НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ ЭЦП

Содержание
  1. Что такое СКЗИ и для чего нужны средства криптографической защиты
  2. Что такое СКЗИ, и какие они бывают
  3. Как работает СКЗИ
  4. Нормативка
  5. Лицензирование
  6. Организация работы
  7. Учет СКЗИ
  8. Размещение СКЗИ
  9. Заключение
  10. Использование СКЗИ в стандартном программном обеспечении
  11. Использование СКЗИ в составе программных продуктов ООО «КРИПТО-ПРО»
  12. Встраивание СКЗИ «КриптоПро CSP 5
  13. Отладка в Windows
  14. Подключение на уровне CSP в Windows
  15. Подключение на уровне CryptoAPI 2. 0 в Windows
  16. Встраивание в ОС Unix
  17. Встраивание на уровне ядра
  18. Функциональность CryptoAPI 2
  19. Базовые криптографические функции
  20. Функции кодирования/декодирования
  21. Функции работы со справочниками сертификатов
  22. Высокоуровневые функции обработки криптографических сообщений
  23. Низкоуровневые функции обработки криптографических сообщений
  24. Использование COM интерфейсов
  25. Certificate Enrollment API
  26. CAPICOM
  27. Certificate Services
  28. Использование протокола TLS в прикладном ПО
  29. Примеры использования средств криптографической защиты
  30. Использование шифрования в компаниях России
  31. Применение криптографии и СКЗИ в российских компаниях
  32. Использование CyberSafe Enterprise
  33. Адекватный класс СКЗИ для бизнеса

Что такое СКЗИ и для чего нужны средства криптографической защиты

Подробно разбираем, как работают электронная подпись, хеш-функции, асимметричное шифрование и другие средства защиты данных.

Иллюстрация: Катя Павловская для Skillbox Media

Журналист, изучает Python. Любит разбираться в мелочах, общаться с людьми и понимать их.

В конце девяностых — начале нулевых в научно-популярном журнале «Наука и жизнь» публиковали логические задачки с двумя детективами: инспектором Боргом и сержантом Глумом.

В одной из них инспектор хотел отправить сержанту посылку, но почтальоны всё время воровали содержимое. Борг нашёл выход: сначала он послал коробку, запертую на большой амбарный замок, а на следующий день — бандероль с ключом от него. В итоге Глум получил свой подарок в целости и сохранности.

По схожему принципу работает и криптографическое шифрование данных. Даже если злоумышленники перехватят защищённую информацию, «вскрыть» её будет нелегко — придётся ломать «амбарный замок». Чтобы его навесить, и нужны СКЗИ.

Из этой статьи вы узнаете:

СКЗИ (средства криптографической защиты информации) — это программы и устройства, которые шифруют и дешифруют информацию и проверяют, вносились ли в неё изменения. С КЗИ используют для безопасного хранения и передачи данных. С их помощью также создают электронные подписи.

Чтобы защитить информацию, её шифруют одним из криптографических алгоритмов. Например, сравнительно простым шифром Цезаря. В нём каждая буква исходного сообщения заменяется на другую. На какую — зависит от ключа и расположения буквы в алфавите.

Например, если ключ равен трём, то все буквы в сообщении сдвигаются на три позиции вправо: А превращается в Г, Б — в Д, В — в Е, Я — в В.

Если таким образом зашифровать сообщение «Средство криптографической защиты информации», получится следующее: «Фузжфхес нултхсёугчлъзфнсм кгьлхю лрчсупгщлл».

Проблема подобных шифров в том, что их можно взломать простым перебором ключей. Поэтому сегодня для защиты информации применяют куда более изощрённые математические алгоритмы, обратить которые трудно даже с помощью суперкомпьютеров.

Например, протокол RSA в качестве одной из операций перемножает большие . Сделать это несложно, а вот для факторизации (то есть разложения на множители) удобной формулы не придумали. Затем в протоколе проводятся и другие операции: применяются функция Эйлера и возведение в степень по модулю.

Есть несколько подходов к шифрованию данных. Оно может быть:

При симметричной криптографии для шифрования и расшифровки используется один и тот же секретный ключ. Шифр Цезаря, о котором мы говорили раньше, как раз симметричный.


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Инфографика: Майя Мальгина для Skillbox Media

Этот метод прост и удобен, но имеет крупную уязвимость: и у отправителя, и у получателя — один и тот же ключ. Если злоумышленники его узнают (например, перехватят при передаче), то смогут без труда получить доступ к информации.

Поэтому симметричную криптографию редко применяют для отправки сообщений. Обычно таким образом шифруют данные в состоянии покоя.

При асимметричной криптографии данные шифруются одним ключом и расшифровываются другим. Причём ключ для шифрования обычно открытый, а для дешифровки — закрытый.

Открытый ключ можно передать кому угодно, а закрытый оставляют у себя и никому не сообщают. Теперь зашифровать сообщение сможет любой, у кого есть открытый ключ, а расшифровать — только владелец секретного.


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Такой подход гораздо безопаснее симметричного, но его алгоритмы сложнее, требуют больше ресурсов компьютера и, следовательно, занимают больше времени.

Гибридное шифрование — компромисс между двумя предыдущими подходами. В этом случае сообщение шифруется симметрично, а ключ к нему — асимметрично. Получателю нужно сначала расшифровать симметричный ключ, а потом с его помощью — само сообщение.

Так алгоритмы работают быстрее, чем при асимметричном подходе, а узнать ключ от сообщения сложнее, чем в симметричном.


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Подробнее о симметричном, асимметричном и гибридном шифровании можно прочитать в нашей статье.

Хеш-функции отличаются от других методов криптографической защиты тем, что они необратимы: преобразованные ими данные нельзя расшифровать. Они выдают строку заранее определённого фиксированного размера (например, 256 бит), которую называют хешем, хеш-суммой или хеш-кодом.


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

В идеальной хеш-функции, если ей захешировать одно и то же сообщение несколько раз, результат тоже будет получаться одинаковый. Но если исходное сообщение изменить хоть немного, то хеш выйдет совершенно другой.

С помощью хеш-функций проверяют, вносились ли в данные изменения, — это полезно в электронных подписях (о них мы расскажем ниже).

Многие сервисы хранят пароли пользователей не в открытом виде, а в хешированном. Когда пользователь при авторизации вводит пароль, тот хешируется и сравнивается с хешем из базы данных. Если хеши одинаковые, значит, пароль верный.

Это даёт дополнительную защиту. Даже если кто-то получит доступ к базе данных сервиса, то увидит просто список хешей, по которым никак не сможет восстановить исходные пароли пользователей.

Основная задача СКЗИ — шифровать и расшифровывать данные. Это делают как для информации, которую куда-то отправляют (при передаче она наиболее уязвима: её можно перехватить), так и для той, которая просто хранится на одном устройстве.

Если кто-то перехватит информацию или получит доступ к устройству, ломать криптографический протокол будет просто нерационально. Например, в 2019 году французские учёные взломали 795-битный ключ RSA, потратив 4000 лет компьютерного времени — это последний рекорд. При этом в современной криптографии используют ключи с длиной от 2048 бит.

Помимо шифрования и дешифрования данных, СКЗИ могут управлять электронной подписью (ЭП). Раньше её ещё называли электронной цифровой подписью (ЭЦП), но сейчас этот термин устарел.

Электронная подпись — это дополнение к пересылаемому документу, созданное криптографическими методами. Она позволяет подтвердить авторство сообщения и проверить данные на целостность: не вносились ли в них изменения после того, как поставили подпись.

Так как реальные документы могут быть большого объёма, обычно ЭП применяют не к ним самим, а к их хешу. Это ускоряет работу с подписью. Также протоколы шифрования могут не уметь работать с некоторыми видами документов — хеширование же преобразует все данные в . Это решает проблему совместимости.

Чтобы поставить ЭП, используют асимметричный метод шифрования, но наоборот: сообщение шифруют закрытым ключом, а дешифруют — открытым. В общем виде электронная подпись ставится так:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Сертификат электронной подписи (его ещё называют сертификатом открытого ключа) хранит данные об отправителе и всю информацию, которая нужна для проверки авторства и подлинности документа. Работает это по следующей схеме:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Если после применения ЭП документ был хоть немного изменён, то при проверке хеши не совпадут. Если же они одинаковые, можно быть уверенным: данные добрались до получателя в целости и сохранности.

Человек, который поставил свою ЭП, потом не сможет отрицать это. Дело в том, что доступ к закрытому ключу есть только у него, а значит, никто другой подписать документ не мог.

Современные СКЗИ бывают программные и программно-аппаратные (часто их называют просто аппаратными).

Программно-аппаратные СКЗИ вшиты в специальное устройство (обычно токен). Все операции происходят на этом устройстве и скрыты от оперативной памяти компьютера, к которому он подключён. Такой вид СКЗИ считается более безопасным, чем программный.

Главная задача СКЗИ — уберечь данные от возможного взлома, поэтому в них встраивают защиту. В зависимости от её уровня присваивется класс защиты. Каждый последующий класс включает в себя все предыдущие.

Вот что нужно запомнить:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Жизнь можно сделать лучше!Освойте востребованную профессию, зарабатывайте больше и получайте от работы удовольствие. А мы поможем с трудоустройством и важными для работодателей навыками.

Что такое СКЗИ, и какие они бывают

СКЗИ (средство криптографической защиты информации) — это программа или устройство, которое шифрует документы и
генерирует электронную подпись (ЭП). Все операции производятся с помощью ключа электронной подписи, который
невозможно подобрать вручную, так как он представляет собой сложный набор символов. Тем самым обеспечивается
надежная защита информации.

Как работает СКЗИ

Есть два вида средств криптографической защиты информации: устанавливаемые отдельно и встроенные в носитель.

СКЗИ, устанавливаемое отдельно — это программа, которая устанавливается на любое компьютерное
устройство. Такие СКЗИ используются повсеместно, но имеют один недостаток: жесткую привязку к одному рабочему
месту. Вы сможете работать с любым количеством электронных подписей, но только на том компьютере или ноутбуке,
на котором установлена СКЗИ. Чтобы работать на разных компьютерах, придется для каждого покупать дополнительную
лицензию.

При работе с электронными подписями в качестве устанавливаемого СКЗИ чаще всего используется криптопровайдер
КриптоПро CSP. Программа работает в Windows,
Unix и других операционных системах, поддерживает отечественные стандарты безопасности ГОСТ Р 34.11-2012
и ГОСТ Р 34.10-2012.

Реже используются другие СКЗИ:

Все перечисленные СКЗИ сертифицированы ФСБ и ФСТЭК, соответствуют стандартам безопасности, принятым в России.
Для полноценной работы также требуют покупки лицензии.

СКЗИ, встроенные в носитель, представляют собой «вшитые» в устройство средства шифрования, которые
запрограммированы на самостоятельную работу. Они удобны своей самодостаточностью. Все необходимое для того, чтобы
подписать договор или отчет, уже есть на самом носителе. Не надо покупать лицензии и устанавливать дополнительное
ПО. Достаточно компьютера или ноутбука с выходом в интернет. Шифрование и расшифровка данных производятся внутри
носителя. К носителям со встроенным СКЗИ относятся Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCarta SE.

Время на прочтение

ЭЦП:  Средства криптографической защиты информации


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Соблюдение нормативных требований в области криптографии – вечная тема. Давно не менявшаяся нормативная база и возможность различной интерпретации формулировок порождают много споров и сомнений. А с появлением сервисной модели в ИБ вопросов стало еще больше. Можно ли в принципе передать часть обязанностей по обслуживанию средств криптографической защиты информации (СКЗИ) сервис-провайдеру? Как это правильно оформить и чем потом подтвердить комплаенс? Попробуем разобраться в этом посте.

Все, что описано ниже, затрагивает только защиту конфиденциальной информации. Защита государственной тайны отдельная тема и в статье не рассматривается.

Нормативка

Начнем с документов. В тексте я буду ссылаться на Приказ ФАПСИ от 13.06.2001 N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». Назовем документ просто «инструкция».

Тут вы можете спросить: «А этот документ вообще актуален, ведь ФАПСИ не существует уже 19 лет?» Но приказа об отмене инструкции не выпускалось, а полномочия ФАПСИ были распределены между ФСО России, ФСБ России, СВР России и Службой специальной связи и информации при ФСО России. К тому же сейчас регулятор в своих нормативных актах ссылается на инструкцию, тем самым подтверждая её актуальность. Кстати, даже  ГОСТ28147-89 времен СССР используется в большинстве СКЗИ до сих пор.

Лицензирование

Театр начинается с вешалки, а работа в области криптографии – с лицензирования. В этом вопросе ФСБ России также является правопреемником ФАПСИ. Лицензирование деятельности, связанной с криптографией, регламентируется постановлением Правительства РФ №313. Там же приведен перечень работ и услуг, которые попадают под действие документа. Поэтому при привлечении подрядчика (сервис-провайдера) нужно убедиться в наличии у него лицензии с соответствующими пунктами:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Организация работы

Далее в инструкции конкретизируется организационная сторона работы лицензиата. Базовым этапом является создание органа криптографической защиты (ОКЗ). Это рабочая группа внутри организации, которая занимается задачами, связанными со средствами криптографической защиты информации (СКЗИ).

Подтверждающий документ для заказчика в этом случае – приказ о создании ОКЗ у подрядчика. Как правило, в приложении к приказу конкретизируется поименный перечень сотрудников ОКЗ.

Также в инструкции конкретизируются требования к сотрудникам ОКЗ: они должны иметь определенный уровень квалификации. Это может быть профильное образование, переподготовка или внутренний обучающий курс с обязательной проверкой знаний. Должны быть разработаны инструкции, регламентирующие для используемых СКЗИ процессы настройки, эксплуатации и т.д. Подтверждающие документы для заказчика – это выдержки из должностных инструкций сотрудников ОКЗ, журнал учета проведения инструктажей по информационной безопасности, журнал ознакомления с инструкциями по работе с СКЗИ.

Учет СКЗИ

Далее наиболее известный, почти легендарный пункт: поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним. Об эту тему сломано много копий. Существуют разные варианты ведения учета: бумажный журнал или программный продукт. О том, как не запутаться в журналах учета журналов мы уже писали в этом посте.

Добавим, что в данном случае речь идет не только об учете самих СКЗИ, но и о документации к ним и дискам с эталонной версией ПО. Помимо учета, в соответствии с правилами пользования, должно быть организовано хранение документов и дисков в сейфах или «надежно запираемых шкафах».  В сервисной модели документы (журналы, формуляры, документация на СКЗИ) хранятся у сервис-провайдера в специальном помещении ОКЗ. При необходимости, например, при проверке регулятором заказчика, провайдер может предоставить выписки из документов или сами документы.

В соответствии с п.31 инструкции, аппаратные средства, на которые установлено СКЗИ, должны быть опечатаны/опломбированы, причем так, чтобы место опечатывания (опломбирования) можно было контролировать визуально. Для криптошлюзов в виде программно-аппаратных комплексов это требование обычно выполняется производителем (ему же в любом случае нужна гарантийная пломба). Если оборудование установлено на объекте заказчика (а так оно обычно и бывает), то убедиться в наличии пломбы он может самостоятельно, просто посмотрев на оборудование. Например:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Но если мы говорим о программных СКЗИ, например, о VPN-клиентах, то получается, что опечатывать нужно уже ноутбук или системный блок. Большинство подрядчиков оставляют эту обязанность на стороне заказчика. Это логично: системным администраторам заказчика может потребоваться заменить какие-то комплектующие. При этом они могут самостоятельно меняют пломбу и сообщают об этом подрядчику, если это предусмотрено регламентом.

Если произошло какое-то несанкционированные событие, например, пломба сорвана, должен быть проведен анализ ситуации и составлено заключение по факту нарушения. С формальной точки зрения любые отступления от правил могут привести к снижению качества защиты информации. Соответственно, их нужно систематически фиксировать, снижать вероятность их возникновения и возможные последствия. Подтверждение этого – наличие в должностных инструкциях соответствующих пунктов и отчеты по анализу инцидентов за предыдущие периоды.

В инструкции также приведены требования к доставке СКЗИ. Это можно делать либо нарочно сотрудником ОКЗ, либо фельдъегерской связью. Как правило, нарочная доставка применяется в рамках одного населенного пункта или близлежащих районов. Для других регионов – Государственная фельдъегерская служба (ГФС) или Главный центр специальной связи (ФГУП ГЦСС). Подтверждение для заказчика – это накладная о доставке.

Доставка ненастроенных СКЗИ (то есть без проведения инициализации и ввода ключевой информации) с помощью других логистических служб – дискуссионный вопрос. Но в явном виде разрешения на такой вариант нет.

Размещение СКЗИ

Этому вопросу посвящён целый раздел инструкции. Его можно условно разделить на две части: требования к ОКЗ и к помещениям, в которых установлены СКЗИ.

Для ОКЗ требования выглядят более жесткими относительно обычного офиса – постоянно закрытые двери, защита окон, сдача ключей под роспись. Больше похоже на режимный объект. Именно такой смысл и несет инструкция: работа с СКЗИ – дело серьезное.

Для установки СКЗИ требования тоже непростые. Они призваны свести к минимуму возможность неконтролируемого доступа посторонних лиц к оборудованию. Круглосуточная охрана, пропускной режим, надежные двери. Так как СКЗИ обычно устанавливается на объекте заказчика, то и ответственность за соблюдение требований по размещению остается в зоне его ответственности.

Интересно, что часть правил инструкции в том или ином виде дублируется в правилах пользования конкретного СКЗИ. И, как правило, в требованиях к размещению. Соблюдать нужно оба документа: и инструкцию, и правила пользования.

Помимо некоторого дублирования инструкции в правилах много других интересных моментов. Оптическая развязка, периодические перезагрузки, аудит политики безопасности и т.д. Обычно все эти детали фиксируются дополнительным регламентом между заказчиком и исполнителем.

Заключение

Словом, инструкция ФАПСИ, хоть и выпущена довольно давно, до сих пор актуальна. Требования в ней можно разделить между заказчиком и подрядчиком-исполнителем. Такое разделение возможно и при предоставлении криптошлюзов по сервисной модели. На стороне заказчика остается выполнение требований по размещению СКЗИ на своих объектах. А большинство остальных пунктов инструкции берет на себя исполнитель, то есть сервис-провайдер. При этом часть требований (например, лицензия и работы по ОКЗ) он выполняет сразу для всех заказчиков, а часть (учет, актуализация политик безопасности) – для конкретных СКЗИ.

Александр Веселов, руководитель направления ГОСТ VPN, «РТК-Солар»

СКЗИ «КриптоПро CSP 5.0» разработано с учётом существующей в операционной системе Windows архитектуры использования криптографических функций: оно реализует специфицированный Microsoft интерфейс — Cryptographic Service Provider (CSP). В результате оно доступно для использования как в составе стандартного программного обеспечения, так и для встраивания в прикладное программное обеспечение.

Примечание. Требования и правила встраивания СКЗИ в прикладные системы и использования СКЗИ в стандартном программном обеспечении описаны в документе «КриптоПро СSP. Правила пользования», входящем в комплект поставки СКЗИ.


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Использование СКЗИ в стандартном программном обеспечении

Программное обеспечение СКЗИ позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей (ключей проверки ЭП) стандарта X.509 совместно со следующим программным обеспечением (включая, но не ограничиваясь):

Использование СКЗИ в составе программных продуктов ООО «КРИПТО-ПРО»

СКЗИ «КриптоПро CSP 5.0» используется в составе следующих программных продуктов ООО «КРИПТО-ПРО» (включая, но не ограничиваясь):

Кроме того, обеспечена техническая совместимость СКЗИ с продуктами:

Встраивание СКЗИ «КриптоПро CSP 5

Иерархическая архитектура криптографических функций в операционной системе Windows позволяет использовать российские криптографические алгоритмы, реализованные в «КриптоПро CSP 5.0» на самых различных уровнях.

Отладка в Windows

Для работы с любым отладчиком контроль целостности в драйвере должен быть отключен. Для этого следует в реестре значение HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerCProIntegrityCheckMode установить в 0. После этого необходимо перестартовать сервис.

Подключение на уровне CSP в Windows

В ОС Windows СКЗИ «КриптоПро CSP 5.0» может быть непосредственно подключено к прикладному программному обеспечению путем загрузки модуля cpcspi.dll с использованием функции LoadLibrary(). При такой реализации прикладному ПО доступен лишь ограниченный набор низкоуровневых криптографических функций, соответствующий интерфейсу Microsoft CSP.

ЭЦП:  ТРЕБОВАНИЯ К ЭЦП КАДАСТРОВОГО ИНЖЕНЕРА

Примечание. При использовании СКЗИ под управлением ОС iOS загрузка библиотек при помощи функции LoadLibrary() невозможна.

Подключение на уровне CryptoAPI 2. 0 в Windows

«КриптоПро CSP 5.0» может быть подключено к прикладному программному обеспечению (как и любой другой криптопровайдер, поставляемый с ОС Windows) через интерфейс CryptoAPI 2.0, подробное описание которого приведено в программной документации MSDN (Microsoft Developer Network). В этом случае способ выбора криптографического алгоритма в прикладном ПО может определяться информацией, описывающей алгоритм открытого ключа отправителя/получателя, содержащейся в сертификатах открытых ключей Х.509.

Встраивание в ОС Unix

Для подключения СКЗИ к прикладному ПО необходимо пользоваться интерфейсом CAPILite. Подробности в документации на CAPILite.

Встраивание на уровне ядра

Для встраивания на уровне ядра пользуйтесь рекомендациями из Особенности использования интерфейса уровня ядра в OC Linux и Особенности использования интерфейса уровня ядра в Windows .

Функциональность CryptoAPI 2

Использование интерфейса CryptoAPI 2.0 в ОС Windows преследует две главные цели:

Функционально интерфейс CryptoAPI 2.0 делится на 5 групп.

Базовые криптографические функции

К базовым функциям относятся функции:

По своей функциональности базовые функции повторяют низкоуровневый интерфейс CSP.

Функции кодирования/декодирования

Данные функции предназначены для преобразования (кодирования) из внутреннего представления объектов, используемых в CryptoAPI, во внешнее представление и обратно. В качестве внешнего представления объектов используется формат ASN.1 (Abstracy Syntax Notation One), определенный серией рекомендаций X.680. К этой же группе функций можно отнести набор функций, позволяющих расширить функциональность CryptoAPI 2.0 путем реализации и регистрации собственных типов объектов.

Функции работы со справочниками сертификатов

Эта группа функций предназначена для хранения и обработки сертификатов в различных типах справочников. Причем в качестве справочника могут использоваться самые различные типы хранилищ: от простого файла до LDAP.

Высокоуровневые функции обработки криптографических сообщений

Именно эта группа функций (Simplified Message Functions) в первую очередь предназначена для использования в прикладном ПО. С помощью этих функций можно:

Эти функции (как и функции низкого уровня) оперируют сертификатами открытых ключей X.509 для адресации отправителя/получателя данных. В качестве формата данных используется формат PKCS#7 или CMS.

Низкоуровневые функции обработки криптографических сообщений

Данная группа функция (Low Level Message Functions) предназначена для аналогичных целей, что и группа высокоуровневых функций, но обладает большей функциональностью. Вместе с тем большая функциональность требует от прикладного программиста более детальных знаний в области прикладной криптографии.

Использование COM интерфейсов

«КриптоПро CSP 5.0» может быть использовано из COM интерфейсов, разработанных Microsoft.

Certificate Enrollment API

COM интерфейс Certificate Enrollment API (реализованный в файле certenroll.dll, ранее xenroll.dll) предназначен для использования ограниченного количества функций CryptoAPI 2.0, связанных с генерацией ключей, запросов на сертификаты открытых ключей и обработкой сертификатов, полученных от Центра Сертификации, с использованием языков программирования Visual Basic, C++, JavaScript, VBScript и среды разработки Delphi.

Именно этот интерфейс используют различные Центры Сертификации (Verisign, Thawte и т. д.) при формировании сертификатов открытых ключей пользователей на платформе Windows.

CAPICOM

CAPICOM (реализованный в файле capicom.dll) предоставляет COM интерфейс, использующий основные функции CryptoAPI 2.0. Этот компонент является добавлением к COM интерфейсу Certificate Enrollment Control (xenroll.dll), который реализуют клиентские функции генерации ключей, запросов на сертификаты открытых ключей и обмена с центром сертификации.

С выпуском данного компонента стало возможным использование функций формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с использованием Visual Basic, C++, JavaScript, VBScript и среды разработки Delphi. Использование CAPICOM позволяет реализовать функциональность «тонкого» клиента в интерфейсе браузера Internet Explorer.

Компонент CAPICOM является свободно распространяемым и поставляется в составе Redistributable инструментария разработчика Microsoft Platform SDK.

Certificate Services

Certificate Services включает в себя несколько COM интерфейсов, позволяющих изменить функциональность Центра Сертификации, входящего в состав ОС Windows Server. При помощи данных интерфейсов возможно изменить:

Использование протокола TLS в прикладном ПО

Кроме использования протокола TLS в интерфейсе Internet Explorer, прикладное программное обеспечение может использовать протокол TLS с СКЗИ «КриптоПро CSP 5.0» для аутентификации и защиты данных, передаваемых по собственным протоколам на основе TCP/IP и HTTPS.

Примеры WebClient и WebServer для встраивания протокола TLS входят в комплект примеров, поставляемых вместе с Platform SDK.

Примеры использования средств криптографической защиты

СКЗИ «КриптоПро CSP 5.0» поставляется с тестовым программным обеспечением, содержащим примеры вызовов основных функций CryptoAPI 2.0. Большое количество примеров использования функций CryptoAPI 2.0, CAPICOM, Certificate Services содержится в документации MSDN и в инструментарии разработчика Platform SDK.

На сервере Крипто-Про ведется Форум КриптоПро

по вопросам использования криптографических функций и сертификатов открытых ключей.

Примечание. Подробную информацию об особенностях реализации и использования СКЗИ «КриптоПро CSP 5.0» см. в документах «КриптоПро CSP. Описание реализации» и «КриптоПро CSP. Руководство администратора безопасности. Использование СКЗИ под управлением ОС Windows», входящих в комплект поставки СКЗИ.

Использование шифрования в компаниях России

Немногим более двух десятилетий тому назад криптография в России находилась приблизительно на том же уровне секретности, что и технологии производства оружия – ее практическое применение относилось к сфере деятельности исключительно военных и спецслужб, то есть было полностью подконтрольно государству. В открытом доступе встретить какие-либо издания и научные работы по этому вопросу не представлялось возможным – тема криптографии была закрыта.

Ситуация изменилась лишь в 1990 году, когда в действие был введен стандарт шифрования ГОСТ 28147-89. Изначально алгоритм имел гриф ДСП и официально «полностью открытым» стал лишь в 1994 году.

Сложно точно сказать, когда именно в отечественной криптографии был совершен информационный прорыв. Скорее всего, это произошло с появлением у широкой общественности доступа в интернет, после чего в сети начали публиковаться многочисленные материалы с описаниями криптографических алгоритмов и протоколов, статьи по киптоанализу и другая информация, имеющая отношение к шифрованию.

В сложившихся условиях криптография больше не могла оставаться прерогативой одного лишь государства. Кроме того, развитие информационных технологий и средств связи обусловило потребность в использовании средств криптографической защиты коммерческими компаниями и организациями.


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Далее в статье речь пойдет о том, какое практическое применение на настоящий момент шифрование и СКЗИ нашли в российских компаниях и организациях. Будут рассмотрены следующие направления:

Применение криптографии и СКЗИ в российских компаниях

К СКЗИ, внедренному в систему защиты персональных данных, выдвигаются следующие требования:

Криптографическое средство, в зависимости от обеспечиваемого им уровня защиты, может быть отнесено к одному из шести классов (КС1, КС2, КС3, КВ1, КВ2, КА1). Внедрение криптосредства того или иного класса с систему защиты обуславливается категорией нарушителя (субъекта атаки), которая определяется оператором в модели угроз.

Таким образом, средства криптографической защиты сегодня эффективно используются компаниями и организациями для защиты персональных данных российских граждан и являются одной из наиболее важных составляющих в системах защиты персональных данных.

Защита корпоративной информации

Если в п.1 использование крпитогарфических средств обусловлено, прежде всего, требованиями законодательства РФ, то в данном случае в применении СКЗИ заинтересовано руководство самой компании. С помощью средства шифрования компания получает возможность защитить свою корпоративную информацию – сведения, представляющие коммерческую тайну, интеллектуальную собственность, оперативную и техническую информацию и др.

На сегодняшний день для эффективного применения в корпоративной среде, программа для шифрования должна обеспечивать:

Итак, второе применение СКЗИ – это защита конфиденциальной информации компании. Средство шифрования, поддерживающее вышеперечисленные возможности, способно обеспечить достаточно надежную защиту, однако непременно должно использоваться как составляющая комплексного подхода к защите информации. Такой подход дополнительно подразумевает использование межсетевых экранов, антивирусов и файерволлов, а также включает разработку модели угроз информационной безопасности, выработку необходимых политик ИБ, назначение ответственных за информационную безопасность, контроль электронного документооборота, контроль и мониторинг деятельности сотрудников и др.

Электронная подпись

Электронная подпись (ЭП) сегодня является полноценным аналогом собственноручной подписи и может быть использована юридическими и физическими лицами для того, чтобы обеспечить документу в цифровом формате юридическую силу. Применение ЭП в электронных системах документооборота значительно увеличивает скорость заключения коммерческих сделок, уменьшает объем бумажных бухгалтерских документов, экономит время сотрудников. Кроме того, ЭП сокращает расходы предприятия на заключение договоров, оформление платежных документов, получение различных справок от государственных учреждений и многое другое.

При создании ЭП они должны:

При проверке ЭП они должны:

Шифрование электронной почты

Для большинства компаний электронная почта является основным средством коммуникации между сотрудниками. Ни для кого не секрет, что по корпоративной электронной почте сегодня пересылается огромное количество конфиденциальной информации: договора, счета, сведения о продуктах и ценовых политиках компании, финансовые показатели и др. Если подобная информация окажется доступной для конкурентов, это может нанести значительный ущерб компании вплоть до прекращения ее деятельности.

ЭЦП:  Удостоверяющий центр: сертификаты, дистрибутивы, инструкции

Поэтому защита корпоративной почты – крайне важная составляющая в обеспечении информационной безопасности компании, реализация которой становится возможной также благодаря использованию криптографии и средств шифрования.

Большинство почтовых клиентов, таких как Outlook, Thinderbird, The Bat! и др., позволяют настроить обмен зашифрованными сообщениями на основе сертификатов открытого и закрытого ключа (сертификаты в форматах X.509 и PKCS#12 соответственно), создаваемых при помощи средств криптографической защиты.

Использование CyberSafe Enterprise

Разрабатывая программу CyberSafe Enterprise мы постарались учесть все вышеописанные возможности, включив их в функциональный набор программы. Так, она поддерживает функции, перечисленные в п.2 данной статьи, шифрование электронной почты, создание и проверку цифровых подписей, а также работу в качестве удостоверяющего центра.

Далее более подробно остановимся на возможности внедрения CyberSafe Enterprise в системы защиты персональных данных. Эта возможность существует благодаря поддержке программой криптопровайдера КриптоПро CSP, сертифицированного ФСБ РФ в качестве СКЗИ классов КС1, КС2 и КС3 (в зависимости от исполнения) и оговорена в п. 5.1 «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных»:

«Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы)».

Таким образом, имея в своем составе встроенное СКЗИ КриптоПро CSP, программа CyberSafe Enterprise может быть использована в системе защиты персональных данных классов КС1 и КС2.

После установки КриптоПро CSP на компьютер пользователя при создании сертификата в CyberSafe Enterprise появится возможность создать сертификат КриптоПРО:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Далее необходимо выбрать место хранения контейнера закрытого ключа КриптоПро и задать пароль к контейнеру. Для хранения может быть использован реестр операционной системы либо съемный носитель (токен):


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

После завершения создания сертификата CyberSafe ключи КриптоПРО также созданы, отображаются на вашей связке и доступны для использования:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

В том случае, если возникает необходимость экспортировать ключи КриптоПро в отдельный файл, это можно сделать через стандартную функцию экспорта ключей CyberSafe:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Если вы хотите зашифровать файлы для передачи другим пользователям (или подписать их своей цифровой подписью) и использовать для этого ключи КриптоПро, из списка доступных криптопровайдеров необходимо выбрать КриптоПро:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

В том случае, если вы хотите использовать ключи КриптоПро для прозрачного шифрования файлов, в окне выбора сертификатов в качестве криптопровайдера также следует указать КриптоПро:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

В CyberSafe существует возможность использовать КриптоПРО и алгоритм ГОСТ для шифрования логических дисков/разделов и создания виртуальных зашифрованных дисков:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Также, на основе сертификатов КриптоПро, может быть настроено шифрование электронной почты. В КприптоПро CSP алгоритмы формирования и проверки ЭП реализованы в соответствии с требованиями стандарта ГОСТ Р 34.10-2012, алгоритм шифрования/дешифрования данных реализован в соответствии с требованиями стандарта ГОСТ 28147-89.

На сегодняшний день CyberSafe является единственной программой, которая сочетает в себе функции по шифрованию файлов, сетевых папок, логических дисков, электронной почты и возможность работы в качестве удостоверяющего центра с поддержкой стандартов шифрования ГОСТ 28147-89 и ГОСТ Р 34.10-2012.

Документы

1. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
2. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781.
3. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144.
4. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденное Приказом ФСБ РФ от 9 февраля 2005 г.№ 66.
5. Требования к средствам электронной подписи и Требования к средствам удостоверяющего центра, утвержденные Приказом Федеральной службы безопасности Российской Федерации от 27 декабря 2011 г. № 796.

Адекватный класс СКЗИ для бизнеса


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Всем привет, меня зовут Василий Степаненко, и теперь я работаю в НУБЕС.

Эта статья для тех, кто любит “перебдеть”, и все информационные системы, в которых производится обработка персональных данных, категорировать по максимальному уровню защищенности, т.е. У З-1. Конечно же бывают случаи, когда действительно у информационной системы должен быть УЗ-1, но чаще все же этот уровень защищенности выводят на всякий случай, чтобы точно не придрались.

Так вот, есть открытый реестр сертифицированых по требованиям ФСБ России СЗИ: http://clsz.fsb.ru/clsz/certification.htm (сам реестр больше, это выписка, свободно доступная). В этом реестре только отечественные СКЗИ, в которых реализованы российские алгоритмы шифрования, такие как ГОСТ 34.10-2018 (электронная цифровая подпись), ГОСТ 34.11-2018 (хеш-функция), ГОСТ 34.12-2018 (блочные шифры, Кузнечик и Магма).

Из реестра нас интересуют только СКЗИ, поэтому средства антивирусной защиты, операционные системы, различные фильтры, межсетевые экраны и прочее не будем учитывать. Для персданных по этим классам СЗИ нужно брать реестр ФСТЭК России. Берем из реестра ФСБ именно СКЗИ классов КС1, КС2, КС3, КВ и КА, которые применяются для защиты сведений конфиденциального характера (но не гостайны) и смотрим, сколько каких вообще есть.


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Количество СКЗИ в реестре: 430 шт.

Как видите, не так уж много СКЗИ, сертифицированных по требованиям ФСБ России, особенно КА и КВ.

Поясню по классам СКЗИ (КС1, КС2, КС3, КВ, КА) – их применение зависит от предполагаемого нарушителя. Если все сильно упростить, то можно сказать так:

Грубо говоря, КС1 – это самый низкий класс СКЗИ, предполагающий, что вокруг СКЗИ создано много преград для нарушителя и защищаемая информация не очень интересна спецслужбам. А класс КА, наоборот, предполагает, что в СКЗИ реализована защита от многих угроз, и посредством КА можно защищать весьма значимые сведения конфиденциального характера.

Когда разговор заходит о персданных (они относятся к сведениям конфиденциального характера), то все обычно вспоминают про 152-ФЗ, ПП-1119, 21 Приказ ФСТЭК, но есть еще и Приказ ФСБ России № 378 от 10.07.2014 г., которым тоже нужно руководствоваться, если речь идет о защите персональных данных. Консалтеры не очень любят вспоминать про СКЗИ, потому что они больше юристы, чем реальные безопасники. Обратите на 378 Приказ ФСБ внимание, если вдруг у вас идет консалтинговый проект по защите персданных.

В 378 Приказе ФСБ России есть привязка, какие СКЗИ нужно использовать для каких уровней защищенности персданных:


НАБОР КРИПТОГРАФИЧЕСКИХ ДАННЫХ СОДЕРЖАЩИЙ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И КЛЮЧ СЕРТИФИКАТА А ТАКЖЕ ИСПОЛЬЗОВАНИЕ ШИФРОВАНИЯ В РОССИЙСКИХ КОМПАНИЯХ

Таким образом, если Оператор персданных счёл для себя актуальными угрозы первого или второго типа (и соответственно вывел УЗ-1 или УЗ-2), то ему придется покупать СКЗИ классов КВ или КА. Их весьма немного в реестре ФСБ России, но что еще хуже, даже имеющиеся в реестре образцы не очень производительны. Для понимания – в КВ и КА речь не про Гб/с, а про Мб/с.

Напомню типы угроз по отношению к информационной системе персональных данных, которые определены в Постановлении Правительства № 1119 от 01.11.2012 г.:

Оператор персданных сам решает, какие типы угроз по 1119-ПП для него актуальны, а значит вполне возможно сказать, что в информационной системе коммерческой организации актуальны угрозы 3-го типа, не связанные с закладками в ПО. Таким образом, и на СКЗИ вы сможете сэкономить и обеспечить нормальную производительность шифрования, ведь чем выше класс СКЗИ, тем дороже. Все последние публичные утечки персданных связаны с наличием уязвимостей, неправильными настройками, публикацией наружу того, чего не нужно было публиковать, но не с тем, что в какой-либо ОС или браузере вендор оставил для спецслужб тайный ход, и они им воспользовались.

Лучше купите средства защиты и настройте их (это, увы, тоже не все делают), чтобы утечки не случились, чем внедрять в коммерческой организации СКЗИ классов КВ или КА. Кстати, и ключи шифрования для КВ и КА генерируются не в самих СКЗИ этих классов. Придется еще и к вендору, а возможно, и в ФСБ обращаться.

Если вы определили для себя необходимость применения КС2, КС3, КВ, КА, и решили разместить систему в облаке, стоит ориентироваться на облачных провайдеров, являющихся заодно и ЦОДами с услугой Colocation, так как начиная с КС2 и выше все СКЗИ будут программно-аппаратными, а значит стоит искать стойку (КС3, КВ, КА) или юнит (КС2).

Если же все упростить, то коммерческая компания может для себя определить актуальными угрозы 3-го типа по 1119-ПП. А значит выбрать, если это вообще необходимо, СКЗИ класса КС1, которые в свою очередь могут быть виртуальными (например, С-Терра виртуальный шлюз, ViPNet Coordinator VA) и спокойно разместить их в облаке, соответствующем 152-ФЗ, и с реальными мерами защиты, нейтрализующими всех возможных нарушителей.

Оцените статью
ЭЦП64
Добавить комментарий