Из представленного ранее материала становится понятным, что эксплуатация СКЗИ с точки зрения государственного регулятора не может происходить неким хаотичным образом. Многие требования достаточно четко определены и обязательны к исполнению. В части 4 настоящей статьи уже было упомянуто, что обладатель информации принимает решение о необходимости использования криптографической защиты или отсутствии таковой.
Мошенничество по отношению к владельцам сотовых телефонов достаточно распространено. Иногда, складывается впечатление, что борьба с мошенничеством приводит к его росту. Возможно это пессимистичное утверждение навеяно пасмурно-осенней погодой в июле. А может быть нежеланием связываться рядовым гражданам, юридическим лицам со «смешными» суммами, которыми оперируют мошенники.
Тема защиты персональных данных в свете принятого закона «О персональных данных» от 27.07.2006 № 152 периодически «бурно» обсуждается специалистами по информационной безопасности. За прошедшее время было «сломано не мало копий», «наломано не мало дров». В частности, разработаны, прошли сертификационные испытания средства защиты, операторы проводили различные мероприятия по защите персональных данных, а регуляторы их контролировали и оповещали заинтересованное сообщество о проделанной работе.
Как известно, под защитой информации понимается «…
деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию»
1. А если эта деятельность базируется на использовании криптографических методов защиты, то она подлежит лицензированию.
Рассматривая ранее вопросы использования СКЗИ, мы периодически использовали некоторые термины, такие как «СКЗИ», «информация конфиденциального характера» («конфиденциальная информация»), «информационная система (ресурс)», «собственник / владелец / обладатель информации / информационного ресурса», «шифровальные / криптографические средства», «криптоключи» и пр. Какие-то из данных терминов были нами раскрыты, основываясь на рассматриваемых документах Регулятора, а для раскрытия иных пришлось обращаться к дополнительным источникам. Трактовка некоторых терминов была отложена до определенного времени. И этот момент времени наступил.
К настоящему моменту мы определились с регулятором и необходимостью защиты информации ограниченного доступа (часть 1), разобрались с участниками обмена (часть 2) и необходимостью использования сертифицированных средств (часть 3), при использовании рассматриваемых требований Регулятора.
1
В указанных нами документах регулятора говорится о применении СКЗИ, причем в обоих случаях дается трактовка этого термина (хотя собственно оба документа имеют общий источник).
Начнем с обладателя информации конфиденциального характера. Если коротко, то Законодатель под таким субъектом понимает лицо, самостоятельно создавшее информацию, либо имеющее право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
1
В настоящее время вопросы криптографической защиты информации вышли из некоторого «полумрака» и стали достоянием широкой общественности. Тем не менее до сих пор возникают споры о том, когда обязательно использовать средства криптографии, кто определяет порядок их использования, как организовать криптографическую защиту и др. В настоящей статье будет сделана попытка обобщить требования к организации криптографической защиты информации, взяв за основу руководящие документы регулятора. Статья ориентирована в первую очередь лицам, перед которыми впервые встает задача организации защиты информации криптографическими методами.
В предыдущей части статьи был дан обзор принципов защиты информации, передаваемой через общедоступные сети передачи данных. В рамках данной части статьи рассмотрим пример построения защищенного канала на базе продукта Microsoft Forefront TMG
1. Более подробно о нём можно прочитать в материалах компании Microsoft
2.
При построении виртуальных частных сетей широкое распространение получило использование криптографических технологий.
К сожалению, многие термины, как было указано в первой части настоящей статьи, не всегда трактуются и понимаются одинаково всеми участниками информационного взаимодействия.
Известно, что компьютерные системы способны хранить и быстро обрабатывать большие объемы информации. В их основе лежит объединение средств вычислительной техники сетями передачи данных. Вообще, если рассматривать эволюцию компьютерных систем, то особенностью линий связи вычислительных систем 50-х годов (так называемых "систем пакетной обработки данных") была их малая протяженность, так как компьютер и устройства ввода-вывода располагались достаточно близко друг к другу.
1
В связи с принятием нового Федерального Закона от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», отменяющего закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи» только лишь с 01 июля 2012 г., мы попали в так называемый переходный период. А нужен ли этот «переход» или можно открыть сиё «священное писание» и безусловно следовать ему?
