«Современные проблемы обеспечения информационной безопасности»

В эпоху информационных технологий проблема обеспечения информационной безопасности телекоммуникационных систем и систем обработки информации от внешних воздействий приобретает первостепенное значение. От успешного решения этой проблемы зависит безопасность граждан, будущее страны.

На сегодняшний день в Республике Узбекистан уделяется особое внимание задачам и проблемам обеспечения информационной безопасности на государственном уровне. Об этом свидетельствуют законы Республики Узбекистан, указы и постановления Президента Республики Узбекистан, постановления Правительства и руководящие документы министерств и ведомств, связанные с регулированием различных аспектов в области информационных технологий.

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

Основные цели достижения высокого уровня информационной безопасности — это обеспечение конфиденциальности, целостности, доступности, подлинности и неотказуемости информации.

Средства обеспечения информационной безопасности можно разбить на четыре группы:
• организационные средства (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, имеющие дело с людьми);
• законодательные средства (стандарты, законы, нормативные акты и т.д.);
• программно-аппаратные средства (системы идентификации и аутентификации; системы шифрования дисковых данных; системы аутентификации электронных данных и т.д.);
• криптографические средства (электронная цифровая подпись, шифрования, аутентификация и др.).

Широкое применение компьютерных технологий и постоянное увеличение объема информационных потоков вызывает постоянный рост интереса к криптографии. Современные методы криптографии гарантируют практически абсолютную защиту данных, но всегда остается проблема надежности их реализации.

Другой важной проблемой применения криптографии является противоречие между желанием граждан защитить свою информацию и стремлением государственных спецслужб иметь возможность доступа к некоторой информации для пресечения незаконной деятельности. Чрезвычайно трудно найти неоспоримо оптимальное решение этой проблемы.

Без использования криптографии сегодня немыслимо решение задач по обеспечению безопасности информации, связанных с конфиденциальностью и целостностью, аутентификацией и невозможностью отказа от авторства. Если до 1990 г. криптография обеспечивала защиту исключительно государственных линий связи, то в наши дни использование криптографических методов получило широкое распространение благодаря развитию компьютерных сетей и электронного обмена данными в различных областях: финансах, банковском деле, торговле и т.д.

issled_19_09_2013_5

В настоящее время одним из наиболее эффективных и надежных методов обеспечения информационной безопасности являются криптографические методы. В связи с этим в 2007 году принято Постановление Президента Республики Узбекистан №ПП-614 «О мерах по организации криптографической защиты информации в Республике Узбекистан». Последние годы в Узбекистане разработан ряд государственных стандартов и нормативных документов в области криптографической защиты информации.

Принято различать два типа криптографических систем: симметричные и асимметричные. Для симметричных криптосистем, имеющих многовековую историю, характерна узость круга решаемых задач и потребность в надежном канале распределения ключей, и тем самым они обеспечивают стойкость к атакам.

В симметричных криптосистемах один и тот же ключ используется как для зашифровки, так и для расшифровки сообщения. Это означает, что этот ключ должен быть сначала передан по надежному каналу с тем, чтобы обе стороны знали его до того, как передавать зашифрованное сообщение по ненадежному каналу.

issled_19_09_2013_6

Асимметричная криптография, возникшая в середине семидесятых годов прошлого века, ориентирована на решение более широкого круга задач, таких как шифрование с открытым ключом, распределение секретных ключей по открытым каналам связи и электронная цифровая подпись документов в ситуациях отсутствия взаимного доверия между сторонами и т.п. При использовании криптографии с открытым ключом каждый обладает парой дополняющих друг друга ключей: открытым и закрытым. Каждый из ключей, входящих в пару, подходит для расшифровки сообщения, зашифрованного с применением другого ключа из той же пары. Зная открытый ключ, закрытый вычислить невозможно. Открытый ключ может быть опубликован и широко распространен по сетям коммуникаций.

issled_19_09_2013_7

Одним из обязательных атрибутов электронного документооборота является электронная цифровая подпись (ЭЦП), позволяющая как контролировать подлинность и целостность сообщений, так и достоверно устанавливать их авторство, в том числе и третьей стороне.

В настоящее время многие страны имеют алгоритмы электронной цифровой подписи. Например, в США используются DSA, в России — ГОСТ 34.10-94 и ГОСТ Р 34.10-2001, в Японии — ESIGH, в Европе — Schnorr, в Южной Корее — KCDSA, в Беларуси — СТБ 1176.2-99 и т.д. В последние годы в Узбекистане проводятся фундаментальные и прикладные научные исследования в области криптологии. ЭЦП является электронным аналогом обычной рукописной подписи и позволяет устанавливать подлинность источника подписанного сообщения. Однако возможности технологии ЭЦП несколько шире. Известно, например, что при заверении многостраничного документа приходится расписываться на каждой странице. Применение ЭЦП гарантирует защиту от подделки документов неограниченного объема и позволяет контролировать целостность сообщений. В настоящее время ведется последовательная работа по внедрению электронной цифровой подписи в системах электронного документооборота органов государственного управления. Внедрение электронной цифровой подписи в государственном управлении Республики Узбекистан позволит повысить оперативность и эффективность решения задач, результативность деятельности органов государственного управления и способствует вхождению Республики Узбекистан в мировое информационное сообщество.

Однако более надежным способом хранения аутентификационных данных признано использование специальных аппаратных средств. При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппаратно-программные системы, позволяющие хранить аутентификационные данные и криптографические ключи на сервере организации. Пользователи свободно могут работать на любом компьютере, имея доступ к своим аутентификационным данным и криптографическим ключам. Электронные USB-ключи и смарт-карты eToken представляют собой компактные устройства, предназначенные для обеспечения информационной безопасности корпоративных заказчиков и частных пользователей. В Узбекистане на основе государственных стандартов разработано аппаратно-программное средство «Е-Калит».

issled_19_09_2013_8

Задача определения эффективности средств защиты зачастую более трудоемкая, чем их разработка, требует наличия специальных знаний и, как правило, более высокой квалификации, чем задача разработки. Эти обстоятельства приводят к тому, что на рынке появляется множество средств криптографической защиты информации, про которые никто не может сказать ничего определенного. На сегодняшний день существуют хорошо известные и апробированные криптоалгоритмы, криптостойкость которых либо доказана математически, либо основана на необходимости решения математически сложной задачи (факторизации, дискретного логарифмирования и т.п.). Поэтому знание атак и дыр в криптосистемах, а также понимание причин, по которым они имели место, являются одним из необходимых условий разработки защищенных систем и их использования.

Необходимо отметить, что при экспорте оборудования информационно-коммуникационных технологий в другие страны в системе защиты информации используют программное обеспечение с более низкой криптостойкостью относительно их национального стандарта, поскольку национальные стандарты не используются в программных продуктах, предназначенных для экспорта. В этой связи, в настоящее время особо актуальной является проблема разработки, испытаний, внедрения и дальнейшего развития алгоритма и программы шифрования данных и электронной цифровой подписи для Республики Узбекистан.

Orphus system