткого диска рабочей станции. Соответственно, основным сценарием защиты информации здесь является защита носителя информации при его перемещении. Например, из офиса в офис. Кража или потеря носителя с конфиденциальной информацией не приведет к её компрометации – секреты организации будут сохранены.

Ограничения метода: Метод рассчитан на специфичный и «узкий» пользовательские сценарий работы. Для защиты информации необходимо её переместить на защищаемый раздел, что не всегда возможно. Важная информация зашифрована, но под угрозой компрометации остаётся остаточная информация временных файлов, используемых при работе с конфиденциальными данными. Применять FDE для работы с защищённой информацией в недоверенной среде крайне не рекомендуется, ведь после успешной аутентификации владельца доступ к защищаемой информации смогут получить все пользователи компьютера, на котором осуществляется её обработка. Ещё одним значимым ограничением метода является отсутствие контроля копирования информации из защищённого раздела диска в незащищённый (пользователь, например, может это сделать непреднамеренно).

1.2 Шифрование системного раздела ОС Windows

Суть метода и объекты защиты: В основу данного метода положена идея защиты всей информации, находящейся на «диске С:» компьютера с ОС Windows. Условным удобством метода является простота организации меры защиты. Специалисту не приходится определять папки и файлы с конфиденциальной информацией, знать места расположения временных файлов (которые также содержат конфиденциальную информацию), заботиться о защите файлов подкачки операционной системы (SWAP) и т.д. Все будет зашифровано на системном разделе. Дополнительным плюсом при этом является устанавливаемый контроль загрузки ОС с возможностью усиленной двухфакторной аутентификации перед запуском ОС.

Сценарии утечек и их предотвращения: Данный метод наиболее эффективен при работе пользователя с защищаемой информацией на корпоративном ноутбуке за пределами контролируемой зоны организации. Именно при выносе ноутбука с секретами за пределы организации возможна утеря или кража ноутбука. Риск компрометации конфиденциальной информации при активированной защите системного раздела ОС Windows стремится к нулю.

С некоторым ограничениями, можно добавить, что метод обеспечивает защиту целостности программной среды операционной системы. Изменить, заразить существующие программы или добавить новую зловредную не получится. Системный раздел на выключенном компьютере будет представлять собой нечитаемое/зашифрованное содержимое. Злоумышленник не может «подсадить» что-то в систему, просто скопировав файлы на системный диск и прописав их запуск.

Метод также эффективен при сценариях передачи неработоспособного ноутбука (с конфиденциальной информацией на борту) в службу сервисной поддержки, где сохраняется ненулевой риск злонамеренного доступа сотрудников сервисного центра к файлам на диске неисправного ноутбука.

Основные ограничения метода: Обратной стороной медали при использовании данного метода является необходимость регулярного обновления ОС Windows 10. Практика показывает, что механизм обновления имеет высокую вариативность поведения, с каждым пакетом обновлений производит кардинальные изменения программной среды ОС. Например, модернизирует порядок загрузки и сами загрузчики ОС, удаляет загрузочные записи других программных продуктов, изменяет размеры томов жёсткого диска, заменяет стеки драйверов файловых систем и т.п. Можно уверенно утверждать, что механизм обновления Windows 10 существенно влияет на параметры защищённости данных на рабочей станции. В таких условиях трудно гарантировать полноценную работоспособность средств защиты, которые как раз нацелены на предотвращение подобных действий со стороны других программ (в т.ч. ОС).

Обновление большого количества защищённых компьютеров значительно повышает нагрузку на специалистов ИБ. При каждом обновлении приходится совершать массу действий подготовительного и тестового характера, ведь обновляется зашифрованное содержимое системного раздела и загрузчика ОС.

Дополнительным ограничением является также неполная универсальность данного метода защиты – не предусмотрена защита информации от доступа привилегированных пользователей, при которой администратор ОС Windows может стать потенциальным злоумышленником и скомпрометировать защищаемые данные. Например, если защищён системных раздел, но ноутбук с загруженной операционной системой выносится за пределы контролируемой зоны, то это может означать потенциальный риск утечки и компрометации информации, так как авторизация при загрузке уже успешно пройдена и доступ к данным предоставлен.

Как и при использовании метода FDE, значимым ограничением метода является отсутствие контроля копирования информации из защищённого раздела диска в незащищённый.

1.3 Шифрование папок и файлов

Суть метода и объекты защиты: Создание метода пофайлового шифрования стало ответом на множество ограничений метода FDE. Действительно, метод шифрования файлов и папок имеет высокую гибкость, позволяя специалисту определить объект защиты любого уровня сложности. Плюсом является возможность одновременного использования шифрования папок и файлов с другими методами шифрования. Немаловажной особенностью пофайлового шифрования является так называемая «защита от Админа», при которой авторизованному пользователю предоставляется расшифрованная информация и одновременно с этим Администратору ИТ информация доступна только в зашифрованном виде.

Сценарии утечек и их предотвращения: При использовании данного метода набор рабочих сценариев противодействия утечкам универсален. Наиболее полезные сценарии – это безопасная работа с конфиденциальной информацией в недоверенной среде, при которой ни внешние, ни внутренние нарушители не смогут скомпрометировать защищаемую информацию, даже имея доступ к файлам.

Основные ограничения метода: К сожалению, основное преимущество метода – гибкость, также является основным ограничением его использования. Набор файлов с конфиденциальными данными современного пользователя достаточно широк, динамичен и разнесён по большому количеству папок в файловой системе. Задача учёта и мониторинга этого большого набора объектов защиты слишком трудозатратна. При большом количестве пользователей такой метод становится непосильной нагрузкой на службу ИБ, именно поэтому использование шифрование папок и файлов зачастую сочетают с другими методами.

Совершенно новый подход – Шифрование на основе профилей

Ограничения при использовании различных методов криптографической защиты информации являются ахиллесовой пятой службы безопасности организаций – разнородность методов затрудняет понимание, развёртывание и сопровождение системы защиты. Повышается вероятность неоптимального использования или ошибок. Именно преодоление ограничений повлияло на создание принципиально нового способа организации защиты информации пользователя: комплексная защита, сфокусированная на профиле пользователя, а не на «защите ресурсов» самих по себе. Т.е. вся детализация и уникальность набора объектов защиты для конкретного пользователя может быть «упакована» в единый профиль, на который в дальнейшем накладывается криптографическая защита.

Суть подхода

Объект защиты: папки с рабочими файлам пользователя, находящиеся в его системном профиле, которые доступны пользователю после входа в Windows. (Например, всем известные папки Документы и Изображения, также к ним можно добавить другие корневые папки).

Метод защиты: размещение папок профиля на защищённом ресурсе (виртуальном диске или логическом томе). Перенос папок осуществляется при включении защиты либо создании нового рабочего места пользователя.

Дополнительные меры защиты: шифрование файла подкачки (page file) одноразовым уникальным ключом, запрет пользователю записи данных куда-либо ещё, кроме его профиля, выборочное невключение защиты профиля для системного администратора, выполняющего сервисные задачи (установка и обновление ПО, резервное копирование и тд.), чтобы исключить его доступ к защищённым ресурсам пользователя без ограничения свободы действий.

Что это даёт? Возможность автоматизации предустановки защиты профилей индивидуальными пользователями. При создании данного метода за основу был взят принцип профилирования объектов пользователя – т.е. определение специфического множества файловых объектов пользователя как профиля защиты и передача его в введение модуля шифрования для защиты.

При таком подходе администратор не тратит время на трудоёмкий анализ состава защищаемых файлов и папок пользователя, но оперирует настроечным стандартом профиля, в который объединены все папки/файлы с важной информацией. Дополнительно защищаются области временного хранения файлов, файлы подкачки (page/swap-файлы) и закрываются остальные места, куда пользователь может случайно или намеренно сохранять информацию.

Тем самым осуществляется навязывание пользователю правильных действий по изменению только файлов своего профиля, все остальные объекты файловой системы или недоступны, или доступны только на чтение (в зависимости от назначения).

Сценарии утечек и их предотвращения: Данный метод покрывает большинство сценариев предотвращения утечек информации:

  • вынос корпоративного ноутбука с загруженной ОС за пределы контролируемой зоны;
  • работа на корпоративном ноутбуке в недоверенной среде;
  • утеря или кража ноутбука с последующими попытками доступа к информации на диске со стороны злоумышленника;
  • защита от Администратора ИТ во время работы на компьютере;
  • надёжное разграничение рабочих областей для нескольких пользователей, на одном компьютере;
  • контроль попыток копирования информации из защищённой области на другие ресурсы компьютера;
  • надёжная защита информации в компьютере при передаче его третьим лицам (например, в сервисный центр).

Очевидные преимущества метода

1. Продвинутое администрирование: Данный метод позволяет существенно упростить использование пофайлового шифрования. Специалисту безопасности теперь не нужно держать под контролем большое количество файлов, но можно оперировать профилями, что существенно упрощает работу с политиками шифрования.

2. Совместимость с Win10UPDATE: Использование защиты профилей пользователей позволяет избежать массу проблем при обновлениях Windows 10 за счёт отказа от избыточного шифрования системных файлов ОС.

3. Поддержка эшелонированной защиты: Метод отлично сочетается с остальными методами шифрования, позволяя специалисту ИБ выбрать наиболее оптимальный уровень защиты данных.

4. Реализация SSO и тесная интеграция в Windows logon: Расшифрованные данные предоставляются только авторизованному пользователю и только на период работы сессии в ОС, после завершения сессии доступ к данным автоматически блокируется.

5. Контекстная независимость защиты: Информация остается защищённой вне зависимости от операционного контекста и режима работы рабочей станции. Не важно, загружена ОС или не загружена, данные будут предоставлены только пользователю и только после прохождения аутентификации в сеансе ОС.

6. Позволяет использовать рекомендованное шифрование ГОСТ для конфиденциальных данных пользователя и быстрое шифрование AES для системного раздела.

Практика применения метода

Важнейшим условием эффективного применения данного метода защиты является осознанный подход к определению состава объекта защиты. Специалистам ИБ надлежит определить, какие данные пользователя необходимо защитить. Это требует дополнительных усилий и внимания. Возможные примеры использования метода шифрования на основе профилей пользователя.

1. Сотрудники с корпоративными ноутбуками и перешедшие на режим работы из дома (на «удалёнке»). При данном сценарии, помимо переноса корпоративного ноутубка из офиса домой, нужно учитывать, что ноутбук будет подключен к домашней сети, которая может быть уже скомпрометированной.

2. Сотрудники с корпоративными ноутбуками, работающие в гибридном режиме посещения офиса. Какую-то часть времени эти сотрудники пребывают в офисе, какую-то – за пределами контролируемой зоны. Во всех местах работы сотрудники обрабатывают защищаемую информацию. В таком сценарии наиболее важно создание защищённого рабочего пространства – профиля пользователя, доступ к которому будет иметь только авторизованный пользователь. При этом попытки копирования информации за пределы своего профиля будут блокироваться системой защиты.

3. Сотрудники, совершающие выезды в командировки. При данном сценарии заведомо определено, что пользователь будет обрабатывать конфиденциальную информацию в условиях недоверенной среды. В таком сценарии важно, чтобы после прохождения аутентификации доступ к защищаемой информации предоставлялся только авторизованному пользователю.

4. Посменная работа нескольких сотрудников на одном корпоративном компьютере. В этом сценарии для каждого сменного пользователя будет создан отдельный профиль, реализующий защищённое рабочее пространство. Профили сотрудников не будут пересекаться, возможность копирования информации из профиля в профиль будет блокироваться системой защиты.

Применение мер защиты на основе профилирования пользователей даёт большую степень свободы при настройке объекта защиты и одновременно с этим позволяет в дальнейшем действовать по отношению к внушительному количеству файлов, папок, ссылок и других объектов как к единому целому, упрощая систему защиты и усиливая её эффективность.

Что такое СКЗИ, и какие они бывают

СКЗИ (средство криптографической защиты информации) — это программа или устройство, которое шифрует документы и генерирует электронную подпись (ЭП). Все операции производятся с помощью ключа электронной подписи, который невозможно подобрать вручную, так как он представляет собой сложный набор символов. Тем самым обеспечивается надежная защита информации.

Как работает СКЗИ

  1. Отправитель создает документ
  2. При помощи СКЗИ и закрытого ключа ЭП добавляет файл подписи, зашифровывает документ и объединяет все в файл, который отправляется получателю
  3. Файл передается получателю
  4. Получатель расшифровывает документ, используя СКЗИ и закрытый ключ своей электронной подписи
  5. Получатель проверяет целостность ЭП, убеждаясь, что в документ не вносились изменения

Виды СКЗИ для электронной подписи

Есть два вида средств криптографической защиты информации: устанавливаемые отдельно и встроенные в носитель.

СКЗИ, устанавливаемое отдельно — это программа, которая устанавливается на любое компьютерное устройство. Такие СКЗИ используются повсеместно, но имеют один недостаток: жесткую привязку к одному рабочему месту. Вы сможете работать с любым количеством электронных подписей, но только на том компьютере или ноутбуке, на котором установлена СКЗИ. Чтобы работать на разных компьютерах, придется для каждого покупать дополнительную лицензию.

При работе с электронными подписями в качестве устанавливаемого СКЗИ чаще всего используется криптопровайдер КриптоПро CSP. Программа работает в Windows, Unix и других операционных системах, поддерживает отечественные стандарты безопасности ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.

Реже используются другие СКЗИ:

Все перечисленные СКЗИ сертифицированы ФСБ и ФСТЭК, соответствуют стандартам безопасности, принятым в России. Для полноценной работы также требуют покупки лицензии.

СКЗИ, встроенные в носитель, представляют собой «вшитые» в устройство средства шифрования, которые запрограммированы на самостоятельную работу. Они удобны своей самодостаточностью. Все необходимое для того, чтобы подписать договор или отчет, уже есть на самом носителе. Не надо покупать лицензии и устанавливать дополнительное ПО. Достаточно компьютера или ноутбука с выходом в интернет. Шифрование и расшифровка данных производятся внутри носителя. К носителям со встроенным СКЗИ относятся Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCarta SE.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *