Правовое регулирование информационной безопасности формируется на базе информационных правоотношений, охватывающих все направления деятельности субъектов информационной сферы. Объекты правоотношений в области информационной безопасности – это духовность, нравственность, интеллектуальность личности и общества, права и свободы личности в информационной сфере. Субъектами правоотношений в области информационной безопасности выступают личность, государство, органы законодательной, исполнительной и судебных властей, система обеспечения безопасности, Совет Безопасности РФ, граждане.
Права и обязанности субъектов задаются нормами законов и иных нормативных правовых актов, устанавливающих правила поведения субъектов в порядке защиты объектов правоотношений, контроля и надзора за обеспечением информационной безопасности.
В результате анализа области информационной безопасности информационной сферы с учетом положений Доктрины информационной безопасности и норм информационного законодательства в этой области можно выделить три основных направления правовой защиты объектов в информационной сфере (правового обеспечения информационной безопасности):
1. Защита чести, достоинства и деловой репутации граждан и организаций; духовности и интеллектуального уровня развития личности; нравственных и эстетических идеалов; стабильности и устойчивости развития общества; информационного суверенитета и целостности государства от угроз воздействия вредной, опасной, недоброкачественной информации, недостоверной, ложной информации; дезинформации; от сокрытия информации об опасности для жизни личности; развития общества и государства от нарушения порядка распространения информации.
2. Защита информации и информационных ресурсов прежде всего ограниченного доступа (все виды тайн, в том числе и личной тайны), а также информационных систем, информационных технологий, средств связи и телекоммуникаций от угроз несанкционированного и неправомерного воздействия посторонних лиц.
3. Защита информационных прав и свобод личности, распространение, поиск и получение, передачу и использование информации, права на интеллектуальную собственность; права собственности на информационные ресурсы и на документированную информацию, на информационные системы и технологии в информационной сфере в условиях информатизации.
Правовую основу всех направлений правового обеспечения информационной безопасности составляют информационно-правовые нормы Конституции РФ.
Угрозы информационной безопасности. Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.
Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий:
1. Действия, осуществляемые авторизованными пользователями. В эту категорию попадают:
– целенаправленная кража или уничтожение данных на рабочей станции или сервере;
– повреждение данных пользователем в результате неосторожных действий.
2. Электронные методы воздействия, осуществляемые хакерами. Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся:
– несанкционированное проникновение в компьютерные сети;
– DoS-атаки, DDoS-атаки.
Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п.
Атака типа DoS (Denial of Service – отказ в обслуживании) – это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые серверы). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и в итоге на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т.п.
3. Компьютерные вирусы. Отдельная категория электронных методов воздействия – компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, Интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.
4. Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности:
– электронная почта в последнее время стала главным каналом распространения вредоносных программ;
– спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;
– как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);
– вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других «грубых» методов фильтрации спама.
5. Естественные угрозы. На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т.д.
Уже в 2001 г. зафиксированный объем потерь составил около 150 млрд. долл., а в последующие годы эта цифра выросла еще больше согласно информации, представленной на сайте rambler.ru. И это при том, что достоянием гласности становится лишь около 15 % преступлений в области информационной безопасности! Большая часть этого ущерба – результат внутренних атак: до 70 %потерь, понесенных компаниями, связано с действиями их собственных сотрудников.
Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий конкурентоспособности и даже жизнеспособности любой компании.
По убеждению экспертов Лаборатории Касперского, задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т.д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту, как от внешних, так и от внутренних угроз.
На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:
– средства идентификации и аутентификации пользователей (так называемый комплекс 3А);
– средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
– межсетевые экраны;
– виртуальные частные сети;
– средства контентной фильтрации;
– инструменты проверки целостности содержимого дисков;
– средства антивирусной защиты;
– системы обнаружения уязвимостей сетей и анализаторы сетевых атак.
Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.
«Комплекс 3А» включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация – это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает ответы на вопросы «Кто вы?» и «Где вы?» – являетесь ли вы авторизованным пользователем сети.
Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ.
Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.
Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты – обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования, – высокий уровень криптостойкости и легальность использования на территории России (или других государств).
Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.
Основной принцип действия межсетевых экранов – проверка каждого пакета данных на соответствие входящего и исходящего IP-адресов базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.
Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network, VPN); Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам.
Использование VPN можно свести к решению трех основных задач: 1) защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть); 2) защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через Интернет; 3) защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).
Эффективное средство защиты от потери конфиденциальной информации – фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.
Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (Integrity Checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC-сумм).
Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые серверы, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, UNIX- и Linux-системы, Novell) на процессорах различных типов.
Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ), часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.
Тот огромный урон, который был нанесен сетям компаний в 2003 г. вирусами и хакерскими атаками, – в большой мере следствие слабых мест в используемом программном обеспечении. Определить их можно заблаговременно, не дожидаясь реального нападения, с помощью систем обнаружения уязвимостей компьютерных сетей и анализаторов сетевых атак. Подобные программные средства безопасно моделируют распространенные атаки и способы вторжения и определяют, что именно хакер может увидеть в сети и как он может использовать ее ресурсы.
Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация все-таки возникнет. Один из основных методов защиты от потери данных – резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т.д.).
Рассмотрим проблемы информационной безопасности на примере работы крупного банка. Руководство крупного банка или компании, как правило, уделяет значительное внимание вопросам информационной безопасности в области обработки и передачи информации, справедливо полагая, что применение шифрования радикально обеспечивает защиту от модификации коммерческой информации. Кроме этого, обязательно применяются физические, организационные и иные меры для предотвращения несанкционированного доступа к конфиденциальной или секретной информации.
Однако применение методов шифрования требует значительной теоретической и практической подготовки персонала, вплоть до организации соответствующей службы с задачами сетевой безопасности (в том числе криптозащиты), борьбы с вирусами, регулярного резервирования данных и мониторинга сетей.
Сам факт применения шифрования способен отпугнуть потенциального злоумышленника, поскольку сложность криптоанализа, материальные и временные затраты, необходимые для получения исходного текста из зашифрованного, достаточно велики даже в случае применения относительно простых криптоалгоритмов. В этом случае информация защищена в том смысле, что стоимость взлома значительно превышает стоимость самой информации.
Однако, рассматривая защищенность информационной системы в целом, необходимо отметить важнейшую составляющую системы защиты, которой является человеческий фактор. Влияние человеческого фактора на защищенность данных может оказаться решающим даже в случае применения сертифицированных средств шифрования. Человек является как самым надежным звеном в системе защиты, так и самым ненадежным одновременно. Все зависит от того, какой информацией он пользуется и как. Даже при исключении таких очевидных средств, как шантаж, подкуп и др., существуют методы такого информационного воздействия на человека (например, нейролингвистическое программирование), что самые современные методы шифрования становятся бесполезными, поскольку самим атакуемым дискредитируются ключи шифрования (они становятся доступны). В связи с такой угрозой безопасности системы впору говорить не о защите информации, а о защите от информации. Известно, что различные злоумышленники могут пользоваться методами социальной инженерии с целью получения паролей для взлома компьютерных сетей и систем, когда неподготовленные пользователи в ответ на убедительную аргументацию злоумышленника могут сообщить, например, по телефону свои пароли.
Обычно выделяют три следующие цели защиты информации:
– доступность данных;
– целостность данных;
– конфиденциальность данных.
Рассмотрим более подробно каждую из них.
Целостность данных – это гарантированность того, что данные не были изменены, подменены или уничтожены. Целостность данных должна гарантировать их сохранность в случае, как злонамеренных действий, так и случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач защиты информации.
Обеспечение конфиденциальности данных является второй главной целью защиты информации. Не все данные можно относить к конфиденциальной информации. Существует достаточно большое количество информации, которая должна быть доступна всем. Но даже в этом случае обеспечение целостности данных, особенно открытых, является основной задачей. К конфиденциальной информации можно отнести, например, следующие данные:
– личную информацию пользователей;
– учетные записи (имена и пароли);
– данные о кредитных картах;
– данные о разработках и различные внутренние документы;
– бухгалтерскую информацию.
Третьей целью безопасности данных является их доступность. Бесполезно говорить о безопасности данных, если пользователь не может работать с ними из-за их недоступности. Вот, например, список ресурсов, которые обычно должны быть доступны:
– принтеры;
– серверы;
– рабочие станции;
– данные пользователей;
– любые критические данные, необходимые для работы.
Рассмотрим угрозы и препятствия, стоящие на пути к обеспечению безопасности информации. Все их можно разделить на две большие группы: технические угрозы и человеческий фактор.
Основными техническими угрозами принято считать следующие:
– ошибки в программном обеспечении;
– различные сетевые атаки, в том числе DoS- и DDoS-атаки;
– компьютерные вирусы, черви, троянские кони;
– анализаторы протоколов и прослушивающие программы (снифферы);
– технические средства съема информации.
Программное обеспечение серверов, рабочих станций, маршрутизаторов и т.д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность программного обеспечения, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов (хранение ненужных данных на сервере, использование компьютера в качестве плацдарма для атаки и т.п.). Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем ПО. Своевременная установка таких обновлений является необходимым условием безопасности информации.
DoS-атаки (Denial of Service – отказ в обслуживании) – это особый тип атак, которые направлены на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах, например установление с атакуемым сервером огромного количества ТСР-соединений, на обработку которых будут затрачены все ресурсы, сервер не сможет обслуживать своих легальных пользователей.
Новый тип атак – DDoS (Distributed Denial Of Service – распределенный DoS) – отличается от предыдущего наличием у атакующего огромного количества компьютеров, предварительно захваченных им с целью использования в качестве инструментов DDoS-атаки. Такие атаки просто перегружают сетевой канал трафиком и мешают прохождению по нему полезной информации, а зачастую и полностью блокируют передачу. Особенно актуально это для компаний, занимающихся каким-либо онлайновым бизнесом, например торговлей через Интернет.
Вирусы – это старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус чаще всего использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего наступления. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.
Анализаторы протоколов и снифферы – средства перехвата передаваемых по сети данных. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые сетевые протоколы (РОР3, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизованным пользователям и случайным людям.
Технические средства съема информации. Это такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как кроме наличия спецтехники требует доступа к сети и ее составляющим.
Основные проблемы человеческого фактора:
– уволенные или недовольные сотрудники;
– промышленный шпионаж;
– халатность сотрудников;
– низкая квалификация сотрудников.
Уволенные и недовольные сотрудники – данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, которые, зачастую недовольные своим материальным положением или несогласные с увольнением, оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т.д.
Промышленный шпионаж – это самая сложная и весьма актуальная категория. Стоит отметить, что для получения или подмены необходимой информации конкурирующая фирма может найти обходные пути, более дешевые, чем, например, взлом хорошо защищенной сети. Источником угрозы в данном случае могут быть те же недовольные сотрудники, «подрабатывающие» на конкурента, причем даже сотрудник, не владеющий компьютерными технологиями (например, уборщица), может в данном случае стать хорошим исполнителем угрозы, если его действиями управляет хорошо подготовленный злоумышленник.
Халатность – самая обширная категория, начиная от не установленных вовремя обновлений, не измененных настроек по умолчанию и заканчивая несанкционированными модемами для выхода в Интернет, в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.
Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело. Из-за этого даже использование сильных средств защиты информации становится серьезной проблемой администратора по безопасности. Большинство пользователей не понимают, например, реальной угрозы от запуска получаемых по почте из непроверенных источников исполняемых файлов и скриптов, а также считают, что исполняемые файлы – это только файлы с расширением.ехе. Низкая квалификация также не позволяет пользователю понять, какая информация является действительно конфиденциальной, а какую можно разглашать. Существует множество методов социальной инженерии, позволяющих узнать у низкоквалифицированного или беспечного пользователя любую информацию, которую он не считает конфиденциальной, например пароли для доступа к каким-либо сетевым услугам и т.п. Выход только один – это повышение квалификации пользователей путем их обучения как информационным технологиям, так и методам защиты информации, а также создание соответствующих документов, разъясняющих степень конфиденциальности различной информации.
Под безопасностью компьютерной системы (КС) понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изменения или разрушения ее компонентов.
Безопасность КС достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.
Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации – это доступ к информации, не нарушающий установленные правила разграничения доступа.
Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.
Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.
Конфиденциальность данных – это статус, предоставленный данным и определяющий требуемую степень их защиты. По существу, конфиденциальность информации – это свойство информации быть известной только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.
Субъект – это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.
Объект – пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.
Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения либо разрушения.
Целостность компонента или ресурса системы – это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений либо разрушающих воздействий.
Доступность компонента или ресурса системы – это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.
Под угрозой безопасности КС понимаются возможные воздействия на КС, которые прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в КС. С понятием угрозы безопасности тесно связано понятие уязвимости КС.
Уязвимость КС – это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.
Атака на компьютерную систему – это действие, предпринимаемое злоумышленником, которое заключается в поиске и/или использовании той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности.
Противодействие угрозам безопасности является целью защиты систем обработки информации.
Безопасная или защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности КС. Комплекс создается и поддерживается в соответствии с принятой в конкретной организации политикой безопасности.
Политика безопасности – это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты КС от заданного множества угроз безопасности.
Перед определением собственно шифрования приведем еще несколько понятий.
Криптография – наука о защите информации.
Криптоанализ – противоположная криптографии наука о противодействии криптографическим методам защиты информации.
Криптология – наука, объединяющая в себе криптографию и криптоанализ.
Шифрование – это основной криптографический метод защиты информации, который обеспечивает конфиденциальность информации. Именно шифрование является основным методом защиты информации.
Шифрование информации – это процесс преобразования открытой информации в зашифрованную и наоборот.
Архивное шифрование – шифрование информации для хранения в защищенном виде.
Абонентское шифрование – шифрование информации для последующей передачи по сети определенным пользователям (абонентам).
Прозрачное шифрование – незаметное для пользователя автоматическое шифрование информации для ее хранения или передачи в закрытом виде.
Ключ парной связи – ключ шифрования, позволяющий шифровать информацию таким образом, чтобы она была доступна только двум пользователям. Обычно это отправитель зашифрованного сообщения и его получатель.