Verwendung von Verschlüsselung in russischen Unternehmen

    Einleitung


    Vor etwas mehr als zwei Jahrzehnten lag die Geheimhaltung der Kryptographie in Russland in etwa auf dem Niveau der Technologie zur Herstellung von Waffen - ihre praktische Anwendung lag ausschließlich im Bereich des Militärs und der Sonderdienste, das heißt, sie befand sich vollständig unter staatlicher Kontrolle. Veröffentlichungen und wissenschaftliche Arbeiten zu diesem Thema waren nicht öffentlich zugänglich - das Thema Kryptographie wurde geschlossen.

    Die Situation änderte sich erst 1990, als der Verschlüsselungsstandard GOST 28147-89 eingeführt wurde . Ursprünglich hatte der Algorithmus einen Spanplattenhals und wurde erst 1994 offiziell "vollständig offen".

    Es ist schwierig, genau zu sagen, wann in der russischen Kryptographie ein Informationsdurchbruch erzielt wurde. Höchstwahrscheinlich geschah dies, als das Internet für die breite Öffentlichkeit zugänglich wurde. Danach wurden zahlreiche Materialien mit Beschreibungen von kryptografischen Algorithmen und Protokollen, Artikeln zur Kryptoanalyse und anderen Informationen zur Verschlüsselung im Netzwerk veröffentlicht.

    Unter diesen Umständen könnte die Kryptographie nicht länger das alleinige Vorrecht des Staates bleiben. Darüber hinaus erforderte die Entwicklung von Informationstechnologie und Kommunikation die Verwendung von kryptografischem Schutz durch kommerzielle Unternehmen und Organisationen.



    Heutzutage umfassen die Mittel zum Schutz kryptografischer Informationen (CPSI):Mittel zur Verschlüsselung, Mittel zum Nachahmungsschutz, Mittel zur elektronischen digitalen Signatur, Mittel zur Codierung, Mittel zur Erstellung von Schlüsseldokumenten und die Schlüsseldokumente selbst . [4, p2-3.]

    Der Rest des Artikels wird diskutieren, welche praktische Anwendung derzeit Verschlüsselung und kryptografischer Informationsschutz in russischen Unternehmen und Organisationen finden. Folgende Bereiche werden berücksichtigt:

    • Schutz personenbezogener Dateninformationssysteme;
    • Schutz vertraulicher Unternehmensinformationen;
    • Verschlüsselung von Unternehmens-E-Mails;
    • Erstellung und Überprüfung von digitalen Signaturen.

    Verwendung von Kryptografie und kryptografischem Schutz in russischen Unternehmen


    1. Die Einführung von Kryptowährungen in Schutzsystemen für personenbezogene Daten

    Die Tätigkeit fast aller russischen Unternehmen ist heute mit der Speicherung und Verarbeitung personenbezogener Daten (PD) verschiedener Kategorien verbunden, deren Schutz in den Rechtsvorschriften der Russischen Föderation eine Reihe von Anforderungen festlegt [1]. Für ihre Umsetzung muss die Unternehmensleitung zunächst ein Bedrohungsmodell für personenbezogene Daten erstellen und auf dessen Grundlage ein Schutzsystem für personenbezogene Daten entwickeln , das ein Tool zum Schutz kryptografischer Informationen umfassen sollte. [2, S. 1.]

    Für das im Schutzsystem für personenbezogene Daten implementierte Schutzsystem für kryptografische Informationen werden folgende Anforderungen gestellt:

    • Das kryptografische Tool sollte reibungslos in Verbindung mit Hardware und Software funktionieren, die die Erfüllung der Anforderungen beeinträchtigen können. [3, S. 15.]
    • Um die Sicherheit personenbezogener Daten während ihrer Verarbeitung zu gewährleisten, sollten Kryptowährungen verwendet werden, die im Zertifizierungssystem des FSB Russlands zertifiziert sind. [3, S. 15.]

    Ein kryptografisches Tool kann abhängig von der von ihm bereitgestellten Schutzstufe einer von sechs Klassen zugeordnet werden (KC1, KC2, KS3, KV1, KV2, KA1). Die Einführung einer Kryptowährung der einen oder anderen Klasse mit einem Schutzsystem wird durch die Kategorie des Eindringlings (Angriffsgegenstand) bestimmt, die vom Betreiber im Bedrohungsmodell festgelegt wird.

    So werden kryptografische Schutztools heute von Unternehmen und Organisationen effektiv zum Schutz der personenbezogenen Daten russischer Staatsbürger eingesetzt und sind eine der wichtigsten Komponenten in Schutzsystemen für personenbezogene Daten.

    2. Schutz von Unternehmensinformationen

    Wenn in Klausel 1 die Verwendung von krpitogarficheskikh-Mitteln in erster Linie auf die Anforderungen der Gesetzgebung der Russischen Föderation zurückzuführen ist, ist in diesem Fall die Geschäftsführung des Unternehmens selbst an der Anwendung des CIPF interessiert. Mit einem Verschlüsselungstool kann das Unternehmen seine Unternehmensinformationen schützen - Informationen, die Geschäftsgeheimnisse, geistiges Eigentum, betriebliche und technische Informationen usw. darstellen.

    Heutzutage muss ein Verschlüsselungsprogramm für eine effektive Verwendung in einer Unternehmensumgebung Folgendes bieten:

    • Datenverschlüsselung auf einem entfernten Server;
    • Unterstützung für asymmetrische Kryptographie;
    • transparente Verschlüsselung;
    • Verschlüsselung von Netzwerkordnern;
    • die Fähigkeit, Zugriffsrechte auf vertrauliche Informationen zwischen Mitarbeitern des Unternehmens zu unterscheiden;
    • die Fähigkeit, private Schlüssel auf externen Speichermedien (Token) zu speichern.

    Die zweite Anwendung des Schutzes kryptografischer Informationen ist der Schutz vertraulicher Unternehmensinformationen. Ein Verschlüsselungstool, das die oben genannten Funktionen unterstützt, kann einen recht zuverlässigen Schutz bieten, sollte jedoch auf jeden Fall als Teil eines integrierten Ansatzes zum Schutz von Informationen verwendet werden. Dieser Ansatz beinhaltet zusätzlich die Verwendung von Firewalls, Antivirenprogrammen und Firewalls sowie die Entwicklung eines Modells für Bedrohungen der Informationssicherheit, die Entwicklung der erforderlichen Richtlinien für die Informationssicherheit, die Ernennung von Verantwortlichen für die Informationssicherheit, die Verwaltung elektronischer Dokumente, die Kontrolle und Überwachung von Mitarbeitern usw.

    3. Elektronische Unterschrift

    Die elektronische Signatur (EP) ist heute eine vollwertige Entsprechung einer handschriftlichen Signatur und kann von juristischen Personen und Personen verwendet werden, um einem digitalen Dokument Rechtskraft zu verleihen. Die Verwendung elektronischer Dokumente in elektronischen Dokumentenverwaltungssystemen beschleunigt den Abschluss von Handelsgeschäften erheblich, reduziert das Volumen von Papierdokumenten für die Buchhaltung und spart den Mitarbeitern Zeit. Darüber hinaus reduziert EP die Kosten des Unternehmens für den Abschluss von Verträgen, die Erstellung von Zahlungsdokumenten, den Erhalt verschiedener Zertifikate von Regierungsbehörden und vieles mehr.

    Kryptografische Schutzwerkzeuge enthalten in der Regel Funktionen zum Erstellen und Überprüfen elektronischer Signaturen. Die folgenden Anforderungen werden von einer solchen Gesetzgebung durch die russische Gesetzgebung gestellt [5, S. 3.]:

    Beim Erstellen von ES müssen sie:
    • Zeigen Sie der Person, die das elektronische Dokument signiert, den Inhalt der von ihr signierten Informationen.
    • Erstellung einer elektronischen Signatur nur nach Bestätigung durch die Person, die das elektronische Dokument des Vorhabens zur Erstellung einer elektronischen Signatur unterzeichnet;
    • Zeigen Sie eindeutig, dass die elektronische Signatur erstellt wurde.

    Bei der Überprüfung von ES müssen sie:
    • Zeigen Sie den Inhalt eines elektronischen Dokuments, das mit einer elektronischen Signatur signiert ist.
    • Informationen zu Änderungen des unterzeichneten elektronischen Dokuments anzeigen;
    • Geben Sie die Person an, die den elektronischen Schlüssel verwendet, dessen elektronische Dokumente signiert sind.

    4. E-Mail-Verschlüsselung

    Für die meisten Unternehmen ist E-Mail das primäre Kommunikationsmittel zwischen den Mitarbeitern. Es ist kein Geheimnis, dass Unternehmens-E-Mails heute eine große Menge vertraulicher Informationen senden: Verträge, Rechnungen, Informationen zu Produkten und Preisrichtlinien des Unternehmens, Finanzkennzahlen usw. Wenn diese Informationen Wettbewerbern zur Verfügung stehen, kann dies dem Unternehmen erheblichen Schaden zufügen bis zur Beendigung seiner Tätigkeit.

    Daher ist der Schutz von Unternehmenspost ein äußerst wichtiger Bestandteil bei der Gewährleistung der Informationssicherheit eines Unternehmens, dessen Implementierung auch dank der Verwendung von Kryptografie- und Verschlüsselungstools möglich ist.

    Die meisten E-Mail-Clients wie Outlook, Thinderbird, The Bat!Mit dieser Option können Sie den Austausch verschlüsselter Nachrichten basierend auf öffentlichen und privaten Schlüsselzertifikaten (Zertifikate in den Formaten X.509 und PKCS # 12) konfigurieren, die mit kryptografischem Schutz erstellt wurden.

    Erwähnenswert ist auch die Möglichkeit, kryptografische Tools als Zertifizierungsstellen (CA) einzusetzen. Der Hauptzweck des Zertifizierungszentrums besteht darin, Verschlüsselungszertifikate auszustellen und die Authentizität von Verschlüsselungsschlüsseln zu bestätigen. Gemäß russischem Recht sind Zertifizierungsstellen in Klassen (KS1, KS2, KS3, KV1, KV2, KA1) unterteilt, für die jeweils eine Reihe von Anforderungen gelten [5]. Gleichzeitig sollte die Klasse der in CA-Tools verwendeten Schutzgeräte für kryptografische Informationen nicht niedriger sein als die entsprechende Klasse von CAs [5, S. 14.].

    Verwenden von CyberSafe Enterprise


    Bei der Entwicklung des CyberSafe Enterprise- Programms haben wir versucht, alle oben genannten Funktionen zu berücksichtigen, einschließlich der Funktionen, die im Funktionsumfang des Programms enthalten sind. Daher unterstützt es die in Abschnitt 2 dieses Artikels aufgeführten Funktionen, die E-Mail-Verschlüsselung, die Erstellung und Überprüfung digitaler Signaturen sowie die Arbeit als Zertifizierungsstelle.

    Das Vorhandensein eines öffentlichen Schlüsselservers in CyberSafe ermöglicht es Unternehmen, einen bequemen Schlüsselaustausch zwischen ihren Mitarbeitern zu organisieren, bei dem jeder seinen öffentlichen Schlüssel veröffentlichen und die öffentlichen Schlüssel anderer Benutzer herunterladen kann.

    Darüber hinaus werden wir uns eingehender mit der Möglichkeit befassen, CyberSafe Enterprise in Schutzsysteme für personenbezogene Daten einzuführen. Diese Möglichkeit besteht dank der Unterstützung des Kryptografiedienstprogramms.CryptoPro CSP , zertifiziert vom Föderalen Sicherheitsdienst der Russischen Föderation als kryptografisches Informationsschutzsystem der Klassen KS1, KS2 und KS3 (je nach Version) und festgelegt in Abschnitt 5.1 der „Methodischen Empfehlungen zur Gewährleistung der Sicherheit personenbezogener Daten mit kryptografischen Mitteln“ :
    "Das Einbetten von Kryptowährungen der Klassen KC1 und KC2 erfolgt ohne Kontrolle durch das russische FSB (sofern diese Kontrolle nicht durch die technische Aufgabe für die Entwicklung (Modernisierung) des Informationssystems vorgesehen ist)."

    Durch die Integration des integrierten CryptoPro CSP CIP kann das CyberSafe Enterprise-Programm in das Schutzsystem für personenbezogene Daten der Klassen KC1 und KC2 integriert werden.

    Nach der Installation von CryptoPro CSP auf dem Computer eines Benutzers kann beim Erstellen eines Zertifikats in CyberSafe Enterprise ein CryptoPro-Zertifikat erstellt werden: Wählen Sie als



    Nächstes den Speicherort des CryptoPro-Containers für private Schlüssel aus und legen Sie ein Kennwort für den Container fest. Die Registrierung des Betriebssystems oder Wechselmedien (Token) können zum Speichern verwendet werden:





    Nach Abschluss der Erstellung des CyberSafe-Zertifikats werden auch CryptoPRO-Schlüssel erstellt, auf Ihrem Stapel angezeigt und können verwendet werden:



    Für den Fall, dass CryptoPro-Schlüssel in eine separate Datei exportiert werden müssen, kann dies über die standardmäßige CyberSafe-Schlüsselexportfunktion erfolgen:



    Wenn Sie Dateien für die Übertragung an andere Benutzer verschlüsseln (oder mit Ihrer digitalen Signatur signieren) und CryptoPro-Schlüssel aus der Liste verwenden möchten verfügbare Kryptografieanbieter müssen Sie CryptoPro auswählen:



    Wenn Sie CryptoPro-Schlüssel für die transparente Dateiverschlüsselung verwenden möchten, sollten Sie im Zertifikatauswahlfenster auch einen Kryptografieanbieter auswählen Angeben von CryptoPro:



    In CyberSafe können Sie CryptoPro und den GOST-Algorithmus verwenden, um logische Datenträger / Partitionen zu verschlüsseln und virtuelle verschlüsselte Datenträger zu erstellen.





    Außerdem kann die Konfiguration auf der Grundlage von CryptoPro-Zertifikaten erfolgenE-Mail-Verschlüsselung . In KryptoPro CSP sind die Algorithmen zum Generieren und Überprüfen von ES gemäß den Anforderungen des Standards GOST R 34.10-2012 implementiert, der Datenverschlüsselungs- / Entschlüsselungsalgorithmus ist gemäß den Anforderungen des Standards GOST 28147-89 implementiert.

    Heute ist CyberSafe das einzige Programm, das die Funktionen zum Verschlüsseln von Dateien, Netzwerkordnern, logischen Laufwerken, E-Mails und die Fähigkeit, als Zertifizierungsstelle mit Unterstützung für die Verschlüsselungsstandards GOST 28147-89 und GOST R 34.10-2012 zu arbeiten, kombiniert.

    Dokumente:

    1. Bundesgesetz "Über personenbezogene Daten" vom 27. Juli 2006 Nr. 152-FZ.
    2. Die Bestimmung zur Gewährleistung der Sicherheit personenbezogener Daten während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten , die durch den Erlass der Regierung der Russischen Föderation vom 17. November 2007 Nr. 781 gebilligt wurde.
    3. Methodische Empfehlungen zur Gewährleistung der Sicherheit personenbezogener Daten mit Kryptowährungen während ihrer Verarbeitung in Informationssystemen für personenbezogene Daten Daten unter Verwendung von Automatisierungstools, die am 21. Februar 2008 vom Management des 8. Zentrums des russischen FSB Nr. 149 / 54-144 genehmigt wurden.
    4. Verordnung über die Entwicklung, Herstellung, den Verkauf und den Betrieb von (kryptografischen) Verschlüsselungsmitteln zum Schutz von InformationenGenehmigt durch Beschluss des Föderalen Sicherheitsdienstes der Russischen Föderation vom 9. Februar 2005 Nr. 66.
    5. Anforderungen an elektronische Signaturmittel und Anforderungen an Mittel eines Zertifizierungszentrums , genehmigt durch Beschluss des Föderalen Sicherheitsdienstes der Russischen Föderation vom 27. Dezember 2011 Nr. 796.

    Jetzt auch beliebt: