Запросите консультацию по сервисам Solar MSS

Угрозы кибербезопасности растут, следовательно, под прицелом злоумышленников оказываются чувствительные данные, которые хранятся, обрабатываются и передаются в цифровом виде. Защитить такие ресурсы от несанкционированного доступа можно с помощью средств криптографической защиты информации (СКЗИ). Их давно используют как компании в разных отраслях, так и рядовые пользователи интернета. В статье подробно рассказываем, что это за решения, как они обеспечивают криптографическую защиту, почему важно их внедрять.

СКЗИ: что такое, для чего нужны

Коротко расскажем о криптографии. Термин происходит от греческих слов kryptós – «тайный» и grapho – «пишу». Если переводить его дословно, получится «тайнопись». Но в контексте защиты данных он означает безопасные передачу и хранение информации.

Средства криптографической защиты информации — решения для шифрования (преобразования в нечитаемый формат) и расшифрования информации с целью безопасной передачи и надежного хранения. Если говорить в целом, то внедрение СКЗИ позволяет сохранять конфиденциальность и целостность чувствительных сведений.

Для шифрования применяются различные криптографические методы криптографической защиты информации, например:

  • Симметричное шифрование. Это метод, в рамках которого для шифрования и расшифрования информации используется один и тот же секретный ключ (ниже подробнее расскажем, что это такое).
  • Асимметричное шифрование. Метод, подразумевающий использование пары ключей. Один применяется для шифрования, второй — для расшифрования.
  • Хэш-функции — это методы, преобразовывающие защищаемые данные в уникальную последовательность бит фиксированной длины.

Выбор оптимальных алгоритмов и методов криптографической защиты информации зависит от требований к безопасности данных, типа защищаемых сведений и бюджета на СКЗИ.

Базовые понятия: криптоключи, ключевая информация, ключевые документы

Чтобы лучше понимать принцип использования СКЗИ, расшифруем основные понятия, применимые к защите информации:

  • Криптографический ключ — секретные данные, используемые алгоритмом шифрования для выполнения криптографического преобразования.
  • Ключевая информация — совокупность криптографических ключей, позволяющая на протяжении установленного срока реализовывать криптографическую защиту чувствительных данных.
  • Ключевые документы — специальные документы, которые хранятся на электронных носителях или на бумаге. Они содержат ключевую информацию для преобразования информационных активов в рамках выбранных шифровальных схем.

Многие путают понятия криптоключей и ключевой информации. Объясним разницу на простом примере. При организации HTTPS создается ключевая пара, состоящая из открытого и закрытого ключей. Каждый из этих ключей считается криптоключом, а вместе они составляют ключевую информацию. Также ключевой информацией может быть и один криптоключ, например, открытый, если в схеме шифрования есть только он.

что такое скзи

Самые распространенные виды СКЗИ и классы криптографической защиты информации

Для криптографической защиты информации применяются следующие решения:

  • Средства шифрования — инструменты, позволяющие шифровать информацию в целях защиты в процессе передачи по открытым каналам связи и предотвращения несанкционированного использования.
  • Средства имитозащиты — инструменты для выполнения алгоритмов преобразования цифровых ресурсов для защиты от предоставления недостоверной информации.
  • Средства электронной подписи — инструменты, которые на базе криптографических алгоритмов создают пары ключей для электронной подписи, удостоверяют подлинность электронной подписи путем применения открытого ключа, создают электронную подпись с помощью закрытого ключа.
  • Средства генерации ключевых документов — инструменты, необходимые для создания ключевых документов, которые не входят в состав СКЗИ.

Также существует такое понятие, как классы криптографической защиты информации. Оно определяет уровень безопасности, который выбранные решения обеспечивают в зависимости от определенных угроз. Вот 5 основных классов криптографической защиты информации:

  • КС1 — решения с низким классом защиты. Их обычно достаточно в случае, если атаку проводят рядовые киберпреступники без доступа в помещения, где располагаются СКЗИ.
  • КС2 — средства защиты, которые эффективно работают против атак внутри информационных систем, то есть если потенциальный злоумышленник имеет доступ в помещения с СКЗИ.
  • КС3 — инструменты криптографической защиты, которые целесообразно применять, если потенциальные нарушители (например, администраторы, подрядчики) могут иметь непосредственный доступ к СКЗИ.
  • КВ — решения, которые будут эффективно работать, если потенциальный злоумышленник имеет доступ к значительным ресурсам и может провести криптоанализ зашифрованной информации.
  • КА — СКЗИ, обеспечивающие самый высокий уровень защиты информации в случае широкого спектра угроз.

Каждая компания, использующая СКЗИ того или иного вида и класса, должна составить и постоянно актуализировать перечень средств криптографической защиты информации. В перечне важно указывать основные сведения о решениях и сертификатах, идентификаторы экземпляров, места эксплуатации. Такие данные позволят своевременно обнаруживать уязвимости в СКЗИ, планировать затраты на расширение арсенала инструментов для защиты информации, отслеживать сроки действия сертификатов, вести регламентную отчетность.

Также должен быть обновляемый перечень ключевой информации. В нем указывают следующие сведения:

  • Идентификатор.
  • Перечень физических лиц, на имя которых выпущена ключевая информация.
  • Формат и назначение ключевой информации.
  • Сроки действия ключевой информации.
  • Порядок перевыпуска.
  • Перечень систем, в которых применяется ключевая информация.

И третий вид отчетности, который нужно вести — перечень ключевых документов. Он поможет в перевыпуске ключевой информации в случае компрометации ключей, при увольнении сотрудников и при инвентаризации носителей ключевой информации. В нем указываются все ключевые сведения, содержащиеся в документах, список используемых носителей и лиц, ответственных за сохранность ключевой информации.

виды СКЗИ

Нормативные документы, регламентирующие использование различных методов криптографической защиты информации

Общие положения об использовании СКЗИ: Приказ ФСБ России №66 в ред. от 12.04.2010 и Приказ ФАПСИ № 152 от от 13.06.2001 г. Также есть отдельные документы, регламентирующие внедрение СКЗИ в разных отраслях. Для удобства представляем основные нормативные акты в виде таблицы.

Отрасль

Основные документы

Государственные структуры

  • Указ Президента России № 334.
  • Приказ ФСБ России № 416, ФСТЭК России № 489 от 31.08.2010 г.

Компании, обрабатывающие персональные данные

  • Приказ ФСБ России № 378 от 10.07.2014 г.

Финансы

  • ГОСТ Р 57580.1-2017

Компании, которые относятся к критической информационной инфраструктуре

  • Приказ ФСБ России № 196 от 6.05.2019 г.

Медицина

  • Приказ Минздрава России № 911н от 24.12.2018 г.

Внедряя средства криптографической защиты информации, компании должны руководствоваться этими и другими существующими нормативными документами. Чтобы не нарушать законодательство, важно знать юридические аспекты и меры ответственности за нарушение правил работы с СКЗИ.

«Солар» и средства криптографической защиты информации: чем мы можем помочь

ГК «Солар» — крупный провайдер, предоставляющий отечественному рынку возможности, опыт, процессы и знания для защиты информации. У нас есть такое решение в области СКЗИ, как сервис ГОСТ VPN, который подключается в рамках сервисной модели — по подписке. Какие задачи он решает:

  • Обеспечивает защиту информации, передаваемой по открытым каналам связи.
  • Позволяет соблюсти законодательные и отраслевые требования, касающиеся сохранение конфиденциальности и целостности чувствительных данных.
  • Обеспечивает высокую эффективность работы корпоративных сетей в круглосуточном режиме.

«Солар» использует средства криптографической защиты информации, прошедшие сертификацию ФСБ России. Основу ГОСТ VPN составляют решения от крупных отечественных вендоров: «ИнфоТеКС», «С-Терра СиЭсПи», «Код Безопасности» и др. Все решения поддерживают российские криптоалгоритмы, QoS для повышения качества сетевого обслуживания, резервирование оборудования и компонентов аппаратных платформ, взаимодействие на уровнях L2/L3 модели OSI. Благодаря этим технологиям удается настраивать и модифицировать защищенные сети, обеспечивать взаимодействие между ними.

Преимущества ГОСТ VPN:

  • Использование только сертифицированных СКЗИ.
  • Класс криптографической защиты информации — КС3.
  • Возможность выбрать одного из топовых вендоров СКЗИ и виды средств защиты информации.
  • Быстрое подключение сервиса и возможность масштабирования под актуальные потребности бизнеса.
  • Оплата только потребляемого сервиса.

Поскольку решение подключается в рамках сервисной модели, все расходы и бумажное сопровождение ложится на сервис-провайдера. Бизнесу не нужно приобретать и внедрять оборудование, нанимать в штат технических специалистов и нести расходы на обслуживание средств криптографической защиты информации.

подключение ГОСТ VPN

ЗАКЛЮЧЕНИЕ

В связи с растущими угрозами кибербезопасности крупный бизнес с геораспределенной сетью филиалов должен знать, что такое СКЗИ, для чего они нужны и как использовать их. Особенно это касается организаций в разных сферах деятельности, которые работают с чувствительными и критически важными данными. Чтобы выполнить требования регуляторов, нужно использовать средства криптографической защиты информации, где реализованы российские криптоалгоритмы. ГК «Солар» предлагает подключить сертифицированный сервис ГОСТ VPN по подписке. В услугу входят: предоставление оборудования СКЗИ, настройка решения, круглосуточный мониторинг, проверки системы, ведение журналов учета СКЗИ. Чтобы больше узнать о сервисе и тарифах, оставьте заявку на консультацию эксперта по защите информации.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Применение СКЗИ в ГИС: разбор новых требований ФСБ России

Применение СКЗИ в ГИС: разбор новых требований ФСБ России

Узнать больше
Российские криптоалгоритмы: обзор и применение

Российские криптоалгоритмы: обзор и применение

Узнать больше
Документация по СКЗИ: журналы учета и правила эксплуатации

Документация по СКЗИ: журналы учета и правила эксплуатации

Узнать больше
WAF (Web Application Firewall): как устроен и где применяется

WAF (Web Application Firewall): как устроен и где применяется

Узнать больше
Российский Web Application Firewall (WAF): эффективная защита веб-приложений с помощью WAF Solar MSS

Российский Web Application Firewall (WAF): эффективная защита веб-приложений с помощью WAF Solar MSS

Узнать больше
WAF и IPS: межсетевой экран веб-приложений и система предотвращения вторжений

WAF и IPS: межсетевой экран веб-приложений и система предотвращения вторжений

Узнать больше