Что такое криптозащита
Перейти к содержимому

Что такое криптозащита

  • автор:

Что такое криптозащита

UltraSonic-120-Рhantom

UltraSonic-ТУБА-50-GSM

Антижучок Raksa 120 Pro

C-3000-Pro

C-3000-Plus

10XL AntiSpy

Hunter Профессионал-3

Лидер Kill

Hunter 007-INTELLECT

Hunter 007-EXPERT

Hunter-007 Pro

Hunter T-8000

Hunter

Hunter Plus

Беркут-2

Hunter Lux

UltraSonic-ШАЙБА-50-GSM

UltraSonic-18-Лайт

Хамелеон Борсетка-12 GSM

Хамелеон Клатч-12 Light

Хамелеон Колонка-12 GSM

UltraSonic-6-SPY

UltraSonic-ТУБА-50-Light

UltraSonic Ураган

SPY-box Шкатулка-1 Smart-П

SPY-box Шкатулка-2 GSM-VIP

Нано Чехол 7 Mini

Нано Чехол 7+

Чехол Плашет-1 (кожа)

Чехол Планшет-2 (искожа)

Нано-чехол RFID protect key-03

Терминатор 25-5G

Терминатор-20G

Терминатор 10XL

Скорпион 8XL

Скорпион-Хищник

Терминатор 300

Терминатор 150

Аллигатор 100

Аллигатор 80 ЕГЭ

Аллигатор 80

Аллигатор 40 ЕГЭ

Скремблер GUARD Bluetooth

Изменитель голоса Bluetooth Voice Changer

Направленный микрофон Супер ухо SD-REC

Направленный микрофон Супер 100

Какие бывают направленные микрофоны
Главными отличиями микрофонов направленного действия от обычных приёмников звука являются.

Виды и особенности направленных микрофонов
Основным предназначением направленных микрофонов является контроль акустических сигналов на открытой местности.

Направленные микрофоны
Для наблюдения за жизнью лесных птиц на расстоянии используются микрофоны направленно действия.

Устройства защиты информации
Устройства защиты информации представляют собой.

Технические средства защиты информации
Для многих компаний и отдельных лиц нередко стоит.

Средства защиты конфиденциальной информации от утечки
Для любого бизнес-процесса да и личной жизни очень важно.

Криптографические средства защиты: что это такое

Рассказываем, что такое СКЗИ, какие они бывают и как регулируются законом.

Эта инструкция — часть курса «Введение в сетевую безопасность».

Смотреть весь курс

Изображение записи

Криптографическое шифрование данных — это процесс преобразования информации с помощью кодирования.

Сообщение шифруется с помощью специального алгоритма (ключа) и отправляется получателю. Получатель, в свою очередь, использует аналогичный алгоритм расшифровки. В итоге информация защищена от получения третьими лицами и возможного использования ее злоумышленниками.

В современном мире этот метод технологии шифрования называется симметричным криптографическим ключом.

Цели и методы криптографической защиты информации

Цель криптографической защиты — обеспечение конфиденциальности и защиты информации в сетях в процессе ее обмена между пользователями.

Криптографическая защита информации в основном используется при:

  • обработке, использовании и передаче информации,
  • обеспечении целостности и достоверности целостности (алгоритмы электронной подписи),
  • алгоритмах, обеспечивающих аутентификацию пользователей или устройств, а также при защите элементов аутентификации.

Классы криптографической защиты информации

Криптографию можно разделить на три различных типа:

  • криптография с секретным ключом,
  • криптография с открытым ключом,
  • хеш-функции.

Симметричная криптография

Криптография с секретным ключом, или симметричная криптография, использует один ключ для шифрования данных. И для шифрования, и для дешифровки в симметричной криптографии используется один и тот же ключ. Это делает данную форму криптографии самой простой.

Криптографический алгоритм использует ключ в шифре для шифрования данных. Когда к данным нужно снова получить доступ, человек, которому доверен секретный ключ, может расшифровать данные.

Криптография с секретным ключом может использоваться как для данных, которые передаются в мети на данный момент, так и для данных в состоянии покоя — на носителе. Но обычно она используется только для данных в состоянии покоя, поскольку передача секрета получателю сообщения может привести к компрометации.

Пример алгоритмов симметричной криптографии:

Как происходит симметричное шифрование

Асимметричная криптография

Криптография с открытым ключом, или асимметричная криптография, использует два ключа для шифрования данных. Один из них используется для шифрования, а другой ключ расшифровывает сообщение. В отличие от симметричной криптографии, если один ключ используется для шифрования, этот же ключ не может расшифровать сообщение, для этого используется другой ключ.

Один ключ хранится в тайне и называется «закрытым ключом», а другой — «открытый ключ» — находится в открытом доступе и может быть использован любым человеком. Закрытый ключ должен оставаться только у владельца. Открытый ключ может быть передан другому человеку.

Примеры алгоритмов асимметричной криптографии:

Как происходит асимметричное шифрование

Хеш-функции

Хеш-функции — это необратимые, односторонние функции, которые защищают данные ценой невозможности восстановить исходное сообщение.

Хеширование — способ преобразования заданной строки в строку фиксированной длины. Хороший алгоритм хеширования будет выдавать уникальные результаты для каждого заданного входа. Единственный способ взломать хеш — попробовать все возможные входы, пока не получится точно такой же хеш. Хеш может использоваться для хеширования данных (например, паролей) и в сертификатах.

Примеры алгоритмов хэширования:

Требования при использовании СКЗИ

На территории Российской Федерации регулирующим органам в вопросах информационной безопасности является ФСБ России. Типовые требования обеспечения и организации работы криптографических средств для материалов, не содержащих государственную тайну и используемых в процессе обработки персональных данных, были утверждены в ФЗ-149 (2008 г.).

В нем закреплен свод правил для урегулирования создания криптографических средств защиты информации и их применения.

Закон регулирует отношения, возникающие при:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации,
  • применении информационных технологий,
  • обеспечении защиты информации.

Также этот закон включает:

  • четкое разъяснение понятий информации, а также прав доступа к ней, возможного ее носителя, его обязанностей и возможностей и допустимых действий с этой информацией,
  • описание особенности государственного регулирования в сфере информационных технологий,
  • описание ответственности за правонарушения в сфере действия данного законодательства.

Стоит отметить, что, несмотря на срок выпуска документа, информация в нем регулярно обновляется в соответствии с актуальными мировыми тенденциями в рамках информационной безопасности. Подробнее с видом документа можно ознакомиться по ссылке.

А что за границей?

Одним из примеров требований по защите информации на Западе можно назвать стандарты GO-ITS (The Government of Ontario Information Technology Standards). Согласно им, криптографические материалы должны быть надежно защищены, включая создание, хранение, распространение, использование, отзыв, уничтожение и восстановление ключей.

Требования подразделяются на различные области:

Образование и обучение. Технический персонал, который разрабатывает, внедряет или управляет системами, должен быть осведомлен о требованиях к криптографии в соответствии со стандартом.

Информация в хранилище. Чувствительная информация должна быть зашифрована при хранении или храниться в оперативном режиме с использованием безопасных хэш-функций. Зашифрованные конфиденциальные данные, хранящиеся более двух лет, должны быть зашифрованы. Если ответственность за зашифрованные данные передается другой организации, данные должны быть зашифрованы повторно, с помощью нового ключа.

Мобильные устройства, такие как смартфоны, планшеты, съемные носители, портативные компьютеры, которые обрабатывают или хранят конфиденциальные данные, должны шифровать все хранилище устройства. Если конфиденциальные данные хранятся на настольных компьютерах, эти данные должны быть зашифрованы. Чувствительные данные должны быть зашифрованы на уровне столбцов или полей/ячеек данных перед записью в хранилище данных.

Безопасность коммуникаций. Чувствительная информация должна быть зашифрована при передаче с помощью соответствующих средств. Целостность конфиденциальных данных должна проверяться с помощью утвержденного кода аутентификации сообщения или цифровой подписи. Цифровые подписи должны использовать точную временную метку из доверенного источника времени.

Развертывание криптографии. Все приложения криптографии должны использовать генератор случайных чисел или генератор псевдослучайных чисел; проверять действительность сертификатов и использовать только действительные сертификаты. Приложения должны безопасно удалять расшифрованную информацию, хранящуюся в кэше или временной памяти, сразу после завершения соответствующей деятельности. Приложения, обрабатывающие конфиденциальные данные и имеющие к ним доступ, должны проходить тестирование и оценку безопасности (STE) перед внедрением.

Защита криптографических материалов. Доступ к криптографическим материалам должен быть ограничен авторизованными пользователями, приложениями или службами. Криптографические ключи должны быть защищены в соответствии с чувствительностью информации, которую они защищают. По возможности ключи должны генерироваться с помощью защищенного программного модуля или аппаратного модуля безопасности. Для генерации ключей, защищающих конфиденциальную информацию, модули должны быть локальными.

Работа СКЗИ и их применение

Принцип работы средств защиты криптографической информации заключается в следующем:

  • Пользователем создается документ, требующий пересылки.
  • С помощью ключа и средств защиты криптографической информации (специальных программ) к документу прибавляется специальный файл подписи, после чего они отправляются получателю.
  • Получатель декодирует файл при помощи средств защиты криптографической информации и проверяет, что в расшифрованный документ не вносились изменения.

Основными функциями средств (СКЗИ) являются:

  • создание электронных подписей,
  • проверка подлинности ЭП,
  • шифровка и дешифровка содержимого документа.

Виды СКЗИ для электронной подписи — программные и аппаратные СКЗИ

Электронная подпись (ЭП) – это специальные реквизиты документа, позволяющие подтвердить принадлежность определенному владельцу, а также отсутствие факта внесения изменений в документ с момента его создания. ЭП можно сравнить со средневековой восковой печатью, ставившейся на важные письма.

На данный момент существуют два вида средств, применяемых при криптографической защите информации: отдельно устанавливаемые программы и встроенные в устройство.

К первому типу относятся следующие программы:

  • КриптоПро CSP,
  • Signal-COM CSP,
  • VipNet CSP.

Они работают с основными ОС и сертифицированы в соответствии с актуальными ГОСТами. Основным их минусом является лицензирование: придется платить деньги за приобретение лицензии для каждого нового устройства.

К вшитым в устройство программам относятся:

  • Рутокен ЭЦП,
  • Рутокен ЭЦП 2.0,
  • JaCArta SE.

Используя данный тип СКЗИ, пользователь решает главную проблему предыдущего класса. Здесь устройству достаточно иметь доступ к сети, так как процесс шифрования и дешифровки производится внутри носителя. Основным правовым фактором, регулирующим деятельность в этой сфере, является ФЗ-63, подробнее о котором можно прочитать здесь.

Области использования электронной подписи

От пользователя может быть нужен как базовый сертификат, так и квалифицированный, в котором содержится специальный идентификатор. Квалифицированная электронная цифровая подпись отличается повышенной защищенностью.

Электронная отчетность. Это одна из главных сфер, где используется электронная подпись. При этом имеется в виду отчетность, которая предоставляется в различные государственные структуры: ФСС, ПФР, ФНС и прочие. При отправке документов требуется квалифицированный сертификат ЭП, который предоставляется уполномоченному сотруднику организации.

Системы госзакупок для различных бюджетных организаций. Они проводятся посредством аукционов, где требуется квалифицированная ЭП (на основании ФЗ-44 от 14.07.22) для подписания контрактов и прочих действий.

Электронный документооборот между компаниями (в случае подписания счет-фактуры). Здесь юридическую силу документа также гарантирует только квалифицированная ЭП.

На этом список применения ЭП не заканчивается: она также требуется для работы с порталами госструктур, таких как РКН, Госуслуги, Единый федеральный реестр сведений о банкротстве, Росимущество и прочих.

Алгоритмы электронной подписи

Целью цифровых подписей является аутентификация и проверка подлинности документов и данных. Это необходимо, чтобы избежать цифровой модификации (подделки) при передачи официальных документов.

Как правило, система с асимметричным ключом шифрует с помощью открытого ключа и расшифровывает с помощью закрытого ключа. Однако порядок, шифрующий ЭП, обратный. Цифровая подпись шифруется с помощью закрытого ключа, а расшифровывается с помощью открытого. Поскольку ключи связаны, расшифровка с помощью открытого ключа подтверждает, что для подписания документа был использован соответствующий закрытый ключ. Так проверяется происхождение подписи.

Проверка происхождения подписи

  • M — Обычный текст,
  • H — хеш-функция,
  • h — хеш-дайджест (хеш-сумма, также называемая дайджестом — в криптографии результат преобразования входного сообщения произвольной длины в выходную битовую строку фиксированной длины),
  • + — объединить и открытый текст, и дайджест,
  • E — шифрование,
  • D — расшифровка.

На изображении выше показан весь процесс — от подписания ключа до его проверки.

Рассмотрим каждый шаг подробнее:

  1. М, исходное сообщение сначала передается хеш-функции, обозначаемой H#, для создания дайджеста.
  2. Далее сообщение объединяется с хеш-дайджестом h и шифруется с помощью закрытого ключа отправителя.
  3. Он отправляет зашифрованный пакет получателю, который может расшифровать его с помощью открытого ключа отправителя.
  4. После расшифровки сообщения оно пропускается через ту же хэш-функцию (H#), чтобы сгенерировать аналогичный дайджест.
  5. Он сравнивает вновь сгенерированный хеш со свернутым хеш-значением, полученным вместе с сообщением. Если они совпадают, проверяется целостность данных.

Существует два стандартных для отрасли способа реализации вышеуказанной методологии: алгоритмы RSA и DSA. Оба служат одной и той же цели, но функции шифрования и дешифровки довольно сильно отличаются.

Что такое алгоритм RSA?

Алгоритм RSA — это алгоритм подписи с открытым ключом, разработанный Роном Ривестом, Ади Шамиром и Леонардом Адлеманом. Статья с описанием алгоритма была впервые опубликована в 1977 году. Он использует логарифмические функции для того, чтобы работа была достаточно сложной, чтобы противостоять перебору, но достаточно упрощенной, чтобы быть быстрой после развертывания. На изображении ниже показана проверка цифровых подписей по методологии RSA.

Проверка ЭП по методологии RSA

RSA также может шифровать и расшифровывать общую информацию для безопасного обмена данными наряду с проверкой цифровой подписи. На рисунке выше показана вся процедура работы алгоритма RSA.

Что такое алгоритм DSA?

Алгоритм цифровой подписи — это стандарт FIPS (Федеральный стандарт обработки информации) для таких подписей. Он был предложен в 1991 году и всемирно стандартизирован в 1994 году Национальным институтом стандартов и технологий (NIST). Алгоритм DSA обеспечивает три преимущества:

  • Аутентификация сообщения. Вы можете проверить происхождение отправителя, используя правильную комбинацию ключей.
  • Проверка целостности. Вы не можете подделать сообщение, так как это полностью предотвратит расшифровку связки.
  • Неотрицание. Отправитель не может утверждать, что он никогда не отправлял сообщение, если верифицирует подпись.

Проверка ЭП по методологии DSA

На рисунке выше показана работа алгоритма DSA. Здесь используются две различные функции — функция подписи и функция проверки. Разница между изображением типичного процесса проверки цифровой подписи и изображением выше заключается в части шифрования и дешифровки.

Правовое регулирование применения криптографических средств в РФ

Основным регулирующим документом является ФЗ-149. Однако он по большей части определяет участников процесса и их действия. Самим же объектом взаимодействия являются персональные данные пользователей — любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Положения о персональных данных, в том числе общедоступных персональных данных, оговорены в ФЗ-152.

Аттестованный сегмент ЦОД

Храните данные в соответствии с 152-ФЗ.

Этими законами определяется, что проводимые действия должны быть реализованы в данных подсистемах:

  • управления доступом,
  • регистрации и учета,
  • обеспечения целостности,
  • криптографической защиты,
  • антивирусной защиты,
  • обнаружения вторжений.

Также вся деятельность, связанная с оказанием услуг в сфере криптографической защиты, подлежит лицензированию, которая осуществляется ФСБ РФ. К требованиям лицензирования относится следующее:

  • Присутствие в организации специальных условий для соблюдения работы.
  • Наличие у компании лицензии на выполнение работ и оказание услуг при работе со сведениями, составляющими гостайну (например, создание средств криптозащиты).
  • Присутствие в штате компании квалифицированных сотрудников, имеющих специальное образование (обучение или переподготовка по направлению «Информационная безопасность») и опыт работы в сфере не менее пяти лет.
  • Предоставление ФСБ РФ лицензии и перечня используемых в работе СКЗИ со всей технической информацией.

К СКЗИ относятся следующие средства:

  • шифрования,
  • имитозащиты,
  • ЭП,
  • средства кодирования,
  • ключевые документы и средства для их изготовления,
  • аппаратные, программные и аппаратно-программные СКЗИ.

Некоторые СКЗИ бывают выведены из-под лицензирования. В их числе средства, применяемые для ИП или для собственных нужд юридических лиц. Подробнее об этом можно узнать непосредственно в ФЗ.

Защита криптографической информации в коммерческой деятельности

Современные предприятия хранят и управляют большей частью своей личной и конфиденциальной информации в режиме онлайн — в облаке с бесперебойным подключением к сети. Именно по этой причине компании включают шифрование в свои планы по обеспечению безопасности облачных данных. Им важно сохранить конфиденциальность и безопасность своих данных независимо от их местонахождения.

Для решения этой задачи применяются различные устройства шифрования, приборы защиты телефонии. СКЗИ применяется для офисного оборудования, такого как факсы, телекс или телетайп. Также в коммерческой отрасли применяется система электронных подписей, упомянутая выше.

Использование шифровальных криптографических средств в современном мире

Криптографическая защита информации и персональных данных является неотъемлемой частью любой информационной деятельности. В данный момент на рынке представлено множество средств для решения этой задачи. Среди них КриптоПро CSP, Signal-COM CSP, РуТокен ЭЦП и некоторые другие программы, рассмотренные в данном материале.

Область создания и применения СКЗИ находится под непосредственным контролем ФСБ РФ и ФСТЭК — любая информационная система согласовывается с этими органами.

Как просканировать сетевой периметр сервиса с помощью open source-инструментов

Что такое криптозащита

Криптографическая защита информации – деятельность, направленная на обеспечение конфиденциальности, контроля целостности и подлинности информации с использованием средств криптографической защиты информации.

(Национальный правовой Интернет-портал Республики Беларусь, 18.04.2013, 1/14225)
Нормативное определение (1)
+ Международные акты

«Криптографическая защита информации» — вид защиты информации, который реализуется путем преобразования информации с использованием специальных ключевых данных с целью сокрытия содержания информации, подтверждения ее истинности, целостности, авторства и т.п.

Ассоциативные связи

  • — ДЕЯТЕЛЬНОСТЬ, СВЯЗАННАЯ СО СПЕЦИФИЧЕСКИМИ ТОВАРАМИ (РАБОТАМИ, УСЛУГАМИ)
  • — ЗАЩИТА ИНФОРМАЦИИ ОГРАНИЧЕННОГО РАСПРОСТРАНЕНИЯ
  • — ЗАЩИТА ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (НСД)
  • — ЗАЩИТА ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ЕДИНОЙ БАЗЕ ДАННЫХ
  • — ЗАЩИТА СВЕДЕНИЙ, СОДЕРЖАЩИХСЯ В РЕСПУБЛИКАНСКОМ БАНКЕ ДАННЫХ
  • — КВАНТОВАЯ КРИПТОГРАФИЯ
  • — КОМПРОМЕТАЦИЯ КРИПТОГРАФИЧЕСКОГО КЛЮЧА
  • — КРИПТОАНАЛИЗ
  • — КРИПТОГРАФИЧЕСКАЯ АКТИВАЦИЯ
  • — КРИПТОГРАФИЯ
  • — НЕСАНКЦИОНИРОВАННОЕ ВОЗДЕЙСТВИЕ НА ИНФОРМАЦИЮ
  • — ОРГАН КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
  • — ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  • — ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ
  • — РЕЕСТР БЛОКОВ ТРАНЗАКЦИЙ (БЛОКЧЕЙН)
  • — СЕРТИФИКАЦИЯ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ
  • — СИММЕТРИЧНЫЙ АЛГОРИТМ
  • — СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  • — СРЕДСТВА ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
  • — СРЕДСТВО ЗАЩИТЫ ИНФОРМАЦИИ
  • — ТЕХНИЧЕСКИЕ МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Назад к поиску

Национальный центр правовой информации Республики Беларусь

Криптографическая защита информации

Современные средства криптографической защиты цифровой информации — базовый сегмент ИТ-индустрии. Данные в компьютерах, ноутбуках и смартфонах часто критически важны для владельцев, поэтому их хранение и обработка регулируются законодательными актами по информационной безопасности.

Требующая защиты информация встречается во всех областях человеческой деятельности:

  • в компаниях и организациях, работающих с госзаказами, возможны к использованию сведения, содержащие гостайну,
  • в бизнесе обрабатываются разнообразные файлы ограниченного доступа: финансовая информация, клиентские базы, деловая переписка, описания технологий и разработок,
  • у рядовых граждан имеется приватная информация и персональные данные, в том числе, находящиеся в распоряжении работодателей и различных организаций.

Цифровые данные обрабатываются и хранятся на различных устройствах, пересылаются по локальным сетям и Интернет, передаются по каналам связи. На этих этапах цифровая информация уязвима: может быть прочитана, подменена или уничтожена. Требуются технические, организационные и специальные меры по защите информации.

Нарушение безопасности

Для предотвращения несанкционированного (или злонамеренного) использования данных среди прочих способов используется криптографическая защита информации (КЗИ).

Уязвимости цифровых данных

Средства криптографической защиты информации (СКЗИ) используются для решения задач информационной безопасности.

Уязвимости цифровых данных

Для защиты информации применяется шифрование — метод представления открытого текста в виде набора символов, скрывающего его содержания. Шифрование используется повсеместно: зашифровываются документы, информация в БД, пересылаемые по сети сообщения, в зашифрованном виде хранятся пароли пользователей компьютера и т.д. Для зашифровывания и расшифровывания используются программные и аппаратно-программные системы и комплексы криптографической защиты.

КЗИ, как средство обеспечения информационной безопасности, применяется для проверки подлинности и целостности:

  • Такая проверка (аутентификация) должна подтвердить, что некто является владельцем представленной (например, переданной по каналу связи) информации, также она должна в максимальной степени затруднить злоумышленнику возможность выдать себя за другое лицо;
  • Целостность данных (имитозащита). Получатель должен быть уверен в том, что полученная им информация не изменялась. Злоумышленник, изменяя информацию, не должен суметь выдать её за истинную.

Криптографические методы защиты информации решают проблему неотрицания авторства:

  • Владелец данных не должен иметь возможность ложно заявлять, что доставленная от его имени информация ему не принадлежит. Например, после оформления контракта продавец не оспорит указанную в его документах цену на товар, если переданная информация подтверждена СКЗИ (инструмент криптографической защиты — электронная цифровая подпись).

Указанные методы реализуются программными и аппаратными средствами.

Классы защиты информации

Класс криптозащиты компьютерных систем определяется на основе оценки возможностей злоумышленников (модель нарушителя) по осуществлению возможных атак (модель угроз).

Класс криптозащиты компьютерных систем

Начальными классами защищённости при оценке информационной безопасности IT-инфраструктур являются КС1, КС2, КС3:

  • Класс КС1 выбирается в предположении, что атака на систему осуществляется с территорий, находящихся за пределами защищаемой области. Считается, что в число лиц осуществляющих атаку не входят профессионалы по анализу уязвимостей ПО и технических средств (ТС), дополнительно предполагается, что злоумышленники об атакуемой системе имеют информацию только из открытых источников.
  • Класс КС2 должен противостоять таким же угрозам, что и КС1, но предполагается, что лица осуществляющие атаку могут иметь доступ в защищаемую зону и располагают документацией о технических способах защиты атакуемых ИС.
  • Класс КС3, блокируя угрозы по классу КС2, должен противодействовать и атакам со стороны лиц, имеющих доступ и к оборудованию, обеспечивающему КЗИ.

Определяются и классы защиты систем, на которые могут быть нацелены более сложные атаки:

  • КВ — класс, выдерживающий все атаки КС3, но уровень защищённости должен быть выше, поскольку в осуществлении и планировании атак могут участвовать разработчики и аналитики используемых на объекте ПО и ТС. Предполагается, что эти специалисты имели возможность проводить исследования СКЗИ защищаемого объекта.
  • КА — это класс, способный противостоять всем угрозам КВ, но и дополнительно отражать атаки с участием лиц, знающих незадекларированные возможности системного ПО и ТС защищаемой системы, имевшие опыт по исследованию атак на системы с таким же оборудованием и ПО.

Точное определение классов защищённости систем приводится в регламентирующих законодательных и нормативных документах по вопросам информационной безопасности и защиты информации.

Создание защищенной IT-инфраструктуры предполагает использование ТС, ПО и средств криптографической защиты, обеспечивающих требуемый класс защищённости объектов.

IT-инфраструктуры

Классы защищённости, предъявляемые к отдельным компонентам различны — требуемый уровень защиты информации определяется особенностями данных и моделью нарушителя для конкретного компонента.

Соответствие элементов инфраструктуры классам КЗИ устанавливается по результату сертификационных испытаний и подтверждается соответствующим документом. Для проведения определенных видов работ наличие сертификатов соответствия классам КЗИ для компонентов ИТ-инфраструктуры (а также для инфраструктуры в целом) может потребоваться в обязательном порядке.

Средства криптозащиты компании С-Терра

Российская компания С-Терра CSP — разработчик программного обеспечения и программно-аппаратных средств криптографической защиты информации. Продукты компании имеют государственные сертификаты, позволяющие применять их в защищённых локальных и территориально-распределенных ИС.

При построении защищённых систем учитываются такие особенности, влияющие на информационную безопасность:

  1. В системе имеется одна или несколько (филиальных или кампусных) сетей.
  2. Если кампусных сетей несколько, то они связываются каналами связи. Каждая такая сеть может быть подключена к Интернет.
  3. Кампусные сети часто состоят из нескольких сегментов, соединенных коммутационным оборудованием.
  4. К кампусным сетям подсоединяются пользователи, работающие на удаленных рабочих местах. Таким пользователям нужен доступ к информационным ресурсам.
  5. К корпоративным сетям подключаются сотрудники, использующие мобильные устройства: смартфоны и планшетные компьютеры.

В ЛВС предприятия (или отдельных сегментах) содержатся данные, требующие защиты установленного уровня.

ЛВС предприятия

В подобных структурах применяются как внутренние, так и внешние коммуникации. Внешние подключения к кампусным сетям и коммуникации между филиалами должны быть защищены.

С-Терра предлагает аппаратные решения и программные комплексы для создания защищённых соединений.

Подсоединение клиентских устройств обеспечивает такое ПО:

  • продукты линейки S-Terra Клиент используются для установки на серверы, рабочие станции и другие устройства. Эти клиентские комплексы предназначены для защиты устройств и фильтрации входящего трафика, они могут использоваться как в корпоративных, так и в открытых (Интернет) сетях. Программные комплексы С-Терра для защиты клиентских устройств сертифицированы по классам КС1, КС2.
  • продукты С-Терра Клиент М применяются для устройств с ОС Android, для установки VPN-соединений с кампусными сетями. Продукт обеспечивает имитозащиту трафика, использует протокол IPSec.

Подключение удаленных пользователей к кампусной сети осуществляется через Интернет. Для защиты информации используется VPN-соединение (туннель), с одной стороны которого находится удаленная рабочая станция, а с другой — VPN-шлюз кампусной сети. К одному шлюзу могут подключиться несколько рабочих станций. VPN-шлюз выполняет зашифровывание, расшифровывание и фильтрацию, проходящих по туннелю пакетов.

vpn-соединение

Создание VPN-соединений поддерживает линейка продуктов С-Терра VPN с функциями аутентификации устройств, имитозащиты, шифрования и фильтрации трафика.

Пакеты внутрь сети VPN попадают расшифрованными, в результате удаленная рабочая станция воспринимается как внутренний узел локальной сети.

Коммуникация между территориально-разнесенными сетями выполняется через межсетевые шлюзы (криптошлюзы), выполняющие операции, связанные с защитой трафика.

Создание VPN-соединений

Для создания межсетевых соединений используются такие продукты компании:

  • С-Терра Шлюз ST — аппаратно-программный комплекс с функциями аутентификации и имитозащиты, выполняющий шифрование трафика и фильтрацию пакетов. Комплекс сертифицирован по классам КС1, КС2, КС3.
  • С-Терра Шлюз 10G — продукт, используемый для защиты высокоскоростных каналов межсетевых коммуникаций. Шлюз сертифицирован по классам КС1, КС2, КС3.
  • С-Терра Виртуальный Шлюз ST — программный комплекс для установки на виртуальные машины, сертифицирован по классу КС1. Предназначен для защиты облачного периметра, а также для защищённого взаимодействия виртуальных машин внутри облачной инфраструктуры.
  • С-Терра L2 — продукт, встраиваемый в ПО комплексов С-Терра Шлюз для создания защищённого соединения на уровне L2. Применяется для поддержки межсетевых соединений, в том числе, с IP-телефонией, видеосвязью и др.

Внутри сегмента кампусной сети обмен данными между рабочими станциями часто не шифруется (если необходимо, то используют S-Terra клиент), но межсегментный трафик фильтруется и шифруется, такая особенность защищает сеть от внутренних атак.

Межсегментные соединения внутри кампусных сетей строятся на шлюзах С-Терра, а также с применением других решениях, таких как С-Терра CSCO-STVM (для Cisco, с алгоритмами ГОСТ и сертификатом защищённости по классу КС1).

Решения С-Терра применяются для создания основы защищённой инфраструктуры корпоративных сетей в бизнесе, госучреждениях и в банковском секторе. Полный перечень продуктов, направленных на решение вопросов информационной безопасности, представлен на сайте компании ВИСТЛАН.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *