Скзи кв что это

Средства криптографической защиты информации (СКЗИ)

СКЗИ — это программное обеспечение или устройства, создающие надёжную защиту информации за счёт применения криптографических алгоритмов шифрования при перенаправлении данных по открытым или закрытым каналам связи.

Каждое СКЗИ может выступать персональным инструментом или составлять симбиоз из аппаратных, программных и программно-аппаратных решений.

Виды СКЗИ

Согласно определениям из Постановления Правительства РФ № 313 от 16.04.2012 СКЗИ считаются:

Средства шифрования — это устройства, системы и программы, преобразующие по криптографическим алгоритмам данные для их безопасной передачи по каналам связи, хранения и обработки. Преобразование представляет собой кодирование информации при помощи секретного ключа, который известен только определённому ряду лиц.

Средства имитозащиты — это криптографические решения, реализующие защиту от ложных сведений за счёт исключения возможности внесения изменений в исходное передаваемое сообщение.

Средства электронной цифровой подписи (ЭЦП) — это решения, специализирующиеся на создании и проверке подлинности ЭЦП, выпуске открытых и закрытых ключей.

Средства кодирования — это решения, в которых некоторые криптографические преобразования данных выполняются вручную или специальными автоматизированными решениями.

Средства изготовления ключевых документов — это решения для создания ключевых документов.

Классы СКЗИ

СКЗИ, в зависимости от степени обеспечиваемой защиты, разделяют на классы: КС1, КС2, КС3, КВ1, КВ2, КА1. Принцип разделения зависит от этих факторов:

• комплекса инструментов нарушителя: удалённый или физический доступ, привлечение специалистов в области реализации атак и наличие актуальных угроз недокументированных возможностей;
• защищаемых объектов: информация, документация, компоненты информационной системы (серверы, рабочие станции, базы данных и т.д.);
• места проведения потенциальных атак (внутри или вне контролируемых зон).

Пример: для мобильных устройств связи и автоматизированного рабочего места удалённых пользователей достаточно внедрения решения класса КС1, а для поддержания минимального уровня защиты в каналах связи на границах локальных сетей организации — не ниже КС3 (при отсутствии недокументированных возможностей в системном и прикладном программном обеспечении).

Модели возможностей нарушителя с классами СКЗИ прописаны в Приложении к приказу ФСБ РФ № 378 от 10.07.2014.

Контроль реализации требований и принятых мер в области криптографии осуществляет государственный регулятор — ФСБ России.

Решения СКЗИ

Мы оказываем услуги по информационной безопасности для государственных и коммерческих организаций с 2003 года. Среди реализованных проектов нашей компании — поставка и внедрение технических и программных решений ключевых производителей СКЗИ: «Алладин Р.Д.», «КриптоПро», «Актив», «ИнфоТеКС», «Код Безопасности», «Конфидент».

Что такое СКЗИ, и какие они бывают

СКЗИ (средство криптографической защиты информации) — это программа или устройство, которое шифрует документы и генерирует электронную подпись (ЭП). Все операции производятся с помощью ключа электронной подписи, который невозможно подобрать вручную, так как он представляет собой сложный набор символов. Тем самым обеспечивается надежная защита информации.

Как работает СКЗИ

1. Отправитель создает документ
2. При помощи СКЗИ и закрытого ключа ЭП добавляет файл подписи, зашифровывает документ и объединяет все в файл, который отправляется получателю
3. Файл передается получателю
4. Получатель расшифровывает документ, используя СКЗИ и закрытый ключ своей электронной подписи
5. Получатель проверяет целостность ЭП, убеждаясь, что в документ не вносились изменения

Виды СКЗИ для электронной подписи

Есть два вида средств криптографической защиты информации: устанавливаемые отдельно и встроенные в носитель.

СКЗИ, устанавливаемое отдельно — это программа, которая устанавливается на любое компьютерное устройство. Такие СКЗИ используются повсеместно, но имеют один недостаток: жесткую привязку к одному рабочему месту. Вы сможете работать с любым количеством электронных подписей, но только на том компьютере или ноутбуке, на котором установлена СКЗИ. Чтобы работать на разных компьютерах, придется для каждого покупать дополнительную лицензию.

При работе с электронными подписями в качестве устанавливаемого СКЗИ чаще всего используется криптопровайдер КриптоПро CSP. Программа работает в Windows, Unix и других операционных системах, поддерживает отечественные стандарты безопасности ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.

Реже используются другие СКЗИ:

Все перечисленные СКЗИ сертифицированы ФСБ и ФСТЭК, соответствуют стандартам безопасности, принятым в России. Для полноценной работы также требуют покупки лицензии.

СКЗИ, встроенные в носитель, представляют собой «вшитые» в устройство средства шифрования, которые запрограммированы на самостоятельную работу. Они удобны своей самодостаточностью. Все необходимое для того, чтобы подписать договор или отчет, уже есть на самом носителе. Не надо покупать лицензии и устанавливать дополнительное ПО. Достаточно компьютера или ноутбука с выходом в интернет. Шифрование и расшифровка данных производятся внутри носителя. К носителям со встроенным СКЗИ относятся Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCarta SE.

СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ

Специалистам ИБ часто приходится работать на два фронта: бороться с угрозами ПО и заниматься юридическими вопросами. Причина понятна — если в компании нарушают законодательство, ФСБ может наказать штрафами или даже закрыть бизнес. Именно поэтому специалисту ИБ нужно знать все нормативные акты, которыми регулируется его сфера. В том числе те, что касаются средств криптографической защиты информации (СКЗИ). Что это такое? Какие классы СКЗИ нужно использовать и когда? И как изменится защита государственных информационных систем в 2023 году? Ответы — в этой статье.

Что такое СКЗИ, или Ликбез для новичка

Средства криптографической защиты информации — программные решения, которые применяют для шифрования данных. Обычно они требуются, если нужно провести защищенный обмен информацией, гарантировать ее целостность или доверенное хранение. СКЗИ бывают двух видов: программные и аппаратные. Первые устанавливаются на компьютер и привязаны только к одному рабочему месту. Чтобы их использовать, нужно приобрести лицензию. Самые популярные — КриптоПро CSP, ViPNet CSP. Аппаратные СКЗИ — это средства шифрования, встроенные в отдельное устройство. Такие обычно применяются для электронного подписания документов (токены). Чтобы работать, достаточно ноутбука с выходом в интернет. Примеры — Рутокен, JaCarta.

Классы защиты: СКЗИ для разных ситуаций

• возможностей нарушителя: какой у него доступ к системе — может ли он подключиться физически или дистанционно, необходимы ли ему специалисты для проведения атак;
• объектов защиты: какие это данные, документы, модули системы и т.д.;
• территории, откуда ведется атака: в контролируемой зоне или за ее пределами.

Все перечисленное характеризует модель нарушителя. Чем она сложнее, тем выше требования информационной безопасности и класс СКЗИ. Так, например, для мобильного доступа сотрудника к системе внутреннего документооборота может быть достаточно КС1, а для сервиса обмена электронными договорами с контрагентами — минимум КС3.

На что ФСБ обращает особое внимание

Обычно при проверках СКЗИ регулятор выявляет нарушения, которые касаются неправильно определенной модели угроз. Из-за этого организация определяет класс СКЗИ ниже, чем того требует Приказ №378, и некорректно выстраивает меры по защите ПО.

Также санкции часто выписывают, когда в компании нет:

• действующего сертификата соответствия СКЗИ;
• журналов учета средств или их своевременного заполнения;
• необходимых дистрибутивов, формуляров, документов.

Нужна ли другая классификация? Мнения экспертов

Приказ №378 вышел восемь лет назад. В мире информационной безопасности это огромный срок. За восемь лет появились новые виды угроз, СКЗИ стали применять чаще и в более современных системах.

Насколько актуальна принятая классификация теперь — логичный вопрос. Однако эксперты уверяют, что это неважно и есть проблемы серьезнее.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Если посмотреть основные телеграмм-каналы, посвященные утечкам баз данных и персональных данных в том числе, то можно сделать вывод, что взлом СКЗИ не применялся. Объемы похищенных данных большие и целые. Все утечки были реализованы взломами систем защиты ИС и проникновения внутрь периметра сети, а не перехватом зашифрованной информации, передаваемой посредством СКЗИ из пункта А в пункт Б. Поэтому основная работа по защите персональных данных должна быть направлена на повышение общей защищенности информационных систем. СКЗИ как раз работают как надо.

При этом эксперт добавляет, что классификацию СКЗИ можно расширить — есть смысл учесть обработку коммерческой тайны и служебной информации. Также он считает логичным разделить Приказ ФСБ на две части. Первая бы касалась разработки и аттестации средств криптографической защиты, а вторая бы содержала требования по выбору класса СКЗИ и была полезной пользователям (специалистам ИБ, администраторам систем и т.д.).

Роман Писарев

Руководитель департамента аудита и консалтинга компании iTPROTECT

Классификация СКЗИ исходит от модели нарушителя и, на мой взгляд, остается актуальной и по сегодняшний день. Однако условия защиты информации и использования конкретных классов СКЗИ нужно пересмотреть с учетом современных реалий и требований к сертификации.

Например, в современном цифровом мире очень много мобильных приложений. В частности, у нас довольно развиты госуслуги, к которым можно подключиться с помощью мобильного клиента на смартфоне, в том числе с использованием иностранных операционных систем и т.п. Однако для функционирования требуемого Приказом №378 класса СКЗИ нужно соблюсти определенные условия. Например, нужно подключить ГОСТовый TLS-сертификат или модуль доверенной загрузки, что в случае с иностранной мобильной ОС проблематично. И таких примеров очень много.

Эксперты уверяют: настало время менять не устоявшиеся классы защиты СКЗИ, а правила и подходы к эксплуатации в организациях. В том числе нужно устранить законодательные пробелы и избавиться от устаревших требований.

Олег Косенков

Архитектор информационной безопасности компании «Информзащита»

Многие из требований относятся к нормативным документам регулятора, написанным два десятилетия назад. Пример — Приказ ФАПСИ от 13 июня 2001 года №152.

Если такие требования к государственным и крупным организациям еще можно оправдать, то меньшие компании зачастую неспособны соблюдать их в полной мере, в том числе из-за нехватки специалистов. Также не стоит забывать о различных трактовках одних и тех же требований при проведении проверок регулятором в регионах.

Выход на ГИС

В октябре 2022 года появился еще один знаковый для СКЗИ Приказ ФСБ — №524. Документ представляет порядок применения средств криптографической защиты для государственных информационных систем (ГИС). Регулятор конкретизирует критерии и правила выбора класса СКЗИ, которые давно ожидали в сообществе ИБ.

В документе уточняется, что модель угроз и техническое задание на ГИС нужно согласовывать с ФСБ России. При этом разрешено использовать только сертифицированные СКЗИ.

Олег Косенков

Архитектор информационной безопасности компании «Информзащита»

В целом не думаю, что стоит ожидать существенных изменений в части защиты информации, так как в большинстве ГИС и так используются исключительно сертифицированные СКЗИ. Однако если выяснится, что в организации эксплуатируются средства более низкого класса, чем того требует Приказ, то их оперативная замена может стать головной болью специалистов по ИБ.

Именно поэтому, по его мнению, регулятор ввел переходный режим — Приказ вступит в силу лишь 23 ноября 2023 года. К тому моменту пройдет год со дня его официального подписания. Предполагается, что за это время госсектор и вендоры успеют провести все мероприятия по защите ГИС.

Роман Писарев

Руководитель департамента аудита и консалтинга компании iTPROTECT

Сейчас операторам государственных информационных систем важно как можно быстрее провести аудит и определить нужные классы СКЗИ для защиты их ГИС в текущей вариации. Возможно, у кого-то уже продуманы достаточные меры защиты. Однако для большинства ГИС, скорее всего, это не так. Нужно исправить ситуацию, и сейчас важно не упустить время.

Итоги

Когда будут обновлены устаревшие требования к использованию СКЗИ — вопрос пока открытый. Но уже очевидно, что нормативная база постепенно меняется и долго ждать перемен не придется.

Эксперты советуют учесть текущие законодательные тенденции всем, кто готовится к покупке новых программных продуктов в ближайшие три года. От того, насколько системы будут защищены в части СКЗИ, зависит не только будущая безопасность данных в компании. Это ещё и гарантия того, что организация легко пройдет все проверки ФСБ и продолжит работать на рынке.

Скзи кв что это

Основные меры по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием криптосредств, необходимых для выполнения установленных Правительством РФ и ФСБ России требований к защите персональных данных для каждого из уровней защищенности

Калькулятор

Требования к защите

СКЗИ класса КВ

Средства криптографической защиты информации (СКЗИ) класса КВ нейтрализуют атаки, при создании способов, подготовке и проведении которых используются возможности из числа следующих:

1. создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ;
2. создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ;
3. проведение атаки, находясь вне контролируемой зоне;
4. проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:
   • внесение несанкционированных изменений в СКЗИ и (или) в среде функционирования СКЗИ (СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
   • внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ;
5. проведение атак на этапе эксплуатации СКЗИ на:
   • персональные данные;
   • ключевую, аутентифицирующую и парольную информацию СКЗИ;
   • программные компоненты СКЗИ;
   • аппаратные компоненты СКЗИ;
   • программные компоненты СФ, включая программное обеспечение BIOS;
   • аппаратные компоненты СФ;
   • данные, передаваемые по каналам связи;
   • иные объекты, которые установлены при формировании совокупности предложений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе персональных данных (ИСПДн) информационных технологий, автоматизированных систем (АС) и программного обеспечения (ПО);
6. получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть «Интернет») информации об ИСПДн, в которой используется СКЗИ. При этом может быть получена следующая информация:
   • общие сведения об ИСПДн, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы ИСПДн);
   • сведения об информационных технологиях, базах данных, АС, ПО, используемых в ИСПДн совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в ИСПДн совместно с СКЗИ;
   • содержание конструкторской документации на СКЗИ;
   • содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
   • общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
   • сведения о каналах связи;
   • все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационными и техническими мерами;
   • сведения обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
   • сведения обо всех проявляющихся в каналах связи, не защищенных от НСД к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
   • сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ;
7. применение:
   • находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
   • специально разработанных АС и ПО;
8. использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:
   • каналов связи, не защищенных от НСД к информации организационными и техническими мерами;
   • каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ;
9. проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если ИСПДн, в которых используются СКЗИ, имеют выход в эти сети;
10. использование на этапе эксплуатации находящихся за пределами контролируемой зоны штатных средств;
11. проведение атаки при нахождении в пределах контролируемой зоны;
12. проведение атак на этапе эксплуатации СКЗИ на следующие объекты:
    • документацию на СКЗИ и компоненты СФ.
    • помещения, в которых находится средства вычислительной техники (СВТ), в которой реализованы СКЗИ и СФ;
13. получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:
    • сведений о физических мерах защиты объектов, в которых размещены ресурсы ИСПДн;
    • сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн;
    • сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ;
14. использование штатных средств, ограниченное мерами, реализованными в ИСПДн, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
15. физический доступ к СВТ, на которых реализованы СКЗИ и СФ;
16. возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в ИСПДн, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
17. создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО;
18. проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИСПДн, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий;
19. проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.