СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ

Специалистам ИБ часто приходится работать на два фронта: бороться с угрозами ПО и заниматься юридическими вопросами. Причина понятна — если в компании нарушают законодательство, ФСБ может наказать штрафами или даже закрыть бизнес. Именно поэтому специалисту ИБ нужно знать все нормативные акты, которыми регулируется его сфера. В том числе те, что касаются средств криптографической защиты информации (СКЗИ).

Что это такое? Какие классы СКЗИ нужно использовать и когда? И как изменится защита государственных информационных систем в 2023 году? Ответы — в этой статье.

Что такое СКЗИ, или Ликбез для новичка 

Средства криптографической защиты информации — программные решения, которые применяют для шифрования данных. Обычно они требуются, если нужно провести защищенный обмен информацией, гарантировать ее целостность или доверенное хранение. 

СКЗИ бывают двух видов: программные и аппаратные. Первые устанавливаются на компьютер и привязаны только к одному рабочему месту. Чтобы их использовать, нужно приобрести лицензию. Самые популярные  — КриптоПро CSP, ViPNet CSP. 

Аппаратные СКЗИ — это средства шифрования, встроенные в отдельное устройство. Такие обычно применяются для электронного подписания документов (токены). Чтобы работать, достаточно ноутбука с выходом в интернет. Примеры — Рутокен, JaCarta.

Классы защиты: СКЗИ для разных ситуаций

За последние 20 лет средства криптозащиты все чаще становились обязательными для бизнеса. Сейчас законодательство требует использовать их при работе с персональными данными, тахографами, налоговой отчетностью, электронным подписанием документов, их долговременным хранением и не только. Список кейсов постоянно пополняется. Проще говоря, без средств криптографической защиты ПО в организации обойтись уже нельзя. И это подтверждает нормативная база.

Один из важнейших правовых актов — Приказ №378 ФСБ России — вышел в 2014 году. В документе даются описание и разница классов криптографической защиты (КС1, КС2, КС3, КВ, КА) для информационных систем, которые используются в работе с персональными данными. И главное — Приказ указывает, как должен осуществляться выбор класса СКЗИ при внедрении корпоративного ПО.

Средств разделяются на основании:

• возможностей нарушителя: какой у него доступ к системе — может ли он подключиться физически или дистанционно, необходимы ли ему специалисты для проведения атак; 

• объектов защиты: какие это данные, документы, модули системы и т.д.; 

• территории, откуда ведется атака: в контролируемой зоне или за ее пределами.

Все перечисленное характеризует модель нарушителя. Чем она сложнее, тем выше требования информационной безопасности и класс СКЗИ. Так, например, для мобильного доступа сотрудника к системе внутреннего документооборота может быть достаточно КС1, а для сервиса обмена электронными договорами с контрагентами — минимум КС3. 

На что ФСБ обращает особое внимание

Обычно при проверках СКЗИ регулятор выявляет нарушения, которые касаются неправильно определенной модели угроз. Из-за этого организация определяет класс СКЗИ ниже, чем того требует Приказ №378, и некорректно выстраивает меры по защите ПО.

Также санкции часто выписывают, когда в компании нет: 

• действующего сертификата соответствия СКЗИ; 

• журналов учета средств или их своевременного заполнения; 

• необходимых дистрибутивов, формуляров, документов.

Нужна ли другая классификация? Мнения экспертов 

Приказ №378 вышел восемь лет назад. В мире информационной безопасности это огромный срок. За восемь лет появились новые виды угроз, СКЗИ стали применять чаще и в более современных системах. 

Насколько актуальна принятая классификация теперь — логичный вопрос. Однако эксперты уверяют, что это неважно и есть проблемы серьезнее.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Если посмотреть основные телеграмм-каналы, посвященные утечкам баз данных и персональных данных в том числе, то можно сделать вывод, что взлом СКЗИ не применялся. Объемы похищенных данных большие и целые. Все утечки были реализованы взломами систем защиты ИС и проникновения внутрь периметра сети, а не перехватом зашифрованной информации, передаваемой посредством СКЗИ из пункта А в пункт Б. Поэтому основная работа по защите персональных данных должна быть направлена на повышение общей защищенности информационных систем. СКЗИ как раз работают как надо.

При этом эксперт добавляет, что классификацию СКЗИ можно расширить — есть смысл учесть обработку коммерческой тайны и служебной информации. Также он считает логичным разделить Приказ ФСБ на две части. Первая бы касалась разработки и аттестации средств криптографической защиты, а вторая бы содержала требования по выбору класса СКЗИ и была полезной пользователям (специалистам ИБ, администраторам систем и т.д.). 

Роман Писарев

Руководитель департамента аудита и консалтинга компании iTPROTECT

Классификация СКЗИ исходит от модели нарушителя и, на мой взгляд, остается актуальной и по сегодняшний день. Однако условия защиты информации и использования конкретных классов СКЗИ нужно пересмотреть с учетом современных реалий и требований к сертификации. 

Например, в современном цифровом мире очень много мобильных приложений. В частности, у нас довольно развиты госуслуги, к которым можно подключиться с помощью мобильного клиента на смартфоне, в том числе с использованием иностранных операционных систем и т.п. Однако для функционирования требуемого Приказом №378 класса СКЗИ нужно соблюсти определенные условия. Например, нужно подключить ГОСТовый TLS-сертификат или модуль доверенной загрузки, что в случае с иностранной мобильной ОС проблематично. И таких примеров очень много. 

Эксперты уверяют: настало время менять не устоявшиеся классы защиты СКЗИ, а правила и подходы к эксплуатации в организациях. В том числе нужно устранить законодательные пробелы и избавиться от устаревших требований.

Олег Косенков

Архитектор информационной безопасности компании «Информзащита»

Многие из требований относятся к нормативным документам регулятора, написанным два десятилетия назад. Пример — Приказ ФАПСИ от 13 июня 2001 года №152. 

Если такие требования к государственным и крупным организациям еще можно оправдать, то меньшие компании зачастую неспособны соблюдать их в полной мере, в том числе из-за нехватки специалистов. Также не стоит забывать о различных трактовках одних и тех же требований при проведении проверок регулятором в регионах. 

Выход на ГИС

В октябре 2022 года появился еще один знаковый для СКЗИ Приказ ФСБ — №524. Документ представляет порядок применения средств криптографической защиты для государственных информационных систем (ГИС). Регулятор конкретизирует критерии и правила выбора класса СКЗИ, которые давно ожидали в сообществе ИБ. 

В документе уточняется, что модель угроз и техническое задание на ГИС нужно согласовывать с ФСБ России. При этом разрешено использовать только сертифицированные СКЗИ. 

Олег Косенков

Архитектор информационной безопасности компании «Информзащита»

В целом не думаю, что стоит ожидать существенных изменений в части защиты информации, так как в большинстве ГИС и так используются исключительно сертифицированные СКЗИ. Однако если выяснится, что в организации эксплуатируются средства более низкого класса, чем того требует Приказ, то их оперативная замена может стать головной болью специалистов по ИБ. 

Именно поэтому, по его мнению, регулятор ввел переходный режим — Приказ вступит в силу лишь 23 ноября 2023 года. К тому моменту пройдет год со дня его официального подписания. Предполагается, что за это время госсектор и вендоры успеют провести все мероприятия по защите ГИС.  

Роман Писарев

Руководитель департамента аудита и консалтинга компании iTPROTECT

Сейчас операторам государственных информационных систем важно как можно быстрее провести аудит и определить нужные классы СКЗИ для защиты их ГИС в текущей вариации. Возможно, у кого-то уже продуманы достаточные меры защиты. Однако для большинства ГИС, скорее всего, это не так. Нужно исправить ситуацию, и сейчас важно не упустить время.

Итоги

Когда будут обновлены устаревшие требования к использованию СКЗИ — вопрос пока открытый. Но уже очевидно, что нормативная база постепенно меняется и долго ждать перемен не придется. 

Эксперты советуют учесть текущие законодательные тенденции всем, кто готовится к покупке новых программных продуктов в ближайшие три года. От того, насколько системы будут защищены в части СКЗИ, зависит не только будущая безопасность данных в компании. Это ещё и гарантия того, что организация легко пройдет все проверки ФСБ и продолжит работать на рынке.