Информация под защитой

Вначале несколько слов о понятийном аппарате, принятом в этой области. Многие основополагающие понятия и термины, используемые в сфере защиты информации, носили до последнего времени закрытый характер и до настоящего времени не определены и не введены в обиход на общегосударственном уровне. Это относится к понятиям "шифрование", "защищенные технические средства". Не имеет общепринятого определения и такой основополагающий термин, как "вид деятельности".

Поэтому приведем несколько основопологающих определений:

Защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.

Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты информации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Ключ - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности возможных для данного алгоритма преобразований.

Шифровальные средства (средства криптографической защиты информации) -
• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации (в том числе и входящие в системы и комплексы защиты информации от несанкционированного доступа), циркулирующей в технических средствах, при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;
• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и электронной цифровой подписи;
• аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для изготовления и распределения ключевых документов, используемых в шифровальных средствах, независимо от вида носителя ключевой информации;
• ручные шифры, документы кодирования и другие носители ключевой информации.

Кто контролирует эту сферу? Выдает лицензии на деятельность в этой сфере и сертификаты на подобную продукцию Центр по лицензированию, сертификации и защите государственной тайны ФСБ России (Центр «ЛСЗ» ФСБ России) в структуре органов федеральной службы безопасности. Он является головным подразделением, уполномоченным на организацию и осуществление лицензирования деятельности предприятий, учреждений и организаций.

Что подлежит лицензированию и сертификации в этой системе ? Все виды деятельности и продукцию, подлежащую лицензированию, можно условно разделить на две группы:
1.Деятельность и продукция, связанные с шифровальными (криптографическими) средствами, связанные с обеспечением государственной тайны.
2.Деятельность и продукция, связанная шифровальными (криптографическими) средствами, которые не связанны с обеспечением государственной тайны.

По нашему мнению, наибольший интерес для читателя может представлять вторая группа.

Все, что подлежит лицензированию и сертификации в рассматриваемой нами сфере, перечислено в ПОСТАНОВЛЕНИИ N 957 от 29 декабря 2007 г. ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЙ О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ, СВЯЗАННЫХ С ШИФРОВАЛЬНЫМИ (КРИПТОГРАФИЧЕСКИМИ) СРЕДСТВАМИ»

В качестве примера приведем два виды продукции, распространение которых не подпадает под действие Постановления (именно в таком виде представлена информация в этом документе):
• портативные или мобильные радиотелефоны гражданского назначения (в том числе предназначенные для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию;
• шифровальные (криптографические) средства, независимо от их назначения, реализующие симметричные криптографические алгоритмы и обладающие максимальной длиной криптографического ключа менее 56 бит, а также реализующие асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит.

При рассмотрении первой группы (мобильные телефоны) следует обратить внимание на ключевую фразу: не способные к сквозному шифрованию. Если вы собираетесь поставлять в Россию мобильные телефоны, способные к сквозному шифрованию (end-to-end encyption), то есть со встроенной функцией сквозного шифрования, вам потребуется :
• провести испытание продукции в одной из аккредитованых организаций ( список организаций в системе сертификации средств криптографической защиты информации POCC RU.0001.030001 в качестве испытательных лабораторий по проведению сертификационных испытаний вы можете найти на сайте ФСБ РФ по адресу http://www.fsb.ru/fsb/supplement/contact/lsz/ssskzi.htm )
• получить сертификат в Центре «ЛСЗ» ФСБ России
• получить лицензию, позволяющую распространять продукцию (если вы собираетесь распространять продукцию самостоятельно)

Примером продукции со встроенной функцией сквозного шифрования являются многие смартфоны.

При рассмотрении второй группы (шифровальные средства) ключевыми информацией является максимально возможный размер ключей: 56 бит и 128 бит. Криптографическая защита с ключами подобной длины, по мнению специалистов, позволяет, с одной стороны, защитить потребителя от несанкционированного доступа непрофессионального взломщика ( хакера), а с другой стороны, обеспечить государственным структурам ( в случае необходимости ) доступ к информации, защищённой подобным ключом. В США законодательно запрещен экспорт программного обеспечения и криптографической техники с ключами больше указанной выше длины. Тем не менее, некоторые виды программного обеспечения попадают на рынок с ключами большей длины. Примером подобной продукции могут служить некоторые виды VPN (Virtual Private Network).