Применение СКЗИ в ГИС: разбор новых требований ФСБ России
Узнать большеУгрозы кибербезопасности растут, следовательно, под прицелом злоумышленников оказываются чувствительные данные, которые хранятся, обрабатываются и передаются в цифровом виде. Защитить такие ресурсы от несанкционированного доступа можно с помощью средств криптографической защиты информации (СКЗИ). Их давно используют как компании в разных отраслях, так и рядовые пользователи интернета. В статье подробно рассказываем, что это за решения, как они обеспечивают криптографическую защиту, почему важно их внедрять.
СКЗИ: что такое, для чего нужны
Коротко расскажем о криптографии. Термин происходит от греческих слов kryptós – «тайный» и grapho – «пишу». Если переводить его дословно, получится «тайнопись». Но в контексте защиты данных он означает безопасные передачу и хранение информации.
Средства криптографической защиты информации — решения для шифрования (преобразования в нечитаемый формат) и расшифрования информации с целью безопасной передачи и надежного хранения. Если говорить в целом, то внедрение СКЗИ позволяет сохранять конфиденциальность и целостность чувствительных сведений.
Для шифрования применяются различные криптографические методы криптографической защиты информации, например:
- Симметричное шифрование. Это метод, в рамках которого для шифрования и расшифрования информации используется один и тот же секретный ключ (ниже подробнее расскажем, что это такое).
- Асимметричное шифрование. Метод, подразумевающий использование пары ключей. Один применяется для шифрования, второй — для расшифрования.
- Хэш-функции — это методы, преобразовывающие защищаемые данные в уникальную последовательность бит фиксированной длины.
Выбор оптимальных алгоритмов и методов криптографической защиты информации зависит от требований к безопасности данных, типа защищаемых сведений и бюджета на СКЗИ.
Базовые понятия: криптоключи, ключевая информация, ключевые документы
Чтобы лучше понимать принцип использования СКЗИ, расшифруем основные понятия, применимые к защите информации:
- Криптографический ключ — секретные данные, используемые алгоритмом шифрования для выполнения криптографического преобразования.
- Ключевая информация — совокупность криптографических ключей, позволяющая на протяжении установленного срока реализовывать криптографическую защиту чувствительных данных.
- Ключевые документы — специальные документы, которые хранятся на электронных носителях или на бумаге. Они содержат ключевую информацию для преобразования информационных активов в рамках выбранных шифровальных схем.
Многие путают понятия криптоключей и ключевой информации. Объясним разницу на простом примере. При организации HTTPS создается ключевая пара, состоящая из открытого и закрытого ключей. Каждый из этих ключей считается криптоключом, а вместе они составляют ключевую информацию. Также ключевой информацией может быть и один криптоключ, например, открытый, если в схеме шифрования есть только он.
Самые распространенные виды СКЗИ и классы криптографической защиты информации
Для криптографической защиты информации применяются следующие решения:
- Средства шифрования — инструменты, позволяющие шифровать информацию в целях защиты в процессе передачи по открытым каналам связи и предотвращения несанкционированного использования.
- Средства имитозащиты — инструменты для выполнения алгоритмов преобразования цифровых ресурсов для защиты от предоставления недостоверной информации.
- Средства электронной подписи — инструменты, которые на базе криптографических алгоритмов создают пары ключей для электронной подписи, удостоверяют подлинность электронной подписи путем применения открытого ключа, создают электронную подпись с помощью закрытого ключа.
- Средства генерации ключевых документов — инструменты, необходимые для создания ключевых документов, которые не входят в состав СКЗИ.
Также существует такое понятие, как классы криптографической защиты информации. Оно определяет уровень безопасности, который выбранные решения обеспечивают в зависимости от определенных угроз. Вот 5 основных классов криптографической защиты информации:
- КС1 — решения с низким классом защиты. Их обычно достаточно в случае, если атаку проводят рядовые киберпреступники без доступа в помещения, где располагаются СКЗИ.
- КС2 — средства защиты, которые эффективно работают против атак внутри информационных систем, то есть если потенциальный злоумышленник имеет доступ в помещения с СКЗИ.
- КС3 — инструменты криптографической защиты, которые целесообразно применять, если потенциальные нарушители (например, администраторы, подрядчики) могут иметь непосредственный доступ к СКЗИ.
- КВ — решения, которые будут эффективно работать, если потенциальный злоумышленник имеет доступ к значительным ресурсам и может провести криптоанализ зашифрованной информации.
- КА — СКЗИ, обеспечивающие самый высокий уровень защиты информации в случае широкого спектра угроз.
Каждая компания, использующая СКЗИ того или иного вида и класса, должна составить и постоянно актуализировать перечень средств криптографической защиты информации. В перечне важно указывать основные сведения о решениях и сертификатах, идентификаторы экземпляров, места эксплуатации. Такие данные позволят своевременно обнаруживать уязвимости в СКЗИ, планировать затраты на расширение арсенала инструментов для защиты информации, отслеживать сроки действия сертификатов, вести регламентную отчетность.
Также должен быть обновляемый перечень ключевой информации. В нем указывают следующие сведения:
- Идентификатор.
- Перечень физических лиц, на имя которых выпущена ключевая информация.
- Формат и назначение ключевой информации.
- Сроки действия ключевой информации.
- Порядок перевыпуска.
- Перечень систем, в которых применяется ключевая информация.
И третий вид отчетности, который нужно вести — перечень ключевых документов. Он поможет в перевыпуске ключевой информации в случае компрометации ключей, при увольнении сотрудников и при инвентаризации носителей ключевой информации. В нем указываются все ключевые сведения, содержащиеся в документах, список используемых носителей и лиц, ответственных за сохранность ключевой информации.
Нормативные документы, регламентирующие использование различных методов криптографической защиты информации
Общие положения об использовании СКЗИ: Приказ ФСБ России №66 в ред. от 12.04.2010 и Приказ ФАПСИ № 152 от от 13.06.2001 г. Также есть отдельные документы, регламентирующие внедрение СКЗИ в разных отраслях. Для удобства представляем основные нормативные акты в виде таблицы.
|
Отрасль |
Основные документы |
|---|---|
|
Государственные структуры |
|
|
Компании, обрабатывающие персональные данные |
|
|
Финансы |
|
|
Компании, которые относятся к критической информационной инфраструктуре |
|
|
Медицина |
|
Внедряя средства криптографической защиты информации, компании должны руководствоваться этими и другими существующими нормативными документами. Чтобы не нарушать законодательство, важно знать юридические аспекты и меры ответственности за нарушение правил работы с СКЗИ.
«Солар» и средства криптографической защиты информации: чем мы можем помочь
ГК «Солар» — крупный провайдер, предоставляющий отечественному рынку возможности, опыт, процессы и знания для защиты информации. У нас есть такое решение в области СКЗИ, как сервис ГОСТ VPN, который подключается в рамках сервисной модели — по подписке. Какие задачи он решает:
- Обеспечивает защиту информации, передаваемой по открытым каналам связи.
- Позволяет соблюсти законодательные и отраслевые требования, касающиеся сохранение конфиденциальности и целостности чувствительных данных.
- Обеспечивает высокую эффективность работы корпоративных сетей в круглосуточном режиме.
«Солар» использует средства криптографической защиты информации, прошедшие сертификацию ФСБ России. Основу ГОСТ VPN составляют решения от крупных отечественных вендоров: «ИнфоТеКС», «С-Терра СиЭсПи», «Код Безопасности» и др. Все решения поддерживают российские криптоалгоритмы, QoS для повышения качества сетевого обслуживания, резервирование оборудования и компонентов аппаратных платформ, взаимодействие на уровнях L2/L3 модели OSI. Благодаря этим технологиям удается настраивать и модифицировать защищенные сети, обеспечивать взаимодействие между ними.
Преимущества ГОСТ VPN:
- Использование только сертифицированных СКЗИ.
- Класс криптографической защиты информации — КС3.
- Возможность выбрать одного из топовых вендоров СКЗИ и виды средств защиты информации.
- Быстрое подключение сервиса и возможность масштабирования под актуальные потребности бизнеса.
- Оплата только потребляемого сервиса.
Поскольку решение подключается в рамках сервисной модели, все расходы и бумажное сопровождение ложится на сервис-провайдера. Бизнесу не нужно приобретать и внедрять оборудование, нанимать в штат технических специалистов и нести расходы на обслуживание средств криптографической защиты информации.
