Скзи что это программа

Криптографические средства защиты информации – это механизмы и системы, которые реализуются за счет шифрования данных (криптографического преобразования информации) и служат для защиты информации во время передачи, хранения и обработки от несанкционированного доступа.

Криптографическая защита информации широко распространена в коммерческой сфере. Она позволяет шифровать документы, телефонные и радио переговоры, телеграфные сообщения и т.д.

Наряду с криптографическими средствами защиты информации часто используются в качестве дополнения программные средства защиты информации. Их можно назвать одним целым.

Сущность и цели криптографической защиты информации

Сегодня, когда передача информации осуществляется на большие расстояния, используются криптографические средства шифрования. Чтобы углубиться в эту тематику и понять ее сущность, предлагаем разобраться с терминологией – что такое криптография и шифрование, а также в чем заключаются их главные задачи.

Вебинар «Средства криптографической защиты информации (СКЗИ)»

Криптография (с древнегреческого «скрытое написание») – наука о способах передачи информации в скрытом виде так, чтобы ее нельзя было получить без использования специального ключа.

В русскоязычной литературе криптография (криптология) объединяет в себе два понятия:

• Шифрование данных;
• Криптоанализ.

Под криптоанализом понимаются методы дешифровки информации без ключа (взлом), а также процесс такой дешифровки.

Криптография отвечает за шифрование данных, обеспечение конфиденциальности, целостности и аутентификацию.

Конфиденциальность – защита информации от прочтения неавторизованными (неуполномоченными) пользователями

Целостность – защита информации от несанкционированного изменения и искажения.

Аутентификация – проверка подлинности объекта, который пытается получить доступ к информации.

Шифрование – это процесс преобразования информации в нечитабельную без аутентичного ключа расшифровки или программного комплекса. Шифрование подразумевает использование определенного математического алгоритма и ключа.

За счет шифрования информация может оставаться конфиденциальной, а получить к ней доступ могут только допущенные пользователи.

Ключ – это секретная информация, представляющая собой последовательный набор символов, который создается с помощью шифрующего и дешифрирующего криптографического алгоритма. Не имея доступ к ключу или потеряв к нему доступ, расшифровать информацию чаще всего невозможно.

Цель криптографической защиты информации – обеспечить надежную защиту данных и сохранить их конфиденциальность во время передачи по сети.

Средства криптографической защиты информации

Средства криптографической защиты информации (СКЗИ) – это устройства или программы, главный функционал которых заключается в генерации электронных подписей (ЭП) и шифровании документов.

Все операции осуществляются с применением ключа электронной подписи. Таким образом, информация находится под надежной защитой.

Организация работы с СКЗИ

Основой криптографической защиты информации можно назвать программные, аппаратные и программно-аппаратные средства. Целями криптографических средств защиты информации являются защита, обеспечение достоверности и целостности, выработка информации.

Способы шифрования данных

1. Симметричное шифрование. В этом методе один и тот же секретный ключ используется как для шифровки, так и расшифровки информации.
2. Ассиметричное шифрование. В этом методе применяется два ключа. Первый несекретный – для шифрования (является открытым), второй секретный – для расшифровки (известен только уполномоченному лицу).
3. Хеширование подразумевает использование специальной хеш-функции для преобразования входного массива данных различной длины в выходную битовую строку одинаковой длины.
4. Цифровая подпись – это совокупность ассиметричного шифрования и хеширования. Сообщение сначала хешируется, а затем шифруется с помощью приватного ключа.

За криптографический контроль целостности отвечают два важных элемента — это электронная цифровая подпись (ЭЦП) и хэш-функция.

Как работает СКЗИ?

1. Отправитель создает документ.
2. Используя сертифицированные средства криптографической защиты информации и закрытый ключ ЭЦП добавляет файл подписи, производит зашифровку документа и объединяет все в файл.
3. Получателю передается созданный файл.
4. При помощи все тех же средств криптографической защиты информации и закрытого ключа ЭЦП получатель производит расшифровку документа.
5. Получатель проверяет электронную подпись на целостность, которая свидетельствует о том, что в документе не производились изменения.

Виды СКЗИ для электронной подписи

СКЗИ для ЭЦП разделяются на два основных вида:

1. Устанавливаемые отдельно – представляет собой программу, которую можно установить на различные компьютерные устройства. Они довольно часто используются, но при этом имеют большой нюанс – они привязаны к одному рабочему месту.

Вы имеете возможность работать как с одной электронной подписью, так и большим количество. Но при этом только на одном компьютере (ноутбуке) с установленной СКЗИ.

Самыми распространенными программами для шифрования файлов являются:

• КриптоПро CSP;
• ViPNet CUSTOM;
• КриптоАРМ;
• Континент;
• LISSI-CSP;
• Signal-COM CSP.

1. Встроенные в носитель – это средства шифрования, находящиеся внутри устройства и запрограммированы на самостоятельное функционирование. Они являются самодостаточными – все необходимые компоненты находятся на носителе, нет необходимости устанавливать дополнительное ПО или покупать лицензии, нужен только компьютер (ноутбук).

Примерами криптографических средства защиты информации, встроенных в носитель, можно назвать JaCarta SE, Рутокен ЭЦП.

Дмитрий Волков
Дипломированный специалист в сфере ИБ
Задать вопрос

Дмитрий волков — специалист по защите информации телекоммуникационных систем. Занимается аудитом веб-проектов и проектов на предмет безопасности.

Источник: cyber-defence.ru

Классы СКЗИ: чем отличаются, пора ли их обновить и что проверяет ФСБ

Специалистам ИБ часто приходится работать на два фронта: бороться с угрозами ПО и заниматься юридическими вопросами. Причина понятна — если в компании нарушают законодательство, ФСБ может наказать штрафами или даже закрыть бизнес. Именно поэтому специалисту ИБ нужно знать все нормативные акты, которыми регулируется его сфера.

В том числе те, что касаются средств криптографической защиты информации (СКЗИ). Что это такое? Какие классы СКЗИ нужно использовать и когда? И как изменится защита государственных информационных систем в 2023 году? Ответы — в этой статье.

Что такое СКЗИ, или Ликбез для новичка

Средства криптографической защиты информации — программные решения, которые применяют для шифрования данных. Обычно они требуются, если нужно провести защищенный обмен информацией, гарантировать ее целостность или доверенное хранение. СКЗИ бывают двух видов: программные и аппаратные. Первые устанавливаются на компьютер и привязаны только к одному рабочему месту.

Чтобы их использовать, нужно приобрести лицензию. Самые популярные — КриптоПро CSP, ViPNet CSP. Аппаратные СКЗИ — это средства шифрования, встроенные в отдельное устройство. Такие обычно применяются для электронного подписания документов (токены). Чтобы работать, достаточно ноутбука с выходом в интернет.

Примеры — Рутокен, JaCarta.

Классы защиты: СКЗИ для разных ситуаций

• возможностей нарушителя: какой у него доступ к системе — может ли он подключиться физически или дистанционно, необходимы ли ему специалисты для проведения атак;
• объектов защиты: какие это данные, документы, модули системы и т.д.;
• территории, откуда ведется атака: в контролируемой зоне или за ее пределами.

Все перечисленное характеризует модель нарушителя. Чем она сложнее, тем выше требования информационной безопасности и класс СКЗИ. Так, например, для мобильного доступа сотрудника к системе внутреннего документооборота может быть достаточно КС1, а для сервиса обмена электронными договорами с контрагентами — минимум КС3.

На что ФСБ обращает особое внимание

Обычно при проверках СКЗИ регулятор выявляет нарушения, которые касаются неправильно определенной модели угроз. Из-за этого организация определяет класс СКЗИ ниже, чем того требует Приказ №378, и некорректно выстраивает меры по защите ПО.

Также санкции часто выписывают, когда в компании нет:

• действующего сертификата соответствия СКЗИ;
• журналов учета средств или их своевременного заполнения;
• необходимых дистрибутивов, формуляров, документов.

Нужна ли другая классификация? Мнения экспертов

Приказ №378 вышел восемь лет назад. В мире информационной безопасности это огромный срок. За восемь лет появились новые виды угроз, СКЗИ стали применять чаще и в более современных системах.

Насколько актуальна принятая классификация теперь — логичный вопрос. Однако эксперты уверяют, что это неважно и есть проблемы серьезнее.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Если посмотреть основные телеграмм-каналы, посвященные утечкам баз данных и персональных данных в том числе, то можно сделать вывод, что взлом СКЗИ не применялся. Объемы похищенных данных большие и целые. Все утечки были реализованы взломами систем защиты ИС и проникновения внутрь периметра сети, а не перехватом зашифрованной информации, передаваемой посредством СКЗИ из пункта А в пункт Б. Поэтому основная работа по защите персональных данных должна быть направлена на повышение общей защищенности информационных систем. СКЗИ как раз работают как надо.

При этом эксперт добавляет, что классификацию СКЗИ можно расширить — есть смысл учесть обработку коммерческой тайны и служебной информации. Также он считает логичным разделить Приказ ФСБ на две части. Первая бы касалась разработки и аттестации средств криптографической защиты, а вторая бы содержала требования по выбору класса СКЗИ и была полезной пользователям (специалистам ИБ, администраторам систем и т.д.).

Роман Писарев

Руководитель департамента аудита и консалтинга компании iTPROTECT

Классификация СКЗИ исходит от модели нарушителя и, на мой взгляд, остается актуальной и по сегодняшний день. Однако условия защиты информации и использования конкретных классов СКЗИ нужно пересмотреть с учетом современных реалий и требований к сертификации.

Например, в современном цифровом мире очень много мобильных приложений. В частности, у нас довольно развиты госуслуги, к которым можно подключиться с помощью мобильного клиента на смартфоне, в том числе с использованием иностранных операционных систем и т.п. Однако для функционирования требуемого Приказом №378 класса СКЗИ нужно соблюсти определенные условия. Например, нужно подключить ГОСТовый TLS-сертификат или модуль доверенной загрузки, что в случае с иностранной мобильной ОС проблематично. И таких примеров очень много.

Эксперты уверяют: настало время менять не устоявшиеся классы защиты СКЗИ, а правила и подходы к эксплуатации в организациях. В том числе нужно устранить законодательные пробелы и избавиться от устаревших требований.

Олег Косенков

Архитектор информационной безопасности компании «Информзащита»

Многие из требований относятся к нормативным документам регулятора, написанным два десятилетия назад. Пример — Приказ ФАПСИ от 13 июня 2001 года №152.

Если такие требования к государственным и крупным организациям еще можно оправдать, то меньшие компании зачастую неспособны соблюдать их в полной мере, в том числе из-за нехватки специалистов. Также не стоит забывать о различных трактовках одних и тех же требований при проведении проверок регулятором в регионах.

Выход на ГИС

В октябре 2022 года появился еще один знаковый для СКЗИ Приказ ФСБ — №524. Документ представляет порядок применения средств криптографической защиты для государственных информационных систем (ГИС). Регулятор конкретизирует критерии и правила выбора класса СКЗИ, которые давно ожидали в сообществе ИБ.

В документе уточняется, что модель угроз и техническое задание на ГИС нужно согласовывать с ФСБ России. При этом разрешено использовать только сертифицированные СКЗИ.

Олег Косенков

Архитектор информационной безопасности компании «Информзащита»

В целом не думаю, что стоит ожидать существенных изменений в части защиты информации, так как в большинстве ГИС и так используются исключительно сертифицированные СКЗИ. Однако если выяснится, что в организации эксплуатируются средства более низкого класса, чем того требует Приказ, то их оперативная замена может стать головной болью специалистов по ИБ.

Именно поэтому, по его мнению, регулятор ввел переходный режим — Приказ вступит в силу лишь 23 ноября 2023 года. К тому моменту пройдет год со дня его официального подписания. Предполагается, что за это время госсектор и вендоры успеют провести все мероприятия по защите ГИС.

Роман Писарев

Руководитель департамента аудита и консалтинга компании iTPROTECT

Сейчас операторам государственных информационных систем важно как можно быстрее провести аудит и определить нужные классы СКЗИ для защиты их ГИС в текущей вариации. Возможно, у кого-то уже продуманы достаточные меры защиты. Однако для большинства ГИС, скорее всего, это не так. Нужно исправить ситуацию, и сейчас важно не упустить время.

Итоги

Когда будут обновлены устаревшие требования к использованию СКЗИ — вопрос пока открытый. Но уже очевидно, что нормативная база постепенно меняется и долго ждать перемен не придется.

Эксперты советуют учесть текущие законодательные тенденции всем, кто готовится к покупке новых программных продуктов в ближайшие три года. От того, насколько системы будут защищены в части СКЗИ, зависит не только будущая безопасность данных в компании. Это ещё и гарантия того, что организация легко пройдет все проверки ФСБ и продолжит работать на рынке.

Источник: securitymedia.org