Журнал "Information Security/ Информационная безопасность" #2, 2023

Перспективы применения отечественной криптографии – так ли страшно и дорого? Представленные на современном рынке криптошлюзы выполняют множе- ство задач и содержат внушительное количество функциональных возможно- стей. В случае применения средств крип- тографической защиты для нейтрали- зации угроз, актуальных при обработке ПДн, требуется использовать СКЗИ определенного класса, который при- сваивается в процессе сертификации криптографического средства ФСБ. На данный момент существуют сле- дующие требования по применению СКЗИ определенного класса: l при нейтрализации угроз безопасно- сти при обработке ПДн требуются СКЗИ определенного класса, указанного в при- казе ФСБ № 378. Здесь же отметим дополнительные требования по приме- нению СКЗИ определенного класса при обработке биометрии по Методическим рекомендациям по нейтрализации угроз (4-МР); l в ГОСТ 57580.1 для усиленного уровня защиты определено требование по применению СКЗИ класса не ниже КС-2 для нейтрализации актуальных угроз и нарушителей, указанных в модели угроз; l требования по СКЗИ для КИИ и тре- бования к защите государственной тайны. Любой оператор персональных данных даже при их передаче по сети "Интернет" должен применять криптографию в соот- ветствии с уровнем защищенности, опре- деляемым постановлением Правитель- ства РФ № 1119. На современном рынке СКЗИ доми- нируют решения, поддерживающие несколько алгоритмов шифрования. Кар- динальных различий в применении сер- тифицированных и несертифицирован- ных средств защиты не определено. Основной задачей на этапе выбора решения является формирование точ- ного списка требований к решению (про- пускной способности, класса СКЗИ, дополнительных функциональных воз- можностей), например: АПКШ "Конти- нент" 3.9, криптошлюз (КС-3), платформа IPC100 – 307 тыс. руб. за 1 шт. Примеры российской криптографии, ее производителей (сертификаты под названием актуальны на 2019 г.): l ЗАСТАВА ("ЭЛВИС-ПЛЮС") – новый сертификат на СЗКИ, ФСБ – сертификат на КС-3, ФСТЭК – 2 класс по рд.МЭ; l "Континент" ("Код Безопасности") – новый сертификат на СЗКИ, ФСБ – сер- тификат на КС-3, ФСТЭК – 3 класс по рд.МЭ (ИТ.МЭ.А3.ПЗ) ; l ФПСУ-IP (АМИКОН, "ИнфоКрипт") – новый сертификат на СЗКИ, ФСБ – сер- тификат на КС-1-2-3; l С-Терра Шлюз ("С-Терра СиЭсПи") – новый сертификат на СЗКИ, ФСБ – сер- тификат на КС-3, ФСБ – сертификат на МЭ 4 класс, ФСТЭК – 3 класс по рд.МЭ ; l Diamond VPN (ТСС) – есть новый сер- тификат на Dcrypt СЗКИ, ФСБ – КС-1 и КС-2; l СКЗИ Dcrypt 1.0, реализующее функ- ции шифрования и ЭП в составе ПАК, ФСТЭК – 2 класс по рд.МЭ. Например, применение криптографии в НФО осуществляется при передаче информации по общедоступным каналам (в общем случае через Интернет) и согласно требованиям п. 1.10 положения ЦБ № 757, требованиям приказа ФСБ № 66 от 09.02.2005 г. Нередко СКЗИ используются единоразово или хаотично для повышения безопасности отдельных операций (для связи с новым контраген- том или аудитором). В данном случае важно определить, в каких случаях зако- нодательством требуется использовать сертифицированные СКЗИ и какого класса, а в каких случаях шифрование, и, соответственно, сертификация необя- зательны. Согласно п. 1.2 757-П НФО при при- менении СКЗИ компании в том числе обязаны соблюдать требования приказа ФСБ № 378 – в данном приказе опреде- лен требуемый класс СКЗИ для защиты ПДн в разных случаях, что означает, что при передаче ПДн требуется именно сертифицированное СКЗИ. Приведем обратный пример: при пере- даче внутренних информационных сообщений, не содержащих ПДн и пла- тежную информацию, внутри компании не существует требований к классу и сертификации СКЗИ, а значит, можно применять любое средство шифрования при передаче по тем же открытым кана- лам связи. Внедрение ГОСТ 57580: зачем он нужен и кто его сейчас использует ГОСТ 57580.1 – национальный стан- дарт РФ от 2017 г., содержащий основной состав организационных и технических требований, предъявляемых к системе защиты информации для инфраструкту- ры, обрабатывающей финансовые опе- рации. Рассмотрим дополнение к нему – ГОСТ 57580.2, который содержит исклю- чительно методику оценки по первому ГОСТу, на основании которой произво- дятся непосредственно качественная и количественная оценки системы защи- ты и формируется формальный отчет. Как и остальные стандарты по обес- печению ИБ, ГОСТ 57580.1 не предъ- являет конкретных требований к его соблюдению, а лишь определяет пере- чень мер защиты. Требования по соот- ветствию данному стандарту предъ- являют положения ЦБ, а именно 683-П, 719-П, 757-п и 802-П, также требования к реализации ГОСТа представлены в приказе № 930 Минцифры и МР-4 ЦБ. Основные требования к ИБ в разрезе этих ГОСТов: l реализовать определенный уровень защиты (минимальный – стандартный – усиленный); l производить периодические проверки на соответствие по ГОСТ 57580.1 (с достижением определенного уровня соответствия). ГОСТ 57580.1, в отличие от положений Центрального Банка и федеральных законов, содержит максимально кон- кретизированный набор мер защиты, которые финансовая организация долж- на реализовывать. Требования разделены на восемь про- цессов: разграничение доступа, защита сетей, целостность и защищенность, защита от ВВК, защита от утечек, регист- рация данных, виртуализация, удален- ный доступ. В дополнении к ним выде- лены меры направлений: документиро- вание и планирование, фактическая реа- лизация, контроль работы всей системы защиты и ее совершенствование. 4 • ПРАВО И НОРМАТИВЫ Как НФО выполнить требования ЦБ в области информационной безопасности – практический аспект. Часть 2 Федор Музалевский, директор технического департамента RTM Group

RkJQdWJsaXNoZXIy Mzk4NzYw