Основы информационной безопасности для организации ООО «СКБ Контур»

  Надежные  промышленные технологии биометрической идентификации должны быть созданы  в недалеком будущем, Gartner Group ожидает их появление не ранее, чем через 10 лет. 

6. Обоснование необходимости использования  ЭЦП и предложения  по её внедрению и  применению в информационном процессе организации

       Для подписания электронных документов или любых данных, предоставленных  в цифровой (электронной) форме, используется так называемая электронная цифровая подпись. Электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного  электронного документа от подделки и позволяющий идентифицировать владельца сертификата ключа  подписи, а также установить отсутствие искажения.

       Электронная цифровая подпись формируется с  помощью закрытого ключа, который  может храниться на дискете, в  системном реестре, на смарт-картах и т. д. ).1сктронная цифровая подпись может быть проверена с помощью открытого ключа, парного тому закрытому ключу, с помощью которого формировалась эта ЭЦП. Таким образом, зная открытый ключ пользователя, можно с точностью установить, подписывал ли он данный документ.

       Широкому  распространению средств ЭЦП  препятствует и отсутствие необходимой  инфраструктуры в виде удостоверяющих центров (УЦ) и центров сертификации.

       По  мнению многих экспертов, популяризация  ЭЦП в значительной мере сдерживается и таким субъективным фактором, как  психология пользователей. Например, многие руководители промышленных предприятий  и управленческих структур изначально скептически относятся к переходу на использование электронной подписи, и причиной этого является проблема отчуждаемости ЭЦП от ее владельца. В самом деле, подделать можно  и обычную подпись, причем настолько  искусно, что отличить ее от настоящей  позволит только тщательная графологическая  экспертиза, но вот «украсть» ее нельзя в принципе. С электронным  аналогом подписи подобное возможно, по крайней мере, в отношении брелока  или смарт-карты, на которой хранится секретный ключ. Как показывает практика, проблема отчуждаемости электронных  средств от их владельцев возникает  всякий раз, когда речь заходит о  технологических инновациях в сфере  персонифицированных средств (исключением, пожалуй, можно считать лишь область  биометрии).

      Невысокие темпы внедрения систем, поддерживающих сервисы ЭЦП, могут быть объяснены  следующими сдерживающими факторами:

• переход на безбумажную технологию продвигается медленно, в том числе из-за недоверия к надежности информационных систем и систем защиты информации;
• обилие прикладных информационных систем, не содержащих встроенную поддержку ЭЦП и других средств защиты;
• внедрение ЭЦП по приказу «сверху» без заинтересованности «снизу»;
• отсутствие отдельного бюджета на системы защиты;
• отсутствие подготовленных кадровых ресурсов, способных выстроить процесс внедрения и эксплуатации, включая поддержку необходимых регламентов работы;
• отсутствие корневого национального сертификата.

       Темпы внедрения ЭЦП могли быть гораздо  выше. Одной из непременных составляющих создания систем с поддержкой ЭЦП  должна стать система доверительных  отношений между информационными  ресурсами, содержащими конфиденциальности, так и во всей иерархической структуре  органов власти (так называемая доверенная среда). 
 

     Таблица 3. Некоторые криптографические алгоритмы, разработанные и применяемые

в России, США  и Европе

1 .Алгоритмы  являющиеся национальным стандартом  США.

2.Алгоритмы являющиеся  собственностью RSA Data Security, Inc. (США).

З.Алгоритм Дж. Месси - собственность Ascom-Tech AG (Швейцария).

4.Срок  действия патента на алгоритм  Диффи-Хеллмана (Diffie-Hellman) США истек 29 марта 1997 года.

5.Алгоритм Клауса  Шнора (Klaus Schnorr. Германия).

6.Алгоритм, разработанный  Давидом Шомом (David Chaum) - DigiCach BV (Нидерланды).

7.Алгоритмы,  являющиеся государственным стандартом  РФ.

8.Алгоритмы,  являющиеся собственностью "ЛАН"  Крипто (Россия).

7. Предложения по структуре СИБ  и размещению её элементов  в ЛВС  АПКУ организации. Схема ЛВС организации  с предлагаемыми  элементами СИБ

    Основываясь на критериях, которые выбирают эксперты (в данном случае ими являются квалифицированные  сотрудники «СКБ Контур») и составленной таблице различных средств информационной защиты и их характеристик (Приложение 4) можно предложить следующий комплекс системы информационной безопасности:

Характеристика  СИБ для «СКБ Контур» 

8. Основные  экономические характеристики СИБ и предложения  по этапности её внедрения

       Таким образом общая стоимость комплекса  средств защиты информации составила  366843,99 рублей. Безусловно, это необходимый минимум средств, в котором нуждается компания, для того чтобы обеспечить информационную безопасность.

       Вариант такого комплекса относительно недорог  и удобен тем, что систему возможно внедрить единовременно.

Рекомендательный  этап. Выполняется комплекс работ, связанный с размещением элементов СИБ в узлах ЛВС, анализом полученных результатов. Основные внимание уделяется тестированию СИБ с использованием комплекса многофункциональных тестов, обеспечивающих предотвращение проникновения программных злоупотреблений, а также снижения потенциальной опасности потери ресурсов.

       Разрабатывается комплекс методических и инструктивных  материалов, описывающих реализацию СИБ, содержащий следующие разделы:

• ПОЛИТИКА - описание конечных целей защиты и подготовки персонала, а также мер, направленных на достижение целей защиты и обеспечивающих адекватную защиту (требования к защите и ее стоимость должны соответствовать ценности обрабатываемой информации);
• ТЕКУЩЕЕ СОСТОЯНИЕ - описание статуса объектов, субъектов и механизмов защиты в момент составления плана;
• РЕКОМЕНДАЦИИ - описание основных шагов для достижения целей защиты, обеспечивающих достижение целей политики безопасности, способов и механизмов ее реализации в конкретной системе;
• ОТВЕТСТВЕННОСТЬ - список лиц, ответственных за функционирвание средств защиты, а также зон ответственности;
• РАСПИСАНИЕ - описание порядка работы механизмов СИБ, включая меры контроля.

- ПЕРЕСМОТР  - описание положений плана, которые  периодически подвергаются пересмотру, а также содержание конкретных  организационно-технических мероприятий.

     Ввод  СИБ в эксплуатацию. В рамках заключительного этапа реализуется комплекс работ по обучению персонала, внедрению механизмов защиты и их тестированию на основе информации о новых угрозах и каналах утечки информации, модификации информационных и коммуникационных технологий.