Классы СКЗИ: выбираем подходящий для защиты инфраструктуры

Вопрос использования криптографии для защиты инфраструктуры остается одним из самых обсуждаемых в контексте выполнения требований регуляторов. Кажется, что эта тема недостаточно урегулирована законодательно, а в имеющихся документах сложно разобраться.

Ранее мы рассказывали вам о том, что такое СКЗИ и какими они бывают. В этой статье поговорим о классах сертифицированных СКЗИ и о том, как выбрать подходящий.

Какие СКЗИ существуют

Для начала напомним, что именно в РФ понимается под средствами криптографической защиты информации (СКЗИ). СКЗИ — это программные или программно-аппаратные средства, реализующие криптографические алгоритмы. Они используются для защиты информации при передаче по каналам связи, при ее хранении и обработке. К таким решениям относятся, например средства шифрования трафика и средства электронной подписи.

Как классифицируются СКЗИ

Сертифицированные СКЗИ делятся на классы. Основная информация о том, какие классы СКЗИ существуют и чем они отличаются, содержится в документации — ее разрабатывает ФСБ России. Большая часть такой документации закрыта и предоставляется только компаниям-лицензиатам, которые занимаются разработкой СКЗИ.

Основные публичные документы, в которых описаны классы СКЗИ и их отличия — Приказ ФСБ №378, Приказ ФСБ №524, Приказ ФСБ №796. Первые два приказа описывают особенности использования СКЗИ для защиты информации в информационных системах: №378 — в информационных системах персональных данных (ИСПДн), №524 — в государственных информационных системах (ГИС). Третий приказ касается требований к средствам электронной подписи (ЭП) и средствам удостоверяющего центра (УЦ).

Существует следующие классы СКЗИ: КС1, КС2, КС3, КВ (для средств ЭП делится на КВ1 и КВ2), КА. С точки зрения пользователя, главное отличие между классами заключается в том, чьи атаки соответствующее СКЗИ способно нейтрализовать. Например, средства класса КС1 обеспечивают защиту от нарушителя, не имеющего специальных знаний о СКЗИ и находящегося вне контролируемой зоны, а КС3 — от нарушителя, имеющего физический доступ к СКЗИ и располагающего компонентами СКЗИ. Таким образом, класс КС1 является минимальным, КА — максимальным. 

Одно решение — несколько классов

Стоит отметить важную деталь. Одно решение может соответствовать сразу нескольким классам. Например, нередко СКЗИ соответствует классам КС1, КС2 и КС3 одновременно. В сертификате соответствия дополнительно указывается, какие исполнения (в данном контексте — конкретная модификация) СКЗИ соответствуют тому или иному классу. 

Разберем на примере. Подключение сторонних систем к ГИС — один из случаев, когда требуется использовать СКЗИ. Скажем, информационные системы туроператоров при подключении к ГИС «Электронная путевка» должны выполнять обязательные требования по защите информации. В соответствии с этим документом, в информационной системе туроператора должны использоваться СКЗИ класса КС3, а в качестве примера такого СКЗИ приведен ViPNet PKI Client. 

Это решение имеет сертификаты, подтверждающие соответствие классу КС3 для клиентов, используемых в ОС Windows (номер сертификата СФ/124-4250) и в ОС Linux (номер сертификата СФ/124-4965). Однако эти же сертификаты подтверждают соответствие СКЗИ также классам КС1 и КС2.

Выяснить класс СКЗИ поможет формуляр и эксплуатационная документация. Во-первых, в них указан вариант исполнения решения, а во-вторых — условия его использования. Так, для программных СКЗИ в документации будет указано, что решение соответствует классу КС2 только при функционировании совместно с аппаратным модулем доверенной загрузки, а классу КС3 — только при использовании совместно со средствами создания замкнутой программной среды.

Таким образом, для информационных систем туроператоров недостаточно использовать ViPNet PKI Client, имеющий сертификат по классу КС3. Необходимо также выполнить условия по использованию дополнительных средств защиты информации. Без этого используемый программный клиент будет соответствовать лишь классу КС1.

Где посмотреть актуальный список сертифицированных СКЗИ

На сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России представлена выписка из перечня средств защиты информации, сертифицированных ФСБ. В этой выписке вместе с остальными СЗИ, имеющими сертификат ФСБ, содержится перечень сертифицированных СКЗИ.

В выписке вы найдете номер сертификата соответствия и срок его действия, наименование средства и требования, на которые оно сертифицировано. Дата обновления выписки указывается в названии документа. 

На момент написания этой статьи в выписке содержится информация о 441 СКЗИ, (включая девять решений, имеющих сертификат только по требованиям к средствам ЭП и средствам УЦ). Количество СКЗИ, имеющих сертификат соответствия по тому или иному классу, представлено на диаграмме ниже (еще раз напомним, что одно и то же СКЗИ может соответствовать сразу нескольким классам).

Как видно, наиболее популярными, а значит и востребованными классами являются КС1, КС2 и КС3. Почему так — объясню чуть ниже. 

Также информацию о сертифицированных СКЗИ конкретных вендоров можно найти на их сайтах. Как правило, они публикуют довольно подробное описание самих решений, а также копии сертификатов соответствия. 

Как определить подходящий класс СКЗИ

С классами СКЗИ разобрались. Теперь давайте определимся с тем, как выбрать среди них подходящий.

Для начала необходимо понять функционал СКЗИ, для чего оно будет использоваться — например, для шифрования IPsec, защиты TLS или электронной подписи. В этом вопросе стоит опираться на функционал защищаемой системы и перечень актуальных угроз. Информация о функционале СКЗИ отражена в сертификате соответствия, а также обычно содержится в формуляре и эксплуатационной документации.

Далее для определения подходящего класса СКЗИ необходимо проанализировать:

• тип информационной системы (например, ИСПДн или ГИС) и требования по ее защите;
• модель угроз и нарушителя информационной безопасности.

В каких случаях требуется использовать сертифицированные СКЗИ

Как правило, использовать сертифицированные СКЗИ для защиты информации необходимо в случаях, когда:

• в информационной системе осуществляется передача по каналам связи, выходящим за пределы контролируемой зоны;
• в информационной системе данные хранятся на носителях, несанкционированный доступ к которым может быть исключен только с использованием криптографических решений;
• необходимо обеспечить юридическую значимость и защиту электронных документов. 

Эти условия отражены в Приказе ФСБ № 524 и актуальны для ГИС. Для других типов информационных систем, включая ИСПДн, зачастую руководствуются ими же.

Кроме того, существует ряд информационных систем, для которых использование сертифицированных СКЗИ требуется в явном виде. К таким системам, например, относятся ранее упомянутые ИС туроператора, в которых СКЗи применяются для обеспечения взаимодействия с ГИС «Электронная путевка». 

Как связаны модель нарушителя и класс СКЗИ

На этапе моделирования угроз информационной безопасности системы определяются нарушители — источники этих угроз, а также умения, знания и решения, которые они используют для реализации атак. Понимание возможностей нарушителя позволяет определить необходимый класс СКЗИ.

Рассмотрим этот процесс на примере на примере ГИС и ИСПДн. Начнем с ГИС. Приказ ФСБ № 524 содержит следующую таблицу для определения минимально допустимого класса СКЗИ.

Классы СКЗИ из этой таблицы актуальны только для случая, когда нарушитель не имеет физического доступа в контролируемую зону, где размещаются технические средства ГИС и СКЗИ.

Далее минимально допустимый класс СКЗИ необходимо уточнить в зависимости от возможностей нарушителя. 

• КС2: нарушитель имеет доступ в контролируемую зону.
• КС3: нарушитель имеет физический доступ к техническим средствам СКЗИ и ГИС.
• КВ: он может привлекать специалистов по разработке и анализу СКЗИ, включая анализ ПЭМИН и использование недокументированных возможностей прикладного ПО.
• КА: нарушитель может привлекать специалистов по разработке и анализу СКЗИ, включая использование недокументированных возможностей аппаратного и программного обеспечения среды функционирования СКЗИ.

Предположим следующие условия.

• ГИС функционирует на территории одного госоргана и обрабатывает информацию низкой значимости.
• В качестве актуального нарушителя в модели угроз ГИС определены отдельные физические лица (хакеры-любители, обозначим их Н1) и администрация здания (Н2). То есть нарушители не обладают знаниями специалиста в области СКЗИ и эксплуатации недокументированных возможностей. При этом нарушитель Н2 имеет физический доступ в контролируемую зону.

Исходя из описанного выше, минимально допустимый класс СКЗИ согласно Приказу ФСБ №524 — КС1. Однако с учетом возможностей нарушителя необходимо использовать СКЗИ, способные противодействовать атакам, реализуемым в пределах контролируемой зоны. Таким образом, итоговый класс СКЗИ повышается до КС2. Это значит, что для защиты такой ГИС можно использовать СКЗИ класса КС2, КС3 и выше, но нельзя использовать СКЗИ КС1.

Перейдем к ИСПДн. Приказ ФСБ №378 содержит следующую информацию о минимально допустимых для использования классах СКЗИ.

Аналогично ситуации с ГИС, минимально допустимые классы могут быть повышены, если у нарушителя есть определенные возможности.

Предположим, что:

• для ИСПДн актуальны угрозы 3-го типа и она имеет 3-ий уровень защищенности (кстати, в этой статье мы рассказывали, как определить актуальный тип угроз для ИСПДн и уровень защищенности),
• в качестве актуального нарушителя определены отдельные физические лица (хакеры-любители).

Исходя из описанного выше, минимально допустимый классо СКЗИ — КС1. С учетом возможностей нарушителя его повышение не требуется. Таким образом, для защиты такой ИСПДн можно использовать сертифицированные СКЗИ любого класса, так как единственный актуальный нарушитель организует атаки только вне контролируемой зоны, не обладает знаниями в области анализа по СКЗИ и не привлекает таких специалистов.

Если же необходимо определить класс СКЗИ для другого типа системы, для которой нет конкретных требований, то можно использовать аналогичный паттерн.

1. За минимально допустимый класс СКЗИ выбираем КС1.
2. Определяем тип актуального нарушителя (внутренний или внешний) и его возможности по анализу СКЗИ, ПО и аппаратных компонентов.
3. Повышаем класс СКЗИ до необходимого уровня.

КС1 или КА?

Можно предположить, что куда проще сразу использовать СКЗИ наивысшего класса. Безусловно, можно выбрать и такой подход, однако он далеко не всегда будет оптимальным.

С точки зрения возможностей СКЗИ по противодействию нарушителям, решение класса КА будет более стойким, чем КС1. Однако доступных на рынке СКЗИ высоких классов, а также специалистов, работающих с ними, кратно меньше, а их стоимость — выше.

Кроме того, если рассматривать приближенные к реальности кейсы, то в подавляющем большинстве случаев владельцам систем не приходится строить систему защиты от нарушителей уровня специальных служб государств, профессиональных хакерских группировок или разработчиков ПО, которые оставили бэкдор. Подобные нарушители признаются неактуальными из-за масштаба системы и ее значимости, обрабатываемой в ней информации и иным характеристикам. 

Это находит отражение и в количестве сертифицированных СКЗИ: приведенный выше график показывает, что количество решений классов КС1, КС2 и КС3 значительно выше, чем КВ и КА, и именно они являются наиболее оптимальными для большинства случаев использования СКЗИ.

Упрощая, если выбрать КС3 в качестве используемого класса СКЗИ, то, вероятнее всего, этот выбор будет корректным вне зависимости от типа системы и других ее характеристик. Но мы так делать не рекомендуем, куда правильнее и эффективнее подойти к выбору более тщательно 🙂

Как может помочь Selectel

Как отмечено выше, наиболее популярными для использования классами СКЗИ являются КС1-КС3. В совокупности с мерами управления физическим доступом в дата-центры, машинные залы и стойки, данные решения подходят для подавляющего числа информационных систем, включая ИСПДн, ГИС и ранее упомянутые ИС туроператоров.

Решения Selectel обеспечивают использование СКЗИ указанных классов, включая варианты в программном исполнении.

Использование программных СКЗИ

Например, в случае размещения ИС туроператора на базе инфраструктуры выделенных серверов, клиент может арендовать и использовать дополнительные средства защиты информации, такие как аппаратный модуль доверенной загрузки и средство защиты от несанкционированного доступа. Как было отмечено ранее, эти решения необходимо использовать для совместного функционирования с программными СКЗИ классов КС2 и КС3.

В случае размещения ИС туроператора на базе облачной инфраструктуры, клиент также может обеспечить использование необходимого класса СКЗИ в программном исполнении. Базово можно использовать СКЗИ класса КС1, а для программных вариантов СКЗИ классов КС2 и КС3 можно арендовать выделенный сервер и необходимые средства защиты информации. Сетевая связность виртуальной инфраструктуры и выделенного сервера обеспечивается по каналам связи, не выходящим за пределы контролируемой зоны.

Использование аппаратных СКЗИ

Для использования СКЗИ в виде программно-аппаратного решения Selectel предоставляет возможность размещения собственного оборудования на территории охраняемых серверных помещений. Помимо круглосуточной охраны мы обеспечиваем бесперебойное питание и оптимальный микроклимат для работы технических средств.

СКЗИ как сервис

Если вы не рассматриваете покупку СКЗИ, Selectel может предложить сервис ГОСТ VPN, который функционирует на базе программных или программно-аппаратных решений линейки ViPNet. Сервис может использоваться для защиты соединения любой инфраструктуры — в Selectel, у вас или даже у ваших партнеров, если они используют решения линейки ViPNet. 

Мы надеемся, что эта статья будет полезной и поможет лучше ориентироваться в вопросах выбора сертифицированных СКЗИ для защиты инфраструктуры. Если же у вас остались какие-либо вопросы или требуется консультация по вашему кейсу — мы с радостью поможем!