Защита информации и информационная безопасность. Мордвинов В.А - 22 стр.

                                       22
1) Закрытый алгоритм. Достаточно часто можно встретить в рекламе примерно
следующее утверждение: "Программа использует алгоритм, который фирма-
разработчик держит в секрете, что гарантирует абсолютную защиту". На самом деле,
это ничего не гарантирует - на поверку 99% таких программ не обеспечивают сколько-
нибудь серьезный уровень защиты информации. Важное свойство хорошей программы
в том, что алгоритм шифрования описан и публично доступен.
2) Новые методы. Примерно раз в год, если не чаще, в компьютерных кругах проходит
информация об изобретении очередного "абсолютно устойчивого метода
шифрования". Следует очень осторожно относиться к таким новшествам - хорошая
защита всегда базируется на проверенном временем алгоритме.
3) Некоторые компании заявляют о защите "военного уровня". Это абсурдный термин.
Нет такого стандарта. Военная криптография недоступна для использования
негосударственными структурами.
4) Призы. Некоторые фирмы объявляют приз за взлом своей программы. Иногда это
достаточно большая сумма. Самое интересное, что это не может служить гарантом
надежной защиты. Как правило, это означает, что разработчики не понимают, что
следует сделать, чтобы показать, что система хорошо защищена.
5) "Не-защита". Нельзя использовать для защиты информации программы, которые
специально не предназначены для этого. Например, широко используемый архиватор
PKZIP позволяет при создании архива указать пароль. Достаточно будет сказать, что
независимо от длины этого пароля взлом такого архива занимает не более 6 часов
машинного времени. Даже такие гиганты компьютерной индустрии как, например
Microsoft, позволяют себе такие вольности. Парольная защита документов,
используемая в Word и Excel абсолютно ненадежна.

       Система лицензирования деятельности в области защиты
            информации и сертификации средств защиты
       Предоставленные Федеральному агентству законами "О федеральных органах
правительственной связи и информации" и "О государственной тайне" права по
определению порядка осуществления и лицензированию деятельности в области
защиты информации нашли свое отражение в "Положении о государственном
лицензировании деятельности в области защиты информации", которое утверждено
27 апреля 1994 года совместным решением № 10 ФАПСИ и Гостехкомиссии России,
разграничившим сферы компетенции двух этих ведомств и определившим механизм
практического лицензирования, действующий по настоящее время.
       Обязательное государственное лицензирование деятельности в области защиты
информации криптографическими методами, а также в области выявления
электронных устройств перехвата информации в технических средствах и помещениях
государственных структур введено постановлением Правительства от 24.12.94 №
1418 "О лицензировании отдельных видов деятельности". Данное постановление
распространяет механизм обязательного лицензирования на все виды деятельности в
области криптографической защиты информации, независимо от ее характера и
степени секретности, на все субъекты этой деятельности, независимо от их
организационно-правовой формы, включая и физических лиц.
       Новым шагом в деле правового обеспечения деятельности в области защиты
информации явилось принятие Федеральным собранием России Федерального закона
"Об информации, информатизации и защите информации" от 20.02.95 № 24-ФЗ.
Данный закон впервые официально вводит понятие "конфиденциальной информации",
которая рассматривается как документированная информация, доступ к которой