Обеспечение информационной безопасности – главная проблема 21 века. Она начала свое существование с момента развития вычислительной техники. С появлением интернета и современных технологий сформировалось информационное общество. Человек получил возможность пользоваться кладью знаний всего человечества через экран своего устройства, появилась возможность общения людей из разных уголков мира через интернет. Экономика также изменилась со временем, если раньше она характеризовалась как производство материальных благ, то спустя время она все больше ассоциировалась с распространением информационных продуктов и услуг.
Появился информационный терроризм, то есть деятельность, проводимая в политических целях. Угроза безопасности информации имела большое значение, т.к. злоумышленники могут не санкционировано использовать или даже разрушать информационные ресурсы управляемой системы, а также программные и аппаратные средства. Помимо цели дестабилизировать общество, злоумышленники могли, например, красть интеллектуальную собственность каких-либо лиц для своего обогащение.
Постепенное осознание того факта, что информационное воздействие на бизнес (или управление им) может быть эффективнее, чем финансовое воздействие, а также низкий ресурсный порог таких воздействий превращают информационное противоборство в главный инструмент выживания и конкурентной борьбы. Исходя из этого люди осознали, что роль информационной безопасности должна быть неразрывна с бизнесом.
Чтобы предотвратить несанкционированный доступ была создана информационная безопасность (ИБ), которая подразумевает собой состояние защищенности интересов (целей) организации в условиях угроз в информационной сфере.
Таблица 1. Основные информационные угрозы.
Чтобы предотвратить несанкционированный доступ была создана информационная безопасность (ИБ), которая подразумевает собой состояние защищенности интересов (целей) организации в условиях угроз в информационной сфере.
ИБ включает в себя:
- состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства;
- состояние информации, при котором исключается или существенно затрудняется нарушение таких ее свойств, как конфиденциальность, целостность и доступность;
- экономическую составляющую (структуры управления в экономической сфере, накопления и обработки информации в интересах управления производственными структурами, системы общеэкономического анализа и прогнозирования хозяйственного развития);
- финансовую составляющую (информационные сети и базы данных банков и банковских объединений, системы финансового обмена и финансовых расчетов)
Реальное управление активами организации в процессе реализации любого бизнеса осуществляется на информационном уровне. Любые операции с материальными активами сопровождаются с их информационными описаниями или представлениями. Для примера оплата стоимости основного средства его продавцу или производителю по выставленным счетам, счета-фактуры, сопровождающие поставку изделия, с информацией для учета налога на добавленную стоимость, расчеты по договорам и т. п. Эти операции выполняются с участием банковской системы, где также остается информация об операциях в виде информации о выполнении платежа.
Из этого можно сделать вывод, что существует прямая связь между бизнесом, информацией и информационной сферой, это означает что информационная сфера является одним из главных источников рисков бизнеса.
Один из методов защиты – криптография, которая с появлением информационной безопасности обратила на себя еще большее внимание.
Криптография – это наука об обеспечении секретности или аутентичности передаваемых сообщений. В настоящее время она является краеугольным камнем компьютерной и коммуникационной безопасности. Она основана на различных концепциях математики, таких как теория чисел, теория вычислительной сложности и теория вероятностей [2].
Мы разберем общую концепцию работы криптографии на классическом примере:
Готовый к передаче источник данных (фотографии, документы, фотографии, видео и т.п.) обычно называют открытым или незащищенным. В процессе передачи такого сообщения по незащищенным каналам связи оно может быть легко перехвачено или отслежено подслушивающим. Для предотвращения несанкционированного доступа к сообщению его зашифровывают, преобразуя его в закрытый текст, который нельзя расшифровать без ключа.
Ключ – изменяемая часть криптографической системы, хранящаяся в тайне и определяющая то, каким шифрующее преобразование из возможных выполняется в данном случае. Для преобразования используется некоторый алгоритм или устройство, реализующее заданный алгоритм. Само же управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа [1].
Шифрование может быть симметричным и ассиметричным. Симметричное шифрование основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования – другой, являющийся секретным, при этом, даже если знать общедоступный ключ, то это не поможет определить секретный ключ.
При использовании симметричного шифрования порядок работы следующий:
- Исходный текст документа кодируется с применением специальных алгоритмов и некоего секретного ключа, превращаясь в строку символов, которая фактически и представляет собой цифровую подпись под документом.
- Электронная цифровая подпись (ЭЦП) добавляется к исходному тексту документа, и сформированный файл пересылается получателю. Для этого владелец ЭЦП вставляет носитель (дискетка, диск и т.п.) с закрытым ключом в устройство и нажимает на соответствующую кнопку, что и означает подписание документа электронной подписью.
- Процесс проверки кода аутентификации у получателя, т.е. правильности ЭЦП, выполняется аналогичным образом. При этом проверяется не только подпись, но и текст, т.к. кодирование производилось с использованием всех символов исходного текста документа [4].
Преимущества этой системы заключаются в ее простоте и относительно невысокой стоимости. Но условиями её применения является взаимное доверие владельцев закрытого ключа.
Названную проблема позволяет решить криптография с открытым ключом, использующая ассиметричные алгоритмы шифрования, которая основана на концепции ключевой пары. Каждая половина шифрует информацию так, что ее может расшифровать только другая половина. Одна часть ключевой пары – личный ключ, известна только ее владельцу. Другая половина – открытый ключ, распространяется среди всех его корреспондентов, но связана только с этим владельцем. Ключевые пары обладают уникальной особенностью: данные, зашифрованные любым из ключей пары, могут быть расшифрованы только другим ключом из этой пары. Это означает, что нет никакой разницы в том какой ключ используется для шифрования послания, ведь получатель сможет применить для расшифровки вторую половину пары.
Криптографы поняли, что ни одна система не является безопасной, поэтому они решили, что помимо модернизации своих методов, они будут использовать 4 основных правила:
- Конфиденциальность
Конфиденциальность является фундаментальной услугой безопасности, предоставляемой криптографией. Это служба безопасности, которая хранит информацию от постороннего лица. Это иногда называют конфиденциальностью или секретностью. Конфиденциальность может быть достигнута с помощью многочисленных средств, начиная от физической защиты до использования математических алгоритмов шифрования данных.
- Целостность данных
Это служба безопасности, которая занимается выявлением любых изменений в данных. Данные могут быть изменены неуполномоченным субъектом намеренно или случайно. Служба целостности подтверждает, являются ли данные нетронутыми или нет с момента их последнего создания, передачи или хранения авторизованным пользователем.
- Аутентификация
Проверка подлинности обеспечивает идентификацию отправителя. Он подтверждает получателю, что полученные данные были отправлены только идентифицированным и проверенным отправителем.
Сервис аутентификации имеет два варианта: проверка подлинности сообщения идентифицирует отправителя сообщения без какого-либо учета маршрутизатора или системы, отправившей сообщение.
- Неотрекаемость
Служба безопасности, которая гарантирует, что организация не может отказаться от права собственности на предыдущее обязательство или действие. Это гарантия того, что первоначальный создатель данных не может отказать в создании или передаче указанных данных получателю или третьей стороне.
Таким образом на основе полученного анализа, можно сделать вывод о том, что криптография один из самых простых и эффективных средств обеспечения конфиденциальности и контроля информации. В современном мире она находит множество различных применений и занимает огромную роль среди программно-технических регуляторов безопасности.
Список литературы
- Автоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. – М.: ЮНИТИ, 2000
- Андрианов В. В. Обеспечение информационной безопасности бизнеса / В. В. Андрианов — «Центр Исследований Платежных Систем и Расчетов», 2010
- Горев, А И; Симаков А А Обеспечение Информационной Безопасности / А Горев А И; Симаков А. - Москва: Мир, 2005.
- Кудряшов Б. Д. Основы теории кодирования: учеб. пособие. — СПб.: БХВ-Петербург, 2016
- Молдовян, Н. Криптография: от примитивов к синтезу алгоритмов / Н. Молдовян, А. Молдовян, М. Еремеев. - М.: БХВ-Петербург, 2004.
- Даниленко, А. Ю. Безопасность систем электронного документооборота. Технология защиты электронных документов / А.Ю. Даниленко. - М.: Ленанд, 2015.
- Бабенко, Л. К. Современные алгоритмы блочного шифрования и методы их анализа / Л.К. Бабенко, Е.А. Ищукова. - М.: Гелиос АРВ, 2006.
- Шумский, А.А. Системный анализ в защите информации / А.А. Шумский. – Москва, 2005.