СКЗИ расшифровывается как "средство криптографической защиты информации". Так называют программу, устройство или программно-аппаратный комплекс, который защищает данные с помощью криптографии. СКЗИ шифрует соединение, помогает подписывать электронные документы, хранит ключи, проверяет целостность файла и не дает посторонним прочитать информацию без нужного доступа.
Проще всего представить СКЗИ как защитный механизм для обмена данными. Организация передает документы, подключает удаленных сотрудников, связывает филиалы, работает с персональными данными или отправляет отчетность. В этих ситуациях важно не только ограничить доступ паролем, но и сделать сами данные бесполезными для постороннего, если трафик перехватят, файл скопируют или канал связи окажется под контролем злоумышленника.
В российских документах рядом встречаются формулировки средства шифрования и криптографические средства. В разговорной речи все это часто называют СКЗИ, но для закупки и проверки важны точные параметры: сертификат ФСБ, класс средства, версия продукта, исполнение, условия применения и эксплуатационная документация. Официальные сведения о сертификации средств защиты публикует ЦЛСЗ ФСБ России.
Что делает СКЗИ
СКЗИ отвечает за криптографическую часть защиты. Антивирус ищет вредоносные файлы, межсетевой экран ограничивает сетевые соединения, резервное копирование помогает восстановить данные после сбоя. СКЗИ решает другую задачу: защищает содержимое данных и подтверждает, что участники обмена и документы не подменены.
- Шифрование данных закрывает файлы, архивы, базы и сетевой обмен от чтения посторонними.
- Защищенный канал нужен для VPN между офисами, филиалами, дата-центрами и удаленными сотрудниками.
- Электронная подпись подтверждает автора документа и помогает проверить, что файл не меняли после подписания.
- Имитозащита показывает, что данные при передаче не подменили и не исказили.
- Управление ключами включает выпуск, хранение, замену, блокировку и уничтожение ключей.
Для филиала важнее защищенный канал между площадками: сотрудники подключаются к внутренним сервисам, а СКЗИ шифрует обмен. Для электронного документооборота главную роль играет подпись: получатель видит, кто подписал файл и менялся ли документ после этого. Поэтому СКЗИ выбирают не вообще для безопасности, а под конкретный сценарий.
Где нужно сертифицированное СКЗИ
Сертифицированное СКЗИ требуется не во всех случаях. Сначала нужно понять, какие данные защищает система и какой документ задает правила. Для персональных данных важны 152-ФЗ, постановление Правительства № 1119 и приказ ФСБ России № 378, если безопасность обеспечивается с использованием СКЗИ. Для государственных систем, КИИ, банковских сервисов и ЭДО могут действовать отдельные требования.
Обычное шифрование может быть технически сильным, но в регулируемой системе часто нужен не просто работающий алгоритм, а подтвержденное соответствие требованиям. Сертификат ФСБ показывает, что конкретное средство проверили в заданной версии, классе и исполнении.
| Задача | Где применяют | Что проверить |
|---|---|---|
| Удаленный доступ | Сотрудники, подрядчики, филиалы | Сертификат, класс, клиентские приложения, журналы |
| Персональные данные | ИСПДн с криптографической защитой | Уровень защищенности, приказ № 378, условия применения |
| Электронная подпись | ЭДО, отчетность, юридически значимые документы | Совместимость с носителями ключей и сервисами |
| Обмен между площадками | Офисы, дата-центры, производство | Производительность, отказоустойчивость, управление ключами |
Если в задании или нормативном документе прямо указано сертифицированное СКЗИ, решение без сертификата ФСБ не подойдет. Но покупать сложное средство без такого требования тоже не всегда разумно: вместе с продуктом появляются правила эксплуатации, обновления, ключевая инфраструктура и ответственность за настройку.
Чем СКЗИ отличается от обычного шифрования
Шифрование есть в браузерах, мессенджерах, архиваторах, дисках, операционных системах и облачных сервисах. Для личных задач или обычной корпоративной защиты этого часто хватает. Например, мессенджер может шифровать переписку, а операционная система - диск ноутбука. Но в регулируемых системах проверяют не только сам факт шифрования.
Для СКЗИ важны сертификат, версия продукта, класс, правила работы с ключами, эксплуатационная документация и условия применения. Если средство обновили, поставили в другой конфигурации или используют не по инструкции, соответствие требованиям нужно проверять заново.
- Обычное шифрование подходит, если закон, договор или техническое задание не требуют сертифицированного средства.
- Сертифицированное СКЗИ применяют там, где нужны требования ФСБ, аттестация или правила конкретной информационной системы.
- Криптопровайдер выполняет криптографические операции для электронной подписи и прикладных программ.
- VPN на базе СКЗИ защищает сетевое соединение между пользователями, офисами или серверами.
Сертификат относится к конкретному продукту, версии, классу и условиям применения. Похожее название в прайс-листе или договоре еще не означает, что сертификат распространяется на нужную редакцию, модуль или комплект поставки.
Как выбрать СКЗИ
Выбор начинается с задачи, а не с бренда. Для удаленных сотрудников нужен защищенный доступ, для ЭДО - корректная работа с электронной подписью, для обмена между площадками - производительность и отказоустойчивость, для ИСПДн - соответствие требованиям по уровню защищенности. Если этот шаг пропустить, можно купить средство, которое формально работает, но не решает нужную задачу.
- Определить данные, соединения и документы, которые нужно защищать.
- Проверить, требуется ли сертифицированное СКЗИ.
- Уточнить класс и условия применения по документам системы.
- Сверить сертификат ФСБ: продукт, версию, срок действия и ограничения.
- Проверить совместимость с ОС, носителями ключей, ЭДО, VPN, каталогами пользователей и мониторингом.
- Посчитать производительность с запасом для одновременных подключений.
- Назначить ответственных за установку, обновления, ключи и сопровождение.
Производительность особенно важна для VPN и защищенного обмена между площадками. Если шлюз не выдерживает нужное число подключений или объем трафика, пользователи получат задержки, обрывы и обходные схемы. А обходные схемы быстро сводят пользу СКЗИ к минимуму.
Лицензия ФСБ и подрядчик
Компании, которая использует СКЗИ в своих системах, собственная лицензия ФСБ обычно не нужна. Иначе устроена работа поставщика или интегратора: если подрядчик разрабатывает, распространяет, устанавливает, обслуживает или выполняет лицензируемые работы для клиентов, у него должны быть соответствующие права.
При выборе подрядчика стоит проверить право выполнять нужные работы на сайте ЦЛСЗ ФСБ России. В договоре лучше заранее описать не только поставку, но и эксплуатацию: кто настраивает средство, кто отвечает за ключи, кто обновляет продукт и кто помогает при сбое.
- кто выпускает, хранит и меняет ключи;
- кто устанавливает обновления СКЗИ;
- кто ведет журналы и разбирает ошибки подключения;
- что происходит при увольнении администратора или смене подрядчика.
Популярные СКЗИ для российских пользователей
Ниже не рейтинг, а обзор крупных решений, которые часто встречаются у российских пользователей. Перед закупкой нужно сверять сертификат, версию, класс, исполнение и условия применения. У одного продукта могут быть разные поставки для электронной подписи, VPN, защищенного обмена или хранения ключей.
| Решение | Производитель | Основные задачи | Что проверить |
|---|---|---|---|
| КриптоПро CSP | КриптоПро | Электронная подпись, сертификаты, криптографические операции в приложениях, ЭДО и государственные сервисы. | Версию, класс СКЗИ, совместимость с ОС, браузерами, носителями ключей и срок действия в разделе сертификатов КриптоПро. |
| КриптоАРМ ГОСТ | Цифровые технологии | Подписание и проверка электронной подписи, шифрование файлов, работа с сертификатами. Сертифицированная версия используется вместе с КриптоПро CSP. | Версию КриптоАРМ ГОСТ, связку с КриптоПро CSP, сценарий ЭП и условия эксплуатации из формуляров. |
| ViPNet | ИнфоТеКС | Удаленный доступ, VPN, защищенные сети между площадками, клиентские подключения, ключевая инфраструктура. | Продукт линейки, например ViPNet Client, ViPNet Coordinator или ViPNet Prime, поддерживаемые ОС, класс СКЗИ и сертификат. |
| Континент | Код Безопасности | VPN, межсетевое экранирование, защищенный доступ и защищенные сети для организаций с повышенными требованиями. | Версию, режим работы, сертификат ФСБ или ФСТЭК для нужного сценария, производительность и совместимость с сетью. |
| С-Терра VPN | С-Терра СиЭсПи | Защита каналов связи, IPsec VPN, TLS-соединения, подключение филиалов, дата-центров, удаленных пользователей и сервисов. | Исполнение шлюза или клиента, класс СКЗИ, пропускную способность, протоколы и сведения в разделе сертификатов С-Терра. |
| Signal-COM CSP | Сигнал-КОМ | Криптопровайдер для электронной подписи, шифрования и прикладных систем с российскими криптографическими алгоритмами. | Сценарий использования, сертификаты ФСБ, совместимость с приложениями, ОС, носителями ключей и удостоверяющим центром. |
| Рутокен ЭЦП | Актив | Ключевые носители и устройства для электронной подписи, хранения ключей, аутентификации и работы с российской криптографией. | Модель устройства, сертификаты ФСБ и ФСТЭК, поддержку криптопровайдеров, совместимость с ЭДО, ФНС, ЕГАИС и рабочими местами. |
| JaCarta | Аладдин Р.Д. | Токены, смарт-карты и СКЗИ для электронной подписи, хранения ключей, аутентификации и корпоративной инфраструктуры. | Поколение устройства, алгоритмы, срок действия сертификата, совместимость с криптопровайдером, ОС и прикладными сервисами. |
FAQ: частые вопросы
СКЗИ и VPN - это одно и то же?
Нет. VPN - только один из сценариев применения СКЗИ. Криптографические средства также используют для электронной подписи, защиты файлов, проверки целостности и управления ключами.
Всегда ли нужно сертифицированное СКЗИ?
Нет. Сертифицированное решение нужно там, где этого требуют закон, нормативный документ, договор, аттестация или правила конкретной информационной системы.
Как проверить сертификат СКЗИ?
Нужно сверить продукт с официальным перечнем ФСБ: название, версию, исполнение, класс, срок действия сертификата и ограничения из эксплуатационной документации.
Нужна ли лицензия ФСБ для использования СКЗИ?
Для использования СКЗИ в собственных системах лицензия обычно не нужна. Лицензия может потребоваться поставщику или подрядчику, который выполняет лицензируемые работы с криптографическими средствами.
