Засоби криптографічного захисту інформації (СКЗИ) - інформаційна безпека, шифрування,

Костянтин Черезов, провідний фахівець SafeLine, група компаній "Інформзахист"

КОЛИ нас попросили скласти критерії для порівняння всього українського ринку засобів криптографічного захисту інформації (СКЗИ), мене охопило легке здивування. Провести технічний огляд українського ринку ЗКЗІ нескладно, а ось визначити для всіх учасників загальні критерії порівняння і при цьому отримати об'єктивний результат - місія з розряду нездійсненних.

Почнемо спочатку

Розшифровка терміну "засіб обчислювальної техніки" (СВТ) знайшлося в іншому документі Гостехкомиссии: "Під СВТ розуміється сукупність програмних і технічних елементів систем обробки даних, здатних функціонувати самостійно або в складі інших систем".

Таким чином, ЗКЗІ - це сукупність програмних і технічних елементів систем обробки даних, здатних функціонувати самостійно або в складі інших систем і здійснювати криптографічне перетворення інформації для забезпечення її безпеки.

Визначення вийшло всеосяжним. По суті, ЗКЗІ є будь-апаратне, апаратно-програмне або програмне рішення, тим чи іншим чином виконує криптографічний захист інформації. А якщо ще згадати постанову Уряду України № 691, то воно, наприклад, для ЗКЗІ чітко обмежує довжину криптографічного ключа - не менше 40 біт.

З вищесказаного можна зробити висновок, що провести огляд українського ринку ЗКЗІ можливо, а ось звести їх воєдино, знайти загальні для всіх і кожного критерії, порівняти їх і отримати при цьому об'єктивний результат - неможливо.

Середнє і загальне

Проте всі українські ЗКЗІ мають спільні точки дотику, на основі яких можна скласти певний список критеріїв для відома всіх криптографічних засобів воєдино. Таким критерієм дляУкаіни є сертифікація ЗКЗІ в ФСБ (ФАПСИ), так як українське законодавство не передбачає поняття "криптографічний захист" без відповідного сертифіката.

З іншого боку, "спільними точками дотику" будь-яких ЗКЗІ є і технічні характеристики самого кошти, наприклад, використовувані алгоритми, довжина ключа і т.п. Однак, порівнюючи ЗКЗІ саме за цими критеріями, загальна картина виходить в корені невірної. Адже те, що добре і правильно для програмно-реалізованого криптопровайдера, зовсім неоднозначно вірно для апаратного криптографічного шлюзу.

Є ще один важливий момент (хай вибачать мене "колеги по цеху"). Справа в тому, що існують два досить різнопланових погляду на ЗКЗІ в цілому. Я говорю про "технічне" і "споживчому".

"Технічний" погляд на ЗКЗІ охоплює величезне коло параметрів і технічних особливостей продукту (від довжини ключа шифрування до переліку реалізованих протоколів).

"Споживчий" погляд кардинально відрізняється від "технічного" тим, що функціональні особливості того чи іншого продукту не розглядаються як чільні. На перше місце виходить ряд абсолютно інших чинників - цінова політика, зручність використання, можливості масштабування рішення, наявність адекватної технічної підтримки від виробника і т.п.

Однак для ринку ЗКЗІ все ж є один важливий параметр, який дозволяє об'єднати всі продукти і при цьому отримати в достатній мірі адекватний результат. Я говорю про поділ усіх ЗКЗІ за сферами застосування та для вирішення тих чи інших завдань: довіреної зберігання; захисту каналів зв'язку; реалізації захищеного документообігу (ЕЦП) і т.п.

Тематичні порівняльні огляди в області застосування різних українських ЗКЗІ, наприклад - українські VPN, тобто захист каналів зв'язку, вже проводилися в даному виданні. Можливо, надалі з'являться огляди, присвячені іншим сферам застосування ЗКЗІ.

Але в даному випадку зроблено спробу всього лише об'єднати всі представлені на українському ринку рішення з криптографічного захисту інформації в єдину таблицю на основі загальних "точок дотику". Природно, що дана таблиця не дає об'єктивного порівняння функціональних можливостей тих чи інших продуктів, а являє собою саме оглядовий матеріал.

Узагальнюючі критерії - для всіх і кожного

Для узагальнюючої таблиці українського ринку СКЗИ в кінцевому рахунку можна скласти наступні критерії:

  • Фірма виробник. Згідно загальнодоступним даними (Інтернет), вУкаіни на даний момент близько 20 компаній-розробників ЗКЗІ.
  • Тип реалізації (апаратна, програмна, апаратно-програмна). Обов'язкове поділ, яке має тим не менше вельми нечіткі межі, оскільки існують, наприклад, ЗКЗІ, одержувані шляхом установки деякої програмної складової - коштів управління і безпосередньо криптобібліотеки, і в підсумку вони позиціонуються як апаратно-програмний засіб, хоча насправді являють собою лише ПО.
  • Наявність діючих сертифікатів відповідності ФСБУкаіни і класи захисту. Обов'язкова умова для українського ринку СКЗИ, більш того - 90% рішень будуть мати одні й ті ж класи захисту.
  • Реалізовані криптографічні алгоритми (вказати ГОСТи). Також обов'язкова умова - наявність ГОСТ 28147-89.
  • Операційні системи. Досить спірне показник, важливий для програмно-реалізованої криптобібліотеки і абсолютно несуттєвий для чисто апаратного рішення.
  • Наданий програмний інтерфейс. Істотний функціональний показник, однаково важливий як для "технічного", так і "споживчого" погляду.
  • Наявність реалізації протоколу SSL / TLS. Однозначно "технічний" показник, який можна розширювати з точки зору реалізації інших протоколів.
  • Підтримувані типи ключових носіїв. "Технічний" критерій, який дає вельми неоднозначний показник для різних типів реалізації ЗКЗІ -аппаратноє або програмних.
  • Інтегрованість з продуктами і рішеннями компанії Microsoft, а також з продуктами і рішеннями інших виробників. Обидва критерії більше відносяться до програмних ЗКЗІ типу "кріптобі-бліотека", при цьому використання цих критеріїв, наприклад, для апаратного комплексу побудови VPN є досить сумнівним.
  • Наявність дистрибутива продукту у вільному доступі на сайті виробника, дилерської мережі поширення та сервісу підтримки (тимчасової критерій). Всі ці три критерії однозначно є "споживчими", причому виходять вони на перший план тільки тоді, коли конкретний функціонал ЗКЗІ, сфера застосування і коло вирішуваних завдань вже наперед відомі.

Як висновок я акцентую увагу Новомосковсктеля на двох найважливіших моментах даного огляду.

По-перше, вибір ЗКЗІ спочатку повинен відштовхуватися від сфери застосування, що значно звужує спектр можливих рішень.

По-друге, "технічний" і "споживчий" погляди на ЗКЗІ не повинні вступати в протиріччя, наявність унікальних функціональних можливостей ЗКЗІ не повинно превалювати над здоровим глуздом при виборі компанії-виробника з широкою мережею розповсюдження продукту, доступною ціновою політикою і адекватним сервісом технічної підтримки рішення.