Средства криптографической защиты информации: что это такое и какие бывают

Если ваша компания обрабатывает персональные данные (ПДн) клиентов, принимает платежи или ведет электронный документооборот, использование средств криптографической защиты информации (СКЗИ) — не выбор, а требование закона (ст. 19 ФЗ от 27.07.2006 №152-ФЗ). Эти инструменты нужны для шифрования данных и проверки их целостности. Если вы не обеспечите защиту ПДн и произойдет утечка, вас могут оштрафовать на сумму до 20 млн, а при повторном нарушении — до 500 млн рублей (ст.13.11 КоАП РФ).

Что такое СКЗИ

Средства криптографической защиты информации — это специальные инструменты, созданные для решения трех ключевых задач информационной безопасности: конфиденциальность, целостность и аутентификация и идентификация только уполномоченным субъектом. По сути, это ваш цифровой сейф для электронных данных. К ним относятся как программные модули, так и аппаратные устройства: токены, USB-ключи, смарт-карты, средства шифрования. 

Если ваша организация обрабатывает ПДн, обязательно применяются шифровальные (криптографические) средства защиты информации согласно требованиям закона, прежде всего ст. 19 ФЗ ФЗ№ 152-ФЗ. 

Как это работает:

Представьте, что вам нужно переслать конфиденциальный договор партнеру через интернет. Без защиты файл уязвим для перехвата. СКЗИ шифруют информацию — преобразуют читаемый текст в неразборчивую “кашу” (шифртекст) с помощью сложных математических алгоритмов и секретного ключа. Получить исходные данные обратно (расшифровать) сможет только тот, у кого есть правильный ключ. Попытка перехвата даст злоумышленнику лишь бессмысленный набор символов. Алгоритмы, используемые в России (например, ГОСТ 34.10-2012, ГОСТ 34.11-2012, ГОСТ 28147-89), разработаны так, что взлом их прямым перебором ключей даже на суперкомпьютерах займет нереально много времени.

Но СКЗИ — не только про шифрование. Они также гарантируют целостность данных. Специальные криптографические методы — например, вычисление электронной цифровой подписи или хеш-функции по ГОСТ Р 34.11-2012, — создают уникальный “отпечаток” документа или сообщения — электронную подпись (ЭП). Если в защищенные данные внести даже малейшее изменение (поставить запятую, поменять цифру), этот “отпечаток” станет совершенно другим. Получатель, проверив подпись с помощью СКЗИ, мгновенно обнаружит факт подлога или случайной порчи файла при передаче.

Третья ключевая функция — аутентификация. СКЗИ являются технической основой для работы квалифицированной электронной подписи (КЭП). Когда вы подписываете электронный документ КЭП, вы не просто ставите “цифровую печать”. Вы криптографически связываете свое уникальное средство подписи (ключ) с содержимым документа. Это позволяет однозначно подтвердить, что подпись создана именно вами или вашим уполномоченным сотрудником и именно для этого документа. Это придает электронному документу юридическую силу, равную собственноручной подписи на бумаге (ст.7 ФЗ от 06.04.2011 № 63-ФЗ “Об ЭП”). Без СКЗИ использование КЭП для юридически значимых действий — подачи отчетности, заключения договоров, работы с госорганами через ЕГАИС или ГИС ЖКХ — невозможно.

Таким образом, средства криптографической защиты информации — это обязательный инструмент для современного бизнеса, обеспечивающий легальную и безопасную работу с цифровыми данными, защиту от утечек и выполнение требований регуляторов (ФСТЭК, ФСБ, Роскомнадзора). Использование сертифицированных ФСБ России шифровальных криптографических средств защиты информации — не просто рекомендация, а прямое требование закона для операторов ПДн и участников ЭДО.

Виды СКЗИ

Российские средства криптографической защиты информации делятся на три основных типа, каждый со своими особенностями применения, стоимостью и уровнем безопасности. Выбор зависит от ваших задач, бюджета и требований к защите данных: 

1. Программные СКЗИ. Устанавливаются как программа на компьютер (ПК, сервер). Все криптографические операции — шифрование, создание/проверка ЭП — выполняются в оперативной памяти устройства. Для работы обычно требуется приобретение лицензии. Срок действия лицензии варьируется: от ограниченного (год, два) до бессрочного. Бесплатный тестовый период — распространенная практика. Но учтите, что лицензия привязывается к конкретному рабочему месту. Если вам нужна ЭП на нескольких компьютерах, придется покупать отдельную лицензию СКЗИ для каждого. Плюс — относительно низкая начальная стоимость. Минус — уязвимость ключей в памяти ПК (риск кражи вирусами) и зависимость от обновлений ОС.
2. Аппаратные СКЗИ. Криптография реализована внутри специализированного защищенного устройства — токена или смарт-карты. Все операции, включая работу с закрытым ключом ЭП, выполняются внутри устройства. Сам ключ никогда не покидает его пределов. Это значительно повышает безопасность. Лицензия на ПО СКЗИ уже вшита в устройство на этапе производства и не требует отдельной покупки или продления. Устройство не привязано к одной ЭП: при истечении срока действия старого сертификата вы можете выпустить новый ключ ЭП и загрузить его на тот же токен. Плюсы: высокая безопасность, простота использования (plug-and-play), долгосрочная экономия (нет лицензионных отчислений). Минус: более высокая начальная стоимость самого устройства.
3. Гибридные (программно-аппаратные) СКЗИ.Комбинируют подходы. Основная криптография может выполняться на сервере (в т.ч. в облаке провайдера), но критичные операции с закрытым ключом ЭП часто делегируются аппаратному токену пользователя или защищенному модулю HSM (Hardware Security Module) на стороне провайдера. Пользователь взаимодействует через веб-интерфейс или тонкий клиент. Плюсы: централизованное управление, доступ с любого устройства, часто подписка вместо крупных разовых платежей. Минусы: зависимость от интернета и провайдера, потенциальные риски облачных решений.

Важно! Для работы с КЭП, защитой гостайны или в критически важных инфраструктурах (КИИ) обязательно использование СКЗИ, сертифицированных ФСБ России. Это гарантирует, что алгоритмы и реализация прошли независимую проверку на безопасность. Использование несертифицированных решений для таких задач незаконно и ставит под угрозу юридическую силу ваших электронных документов и действий.

Уровни КЗИ

Требования к средствам криптографической защиты информации строго регламентированы российским законодательством и зависят от категории защищаемых данных и типа информационной системы:

1. Для автоматизированных систем, не обрабатывающих гостайну (Приказ ФСТЭК России от 11.02.2013 № 17) устанавливается класс защищенности на основе потенциального ущерба при нарушении безопасности:

• К1 (высокий ущерб): максимальные требования. Обязательно применение сертифицированных ФСБ России СКЗИ с усиленной защитой ключей (аппаратные токены, HSM), строгим управлением доступом и использованием только утвержденных ГОСТов;
• К2 (средний ущерб): обязательно применение СКЗИ для обеспечения конфиденциальности и целостности ключевых данных;
• К3 (низкий ущерб): минимальные требования. СКЗИ могут не требоваться или применяться базовые решения.

2. Для защиты персональных данных ключевой параметр — уровень защищенности (УЗ), определяемый типом ПДн и масштабом обработки:

• УЗ 1 (очень высокий): специальные/биометрические ПДн в ИС с неограниченным доступом. Обязательно применение СКЗИ, сертифицированных ФСБ России, для шифрования при передаче и при хранении. Требуется надежная аутентификация;
• УЗ 2 (высокий): специальные/биометрические ПДн в ИС с ограниченным доступом ИЛИ иные ПДн (ФИО, контакты) в ИС с неограниченным доступом. Обязательно применение СКЗИ для защиты данных при передаче по открытым сетям (интернет). Шифрование хранилищ настоятельно рекомендуется.
• УЗ 3 (средний): иные ПДн в ИС с ограниченным доступом. Обязательно применение сертифицированных СКЗИ при передаче ПДн по открытым сетям.
• УЗ 4 (базовый): обработка общедоступных/публичных ПДн. СКЗИ не требуются законодательно.

Важно! Чтобы определить, какие СКЗИ вам нужны, уточните, какие категории данных вы будете обрабатывать, оформите документы по обработке ПДн, установите требуемый уровень защищенности. 

Заключение 

Для правильной эксплуатации средств криптографической защиты информации начните с анализа ваших рисков: определите категорию данных и уровень защищенности. Также выбирайте тип решения (программное, аппаратное, гибридное) исходя из задач и бюджета, но всегда проверяйте действующий сертификат ФСБ. Грамотное внедрение СКЗИ защитит от штрафов и утечек, и обеспечивает легальность электронных операций.