Контакты
Подписка 2026

Криптография как средство борьбы с утечками

Константин Саматов, 03/04/19

samatovКриптография как средство защиты информации известно со времен глубокой древности. Современные комплексные системы защиты также активно используют криптографические средства и методы защиты информации. В данной статье автор рассмотрит исключительно прикладные (практические) вопросы применения криптографии для защиты от утечек информации, абстрагируясь от сложных математических моделей, с которыми читатель может ознакомиться в любом учебнике по криптографии.

Общие способы противодействия утечкам информации

Утечка информации – неконтролируемое распространение защищаемой информации в результате ее передачи (разглашения) либо получения к ней несанкционированного доступа.

Из определения видно, что утечка информации возможна как вследствие доступа к ней извне, так и как вследствие действий внутреннего нарушителя – инсайдера. Следует также отметить, что утечка информации может являться результатом как умышленных, так и неумышленных действий.

Для защиты от утечек информации, как правило, используют систему мер, включающую:

  • организационно-правовые меры – подготовка различных документов (приказов, регламентов, инструкций), описывающих бизнес-процессы защиты от утечки информации;
  • технические и программные меры – установка и настройка средств защиты информации, непосредственно реализующих защиту от утечек информации;
  • морально-этические меры – обучение и работа с персоналом, ознакомление работников с внутренними документами компании, касающимися защиты информации, поддержание необходимого уровня лояльности работников.

Из технических мер наиболее популярными на сегодняшний день в части защиты от утечек информации являются системы класса DLP (Data Leak Prevention), которые дословно так и переводятся – системы предотвращения утечек информации. Однако спектр применения DLP-систем ограничивается лишь предотвращением утечек информации от пользователей информационных систем – работников организации. Они не могут обеспечить, например, защиту информации при ее передаче за пределы контролируемой зоны (при обмене электронными сообщениями или транспортировке материального носителя информации), а также не осуществляют ограничение пользователей сторонних организаций, имеющих доступ к информационной системе в части возможности ознакомления с "чужими" массивами информации. Для защиты от подобного рода утечек используются средства криптографической защиты информации.

Практические аспекты применения криптографии для противодействия утечкам информации

Наиболее широкое распространение криптография получила для защиты информации от несанкционированного доступа в процессе передачи по каналам связи. В некотором роде это обусловлено ее историческими корнями: в древние времена гонец перевозил зашифрованное сообщение; теперь роль гонца исполняют программные и технические средства телекоммуникационных сетей.

Одновременно с ускоренным развитием информационных технологий растет и потребность в обмене информацией с использованием информационно-телекоммуникационных сетей. Практически все организации переходят на электронный документооборот, включая внешний, где применяют для обеспечения целостности и подтверждения авторства документов электронные подписи, на основе алгоритмов криптографического преобразования, а также защищенные с помощью шифрования каналы связи, позволяющие обеспечить возможность защиты от ознакомления с этой информацией третьих лиц в процессе ее передачи.

Для защиты информации при передаче по каналам связи существует огромное количество аппаратно-программных средств (например, ViPNet, АПКШ "Континент", "С-Терра" и т.п.). Кроме того, практически все современные операционные системы, включая мобильные, содержат встроенные приложения, позволяющие осуществлять криптографическое преобразование информации при ее передаче.

На основании практики автора можно сказать, что создание защищенных сетей (VPN1) с использованием алгоритмов шифрования, практикуется повсеместно, причем как в деятельности организаций, при обмене персональными данными, коммерческой тайной и иной информацией ограниченного доступа, так и физическими лицами в целях обеспечения приватности коммуникаций.

Другая сфера применения криптографических средств защиты информации – это защита от несанкционированного доступа и распространения информации, хранящейся в локальных хранилищах (базах данных) или на материальных носителях. Основная цель криптографического преобразования такой информации – защита от ознакомления с ней как внешнего, так и внутреннего нарушителя.

Для предотвращения утечек из баз данных используются средства криптографической защиты информации, осуществляющие шифрование таблиц баз данных и двухфакторную аутентификацию пользователей посредством применения криптографических ключей (например, продукт "КриптоБД"). Для неавторизованных пользователей защищаемые данные маскируются (представлены в виде произвольных символов), а действия всех авторизованных пользователей персонализируются и протоколируются, что позволяет проводить аудиты и расследовать инциденты безопасности. Кроме того, авторизованные пользователи также способны расшифровать только предназначенный им сегмент хранящейся в базе данных информации. Иными словами, пользователь информационной системы может получить и расшифровать только тот пласт информации, к которому ему предоставлен санкционированный доступ.

Использование описанной технологии позволяет, в частности, обеспечить защиту от утечек информации в распределенных информационных системах, к которым имеют санкционированный (легальный) доступ сторонние организации (контрагенты) в части "своих" сегментов. Например, ведение персонифицированного учета в сфере обязательного медицинского страхования.2

Другое применение технологии шифрования баз данных – облачные сервисы и "гибридные" системы.

Для защиты информации ограниченного доступа в системах, предоставляющих облачные сервисы, работающие по принципу "инфраструктура как сервис" (IaaS), например хостинг баз данных, применение методов криптографической защиты аналогично описанному в предыдущем примере.

Несколько отличается использование методов криптографии в гибридных системах.

Гибридные системы имеют фрагментарную структуру, когда часть системы или сервиса (определенный функционал) реализована в облачной платформе (например, Microsoft Azure), а другая часть находится в защищенном сегменте компании. При этом информация ограниченного доступа (например, персональные данные, коммерческая тайна) не передается в облако, а обрабатывается в контролируемой зоне организации – в ее информационной системе. До момента передачи данных по каналам связи происходит процесс шифрования информации на так называемом шифрующем прокси-сервере.

"Шифрующий прокси", т.е. прокси-сервер, осуществляющий криптографическое преобразование информации, предназначен для защиты информации в приложениях, развернутых в облаке и работающих по модели "программное обеспечение как услуга" (SaaS). Для таких приложений характерны следующие особенности:

  • неизвестна структура и способ хранения информации;
  • полный контроль за хранящейся информацией имеет компания, предоставляющая услугу SaaS;
  • интерфейс пользователя формируется интернет-браузером.

Указанный прокси-сервер функционирует в локальной сети клиента облачного сервиса и "на лету" осуществляет шифрование (расшифрование) данных отправляемых (получаемых) браузером пользователя. Для операций криптографического преобразования, управления ключами шифрования и разделением доступа используется программное обеспечение, установленное в локальной сети пользователя услуги SaaS.

Таким образом, управление информацией ограниченного доступа, ключами и другой критичной информацией осуществляется в пределах периметра, контролируемого организацией. На хранение и обработку в облако передаются предварительно зашифрованные данные, владелец облачного сервиса не имеет доступа к ключам шифрования, данные по каналам связи, выходящим за пределы контролируемой зоны, также передаются в зашифрованном виде. Указанный подход, в частности, позволяет обеспечить возможность обработки в облаке персональных данных в соответствии с требованиями действующего законодательства.

Кроме того, в практической деятельности часто возникает необходимость обеспечения конфиденциальности информации при перемещении материальных носителей информации. Например, есть сотрудники, использующие в работе мобильные устройства с хранящейся на них коммерческой тайной. В этом случае применяются преимущественно программные средства, позволяющие шифровать разделы жестких дисков, съемные носители информации или создавать отдельные шифрованные контейнеры (например, TrueCrypt, ViPNet SafeDisk и т.п.).

Помимо технических, следует отметить и юридические нюансы применения средств криптографической защиты информации.

Так, для защиты информации, составляющей коммерческую тайну, можно использовать любые криптографические алгоритмы, криптостойкость которых (по сути, время, требующееся на расшифровку/дешифровку информации) зависит прежде всего от длины ключа (чем длиннее ключ, тем больше времени требуется на расшифровку), а также от особенностей криптографического алгоритма (наличие известных уязвимостей в нем).

Для защиты персональных данных законодательно разрешено использование только сертифицированных криптографических средств, применяющих российские алгоритмы шифрования (ГОСТ). Данное требование вытекает из п. 9 приказа ФСБ России от 10 июля 2014 г. № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", возлагающего на операторов персональных данных обязанность применять для каждого из уровней защищенности информационных систем персональных данных средства криптографической защиты информации соответствующего класса, который присваивается им в процессе сертификации.

Подведем итоги

Утечка информации – неконтролируемое распространение защищаемой информации в результате ее передачи (разглашения) либо получения к ней несанкционированного доступа. Для защиты от утечек информации существуют разные средства и методы. Одним из наиболее эффективных из них является криптография. На практике, по мнению автора, защиту от утечек с помощью криптографических средств целесообразно применять в следующих случаях:

  • передача информации по каналам связи;
  • хранение информации в базах данных и локальных хранилищах;
  • защита информации в облачных сервисах.

1 Virtual Private Network

2Технология обмена информацией при ведении персонифицированного учета в сфере обязательного медицинского страхования описана в приказе Минздравсоцразвития России № 29н от 25 января 2011 г.

Темы:СУБДКриптографияПерсоны
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Надежная ERP начинается с инфраструктуры. Как СУБД повышает отказоустойчивость и безопасность 1С:ERP
    Алексей Викулин, руководитель по развитию бизнеса Postgres Professional
    Российский рынок ERP-систем перестраивается после ухода зарубежных вендоров. Бизнесу нужна не точечная замена SAP, а комплексные решения, способные выдерживать промышленную нагрузку, обеспечить безопасность данных и развиваться без внешней поддержки.
  • Теневые БД от забытых тестов до умышленных схем
    Дмитрий Горлянский, Руководитель направления технического сопровождения продаж “Гарда Технологии”
    Теневые базы данных – это часть инфраструктуры Shadow IT, которая находится вне формального учета и контроля служб ИБ и ИТ. Среди всех видов теневых ИТ-активов ИИ-помощники и базы данных остаются наиболее уязвимыми и желанными для злоумышленников. Теневые базы данных могут быть полностью рабочими, но при этом отсутствовать в актуальной инвентаризации, модели угроз и регламенте контроля. Разбиремся, как такие базы данных появляются в ИТ-инфраструктуре компании и какие риски кибербезопасности с ними связаны.
  • Технологии NDR и Database Firewall (DBF) против тихой эксфильтрации из баз данных
    Дмитрий Ларин, руководитель продуктового направления по защите баз данных группы компаний "Гарда"
    С тихой эксфильтрацией данных из баз есть одна неприятная особенность: в большинстве реальных случаев она вообще не выглядит как эксфильтрация. Нет ни дампов, ни пиков трафика, ни экзотических SQL-конструкций. Есть обычные SELECT, знакомые учетные записи и зашифрованный трафик, который снаружи ничем не отличается от легитимного. Именно поэтому такие инциденты часто проходят мимо средств защиты.
  • Эволюция безопасности: ретейл, стандарты и автоматизация
    Дмитрий Гладченко, Заместитель директора по информационной безопасности дирекции по обеспечению бизнеса компании «Лента»
    Информационная безопасность из набора технических ограничений постепенно превращается в ключевой элемент устойчивости бизнеса. Дмитрий Гладченко, заместитель начальника управления информационной безопасности АО “Северсталь Менеджмент”, на примере внедрения системы управления безопасностью SECURITM в ретейле, рассказал нам, как автоматизация экономит ресурсы специалистов, позволяя поддерживать баланс между развитием бизнеса и безопасностью.
  • Как ретейлу и маркетплейсам защитить данные своих клиентов от утечки
    Дмитрий Ларин, руководитель продуктового направления по защите баз данных группы компаний "Гарда"
    В первом полугодии 2025 г. почти половина всех утечек персональных данных в России пришлась на интернет-торговлю и ретейл ‒ 46% [1]. Роскомнадзор только за период с 2024 по 2025 гг. зафиксировал 22 случая утечек из сервисов онлайн-торговли. Базы клиентов, история заказов, контакты, данные о доставке и оплате ‒ все это выло выложено на теневых форумах. Компании, допустившие утечки, не только понесли репутационные потери, но и были оштрафованы на общую сумму свыше 900 тыс. руб. [2]. Для отрасли это не единичные истории ‒ утечка перестала быть чем-то из новостей про других. Она напрямую влияет на продажи, лояльность клиентов и доверие к бренду.
  • Предел доверия: вызовы защиты распределенных систем обработки данных
    Мария Полтавцева, д.т.н., профессор Высшей школы кибербезопасности Института компьютерных наук и кибербезопасности СПбПУ
    Обеспечение безопасности больших данных невозможно ограничить лишь уровнем бизнес-логики. Необходима комплексная защита во всех слоях – инфраструктурном, инженерном и управленческом. При этом особое внимание следует уделить инженерному уровню, как наименее защищенному и часто недооцененному в реальной практике.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...