СКЗИ: что это, и для чего используются

Средства криптографической защиты информации (СКЗИ) часто воспринимают как сложный и сугубо регуляторный инструмент, который нужен только для сдачи отчетности или прохождения проверок. На практике они решают прикладные задачи: позволяют зайти на сервер без риска перехвата пароля, гарантируют, что снапшот базы данных не окажется на стороне, превращают электронный документ в доказательство в арбитражном суде и т.д.

По сути, это инфраструктурный слой, который обеспечивает три вещи: конфиденциальность, целостность и невозможность отказа от авторства. В этом тексте мы разберем, какие СКЗИ существуют, чем отличаются программные решения от аппаратных, и как их корректно встраивать в облачную инфраструктуру.

Что такое криптографическая защита информации

СКЗИ расшифровывается как «средства криптографической защиты информации». Ключевое слово здесь — «средства». Это не просто алгоритмы или библиотеки шифрования, которые разработчик может скачать из открытого репозитория и встроить в свое приложение. Это конкретные программные, аппаратные или программно-аппаратные продукты, прошедшие процедуру сертификации в уполномоченных государственных органах. Сертификат подтверждает, что средство реализует криптографические алгоритмы корректно, не содержит недекларированных возможностей и соответствует установленному классу защиты.

Часто возникает путаница между шифрованием как техническим действием и криптографической защитой как юридически значимым процессом. Зашифровать файл архиватором с паролем может любой пользователь, но такой файл не станет защищенным в правовом поле. Ключевые отличия криптографической защиты от простого шифрования:

• Сертификация используемых средств. Применяются только продукты с действующим сертификатом.
• Учет ключевой информации. Генерация, хранение и уничтожение ключей фиксируются в документации.
• Фиксация фактов обращения. Система ведет журнал событий, кто и когда обращался к защищенной информации.
• Юридическая значимость. Результаты работы СКЗИ принимаются как доказательства в суде и контролирующими органами.

Простое шифрование отвечает только за конфиденциальность, криптографическая защита охватывает еще целостность и юридическую значимость.

Роль СКЗИ в современной информационной инфраструктуре Казахстана определяется тремя основными категориями защищаемой информации:

• Государственная тайна. Требования максимально жесткие, используются СКЗИ высших классов, эксплуатация возможна только в режимных объектах с соответствующими допусками у персонала.
• Персональные данные (ПДн). Закон обязывает операторов принимать меры по защите ПДн при их обработке, для большинства категорий персональных данных применение сертифицированных СКЗИ является прямым требованием регуляторов.
• Коммерческая тайна. Компании, которые хотят защитить свою базу клиентов, ноу-хау или финансовую информацию от конкурентов, используют СКЗИ добровольно, но при этом получают юридический механизм привлечения к ответственности в случае утечки: если данные были защищены сертифицированным средством, факт взлома становится основанием для разбирательства.

Зачем нужна криптографическая защита

Криптографическая защита информации строится вокруг четырех фундаментальных целей, каждая из которых решает конкретную уязвимость в процессе обработки и передачи данных.

• Конфиденциальность. Данные, будь то файлы на диске или пакеты в сети, преобразуются в форму, недоступную для понимания без наличия соответствующего ключа. Если злоумышленник перехватывает трафик или получает доступ к физическому носителю, он видит не исходные данные, а набор символов, не поддающийся расшифровке.
• Целостность. Гарантия того, что информация не была изменена в процессе передачи или хранения. Конфиденциальность не спасает от подмены данных: перехватив зашифрованный файл, злоумышленник может удалить его или заменить другим зашифрованным файлом, если не может прочитать оригинал. Механизмы целостности, такие как хэширование, позволяют получателю с высокой точностью определить, был ли массив данных модифицирован после того, как его оставил отправитель.
• Аутентификация. Подтверждение подлинности сторон, участвующих в информационном обмене. В открытых сетях клиент и сервер изначально не знают друг друга. Криптографические методы позволяют установить, что сервер действительно принадлежит заявленной компании, а клиент — тот, за кого себя выдает, а не злоумышленник, подставивший чужой сертификат или перехвативший сессию. Аутентификация реализуется через механизмы сертификатов, ключей и протоколов подтверждения.
• Гарантия авторства. Юридически значимая гарантия того, что сторона не сможет отказаться от совершенных действий. Если аутентификация подтверждает личность в момент установления соединения, то гарантия авторства фиксирует факт совершения конкретного действия — подписания контракта, отправки отчета, утверждения платежа — таким образом, что впоследствии отправитель не может заявить, что это сделал не он. Именно это превращает электронный документ в полноценный юридический инструмент, сопоставимый с бумажным носителем и собственноручной подписью.

На практике эти четыре цели реализуются в виде конкретных прикладных задач, с которыми сталкиваются компании при построении ИТ-инфраструктуры.

Шифрование каналов связи. При передаче данных между распределенными офисами, дата-центрами или в облако открытые каналы интернета становятся зоной риска. Организации строят защищенные VPN-туннели, в которых весь трафик между узлами шифруется. При этом используются сертифицированные протоколы, а ключи шифрования регулярно ротируются. В облачной инфраструктуре такой подход позволяет связать виртуальную сеть провайдера с корпоративной сетью клиента, не опасаясь, что данные, проходящие через публичные интерфейсы, станут доступны третьим лицам.

Шифрование дисков и томов. Данные, хранящиеся на серверах, требуют защиты не только при передаче, но и в состоянии покоя. Физическая кража сервера, выход из строя диска с последующей его утилизацией или несанкционированный доступ к хранилищу — все это создает риски утечки. Шифрование дисков позволяет гарантировать, что без ключа расшифровки данные на носителе представляют собой бессмысленный набор байтов. В облачных средах эта задача решается на уровне виртуальных машин или облачных хранилищ, где клиент управляет собственными ключами, а провайдер не имеет доступа к расшифрованным данным.

Защита облачной инфраструктуры. При переносе сервисов в облако у криптографической защиты появляются дополнительные уровни: шифрование снапшотов виртуальных машин, защита управляющих плоскостей платформы, использование облачных модулей безопасности. Такой подход сочетает удобство облачной модели с требованиями к защите ключевой информации.

Создание защищенного документооборота. Организации, переходящие на безбумажный документооборот, сталкиваются с необходимостью придать электронным документам юридическую силу. Криптографическая защита в этой задаче реализуется через механизмы электронной подписи. Документ подписывается с использованием сертифицированного СКЗИ, что обеспечивает его целостность (документ нельзя изменить незаметно), аутентификацию (подпись однозначно связывает документ с конкретным лицом) и неотказуемость (подписавший не может отказаться от документа). В облачной модели документооборот может быть выстроен либо через облачные СЭД, интегрированные с сертифицированными криптопровайдерами, либо через использование облачных удостоверяющих центров, выпускающих квалифицированные сертификаты.

Типы и классификация СКЗИ

Средства криптографической защиты информации различаются по способу исполнения, каждый из которых имеет свои особенности применения, уровень безопасности и сценарии использования. В Казахстане выбор конкретного типа СКЗИ определяется не только техническими задачами, но и требованиями регуляторов, в первую очередь Комитета национальной безопасности, который осуществляет лицензирование деятельности по разработке и реализации таких средств.

Аппаратные СКЗИ представляют собой физические устройства, в которых криптографические операции выполняются на специализированном оборудовании. Главное преимущество этого типа — изоляция процессов шифрования и хранения ключей от основной операционной системы, что существенно снижает риски компрометации.

• HSM-модули (Hardware Security Module) — высокозащищенные устройства для генерации, хранения и использования криптографических ключей в безопасном исполнении. В Казахстане такие решения представлены как разработками местных компаний, так и продукцией международных вендоров. HSM-модули используются в удостоверяющих центрах, банковских системах и государственных информационных системах, где требуется максимальный уровень защиты ключевой информации.
• Токены. Компактные устройства, обычно подключаемые через USB-порт, которые хранят ключевую информацию пользователя и выполняют криптографические операции. Обычно эти решения используются для обеспечения аутентификации и электронной подписи.
• Серверные ускорители. Платы расширения, устанавливаемые в серверное оборудование для аппаратного ускорения криптографических операций. Используются в высоконагруженных системах, где требуется обрабатывать большое количество защищенных соединений или подписей в единицу времени.

Программные СКЗИ реализуют криптографические алгоритмы полностью в программной среде. Они более гибки в развертывании и не требуют дополнительного оборудования, что упрощает их использование, особенно в виртуальных и облачных средах.

• Криптопровайдеры. Программные компоненты, предоставляющие интерфейс для криптографических операций прикладным приложениям. Криптопровайдеры интегрируются с операционными системами, прикладным программным обеспечением и удостоверяющими центрами.
• VPN-клиенты. Программные средства, обеспечивающие шифрование каналов связи между удаленными узлами.

Аппаратно-программные СКЗИ объединяют в себе физическую платформу и специализированное программное обеспечение, поставляемое в комплекте. Такие решения обычно проходят сертификацию как единый продукт, что упрощает их внедрение и гарантирует корректное взаимодействие компонентов.

Классы сертификации СКЗИ определяют уровень защиты, который обеспечивает средство, и условия, в которых оно может применяться.

• Класс КС1 — средства, обеспечивающие защиту от несанкционированного доступа (НСД) при использовании в системах, где не требуется высокая степень изоляции. Подходят для защиты информации ограниченного распространения в коммерческих организациях.
• Класс КС2 — средства с повышенными требованиями к защите, включая контроль целостности программной среды и устойчивость к определенным типам атак. Применяются в системах, обрабатывающих персональные данные.
• Класс КС3 — средства с еще более высоким уровнем защиты, предназначенные для систем, где требуется строгий контроль всех компонентов, участвующих в криптографических операциях.
• Класс КВ — средства для использования в системах, работающих с информацией, составляющей государственную тайну. Требуют специальных допусков у персонала и строгого соблюдения режимных требований.
• Класс КА — наивысший класс защиты, также предназначенный для государственной тайны, но с еще более жесткими требованиями к конструкции, эксплуатации и контролю.

Как работают СКЗИ

Любое средство криптографической защиты информации строится вокруг трех базовых процессов, которые в совокупности образуют систему безопасного обращения с данными.

Генерация ключей. Это процесс создания криптографических ключей, которые в дальнейшем используются для шифрования, расшифровки или подписания информации. Качество генерации напрямую определяет стойкость всей системы защиты. Случайность и непредсказуемость ключей обеспечиваются либо программными генераторами случайных чисел, либо, в более защищенных решениях, аппаратными датчиками случайных чисел, встроенными в HSM-модули или токены.

Управление ключевой системой. Этот процесс охватывает весь жизненный цикл ключей и состоит из нескольких этапов:

• Хранение ключей. Ключевая информация размещается на защищенных носителях: в аппаратных модулях безопасности, токенах или зашифрованных разделах диска. В Казахстане для работы со служебной информацией ограниченного распространения используется хранение документов исключительно в зашифрованных дисках на рабочих станциях или в облачных хранилищах с применением отечественных СКЗИ.
• Ротация ключей. Периодическая смена ключей снижает риски компрометации. Регламент ротации определяется политикой безопасности организации и требованиями регуляторов.
• Резервное копирование ключей. Для восстановления доступа в случае утраты носителя создаются резервные копии ключей, которые хранятся в изолированных защищенных хранилищах.
• Уничтожение ключей. По окончании срока действия или при утрате необходимости ключи уничтожаются с документальным подтверждением факта уничтожения.

Наложение шифрования. Это непосредственно криптографическое преобразование данных, которое делает их недоступными для несанкционированного ознакомления. В зависимости от задачи используется симметричное шифрование (один ключ для шифрования и расшифровки) или асимметричное (разные ключи для шифрования и расшифровки). Процесс наложения шифрования может происходить на разных уровнях:

• на уровне приложения (пользователь сам выбирает файлы для шифрования),
• на уровне файловой системы (шифрование отдельных папок или дисков),
• на уровне сети (шифрование всего передаваемого трафика),
• на уровне хранилища (шифрование томов и бэкапов на стороне провайдера).

Как работают СКЗИ

Перенос инфраструктуры в облако не отменяет требований к защите информации, но меняет способы их реализации. То, что в физическом дата-центре решалось установкой собственных криптошлюзов и подключением токенов к рабочим станциям, в виртуальной среде требует иных подходов. Разберем четыре основных сценария применения криптографической защиты в облаке.

Построение защищенных VPN-туннелей между офисом и облаком

Когда компания размещает часть инфраструктуры в облаке, возникает необходимость связать корпоративную сеть с виртуальной средой провайдера. Открытые каналы интернета не подходят для передачи чувствительных данных. Решением становится VPN-туннель, в котором весь трафик между офисным шлюзом и облачной платформой шифруется с использованием сертифицированных СКЗИ.

В Казахстане такие решения реализуются с применением национальных криптоалгоритмов. Примером служат сертифицированные VPN-шлюзы, которые обеспечивают шифрование трафика по стандарту IPsec с использованием казахстанских криптобиблиотек. Собственный VPN-сервер в Казахстане позволяет бизнесу не только защитить данные, но и получить локальный IP-адрес, что упрощает доступ к государственным порталам и локальным сервисам.

Шифрование виртуальных дисков и бэкапов

Данные, хранящиеся в облаке в состоянии покоя, требуют защиты на случай несанкционированного доступа к инфраструктуре провайдера. Шифрование виртуальных дисков решает эту задачу: диск виртуальной машины хранится в зашифрованном виде, а ключ расшифровки находится у клиента. Бэкапы, которые создаются для восстановления после сбоев, также подлежат шифрованию.

В Казахстане для работы со служебной информацией ограниченного распространения зашифрованные диски используются на рабочих станциях, а хранение в облачных хранилищах допускается только при условии шифрования вложений с помощью СКЗИ не ниже третьего уровня безопасности.

Юридически значимый электронный документооборот в облачных сервисах

Компании, переходящие на безбумажный документооборот, используют облачные системы электронного документооборота (СЭД), которые интегрированы с сертифицированными СКЗИ. В таких системах каждый документ при создании или загрузке подписывается электронной цифровой подписью (ЭЦП) с регистрационным свидетельством удостоверяющего центра.

При просмотре документа получатель расшифровывает вложения с помощью СКЗИ и проверяет подпись. Это обеспечивает юридическую силу документов и позволяет использовать их в суде и при взаимодействии с государственными органами.

Использование облачных HSM вместо физических токенов

Традиционный подход к защите ключевой информации предполагает использование физических токенов, которые подключаются к рабочей станции пользователя. В облачной среде это создает сложности: виртуальная машина физически не имеет USB-порта, а проброс USB-устройств через сеть технически возможен, но снижает уровень безопасности и не всегда поддерживается.

Решением становятся облачные HSM (Hardware Security Module) — аппаратные модули безопасности, которые предоставляются провайдером как сервис. Ключи хранятся в защищенном оборудовании на площадке провайдера, а доступ к ним осуществляется через сетевые интерфейсы с использованием строгой аутентификации. Клиент управляет ключами, но не имеет физического доступа к модулю, что сочетает удобство облачной модели с требованиями к изоляции ключевой информации.

Заключение

Криптографическая защита — это не просто шифрование, а система сертифицированных средств, обеспечивающих конфиденциальность, целостность, аутентификацию и юридическую значимость действий. В зависимости от задач используются аппаратные HSM и токены, программные криптопровайдеры или комплексные решения разных классов — от КС1 до-КА. В облачной среде подход меняется: физические токены уступают место облачным HSM, диски и бэкапы шифруются, VPN-туннели строятся на национальных криптоалгоритмах, а документы получают юридическую силу через квалифицированную электронную подпись.

Если перед вами стоит задача развернуть частное облако с соблюдением требований к защите информации или настроить защищенное VPN-соединение между вашей инфраструктурой и облачной средой, обратитесь к специалистам ИТ-ГРАД. Мы поможем подобрать архитектуру, интегрировать сертифицированные СКЗИ и обеспечить соответствие решения действующим нормативам.

Частые вопросы

1. Обязательно ли использовать сертифицированные СКЗИ или можно обойтись обычным шифрованием?

Если информация подпадает под действие законодательства — персональные данные, служебная информация ограниченного распространения или государственная тайна, — использование несертифицированных средств является нарушением. Обычное шифрование архиватором или сторонними библиотеками не дает юридической защиты и не принимается как доказательство в контролирующих органах. Для коммерческих данных, не регулируемых отдельными требованиями, компании могут выбирать любой уровень защиты, но риск утечки в этом случае ложится полностью на них.

2. Можно ли использовать физические токены в облачной среде?

Технически это возможно через проброс USB-устройств по сети, но такой подход сопряжен с ограничениями: стабильность соединения зависит от качества канала, а сам проброс создает дополнительные уязвимости. Кроме того, не все облачные платформы поддерживают эту функцию. Более распространенная и надежная практика — использование облачных HSM, которые выполняют те же функции, но работают как сервис внутри инфраструктуры провайдера и не требуют физического подключения к виртуальной машине.

3. Какие СКЗИ подходят для малого и среднего бизнеса?

Для большинства коммерческих организаций, не работающих с гостайной, достаточно средств класса КС1 или КС2. Это могут быть программные криптопровайдеры для защиты документооборота и VPN-клиенты для организации безопасных каналов связи. Если требуется работа с квалифицированной электронной подписью или защита персональных данных, потребуются сертифицированные решения, которые можно приобрести у локальных разработчиков или партнеров..

4. Что делать, если у компании нет собственной лицензии на эксплуатацию СКЗИ?

Компания может использовать облачную инфраструктуру провайдера, который уже имеет необходимые лицензии и сертифицированную среду. В этом случае ответственность за соответствие аппаратного и программного уровня требованиям регуляторов берет на себя провайдер, а клиент получает готовую защищенную среду без необходимости оформлять лицензии и проходить длительные процедуры аттестации. Такой подход особенно актуален для малого и среднего бизнеса, который не имеет ресурсов для содержания собственной лицензированной инфраструктуры.