СКЗИ НА КАССОВОМ АППАРАТЕ КОМУ НУЖНА ЛИЦЕНЗИЯ ДЛЯ КРИПТОГРАФИИ

Время на прочтение

Соблюдение нормативных требований в области криптографии – вечная тема. Давно не менявшаяся нормативная база и возможность различной интерпретации формулировок порождают много споров и сомнений. А с появлением сервисной модели в ИБ вопросов стало еще больше. Можно ли в принципе передать часть обязанностей по обслуживанию средств криптографической защиты информации (СКЗИ) сервис-провайдеру? Как это правильно оформить и чем потом подтвердить комплаенс? Попробуем разобраться в этом посте.

Все, что описано ниже, затрагивает только защиту конфиденциальной информации. Защита государственной тайны отдельная тема и в статье не рассматривается.

Нормативка

Начнем с документов. В тексте я буду ссылаться на Приказ ФАПСИ от 13.06.2001 N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». Назовем документ просто «инструкция».

Тут вы можете спросить: «А этот документ вообще актуален, ведь ФАПСИ не существует уже 19 лет?» Но приказа об отмене инструкции не выпускалось, а полномочия ФАПСИ были распределены между ФСО России, ФСБ России, СВР России и Службой специальной связи и информации при ФСО России. К тому же сейчас регулятор в своих нормативных актах ссылается на инструкцию, тем самым подтверждая её актуальность. Кстати, даже  ГОСТ28147-89 времен СССР используется в большинстве СКЗИ до сих пор.

Лицензирование

Театр начинается с вешалки, а работа в области криптографии – с лицензирования. В этом вопросе ФСБ России также является правопреемником ФАПСИ. Лицензирование деятельности, связанной с криптографией, регламентируется постановлением Правительства РФ №313. Там же приведен перечень работ и услуг, которые попадают под действие документа. Поэтому при привлечении подрядчика (сервис-провайдера) нужно убедиться в наличии у него лицензии с соответствующими пунктами:

Организация работы

Далее в инструкции конкретизируется организационная сторона работы лицензиата. Базовым этапом является создание органа криптографической защиты (ОКЗ). Это рабочая группа внутри организации, которая занимается задачами, связанными со средствами криптографической защиты информации (СКЗИ).

Подтверждающий документ для заказчика в этом случае – приказ о создании ОКЗ у подрядчика. Как правило, в приложении к приказу конкретизируется поименный перечень сотрудников ОКЗ.

Также в инструкции конкретизируются требования к сотрудникам ОКЗ: они должны иметь определенный уровень квалификации. Это может быть профильное образование, переподготовка или внутренний обучающий курс с обязательной проверкой знаний. Должны быть разработаны инструкции, регламентирующие для используемых СКЗИ процессы настройки, эксплуатации и т.д. Подтверждающие документы для заказчика – это выдержки из должностных инструкций сотрудников ОКЗ, журнал учета проведения инструктажей по информационной безопасности, журнал ознакомления с инструкциями по работе с СКЗИ.

Учет СКЗИ

Далее наиболее известный, почти легендарный пункт: поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним. Об эту тему сломано много копий. Существуют разные варианты ведения учета: бумажный журнал или программный продукт. О том, как не запутаться в журналах учета журналов мы уже писали в этом посте.

Добавим, что в данном случае речь идет не только об учете самих СКЗИ, но и о документации к ним и дискам с эталонной версией ПО. Помимо учета, в соответствии с правилами пользования, должно быть организовано хранение документов и дисков в сейфах или «надежно запираемых шкафах».  В сервисной модели документы (журналы, формуляры, документация на СКЗИ) хранятся у сервис-провайдера в специальном помещении ОКЗ. При необходимости, например, при проверке регулятором заказчика, провайдер может предоставить выписки из документов или сами документы.

Средства криптографической защиты

В соответствии с п.31 инструкции, аппаратные средства, на которые установлено СКЗИ, должны быть опечатаны/опломбированы, причем так, чтобы место опечатывания (опломбирования) можно было контролировать визуально. Для криптошлюзов в виде программно-аппаратных комплексов это требование обычно выполняется производителем (ему же в любом случае нужна гарантийная пломба). Если оборудование установлено на объекте заказчика (а так оно обычно и бывает), то убедиться в наличии пломбы он может самостоятельно, просто посмотрев на оборудование. Например:

Но если мы говорим о программных СКЗИ, например, о VPN-клиентах, то получается, что опечатывать нужно уже ноутбук или системный блок. Большинство подрядчиков оставляют эту обязанность на стороне заказчика. Это логично: системным администраторам заказчика может потребоваться заменить какие-то комплектующие. При этом они могут самостоятельно меняют пломбу и сообщают об этом подрядчику, если это предусмотрено регламентом.

Если произошло какое-то несанкционированные событие, например, пломба сорвана, должен быть проведен анализ ситуации и составлено заключение по факту нарушения. С формальной точки зрения любые отступления от правил могут привести к снижению качества защиты информации. Соответственно, их нужно систематически фиксировать, снижать вероятность их возникновения и возможные последствия. Подтверждение этого – наличие в должностных инструкциях соответствующих пунктов и отчеты по анализу инцидентов за предыдущие периоды.

В инструкции также приведены требования к доставке СКЗИ. Это можно делать либо нарочно сотрудником ОКЗ, либо фельдъегерской связью. Как правило, нарочная доставка применяется в рамках одного населенного пункта или близлежащих районов. Для других регионов – Государственная фельдъегерская служба (ГФС) или Главный центр специальной связи (ФГУП ГЦСС). Подтверждение для заказчика – это накладная о доставке.

Доставка ненастроенных СКЗИ (то есть без проведения инициализации и ввода ключевой информации) с помощью других логистических служб – дискуссионный вопрос. Но в явном виде разрешения на такой вариант нет.

Размещение СКЗИ

Этому вопросу посвящён целый раздел инструкции. Его можно условно разделить на две части: требования к ОКЗ и к помещениям, в которых установлены СКЗИ.

Для ОКЗ требования выглядят более жесткими относительно обычного офиса – постоянно закрытые двери, защита окон, сдача ключей под роспись. Больше похоже на режимный объект. Именно такой смысл и несет инструкция: работа с СКЗИ – дело серьезное.

Для установки СКЗИ требования тоже непростые. Они призваны свести к минимуму возможность неконтролируемого доступа посторонних лиц к оборудованию. Круглосуточная охрана, пропускной режим, надежные двери. Так как СКЗИ обычно устанавливается на объекте заказчика, то и ответственность за соблюдение требований по размещению остается в зоне его ответственности.

Интересно, что часть правил инструкции в том или ином виде дублируется в правилах пользования конкретного СКЗИ. И, как правило, в требованиях к размещению. Соблюдать нужно оба документа: и инструкцию, и правила пользования.

Помимо некоторого дублирования инструкции в правилах много других интересных моментов. Оптическая развязка, периодические перезагрузки, аудит политики безопасности и т.д. Обычно все эти детали фиксируются дополнительным регламентом между заказчиком и исполнителем.

Заключение

Словом, инструкция ФАПСИ, хоть и выпущена довольно давно, до сих пор актуальна. Требования в ней можно разделить между заказчиком и подрядчиком-исполнителем. Такое разделение возможно и при предоставлении криптошлюзов по сервисной модели. На стороне заказчика остается выполнение требований по размещению СКЗИ на своих объектах. А большинство остальных пунктов инструкции берет на себя исполнитель, то есть сервис-провайдер. При этом часть требований (например, лицензия и работы по ОКЗ) он выполняет сразу для всех заказчиков, а часть (учет, актуализация политик безопасности) – для конкретных СКЗИ.

Александр Веселов, руководитель направления ГОСТ VPN, «РТК-Солар»

Токены со встроенной СКЗИ:

Токены без встроенного СКЗИ:

Подробнее о носителях JaCarta читайте на сайте производителя.

Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.

(средство криптографической защиты информации) – это служба для работы с , а также обеспечивает:

СКЗИ существует в программном или в аппаратном (вшитом в носитель) виде, как в Рутокен ЭЦП 2.0. Во втором случае дополнительное ПО и драйвера не требуются, так как носитель сам обрабатывает секретные данные.

На российском рынке представлены: , VipNet CSP, Signal-COM CSP, LISSI-CSP. Для государственных электронных сервисов применяются первые два СКЗИ. В других системах ЭДО они также более распространены.

На одном компьютере не может быть установлено несколько служб одновременно – работать они не будут.

Чтобы купить популярную КриптоПро CSP обращайтесь по этим

Какие вопросы мы задаем при работе с СКЗИ

Согласитесь, в теме криптографической защиты информации больше вопросов, чем ответов. Как учитывать СКЗИ, как их хранить и перевозить? А если защиту надо установить на мобильное приложение, а сколько человек должны подписывать акт, надо ли создавать у себя в компании ОКЗИ, а всегда ли можно это сделать? И главное, все ли множество лицензий вы получили или про что-то забыли.

В этом посте собраны самые больные частые вопросы, которыми задаемся мы в «Ростелеком-Солар» и которые задают наши коллеги по цеху. Мы постарались найти на них ответы. Надеемся, будет интересно и полезно.

Внимание, материал не является истиной в последней инстанции. Ответить точно на конкретный запрос может только регулятор.

Вопросы про лицензирование

Как найти грань между техническим обслуживанием СКЗИ и, например, выработкой ключевой информации?

— Все, что описано в эксплуатационной документации, в том числе и выработка ключевой информации, является техническим обслуживанием.

Можно ли отдать на аутсорсинг работы по обслуживанию СКЗИ в организации?

— Можно. Но у аутсорсинговой компании должны быть соответствующие пункты лицензии на «работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». Этого требует постановление правительства N 313 от 16.04.2012.

Вопросы про журнал учета

Можно ли вести журнал учета СКЗИ/КД в электронном виде?

— Да. Некоторые организации уже так делают. При этом не стоит забывать про правила электронного документооборота, например, про использование квалифицированной электронной подписи.

Как организовать учет большого количества СКЗИ?

—  Основной совет: каждое действие надо сопровождать актом и в журнале указывать его реквизиты. Не надо пытаться обеспечить всех участников доступом к журналу – территориально распределенные компании могут выдохнуть. Много и подробно о ведении учета журнала СКЗИ можете прочитать в этом посте.

Как вести поэкземплярный учет СКЗИ в мобильных и веб-приложениях?

— При скачивании учет СКЗИ обеспечивается тем, кто его распространяет, то есть разработчиком или вендором. Чтобы загрузить CSP, на сайте вендора нужно заполнить форму с ФИО и контактной информацией. Далее вы получаете ссылку на дистрибутив и серийник, а после регистрации – регистрационный номер СКЗИ. Все эти данные фиксируются у вендора, который распространяет СКЗИ, а у пользователя остается формуляр с серийным и регистрационным номерами. Подробнее этот процесс описан тут.  Аналогичная схема действует и для корпоративного приложения или портала.

Могут ли всевозможные акты подписываться одним лицом – исполнителем, или обязательно комиссией, утвержденной приказом руководителя?

— Четкого количества лиц, подписывающих акт, текущая нормативно-правовая база не определяет. Но, чтобы исключить возможные претензии со стороны ФСБ, лучше подписывать акты коллегиально. Вот, что пишут на одном из профильных ресурсов: «Акты составляются коллегиально (должно быть не менее двух составителей). Нередко акты составляются специально создаваемыми комиссиями, состав которых утверждается распорядительным документом руководителя данной организации, вышестоящей организации или органа управления, осуществляющего контрольные, надзорные или иные функции. Акты могут составляться и постоянно действующими комиссиями на регулярной основе».

Если подходить более формально, то в ГОСТ Р 7.0.97-2016 есть пример:

Вопросы про ОКЗИ

В соответствии с п. 6 Инструкции № 152 ФАПСИ получается, что орган криптографической защиты информации (ОКЗИ) может быть создан только лицензиатом ФАПСИ. Значит ли это, что ОКЗИ может быть создан только у лицензиата ФСБ (как правопреемника ФАПСИ), а у всех остальных вместо этого назначается ответственное лицо?

— При создании и эксплуатации ОКЗИ появляются лицензируемые виды деятельности, поэтому право на его создание есть исключительно у лицензиата ФСБ. Правда, отсутствие ОКЗИ не освобождает от учета СКЗИ и ведения множества журналов, предусмотренных приказом ФАПСИ и эксплуатационной документацией к криптографическому оборудованию.

Можно ли самостоятельно обучить пользователей СКЗИ и как это оформить?

— Формально обучающие материалы должен разработать лицензиат ФСБ. Но самостоятельно проводить внутреннее обучение своих сотрудников на основе данных материалов может любая организация.

Есть ли какие-либо требования к сотрудникам, которые входят в ОКЗИ?

— Есть. Они должны пройти внутреннее обучение с тестированием. Сделать это можно в лицензированном учебном центре. Также им нужно ознакомиться с инструкцией пользователя СКЗИ под подпись.

Ответственный за защиту информации и ответственный за СКЗИ – это одно и то же?

— Не обязательно. Даже лучше, если эти роли выполняются разными лицами. Например, за администрирование средств защиты (антивирус, межсетевой экран и т.п.) отвечает администратор ИБ. А за администрирование и учет средств криптографической защиты – ответственный за СКЗИ. Как показывает практика согласования моделей нарушителей с ФСБ, регулятор просит данные роли не совмещать, хотя формального запрета на это нет. Но, гипотетически, такой запрет может встречаться в правилах эксплуатации на отдельные СКЗИ.

Другие вопросы

Если на компьютере установлено СКЗИ, является ли место, где он расположен спецпомещением? Как быть с сотрудниками, работающими удаленно с использованием СКЗИ (VPN)? Как опечатать помещение, где они работают?

— Строго говоря, по инструкции № 152 ФАПСИ, это спецпомещение. А, значит, к нему должны применяться меры, описанные в правилах пользования на конкретное СКЗИ. Причем требования должны выполняться как на территории организации, так и в отношении сотрудников, работающих удаленно.

В какой степени сейчас реализованы в СКЗИ квантовые технологии? Насколько они актуальны?

— У многих производителей уже есть решения ГОСТ VPN с использованием квантового распределения ключей. Но сертификаты соответствия ФСБ на данные изделия пока не получены, так как требования еще не утверждены.

Может ли Спецсвязь перевозить СКЗИ?

— Приказ ФАПСИ № 152 гласит, что СКЗИ и ключевые документы могут доставляться «фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки».

Существует две ключевых организации, осуществляющие доставку СКЗИ:

ФГУП ГЦСС (Спецсвязь) – это организация подведомственная Минкомсвязи. Согласно постановлению правительства от 15 декабря 1994 года N 1379-68, ФГУП ГЦСС, в частности, осуществляет прием и доставку корреспонденции и грузов, содержащих сведения и материалы, относящиеся к государственной, служебной и иной охраняемой законом тайне. Ф ГУП ГЦСС уполномочено осуществлять перевозку СКЗИ, в том числе для юридических лиц. Подробнее о доставке СКЗИ рассуждаем вот здесь.

И напоследок – крик души. Нужен ли единый протокол и алгоритм шифрования?

— Алгоритмы шифрования зафиксированы в государственных стандартах (ГОСТ) и одинаковы у всех производителей (за исключением незначительных деталей).

А вот несовместимость сетевых протоколов различных производителей – это действительно боль. Но определенные шаги в сторону стандартизации уже сделаны. Например:

Для ГОСТ TLS и ЭП совместимость доступна уже сейчас. А работы по совместимости реализации различных производителей сейчас активно ведет технический комитет по стандартизации «Криптографическая защита информации» (ТК 26).

Кому нужна лицензия на криптографию?

Несколько примеров бизнесов, которым требуется лицензия на криптографию.

Автомастерские по тахографам

Некоторые автомастерские устанавливают тахографы. Росавтотранс еще в 2015 году получил от ФСБ России разъяснения о необходимости получения лицензии на криптографию для работы с тахографами. Автомастерским требуется лицензия на криптографию со следующими видами работ по 313-ПП:

Кроме этого, ЦЛСЗ ФСБ России выпустило информационное письмо по вопросам лицензирования деятельности, связанной с тахографами и их использованием.

Банки, НФО, участники НПС

Банки оказывают услуги по дистанционному банковскому обслуживанию с помощью систем Клиент-банк и Интернет-банк. И Т-инфраструктура участников национальной платежной системы (НПС) участвует в переводах денежных средств. Некредитные финансовые организации (НПФ, страховые, управляющие компании и др.) осуществляют финансовые операции с помощью личных кабинетов и мобильных приложений специализированных информационных систем. В таких системах встроены СКЗИ, которые используются как для подписания электронных документов с помощью ЭЦП, так и для шифрования интернет-соединения между организацией и клиентом в целях защиты финансовой информации. Банкам, НФО и участникам НПС требуется лицензия накриптографию со следующими видами работ по 313-ПП:

Банки и другие финансовые организации, которые самостоятельно разрабатывают прикладное ПО своих специализированных систем (например, Клиент-банк, Интернет-банк), включают в лицензию дополнительный пункт 2 313-ПП на встраивание СКЗИ.

Бухгалтерские компании

Бухгалтерские компании формируют и передают в ФНС России налоговую отчетность от имени своих клиентов, которая, в свою очередь, подписывается ЭЦП клиента и шифруется в момент ее передачи в налоговую инспекцию. Подробнее в статье.

Импортеры и экспортеры криптографии (СКЗИ)

Предприятия-импортеры осуществляют ввоз на территорию РФ средств защиты информации (СрЗИ), а также оборудования, в составе которых есть СКЗИ. Например, HSM (от hardware security module) и межсетевых экранов (криптошлюзов). Экспортеры – вывозят СКЗИ с территории РФ. В обоих случая осуществляется поставка СКЗИ. Для этого требуется лицензия на криптографию с видами работ, предусмотренными п.21, 22, 23 по 313-ПП. Строго говоря, для этого еще требуется разовая лицензия Минпромторга на ввоз/вывоз СКЗИ, но о ней мы напишем в следующий раз.

Медицинские информационные аналитические центры (МИАЦ)

МИАЦ собирают, хранят и обрабатывают информацию (медицинскую, финансовую, кадровую, техническую), полученную от медицинских организаций, а также передают информацию в уполномоченные госорганы. Информация принимается и передается в зашифрованном виде. Для этого требуется лицензия на криптографию с видом работ, предусмотренным п.25 по 313-ПП.

Многофилиальные организации

Организациям, имеющим филиалы, представительства, дополнительные офисы, внешние ЦОД и иные территориальные подразделения, требуется лицензия на криптографию со следующими видами работ по 313-ПП:

Операторы фискальных данных (ОФД)

ОФД передают в ФНС России фискальные данные в зашифрованном виде. Для этого требуется лицензия на криптографию с видом работ, предусмотренным п.25 по 313-ПП.

Операторы электронного документооборота (ЭДО)

Оператор электронного документооборота (ЭДО) оказывает услуги по организации обмена документами в электронной форме по телекоммуникационным каналам связи с использованием квалифицированных сертификатов ключей проверки электронной подписи. Для этого ему нужны виды работ по 313-ПП: 12, 13, 14, 20, 21, 25, 26. Подробнее в статье.

Поставщики и дистрибьютеры средств защиты информации (СЗИ) и телекоммуникационного оборудования

Поставщики и дистрибьютеры осуществляют поставку средств защиты информации (СрЗИ), а также оборудования, в составе которых есть СКЗИ. Например, HSM (от hardware security module) и межсетевых экранов (криптошлюзов). Поставщикам требуется лицензия на криптографию со следующими видами работ по 313-ПП:

Разработчики программного обеспечения

Некоторые разработчики прикладного ПО разрабатывают софт, в котором применяются СКЗИ (например, для формирования ЭЦП). Примеры такого софта:

Разработчикам ПО требуется лицензия на криптографию со следующими видами работ по 313-ПП:

Системные интеграторы

Системные интеграторы и ИТ-компании осуществляют поставку, монтаж, наладку, установку СКЗИ. Системным интеграторам и ИТ-компаниям требуется лицензия на криптографию со следующими видами работ по 313-ПП:

Удостоверяющие центры (УЦ)

УЦ работают с электронной подписью (ЭЦП) и сертификатами ЭЦП. Минцифры России подтвердило необходимость получения лицензии на криптографию со следующими видами работ по 313-ПП:

Центры технического обслуживания (ЦТО) контрольно-кассовой техники (ККТ)

ЦТО занимаются обслуживанием контрольно-кассовой техники. Частью кассовой техники является фискальный накопитель (ФН), который является СКЗИ. В мае 2017 года правительство внесло изменения в 313-ПП, в соответствии с которым для продажи (21 пункт 313-ПП) и монтажа (12 пункт 313-ПП) фискальных накопителей не требуется лицензия на криптографию. Для прочих видов работ по обслуживанию кассовой техники по-прежнему необходимо получать лицензию на криптографию. Дело в том, что ФН как часть кассового аппарата и сам кассовый аппарат, с точки зрения 313-ПП, разные вещи. Ф Н – это СКЗИ, а кассовый аппарат, в составе которого есть ФН, может быть интерпретирован в терминах 313-ПП в качестве телекоммуникационной системой. И для работы с каждым из них нужны разные виды работ из 313-ПП:

Что такое СКЗИ и для чего нужны средства криптографической защиты

Подробно разбираем, как работают электронная подпись, хеш-функции, асимметричное шифрование и другие средства защиты данных.

Иллюстрация: Катя Павловская для Skillbox Media

Журналист, изучает Python. Любит разбираться в мелочах, общаться с людьми и понимать их.

В конце девяностых — начале нулевых в научно-популярном журнале «Наука и жизнь» публиковали логические задачки с двумя детективами: инспектором Боргом и сержантом Глумом.

В одной из них инспектор хотел отправить сержанту посылку, но почтальоны всё время воровали содержимое. Борг нашёл выход: сначала он послал коробку, запертую на большой амбарный замок, а на следующий день — бандероль с ключом от него. В итоге Глум получил свой подарок в целости и сохранности.

По схожему принципу работает и криптографическое шифрование данных. Даже если злоумышленники перехватят защищённую информацию, «вскрыть» её будет нелегко — придётся ломать «амбарный замок». Чтобы его навесить, и нужны СКЗИ.

Из этой статьи вы узнаете:

СКЗИ (средства криптографической защиты информации) — это программы и устройства, которые шифруют и дешифруют информацию и проверяют, вносились ли в неё изменения. С КЗИ используют для безопасного хранения и передачи данных. С их помощью также создают электронные подписи.

Чтобы защитить информацию, её шифруют одним из криптографических алгоритмов. Например, сравнительно простым шифром Цезаря. В нём каждая буква исходного сообщения заменяется на другую. На какую — зависит от ключа и расположения буквы в алфавите.

Например, если ключ равен трём, то все буквы в сообщении сдвигаются на три позиции вправо: А превращается в Г, Б — в Д, В — в Е, Я — в В.

Если таким образом зашифровать сообщение «Средство криптографической защиты информации», получится следующее: «Фузжфхес нултхсёугчлъзфнсм кгьлхю лрчсупгщлл».

Проблема подобных шифров в том, что их можно взломать простым перебором ключей. Поэтому сегодня для защиты информации применяют куда более изощрённые математические алгоритмы, обратить которые трудно даже с помощью суперкомпьютеров.

Например, протокол RSA в качестве одной из операций перемножает большие . Сделать это несложно, а вот для факторизации (то есть разложения на множители) удобной формулы не придумали. Затем в протоколе проводятся и другие операции: применяются функция Эйлера и возведение в степень по модулю.

Есть несколько подходов к шифрованию данных. Оно может быть:

При симметричной криптографии для шифрования и расшифровки используется один и тот же секретный ключ. Шифр Цезаря, о котором мы говорили раньше, как раз симметричный.

Инфографика: Майя Мальгина для Skillbox Media

Этот метод прост и удобен, но имеет крупную уязвимость: и у отправителя, и у получателя — один и тот же ключ. Если злоумышленники его узнают (например, перехватят при передаче), то смогут без труда получить доступ к информации.

Поэтому симметричную криптографию редко применяют для отправки сообщений. Обычно таким образом шифруют данные в состоянии покоя.

При асимметричной криптографии данные шифруются одним ключом и расшифровываются другим. Причём ключ для шифрования обычно открытый, а для дешифровки — закрытый.

Открытый ключ можно передать кому угодно, а закрытый оставляют у себя и никому не сообщают. Теперь зашифровать сообщение сможет любой, у кого есть открытый ключ, а расшифровать — только владелец секретного.

Такой подход гораздо безопаснее симметричного, но его алгоритмы сложнее, требуют больше ресурсов компьютера и, следовательно, занимают больше времени.

Гибридное шифрование — компромисс между двумя предыдущими подходами. В этом случае сообщение шифруется симметрично, а ключ к нему — асимметрично. Получателю нужно сначала расшифровать симметричный ключ, а потом с его помощью — само сообщение.

Так алгоритмы работают быстрее, чем при асимметричном подходе, а узнать ключ от сообщения сложнее, чем в симметричном.

Подробнее о симметричном, асимметричном и гибридном шифровании можно прочитать в нашей статье.

Хеш-функции отличаются от других методов криптографической защиты тем, что они необратимы: преобразованные ими данные нельзя расшифровать. Они выдают строку заранее определённого фиксированного размера (например, 256 бит), которую называют хешем, хеш-суммой или хеш-кодом.

В идеальной хеш-функции, если ей захешировать одно и то же сообщение несколько раз, результат тоже будет получаться одинаковый. Но если исходное сообщение изменить хоть немного, то хеш выйдет совершенно другой.

С помощью хеш-функций проверяют, вносились ли в данные изменения, — это полезно в электронных подписях (о них мы расскажем ниже).

Многие сервисы хранят пароли пользователей не в открытом виде, а в хешированном. Когда пользователь при авторизации вводит пароль, тот хешируется и сравнивается с хешем из базы данных. Если хеши одинаковые, значит, пароль верный.

Это даёт дополнительную защиту. Даже если кто-то получит доступ к базе данных сервиса, то увидит просто список хешей, по которым никак не сможет восстановить исходные пароли пользователей.

Основная задача СКЗИ — шифровать и расшифровывать данные. Это делают как для информации, которую куда-то отправляют (при передаче она наиболее уязвима: её можно перехватить), так и для той, которая просто хранится на одном устройстве.

Если кто-то перехватит информацию или получит доступ к устройству, ломать криптографический протокол будет просто нерационально. Например, в 2019 году французские учёные взломали 795-битный ключ RSA, потратив 4000 лет компьютерного времени — это последний рекорд. При этом в современной криптографии используют ключи с длиной от 2048 бит.

Помимо шифрования и дешифрования данных, СКЗИ могут управлять электронной подписью (ЭП). Раньше её ещё называли электронной цифровой подписью (ЭЦП), но сейчас этот термин устарел.

Электронная подпись — это дополнение к пересылаемому документу, созданное криптографическими методами. Она позволяет подтвердить авторство сообщения и проверить данные на целостность: не вносились ли в них изменения после того, как поставили подпись.

Так как реальные документы могут быть большого объёма, обычно ЭП применяют не к ним самим, а к их хешу. Это ускоряет работу с подписью. Также протоколы шифрования могут не уметь работать с некоторыми видами документов — хеширование же преобразует все данные в . Это решает проблему совместимости.

Чтобы поставить ЭП, используют асимметричный метод шифрования, но наоборот: сообщение шифруют закрытым ключом, а дешифруют — открытым. В общем виде электронная подпись ставится так:

Сертификат электронной подписи (его ещё называют сертификатом открытого ключа) хранит данные об отправителе и всю информацию, которая нужна для проверки авторства и подлинности документа. Работает это по следующей схеме:

Если после применения ЭП документ был хоть немного изменён, то при проверке хеши не совпадут. Если же они одинаковые, можно быть уверенным: данные добрались до получателя в целости и сохранности.

Человек, который поставил свою ЭП, потом не сможет отрицать это. Дело в том, что доступ к закрытому ключу есть только у него, а значит, никто другой подписать документ не мог.

Современные СКЗИ бывают программные и программно-аппаратные (часто их называют просто аппаратными).

Программно-аппаратные СКЗИ вшиты в специальное устройство (обычно токен). Все операции происходят на этом устройстве и скрыты от оперативной памяти компьютера, к которому он подключён. Такой вид СКЗИ считается более безопасным, чем программный.

Главная задача СКЗИ — уберечь данные от возможного взлома, поэтому в них встраивают защиту. В зависимости от её уровня присваивется класс защиты. Каждый последующий класс включает в себя все предыдущие.

Вот что нужно запомнить:

Жизнь можно сделать лучше!Освойте востребованную профессию, зарабатывайте больше и получайте от работы удовольствие. А мы поможем с трудоустройством и важными для работодателей навыками.

Адекватный класс СКЗИ для бизнеса

Всем привет, меня зовут Василий Степаненко, и теперь я работаю в НУБЕС.

Эта статья для тех, кто любит “перебдеть”, и все информационные системы, в которых производится обработка персональных данных, категорировать по максимальному уровню защищенности, т.е. У З-1. Конечно же бывают случаи, когда действительно у информационной системы должен быть УЗ-1, но чаще все же этот уровень защищенности выводят на всякий случай, чтобы точно не придрались.

Так вот, есть открытый реестр сертифицированых по требованиям ФСБ России СЗИ: http://clsz.fsb.ru/clsz/certification.htm (сам реестр больше, это выписка, свободно доступная). В этом реестре только отечественные СКЗИ, в которых реализованы российские алгоритмы шифрования, такие как ГОСТ 34.10-2018 (электронная цифровая подпись), ГОСТ 34.11-2018 (хеш-функция), ГОСТ 34.12-2018 (блочные шифры, Кузнечик и Магма).

Из реестра нас интересуют только СКЗИ, поэтому средства антивирусной защиты, операционные системы, различные фильтры, межсетевые экраны и прочее не будем учитывать. Для персданных по этим классам СЗИ нужно брать реестр ФСТЭК России. Берем из реестра ФСБ именно СКЗИ классов КС1, КС2, КС3, КВ и КА, которые применяются для защиты сведений конфиденциального характера (но не гостайны) и смотрим, сколько каких вообще есть.

Количество СКЗИ в реестре: 430 шт.

Как видите, не так уж много СКЗИ, сертифицированных по требованиям ФСБ России, особенно КА и КВ.

Поясню по классам СКЗИ (КС1, КС2, КС3, КВ, КА) – их применение зависит от предполагаемого нарушителя. Если все сильно упростить, то можно сказать так:

Грубо говоря, КС1 – это самый низкий класс СКЗИ, предполагающий, что вокруг СКЗИ создано много преград для нарушителя и защищаемая информация не очень интересна спецслужбам. А класс КА, наоборот, предполагает, что в СКЗИ реализована защита от многих угроз, и посредством КА можно защищать весьма значимые сведения конфиденциального характера.

Когда разговор заходит о персданных (они относятся к сведениям конфиденциального характера), то все обычно вспоминают про 152-ФЗ, ПП-1119, 21 Приказ ФСТЭК, но есть еще и Приказ ФСБ России № 378 от 10.07.2014 г., которым тоже нужно руководствоваться, если речь идет о защите персональных данных. Консалтеры не очень любят вспоминать про СКЗИ, потому что они больше юристы, чем реальные безопасники. Обратите на 378 Приказ ФСБ внимание, если вдруг у вас идет консалтинговый проект по защите персданных.

В 378 Приказе ФСБ России есть привязка, какие СКЗИ нужно использовать для каких уровней защищенности персданных:

Таким образом, если Оператор персданных счёл для себя актуальными угрозы первого или второго типа (и соответственно вывел УЗ-1 или УЗ-2), то ему придется покупать СКЗИ классов КВ или КА. Их весьма немного в реестре ФСБ России, но что еще хуже, даже имеющиеся в реестре образцы не очень производительны. Для понимания – в КВ и КА речь не про Гб/с, а про Мб/с.

Напомню типы угроз по отношению к информационной системе персональных данных, которые определены в Постановлении Правительства № 1119 от 01.11.2012 г.:

Оператор персданных сам решает, какие типы угроз по 1119-ПП для него актуальны, а значит вполне возможно сказать, что в информационной системе коммерческой организации актуальны угрозы 3-го типа, не связанные с закладками в ПО. Таким образом, и на СКЗИ вы сможете сэкономить и обеспечить нормальную производительность шифрования, ведь чем выше класс СКЗИ, тем дороже. Все последние публичные утечки персданных связаны с наличием уязвимостей, неправильными настройками, публикацией наружу того, чего не нужно было публиковать, но не с тем, что в какой-либо ОС или браузере вендор оставил для спецслужб тайный ход, и они им воспользовались.

Лучше купите средства защиты и настройте их (это, увы, тоже не все делают), чтобы утечки не случились, чем внедрять в коммерческой организации СКЗИ классов КВ или КА. Кстати, и ключи шифрования для КВ и КА генерируются не в самих СКЗИ этих классов. Придется еще и к вендору, а возможно, и в ФСБ обращаться.

Если вы определили для себя необходимость применения КС2, КС3, КВ, КА, и решили разместить систему в облаке, стоит ориентироваться на облачных провайдеров, являющихся заодно и ЦОДами с услугой Colocation, так как начиная с КС2 и выше все СКЗИ будут программно-аппаратными, а значит стоит искать стойку (КС3, КВ, КА) или юнит (КС2).

Если же все упростить, то коммерческая компания может для себя определить актуальными угрозы 3-го типа по 1119-ПП. А значит выбрать, если это вообще необходимо, СКЗИ класса КС1, которые в свою очередь могут быть виртуальными (например, С-Терра виртуальный шлюз, ViPNet Coordinator VA) и спокойно разместить их в облаке, соответствующем 152-ФЗ, и с реальными мерами защиты, нейтрализующими всех возможных нарушителей.