СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ

Специалистам ИБ часто приходится работать на два фронта: бороться с угрозами ПО и заниматься юридическими вопросами. Причина понятна — если в компании нарушают законодательство, ФСБ может наказать штрафами или даже закрыть бизнес. Именно поэтому специалисту ИБ нужно знать все нормативные акты, которыми регулируется его сфера. В том числе те, что касаются средств криптографической защиты информации (СКЗИ).

СКЗИ — что это такое? Какие классы СКЗИ нужно использовать и когда? Что относится к СКЗИ и как изменится защита государственных информационных систем в 2023 году? Ответы — в этой статье.

Что такое СКЗИ, или Ликбез для новичка 

СКЗИ — что это такое? Расшифровка проста — средства криптографической защиты информации. Проще говоря, это программные решения, которые применяют для шифрования данных. Обычно они требуются, если нужно провести защищенный обмен информацией, гарантировать ее целостность или доверенное хранение.

К СКЗИ относятся средства шифрования, имитозащиты, электронные печати, средства кодирования, ключевые документы и средства для их изготовления.

Выделяют два вида СКЗИ: программные и аппаратные. Первые устанавливаются на компьютер и привязаны только к одному рабочему месту. Чтобы их использовать, нужно приобрести лицензию. Самые популярные  — КриптоПро CSP, ViPNet CSP, Signal-COM CSP, LISSI-CSP. Для государственных электронных сервисов чаще применяется первый СКЗИ. Дело в том, что в СКЗИ КриптоПро классы защиты КС1, КС2, КС3 реализованы согласно требованиям ФСБ России. В других системах ЭДО более распространены КриптоПро CSP, ViPNet CSP.

Аппаратные СКЗИ — это средства шифрования, встроенные в отдельное устройство. Такие обычно применяются для электронного подписания документов (токены). Чтобы работать, достаточно ноутбука с выходом в интернет. Примеры СКЗИ — Рутокен, JaCarta.

Классы защиты: СКЗИ для разных ситуаций

За последние 20 лет средства криптозащиты все чаще становились обязательными для бизнеса. Сейчас законодательство требует использовать их при работе с персональными данными, тахографами, налоговой отчетностью, электронным подписанием документов, их долговременным хранением и не только. Список кейсов постоянно пополняется. Основная задача СКЗИ — расшифровка и шифровка данных, поэтому, без средств криптографической защиты ПО в организации обойтись уже нельзя. И это подтверждает нормативная база.

Один из важнейших правовых актов — Приказ №378 ФСБ России — вышел в 2014 году. В документе даются описание и разница классов СКЗИ (КС1, КС2, КС3, КВ, КА) для информационных систем, которые используются в работе с персональными данными. И главное — Приказ указывает, как должен осуществляться выбор класса СКЗИ при внедрении корпоративного ПО.

При выборе средства криптографической защиты разделяются на основании:

• возможностей нарушителя: какой у него доступ к системе — может ли он подключиться физически или дистанционно, необходимы ли ему специалисты для проведения атак; 
• объектов защиты: какие это данные, документы, модули системы и т.д.; 
• территории, откуда ведется атака: в контролируемой зоне или за ее пределами.

Все перечисленное характеризует модель нарушителя. Чем она сложнее, тем выше требования информационной безопасности и класс СКЗИ. Так, например, для мобильного доступа сотрудника к системе внутреннего документооборота может быть достаточно СКЗИ КС1, а для сервиса обмена электронными договорами с контрагентами нужен минимум КС3 класс защищенности. 

Важно понимать, как определить класс СКЗИ для защиты информационной системы:

1. Определить уровень защищенности ИСПДн в соответствии с Требованиями к защите ПДн при их обработке в ИСПДн, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
2. Далее нужно в соответствии с подпунктом «б» пункта 9 Приказа ФСБ № 378 сформировать предположения о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак. Предположения формируются на основании Методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденных руководством 8 Центра ФСБ России от 31 марта 2015 г. № 149/7/2/6-432 (далее – Модель нарушителя ФСБ).

Класс СКЗИ означает способность устройства к работе в случае атаки по ее противодействию и возможностями источниками атак. Правильный выбор средств защиты гарантирует безопасность системы, а также отсутствие претензий к СКЗИ от ФСБ.

На что ФСБ обращает особое внимание

Обычно при проверках СКЗИ регулятор выявляет нарушения, которые касаются неправильно определенной модели угроз. Из-за этого организация определяет класс СКЗИ ниже, чем того требует Приказ №378, и некорректно выстраивает меры по защите ПО.

Также санкции часто выписывают, когда в компании нет: 

• действующего сертификата соответствия СКЗИ; 
• журналов учета средств или их своевременного заполнения; 
• необходимых дистрибутивов, формуляров, документов.

Нужна ли другая классификация? Мнения экспертов 

Приказ №378 вышел восемь лет назад. В мире информационной безопасности это огромный срок. За восемь лет появились новые виды угроз, СКЗИ стали применять чаще и в более современных системах. 

Насколько актуальна принятая классификация теперь — логичный вопрос. Однако эксперты уверяют, что это неважно и есть проблемы серьезнее.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Если посмотреть основные телеграмм-каналы, посвященные утечкам баз данных и персональных данных в том числе, то можно сделать вывод, что взлом СКЗИ не применялся. Объемы похищенных данных большие и целые. Все утечки были реализованы взломами систем защиты ИС и проникновения внутрь периметра сети, а не перехватом зашифрованной информации, передаваемой посредством СКЗИ из пункта А в пункт Б. Поэтому основная работа по защите персональных данных должна быть направлена на повышение общей защищенности информационных систем. СКЗИ как раз работают как надо.

При этом эксперт добавляет, что классификацию СКЗИ можно расширить — есть смысл учесть обработку коммерческой тайны и служебной информации. Также он считает логичным разделить Приказ ФСБ на две части. Первая бы касалась разработки и аттестации средств криптографической защиты, а вторая бы содержала требования по выбору класса СКЗИ и была полезной пользователям (специалистам ИБ, администраторам систем и т.д.). 

Роман Писарев

Руководитель департамента аудита и консалтинга компании iTPROTECT

Классификация СКЗИ исходит от модели нарушителя и, на мой взгляд, остается актуальной и по сегодняшний день. Однако условия защиты информации и использования конкретных классов СКЗИ нужно пересмотреть с учетом современных реалий и требований к сертификации. 

Например, в современном цифровом мире очень много мобильных приложений. В частности, у нас довольно развиты госуслуги, к которым можно подключиться с помощью мобильного клиента на смартфоне, в том числе с использованием иностранных операционных систем и т.п. Однако для функционирования требуемого Приказом №378 класса СКЗИ нужно соблюсти определенные условия. Например, нужно подключить ГОСТовый TLS-сертификат или модуль доверенной загрузки, что в случае с иностранной мобильной ОС проблематично. И таких примеров очень много. 

Эксперты уверяют: настало время менять не устоявшиеся классы средств защиты информации, а правила и подходы к эксплуатации в организациях. В том числе нужно устранить законодательные пробелы и избавиться от устаревших требований.

Олег Косенков

Архитектор информационной безопасности компании «Информзащита»

Многие из требований относятся к нормативным документам регулятора, написанным два десятилетия назад. Пример — Приказ ФАПСИ от 13 июня 2001 года №152. 

Если такие требования к государственным и крупным организациям еще можно оправдать, то меньшие компании зачастую неспособны соблюдать их в полной мере, в том числе из-за нехватки специалистов. Также не стоит забывать о различных трактовках одних и тех же требований при проведении проверок регулятором в регионах. 

Выход на ГИС

В октябре 2022 года появился еще один знаковый для СКЗИ Приказ ФСБ — №524. Документ представляет порядок применения средств криптографической защиты для государственных информационных систем (ГИС), а также требования к ним. Вот некоторые требования ФСБ к ГИС:

1. Защита информации в ГИС с использованием СКЗИ должна быть обоснована в модели угроз безопасности информации, техническом проекте и техническом задании на создание или развитие ГИС.
2. Модель угроз безопасности информации и техническое задание должны быть согласованы с ФСБ России.
3. Если ГИС предназначена для решения задач на всей территории Российской Федерации или в пределах двух и более субъектов РФ, в помещениях с СКЗИ и носителями ключевой, аутентифицирующей и парольной информации должен обеспечиваться режим, препятствующий неконтролируемому проникновению лиц.
4. Класс СКЗИ устанавливается в зависимости от уровня значимости информации в ГИС и масштаба системы.

Также регулятор конкретизирует критерии и правила выбора класса СКЗИ, которые давно ожидали в сообществе ИБ. В документе уточняется, что модель угроз и техническое задание на ГИС нужно согласовывать с ФСБ России. При этом разрешено использовать только сертифицированные СКЗИ. 

Олег Косенков

Архитектор информационной безопасности компании «Информзащита»

В целом не думаю, что стоит ожидать существенных изменений в части защиты информации, так как в большинстве ГИС и так используются исключительно сертифицированные СКЗИ. Однако если выяснится, что в организации эксплуатируются средства более низкого класса, чем того требует Приказ, то их оперативная замена может стать головной болью специалистов по ИБ. 

Именно поэтому, по его мнению, регулятор ввел переходный режим — Приказ вступит в силу лишь 23 ноября 2023 года. К тому моменту пройдет год со дня его официального подписания. Предполагается, что за это время госсектор и вендоры успеют провести все мероприятия по защите ГИС.  

Роман Писарев

Руководитель департамента аудита и консалтинга компании iTPROTECT

Сейчас операторам государственных информационных систем важно как можно быстрее провести аудит и определить нужные классы СКЗИ для защиты их ГИС в текущей вариации. Возможно, у кого-то уже продуманы достаточные меры защиты. Однако для большинства ГИС, скорее всего, это не так. Нужно исправить ситуацию, и сейчас важно не упустить время.

Отдельно хочется отметить взаимосвязь СКЗИ и СЗИ — средств защиты информации. СКЗИ должны дополнять и укреплять защиту информационной системы, которая в компаниях и корпорациях обеспечивается такими средствами как сертифицированные межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы и т. д.

Итоги

Когда будут обновлены устаревшие требования к использованию СКЗИ — вопрос пока открытый. Но уже очевидно, что нормативная база постепенно меняется и долго ждать перемен не придется. 

Эксперты советуют учесть текущие законодательные тенденции всем, кто готовится к покупке новых программных продуктов в ближайшие три года. От того, насколько системы будут защищены в части СКЗИ, зависит не только будущая безопасность данных в компании. Это ещё и гарантия того, что организация легко пройдет все проверки ФСБ и продолжит работать на рынке.