Требования к криптографическим средствам защиты: как не попасть под штраф

Для чего нужны СКЗИ

Средства криптографической защиты информации (СКЗИ) — это комплексы, предназначенные для обеспечения конфиденциальности, целостности и аутентичности информации при ее хранении, обработке и передаче. Общие понятия защиты информации закреплены в ФЗ от 27.07.2006 149-ФЗ, а терминология и сфера применения криптографических средств выделены в нормативных актах ФСБ. 

СКЗИ нужны, чтобы вы могли законно и надежно защитить данные — персональные сведения клиентов, коммерческую тайну, финансовые документы и служебную переписку. Обязательное применение сертифицированных криптосредств предусмотрено для обработки персональных данных — это требование ФЗ от 27.07.2006 152-ФЗ. Несоблюдение приводит к рискам штрафов за утечки, которые обходятся дороже инвестиций в защиту. 

Помимо соблюдения требований законодательства, применение СКЗИ реализует три ключевые функции:

1. Защита данных от перехвата и подмены. Шифрование исключает возможность прочитать или изменить информацию при передаче через открытые каналы связи.
2. Контроль целостности документов. Хэш-функции и электронные подписи позволяют доказать, что файл не был изменен после отправки.
3. Аутентификация пользователей. Только авторизованный сотрудник получает доступ к данным, что предотвращает внутренние утечки.

Пример:

Если вы храните базу клиентов и пересылаете счета по почте, некорректно настроенный канал передачи позволяет злоумышленнику изменить реквизиты, и деньги уйдут не туда. Правильно внедренное криптошифрование каналов и электронная подпись предотвращают подмену и дают юридически значимые доказательства, а вы снижаете операционный риск и сохраняете репутацию.

Классы СКЗИ

Все средства криптографической защиты информации делятся на классы в зависимости от уровня их защищенности и области применения. Эта классификация закреплена в Приказе ФСБ России 378 от 21.06.2021. Документ устанавливает конкретные требования к СКЗИ, определяет, какие функции они должны выполнять и при какой степени риска их можно использовать.

Основные классы СКЗИ:

1. КС1 — минимальный уровень защищенности. Используется для защиты общедоступной или служебной информации, где утечка не приводит к серьезным последствиям. Пример: внутренние корпоративные порталы или системы электронного обучения.
2. КС2 — применяется для защиты персональных данных и коммерческой информации, если предполагается средний уровень угроз. Такие СКЗИ используются в бухгалтерских программах, CRM-системах, при передаче данных через интернет.
   КС3 — предназначен для объектов критической информационной инфраструктуры, банковских и телекоммуникационных систем. Предполагает высокий уровень устойчивости к попыткам вскрытия криптографических ключей.
3. КС4 — максимальный уровень защиты, требуемый при работе с государственной тайной или стратегически важной информацией. СКЗИ этого класса могут применяться только по специальному разрешению ФСБ России.

Чтобы определить, какой класс СКЗИ подходит именно вам, проанализируйте риски и характер обрабатываемой информации. Сначала проведите оценку угроз безопасности — определите, какие данные нуждаются в защите и к каким последствиям может привести их утечка. Затем установите уровень защищенности ИСПДн. После этого результаты анализа сопоставляются с требованиями Приказа ФСБ 378, где указаны критерии для каждого класса защиты, и выбирается подходящий вариант.

Например, если компания обрабатывает персональные данные клиентов и передает их через интернет, достаточно использовать СКЗИ класса КС2. А вот для банков, операторов связи или разработчиков государственных систем требуется СКЗИ не ниже КС3, поскольку такие структуры работают с информацией повышенной значимости и несут большую ответственность за ее сохранность.

Виды средств криптографической защиты информации

СКЗИ делятся на три основных типа — программные, аппаратные и программно-аппаратные. Каждый вид решает одинаковую задачу — защиту данных от несанкционированного доступа, подмены и утечки, — но делает это разными способами. От выбора типа зависит надежность защиты, удобство внедрения и соответствие требованиям законодательства.

Программные

Программные СКЗИ выпускаются в виде приложений или библиотек, устанавливаемых на компьютеры, серверы и мобильные устройства. Они выполняют функции шифрования, хэширования, формирования и проверки электронной подписи. Примеры — CryptoPro CSP, VipNet CSP, Signal-COM.

Такие решения чаще всего применяются в организациях, где нужно обеспечить защиту персональных данных и электронного документооборота без покупки специализированного оборудования. Программные СКЗИ удобны для небольших компаний и индивидуальных предпринимателей — их можно быстро установить, обновлять централизованно и интегрировать с бухгалтерскими, кадровыми и CRM-системами.

Аппаратные

Аппаратные СКЗИ — это физические устройства, которые выполняют криптографические операции независимо от операционной системы и программного обеспечения. К ним относятся аппаратные модули безопасности (HSM), криптопроцессоры, токены и смарт-карты.

Такие средства применяются там, где требуется повышенный уровень защиты, а человеческий фактор должен быть минимизирован: в банках, государственных структурах, центрах обработки данных и компаниях, обрабатывающих большие объемы конфиденциальной информации. Аппаратные СКЗИ устойчивы к попыткам взлома и извлечения ключей, а доступ к ним можно контролировать физически.

Например, при выпуске электронных подписей или шифровании трафика в системах дистанционного банковского обслуживания используются именно аппаратные модули. Они гарантируют, что ключи не покинут защищенное устройство и не будут скомпрометированы даже при заражении сети вирусами.

Программно-аппаратные

Такие СКЗИ сочетают возможности обоих подходов: криптографическая логика реализована в устройстве, а управление и интеграция — через программное обеспечение. Подобный гибрид обеспечивает высокую производительность и удобство администрирования.

Обычно программно-аппаратные СКЗИ используют крупные компании и государственные органы, где нужно не только шифровать данные, но и управлять ключами, сертификатами, журналами событий и правами доступа. Пример — комплекс VipNet Coordinator, который строит защищенные корпоративные сети с использованием аппаратных шлюзов и программных клиентов.

Преимущество программно-аппаратных решений в том, что они обеспечивают баланс между безопасностью и гибкостью внедрения. Их можно масштабировать, объединять в кластеры и адаптировать под требования конкретной инфраструктуры — от офиса на 20 сотрудников до государственного ведомства с территориально распределенными подразделениями.

Основные требования к СКЗИ

Закон не ограничивается общей обязанностью защищать данные — он четко регламентирует требования к средствам криптографической защиты информации. Эти критерии закреплены в Приказе ФСБ России 378 и обязательны для всех организаций, использующих СКЗИ в работе с персональными, коммерческими и служебными данными.

Рассмотрим все требования более подробно. 

Сертификация и соответствие классу защиты

Каждое средство криптографической защиты должно пройти обязательную сертификацию в ФСБ России. Без сертификата СКЗИ не считается законным и не может использоваться для защиты персональных данных или передачи конфиденциальной информации.

Кроме того, СКЗИ должно соответствовать определенному классу защиты (КС1–КС4). Класс подтверждается при сертификации и указывается в технической документации.

Алгоритмы и криптографическая стойкость

СКЗИ обязано использовать утвержденные государственные алгоритмы шифрования. 

В России действуют национальные стандарты:

• ГОСТ Р 34.12-2015 — симметричные алгоритмы шифрования;
• ГОСТ Р 34.10-2012 — алгоритм электронной подписи;
• ГОСТ Р 34.11-2012 — алгоритм хэширования.

Эти стандарты обязательны для сертифицированных средств. 

Управление ключами и безопасное хранение

Один из ключевых аспектов — правильное управление криптографическими ключами. СКЗИ должно обеспечивать их генерацию, хранение и уничтожение таким образом, чтобы исключить доступ третьих лиц. В аппаратных средствах ключи хранятся внутри устройства, а в программных — в зашифрованном виде с контролем доступа.

Требования ФСБ также предусматривают ведение журнала операций с ключами, что позволяет отслеживать, кто и когда использовал криптографические функции.

Контроль целостности и аутентификация

СКЗИ должно гарантировать, что данные не были изменены после шифрования или подписания. Для этого используются механизмы контроля целостности и аутентификации отправителя. Нарушение этих функций делает электронные документы юридически недействительными.

Устойчивость к внешним воздействиям и сбоям

Сертифицированные средства обязаны сохранять устойчивость к сбоям программного обеспечения, попыткам несанкционированного доступа и физическому вмешательству. В аппаратных СКЗИ реализуются механизмы самоблокировки и автоматического уничтожения ключей при вскрытии корпуса устройства.

Для программных средств требование выражается в регулярном обновлении, цифровой подписи установочных пакетов и проверке целостности файлов.

Документирование и эксплуатация

На каждое средство должна быть документация, описывающая порядок установки, настройки, администрирования и уничтожения ключей. Ответственные сотрудники должны пройти инструктаж или обучение. Это требование прямо указано в п. 5 Приказа ФСБ 378.

Отсутствие внутреннего регламента эксплуатации СКЗИ приравнивается к нарушению порядка защиты информации и в случае утечки может стать основанием для штрафа по ст. 13.11 КоАП РФ. Максимальный штраф может достигать 20 млн рублей в зависимости от масштабов инцидента и категории утекших данных. 

Как выбрать СКЗИ

Выбор средства криптографической защиты информации — это не просто вопрос удобства или «галочки для проверяющих». От него зависит, будут ли ваши данные в безопасности и не придется ли платить штрафы за несоблюдение требований закона. Чтобы защита действительно работала важно смотреть  на технические характеристики и разбираться в юридических и технических нюансах.

Что учитывать при выборе СКЗИ

1. Наличие сертификата ФСБ. Это одно из главных требований к средствам криптографической защиты информации. Без сертификата СКЗИ не может использоваться для защиты информации. Проверить действительность сертификата можно в открытом реестре на сайте ФСТЭК.
2. Класс защиты, необходимый для вашей организации. Для компаний, обрабатывающих персональные данные, обычно достаточно СКЗИ класса КС2. Банкам, операторам связи и владельцам объектов КИИ потребуется не ниже КС3. Несоответствие класса требованиям закона приравнивается к отсутствию защиты.
3. Тип СКЗИ, подходящий под инфраструктуру. Программные решения удобны для малого бизнеса и документооборота, аппаратные — для финансовых организаций и государственных структур, где критичен уровень безопасности. Программно-аппаратные комплексы подойдут крупным компаниям с распределенной сетью филиалов.
4. Применяемые алгоритмы. Средство должно использовать отечественные алгоритмы, утвержденные ФСБ: ГОСТ Р 34.12-2015, ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. 
5. Наличие технической поддержки и обновлений. Без регулярных обновлений СКЗИ теряет актуальность и перестает соответствовать требованиям безопасности. Убедитесь, что производитель оперативно выпускает исправления и расширяет совместимость с современными ОС.

6. Удобство интеграции и администрирования. Хорошее СКЗИ должно легко встраиваться в существующие процессы — от бухгалтерии до кадрового учета. Оцените, насколько просто его внедрить, управлять ключами, вести журнал операций и предоставлять отчетность при проверках.

   Составьте внутренний регламент эксплуатации СКЗИ. После выбора средства закрепите порядок его использования: кто отвечает за генерацию ключей, контроль целостности и обновление. Это требование указано в Приказе ФСБ 378 и проверяется регулятором при аудитах.