«ОСНОВНЫЕ СОСТАВЛЯЮЩИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА. КЛЮЧИ ШИФРОВАНИЯ ДАННЫХ»

    Столь же тревожные результаты содержатся в обзоре InformationWeek, опубликованном 12 июля 1999 года. Лишь 22% респондентов заявили об отсутствии нарушений информационной безопасности. Наряду с распространением вирусов отмечается резкий рост числа внешних атак.

     Увеличение числа атак – еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении (выше мы указывали на ограниченность современной технологии программирования) и, как следствие, появляются новые виды атак.

    В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение всех составляющих ИБ – доступности, целостности или конфиденциальности. 
 

ПРИНЦИПЫ  ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. 

   Организация и функционирование системы информационной безопасности должны соответствовать следующим принципам:

- Обоснованность. Используемые возможности и средства  защиты информационных ресурсов должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности.

- Комплексность.  Предполагает обеспечение защиты  информационных ресурсов от возможных  угроз всеми доступными законными средствами, методами и мероприятиями, обеспечение согласованности организационных мер и мероприятий, инженерно-технических и программно-аппаратных средств, обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки и использования, во всех режимах функционирования.

- Непрерывность.  Означает постоянное поддержание  всей системы защиты в актуальном  состоянии и совершенствование  ее в соответствии с изменяющимися  условиями функционирования Банка.

- Законность. Предполагает разработку системы  информационной безопасности Банка  на основе Федерального законодательства  в области банковской деятельности, информатизации и защиты информации  и других нормативных актов  по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.

- Специализация.  Эксплуатация технических средств  и реализация системы мер по  обеспечению информационной безопасности должны осуществляться профессионально подготовленными специалистами.

- Взаимодействие  и координация. Означает осуществление  мер обеспечения информационной  безопасности на основе четкой  взаимосвязи соответствующих подразделений  и служб, координации их усилий для достижения поставленных целей.

- Совершенствование.  Предусматривает развитие мер  и средств обеспечения информационной  безопасности на основе собственного  опыта, появления новых технических  средств.

- Централизация  управления. Означает управление информационной безопасностью по единым организационным, функциональным и методологическим принципам. 
 

                                         ОТВЕТСТВЕННОСТЬ. 

   Ответственность за разглашение  сведений, составляющих коммерческую  тайну Банка, и утрату документов, изделий и магнитных носителей, содержащих такие сведения, устанавливается в соответствии с действующим законодательством Российской Федерации.

   Ответственность за разглашение  и утрату сведений, содержащих  коммерческую тайну, несет персонально каждый сотрудник Банка, имеющий доступ к ним. 
 

       ШИФРОВАНИЕ –МЕТОД ЗАЩИТЫ ИНФОРМАЦИИ.  

Испокон веков не было ценности большей, чем  информация. ХХ век - век информатики  и информатизации. Технология дает возможность передавать и хранить все большие объемы информации. Это благо имеет и оборотную сторону. Информация становится все более уязвимой по разным причинам:

• возрастающие объемы хранимых и передаваемых данных;

• расширение круга пользователей, имеющих доступ к ресурсам ЭВМ, программам и данным;

• усложнение режимов эксплуатации вычислительных систем.

Поэтому все большую важность приобретает  проблема защиты информации от несанкционированного доступа (НСД) при передаче и хранении. Сущность этой проблемы - постоянная борьба специалистов по защите информации со своими "оппонентами".

  Защита информации - совокупность мероприятий, методов и средств, обеспечивающих:

• исключение НСД к ресурсам ЭВМ, программам и  данным;

• проверку целостности информации;

• исключение несанкционированного использования программ (защита программ от копирования).

Очевидная тенденция к переходу на цифровые методы передачи и хранения информации позволяет применять унифицированные  методы и алгоритмы для защиты дискретной (текст, факс, телекс) и непрерывной (речь) информации.  

Испытанный  метод защиты информации от НСД - шифрование (криптография). Шифрованием (encryption) называют процесс преобразования открытых данных (plaintext) в зашифрованные (шифртекст, ciphertext) или зашифрованных данных в открытые по определенным правилам с применением ключей. В англоязычной литературе  зашифрование/расшифрование - nciphering/deciphering.

С помощью  криптографических методов возможно:

• шифрование информации;

• реализация электронной подписи;

• распределение  ключей шифрования;

• защита от случайного или умышленного изменения  информации.

К алгоритмам шифрования предъявляются определенные требования:

• высокий  уровень защиты данных против дешифрования и возможной модификации;

• защищенность информации должна основываться только на знании ключа и не зависеть от того, известен алгоритм или нет (правило Киркхоффа);

• малое  изменение исходного текста или  ключа должно приводить к значительному  изменению шифрованного текста (эффект "обвала");

• область  значений ключа должна исключать возможность дешифрования данных путем перебора значений ключа;

• экономичность  реализации алгоритма при достаточном  быстродействии;

• стоимость  дешифрования данных без знания ключа  должна превышать стоимость данных. 

                     

                        КЛЮЧИ СЕРТИФИКАТОВ. 

Цифровые  сертификаты используют ключи при  шифровании данных. Чтобы понять, каким  образом работают цифровые сертификаты, необходимо знать, что такое ключи  и для чего они предназначены. 

Примечание. Ключ – это фрагмент данных, используемый шифром для преобразования открытого текста в шифрованный текст. Шифром является математический алгоритм, выполняющий шифрование или дешифрование данных. 

Существует  два типа шифрования с использованием ключей. Они используются примерно в одинаковой степени.

Шифрование  на симметричном ключе. Для шифрования и расшифровки данных используется один и тот же ключ. Эта форма  шифрования более эффективна с точки  зрения скорости. При этом обеспечивается некоторый уровень безопасности, поскольку принимающая сторона должна знать ключ для расшифровки информации. Главным недостатком шифрования на симметричном ключе является то, что при вскрытии ключа злоумышленник сможет расшифровать данные. Он даже сможет зашифровать их и отправить принимающей стороне, выдав себя за легитимного отправителя.

Шифрование  на открытом ключе. Более сложный  процесс с точки зрения использования  ключей. IIS предоставляет на выбор  два алгоритма шифрования на открытом ключе – DH (Diffie-Hellman) и RSA (сокр. от имен разработчиков Ron Rivest, Adi Shamir и Leonard Adleman). RSA используется чаще всего, поэтому в данной лекции мы рассмотрим именно этот алгоритм. При шифровании на открытом ключе создается пара ключей – открытый ключ и секретный ключ. 

Открытый  ключ распространяется свободно. Данные, зашифрованные на открытом ключе, можно расшифровать только при помощи второй, секретной половины ключа. Поскольку владельцем данных являться человек, обладающий секретным ключом, то единственным человеком, который сможет прочитать данные после шифрования, будет тот, для кого они предназначены. Даже зашифровавший данные пользователь не сможет расшифровать их без секретного ключа. 

Секретный ключ, разумеется, необходимо содержать  в секрете. Его можно использовать для подписывания данных с целью подтверждения подлинности. Открытый ключ используется для проверки подлинности подписи и установления возможных искажений данных. Если данные зашифрованы при помощи секретного ключа, то без открытого ключа их не сможет расшифровать даже тот человек, который их зашифровал. Опять-таки, поскольку секретный ключ находится только у владельца, то данные являются подлинными. В противном случае, только владелец секретного ключа может просмотреть данные. 

По сравнению  с шифрованием на симметричном ключе шифрование на открытом ключе требует выполнения большего объема работы и является не столь эффективным. При шифровании больших объемов данных использование этого метода отрицательно сказывается на производительности. Тем не менее, можно использовать шифрование на открытом ключе для зашифровки симметричного ключа, после чего применить более эффективное симметричное шифрование для зашифровки остальных данных. Именно этот процесс лежит в основе функционирования SSL.

                           

                           МОЩНОСТЬ ШИФРОВАНИЯ. 

Мощность  шифрования зависит от длины ключа  и типа шифра, используемого для  шифрования. Сообщения, созданные при  помощи 128-битного ключа, взломать в 3х1026 раз сложнее, чем сообщения, созданные при помощи 40-битного  ключа. Это в некоторой степени объясняет то, почему правительство США раньше не разрешало экспортировать технологию, поддерживающую ключи длиной более 40 бит. В целях безопасности, правительство США отталкивалось от того факта, что оно сможет дешифровать перехваченные зашифрованные данные. Это гораздо сложнее сделать при использовании 128-битных ключей! Многое зависит и от того, какой именно шифр используется при шифровании данных. Например, данные, зашифрованные при помощи симметричного шифра (например, шифра DES – Data Encryption Standard) с применением 64-битного ключа, сопоставимы по уровню защищенности с сообщением, зашифрованным при помощи RSA на ключе длиной в 512 бит. 
 
 
 

        СХЕМА ШИФРОВАНИЯ С ОТКРЫТЫМ КЛЮЧОМ.  

Пусть K — пространство ключей, а e и d — ключи шифрования и расшифрования соответственно. Ee — функция шифрования для произвольного ключа eK, такая что:

Ee(m) = c

Здесь cC, где C — пространство шифротекстов, а mM, где M — пространство сообщений.

Dd — функция  расшифрования, с помощью которой  можно найти исходное сообщение m, зная шифротекст c :

Dd(c) = m

{Ee: eK} —  набор шифрования, а {Dd: dK} — соответствующий  набор для расшифрования. Каждая  пара (E,D) имеет свойство: зная Ee, невозможно  решить уравнение Ee(m) = c, то есть  для данного произвольного шифротекста cC, невозможно найти сообщение mM. Это значит, что по данному e невозможно определить соответствующий ключ расшифрования d. Ee является односторонней функцией, а d — лазейкой.[3] 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

                            СПИСОК ЛИТЕРАТУРЫ. 
 

1. Мельников Ю. Н., Теренин А. А. Возможности нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак // Банковские технологии. 2003.