СЕМИНАРЫ
Сегодня лицензия на средства криптозащиты нужна каждому юридическому лицу
По мере повышения роли информационных систем в деятельности отдельных предприятий и общества в целом все более актуальными становятся задачи защиты информации и обеспечения безопасности вычислительных комплексов. Это было, в частности, хорошо видно на прошедшем 17 мая семинаре, организованном компаниями Microsoft и “Крипто-Про”, на котором обсуждались данные проблемы. Хотя в центре внимания находились технологии именно этих поставщиков решений, в ходе обсуждений был затронут более широкий спектр вопросов. Семинар собрал свыше двухсот слушателей из московских государственных структур и крупных коммерческих предприятий, причем большинство из них хорошо знакомо с проблемой на собственном практическом опыте.
Что нужно сертифицировать
С докладом о требованиях российского законодательства в области защиты информации выступил начальник лицензионного и сертификационного центра ФАПСИ Олег Беззубцев. Из его рассказа о развитии нормативно-правовой базы за последние годы было видно, как поэтапно либерализируются условия применения криптографических средств. Он подчеркнул, что сегодня обязательное требование к использованию сертифицированных средств распространяется только на данные, относящиеся к государственной тайне, конфиденциальную информацию в высших органах государственного управления и в публичных системах (например, в системах типа “клиент - банк”) *1.
_____
*1 Согласно закону о товарах и услугах для разработки и распространения шифровальных средств и предоставления соответствующих услуг требуется лицензия. Сертификация - это подтверждение соответствия продукта определенным требованиям
В настоящее время лицензию на использование средств криптографической защиты должно получать каждое юридическое лицо, однако по новому закону, принятие которого ожидается в ближайшие месяцы, такое требование будет распространяться только на поставщика решения. Иными словами, если сейчас лицензии должны получать все банки, использующие решение фирмы X, то впоследствии будет достаточно одной лицензии у фирмы X. При этом представитель ФАПСИ подчеркнул, что задача защиты информации не может быть решена без соответствующего комплекса организационно-технических мероприятий. Если на предприятии нет службы безопасности, а ключи записываются на обратной стороне клавиатуры, то никакие криптосредства уже не помогут.
Однако следует иметь в виду, что закон от всех информационных систем требует защиты персональных данных. В целом тут нет ничего принципиально нового: конфиденциальность личных сведений в поликлинике или в отделе кадров должна быть обеспечена и в электронных, и в бумажных хранилищах. И вот здесь вопрос добровольного использования сертифицированных средств и лицензирования напрямую связан с юридической ответственностью за утечку информации: наличие лицензии перекладывает значительную часть забот с разработчика на того, кто эту лицензию выдал. В новом законе должно быть закреплено требование по обязательному уведомлению пользователей информационных систем о применении несертифицированных систем защиты информации (чтобы потребитель знал о возможных рисках).
В своем выступлении г-н Беззубцев отметил, что сертификация средств криптографической защиты - совсем не дешевое удовольствие для клиентов. Это связано с тем, что она требует достаточно сложных и трудоемких исследований и испытаний. По его оценкам, в США до 20% бюджета предприятий тратится на задачи безопасности. Наши предприятия не могут выкладывать такие средства и компенсируют свои экономические проблемы критикой системы лицензирования. Однако по мере оздоровления экономики многие организации, осознавая необходимость защиты инвестиций на долгую стратегическую перспективу, прибегают к механизму лицензирования без нормативных понуканий, а именно из соображений развития своего бизнеса.
Что касается сертификации средств защиты информации, то практически все российские инструменты, представленные на рынке, относятся к минимальному уровню C. Это означает, что они реализованы в соответствии с заявленными алгоритмами, отвечающими российским требованиям по надежности (это сказывается, в частности, и в отсутствии “закладок”). Такую сертификацию уже прошли около 40 средств, почти 20 находятся в процессе.
В частной беседе начальник центра ФАПСИ высказал соображение, что у нас в стране “политика идет впереди экономики”. Я это понял так, что многие законодательные акты плохо отражают реальные потребности предприятий. С одной стороны, компании не участвуют в подготовке законов (они лишь позднее сталкиваются с тем, что уже принято), а с другой - очень медленно принимаются подзаконные акты - во многом из-за отсутствия мощного спроса со стороны рынка.
В завершение темы законодательства хотелось бы привести альтернативное мнение, высказанное в кулуарах президентом ассоциации “РусКрипто” Алексеем Волчковым. Он сформулировал свою позицию так: “Каждый должен заниматься своим делом, так что пусть лицензированием и сертификацией в области безопасности занимается государственная структура, но не наделенная при этом функциями спецслужбы”. (Стоит упомянуть, что сами требования к средствам криптографической защиты являются секретными, т. е. “обычный” разработчик не может ознакомиться с ними, для этого необходимо иметь соответствующую лицензию ФАПСИ.) Впрочем, он отметил, что позиции ФАПСИ в понимании рыночных процессов в последнее время серьезно изменились во многом именно в силу давления со стороны рынка.
Предложения Microsoft и “Крипто-Про”
Системный инженер российского представительства Microsoft Дмитрий Вишняков сделал обзор концепций и средств обеспечения безопасности в Windows 2000. Эта тема заслуживает отдельного обсуждения, сейчас же мы выделим только один важный момент: система безопасности Windows строится по модульному принципу и может быть расширена за счет подключения механизмов шифрования и аутентификации независимых разработчиков.
Встроенная в Windows 2000 система криптографической защиты реализована в виде двухуровневой структуры - системного слоя CryptoAPI 2.0 и слоя поставщиков Cryptographic Service Provider. (Технология применения CryptoAPI хорошо описана в книге Д. Чепмена “Разработка защищенных приложений в среде VB”; подробнее см. PC Week/RE, N 12/2001, с. 37 *1).
_____
*1 За несколько недель до семинара Microsoft выпустила компонент CAPICOM 1.0 для доступа к средствам криптографии через COM-интерфейс. Он позволяет использовать функции формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с внешних приложений, реализованных на Visual Basic, Си++, JavaScript, VBScript и других языках, поддерживающих COM-технологию.
Именно CSP обеспечивают шифрование и цифровую подпись, а также генерацию и хранение ключей. Microsoft предлагает целый набор CSP с разными алгоритмами и уровнями защиты. Основная их часть входит в поставку Windows 2000, остальные можно скачать через Интернет.
При этом пользователь может применять и CSP, созданные третьими фирмами *1. Именно таким продуктом является средство криптографической защиты “КриптоПро CSP”, которое разработано компанией “Крипто-Про” и НТЦ “Атлас”, имеющими большой опыт работы в области криптографии (стоимость одной клиентской лицензии - 40 долл.).
_____
*1 Со своей стороны Microsoft предлагает разработчикам CSP специальный набор Cryptographic Service Provider Developer’s Kit (CryptoSDK). Если раньше он фактически был доступен только американским фирмам, то с марта этого года воспользоваться им могут все желающие, обратившись через Web (www.microsoft.com/downloads/, раздел “Securirty”). Помимо упрощения процедуры разработки CSP применение набора дает возможность получить доступ к встроенным в Windows механизмам проверки целостности информации.
В своем выступлении руководитель отдела внедрения “Крипто-Про” Игорь Курепкин подчеркнул, что конечно же решать все должен сам потребитель, и привел в пользу своего продукта несколько доводов: возможность хранения ключей на внешних носителях (дискеты, процессорные карты, таблетки Touch-Memory, ключ eToken); повышенный уровень защиты от доступа со стороны прикладного ПО; реализация основных алгоритмов в соответствии с действующими ГОСТами и соответственно 256-разрядными ключами; наличие сертификата ФАПСИ (о последнем см. PC Week/RE, N 13/2001, с. 6).
Мы сейчас не будем обсуждать технические аспекты реализации “КриптоПРО CSP” и отметим только, что это система с открытым распределением ключей, реализованных в виде сертификатов формата X.509.
Что говорят пользователи и партнеры
Об опыте применения средства “КриптоПРО CSP” для защиты данных в AlfaDirect-системе Интернет-трейдинга Альфа-банка рассказал представитель банка Сергей Горленко. Задача выбора средства криптографической защиты встала в начале прошлого года, и тогда же были сформулированы требования: простота использования, приемлемая стоимость, наличие сертификата ФАПСИ, генерация ключей на клиентском рабочем месте, использование нескольких криптографических механизмов, работа на платформе Windows.
В результате анализа предлагаемых на рынке продуктов выбор был сделан в пользу CryptoAPI и “КриптоПРО CSP”. Стоит отметить, что в тот момент последний находился еще в стадии тестирования, а следовательно, заказчик брал на себя двойной риск, не зная, будет ли продукт работать и получит ли сертификат. Вместе с тем идеология модульного построения системы шифрования Microsoft позволила начать отладку самого комплекса AlfaDirect с применением стандартного CSP, входящего в Windows 2000, который в рабочем варианте был заменен на “КриптоПРО CSP”. В настоящее время этой системой Интернет-трейдинга пользуется около 1000 клиентов.
Сергей Горленко обратил внимание собравшихся на тесную связь технических и юридических вопросов защиты информации, имея в виду вероятность конфликтов между клиентом и банком (например, отказ одной из сторон от авторства на документы). Регламент работы системы предусматривает разрешение подобных ситуаций.
Семинар закончился сообщением заместителя директора учебного центра “Инфозащита” Дмитрия Ершова об обучении работе с инфраструктурой открытых ключей (Piblic Key Infrastructure) на платформе Windows и использованию “КриптоПРО CSP”. Заслуживает интереса то, что партнерами выступают, казалось бы, две конкурирующие фирмы. Однако на самом деле это довольно точно характеризует положение на российском рынке безопасности ИС. По мнению представителей отечественных компаний, поставляющих подобные решения, данный сегмент рынка динамично растет и предлагаемые продукты не столько конкурируют между собой, сколько дополняют друг друга. К тому же круг профессиональных разработчиков средств защиты не столь велик, и сегодня у них скорее не сопернические, а партнерские отношения.
Подтверждением этому может стать реализация идеи, высказанной в ходе семинара руководителем фирмы “Аладдин” Сергеем Груздевым, о создании на предстоящей выставке SofTool объединенного стенда “Информационная безопасность компьютерных систем”.
