Средства криптографической защиты информации: виды, классы и практическое применение

Электронный документооборот, корпоративные VPN, внутренние API, защищённая почта, бухгалтерские системы — все эти контуры завязаны на криптографию. Базовая идея проста: данные преобразуются в зашифрованный вид, подпись, проверки целостности связывают информацию с владельцем ключа и сразу фиксируют подмену.

СКЗИ: расшифровка, назначение и принципы работы

СКЗИ — сертифицированные программные либо аппаратные решения, которые реализуют криптоалгоритмы, процедуры подписи, управление ключами и проверку сертификатов.

СКЗИ используют для решения конкретных задач: организация защищённых каналов связи, создание юридически значимых электронных документов, поддержание регламентов работы с ключами.

Ключевые функции СКЗИ:

• Конфиденциальность. Шифрование каналов (TLS-ГОСТ, IPsec-ГОСТ), дисков, файловых хранилищ и бэкапов делает перехваченные данные бесполезными без ключа.
• Целостность. Криптографические методы контролируют любое изменение сообщений и файлов: хэши, имитовставка, подпись журналов, штамп времени.
• Подлинность и неоспоримость. Электронная подпись и аутентификация по сертификату связывают действия с владельцем закрытого ключа. Подмена подписи становится технически несостоятельной.

Функции образуют единую систему: Шифрование скрывает смысл, контроль целостности обнаруживает подмену, подпись придаёт юридическую силу, а дисциплина ключей удерживает процессы в рабочем состоянии каждый день.

Алгоритмы шифрования и аутентификация в СКЗИ

От выбора алгоритмов и режимов зависят стойкость, скорость и совместимость в смешанных инфраструктурах.

Симметричное шифрование использует один и тот же ключ для шифрования и расшифровки. Российские стандарты ГОСТ Р 34.12-2015 («Кузнечик», «Магма») применяют именно такой подход. Он подходит для больших объёмов данных — трафика VPN, файловых хранилищ, резервных копий — потому что работает быстро.

Есть слабое место: ключ должен быть у обоих участников, передавать его по открытому каналу небезопасно. Чтобы не рисковать, симметричный ключ обычно шифруют с помощью асимметрии — открытым ключом получателя. Расшифровать его сможет только владелец закрытого ключа.

Асимметричная криптография опирается на пару ключей: открытый и закрытый. Электронная подпись создаётся закрытым ключом владельца, проверка идёт по открытому ключу из сертификата. Связь документа с владельцем ключа закрепляется математически. Подделка подписи теряет смысл, а спор «кто подписал» решается проверкой цепочки сертификации и статуса сертификата.

В российской практике используют ГОСТ Р 34.10-2012 для подписи и ГОСТ Р 34.11-2012 («Стрибог») для хэширования. В смешанных ландшафтах сохраняют параллельную поддержку RSA/ECDSA ради совместимости.

Хэш-функции формируют «отпечаток» данных. Любое изменение в файле меняет хэш. Для сообщений добавляют имитовставку или подпись, чтобы исключить незаметную коррекцию содержимого на канале связи. В журналах событий применяют схему «хэш-цепочки» и подпись пачек записей, чтобы фиксировать вмешательство в логи.

Гибридные схемы соединяют две идеи: асимметричный механизм защищает сессионный симметричный ключ, а полезная нагрузка шифруется симметрично. Выигрыш очевиден: высокая скорость обработки данных сохраняется, обмен ключами остаётся безопасным.

Аутентификация строится на сертификатах X.509. Сертификат связывает открытый ключ с владельцем и выпускается удостоверяющим центром. Для проверки статуса применяют OCSP или списки отозванных сертификатов (CRL), для фиксации момента подписи — службу меток времени (TSP).

Закрытый ключ хранится на токене (Rutoken, JaCarta) или в аппаратном модуле HSM. Носитель изолирует ключ от операционной системы, вводит PIN/PUK и счётчики попыток, снижает риск кражи.

Провайдер СКЗИ: что такое и как используется в электронных сервисах

Криптопровайдер — программный слой, через который операционная система и приложения обращаются к криптографическим функциям, токенам и форматам подписи. Провайдер подшивается в системные интерфейсы (Windows CryptoAPI/CNG, библиотеки Linux), даёт единый доступ к шифрованию, подписи, проверке сертификатов и штампам времени для любой прикладной системы.

Путаница часто возникает из-за смешения ролей. Токен хранит закрытый ключ, применяет PIN/PUK-механику. HSM выполняет криптооперации в изоляции, а провайдер связывает эти компоненты с приложениями. Без провайдера 1С, почтовый клиент или браузер не умеют создавать корректные подписи, не видят сертификаты, не проверяют статусы по OCSP. Без токена закрытый ключ находится в файловой системе и легко копируется злоумышленником. Каждый компонент закрывает свою часть задачи.

Сценарии применения в разных контурах:

• ЭДО и внутренний документооборот. Программа формирует подпись CAdES, прикладывает штамп времени, проверяет статус сертификата. Документ получает юридическую силу и проходит проверку в сторонних системах.
• Госзакупки и тендерные площадки. Вход выполняется по сертификату, заявки подписываются через установленный провайдер, рабочее место содержит актуальные корневые сертификаты и плагины.
• Веб-сервисы и интеграции. Фронт обслуживает TLS-ГОСТ, внутренние API требуют клиентские сертификаты. Провайдер даёт единый набор алгоритмов и доступ к ключам во всех узлах.

Надёжность криптоконтуров зависит не только от выбора провайдера, но и от дисциплины обновлений. Несовместимость версий, просроченные корневые сертификаты, устаревшие плагины приводят к отказам в браузерах и сбоям в подписи.

Перед вводом в эксплуатацию полезно развернуть тестовый контур, в котором воспроизводятся ключевые сценарии работы: электронный документооборот, доступ к тендерным площадкам, VPN-соединения и интеграция веб-сервисов. Эта операция поможет выявить несовместимости и ошибки настройки.

Для фиксации результатов удобно использовать сводную таблицу:

Формируется единый контур: криптопровайдер выполняет функции криптографического ядра, токен или HSM изолируют закрытый ключ, прикладные системы используют проверенные механизмы подписи и шифрования. Без этой связки электронные процессы теряют юридическую основу и техническую устойчивость.

СКЗИ выполняют ключевую роль в инфраструктуре: перехваченные данные становятся непригодными, подмена фиксируется проверками, авторство документов подтверждается, а электронные транзакции проходят валидацию в контролирующих системах.

Виды и формы СКЗИ

Средства криптографической защиты информации выпускаются в разных формах — программные провайдеры, аппаратные устройства, сетевые криптошлюзы, облачные сервисы. Выбор зависит от того, какие процессы нужно защищать: электронный документооборот, управление корпоративными ключами, организация защищённых каналов или централизованная криптография для распределённой инфраструктуры.

Программные средства СКЗИ: КриптоПро CSP

Программные провайдеры реализуют криптоалгоритмы на уровне операционной системы и делают их доступными прикладным программам. В России наиболее распространён КриптоПро CSP, сертифицированный ФСБ. Он применяется для ЭДО, работы с тендерными площадками, защищённой почты и интеграции корпоративных сервисов.

Ключевые свойства программного провайдера:

• поддержка ГОСТ-алгоритмов: подпись (ГОСТ Р 34.10-2012), хэширование («Стрибог»), симметричное шифрование («Кузнечик», «Магма»);
• интеграция с системными интерфейсами Windows и Linux. Можно использовать подпись и шифрование в 1С, офисных пакетах, браузерах, почтовых клиентах и веб-сервисах
• работа с токенами и смарт-картами по стандарту PKCS#11, поддержка форматов подписи CAdES и PKCS#7
• проверка статуса сертификатов через OCSP/CRL и применение штампов времени TSP

Ключевая ценность таких решений — обеспечение единого криптографического слоя для разных приложений. Недостаток — необходимость строгого соблюдения дисциплины ключей. Если хранить закрытый ключ в файловой системе или не настроить проверку OCSP, юридическая значимость подписи теряется.

Аппаратные и аппаратно-программные платформы СКЗИ

Аппаратный слой применяют, когда компрометация ключа недопустима. Он создаёт изолированную среду для генерации, хранения и применения закрытых ключей.

Сюда входят:

• Токены и смарт-карты — это персональные устройства для сотрудников. Закрытый ключ хранится внутри чипа, доступ к нему защищён PIN-кодом. При превышении количества попыток устройство блокируется.
• HSM (Hardware Security Module) — серверныемодули. Выполняют все криптооперации внутри защищённого корпуса, обеспечивают генерацию ключей, подпись транзакций, аудит операций, разграничение ролей администраторов. Используются для биллинговых систем, автоматического подписания документов, защиты банковских транзакций.
• Аппаратно-программные комплексы (АПК) — заводские устройства с предустановленным криптоконтуром, интерфейсами управления и журналированием. Применяются при быстром развертывании защищённых узлов.

Аппаратные средства дают организациям предсказуемый уровень защиты: ключи не покидают устройство, операции фиксируются в журналах, процессы администрирования становятся прозрачными.

Криптошлюзы: интеграция в корпоративные сети и государственные системы

Криптошлюз работает на сетевом уровне и защищает каналы передачи данных. Он строит туннели IPsec-ГОСТ или TLS-ГОСТ, через которые трафик проходит в зашифрованном виде. Это особенно важно при интеграции государственных систем и объединении филиалов.

При выборе криптошлюза учитывают:

• производительность при шифровании трафика
• поддержку профилей IKEv2/IPsec и TLS-ГОСТ
• интеграцию с инфраструктурой открытых ключей (PKI) для выпуска и отзыва сертификатов
• варианты развертывания — аппаратные, виртуальные или облачные
• возможности администрирования: ролевая модель, аудит с криптографической защитой, резервное копирование конфигураций

Криптошлюзы внедряют там, где требуется построить управляемый защищённый канал: в государственных информационных системах, межведомственных обменах, промышленной связи и распределённых корпоративных сетях.

Облачные СКЗИ и ГОСТ

Облачные СКЗИ — это сервисы, где ключи и криптооперации выполняются в защищённых кластерах дата-центров на территории России. Это удобно для компаний, которым нужно быстро масштабировать процессы и централизовать управление.

Основные требования к облачным СКЗИ:

1. Юридическая валидность: использование сертифицированных средств, соответствие № 63-ФЗ и приказам ФСБ.
2. Модель владения ключами: выделенные HSM для клиента или сегрегация в общем кластере.
3. Интерфейсы интеграции: поддержка PKCS#11, KMIP, REST, профили ГОСТ.
4. Отказоустойчивость: кластеры, SLA, георезервирование.
5. Контроль и аудит: криптографически защищённые журналы, ролевое разделение полномочий, инвентаризация ключей.

Преимущества облачной модели — быстрый запуск и масштабируемость. Ограничение — организация должна доверять провайдеру и строго контролировать, где физически расположены ключи.

Законодательство РФ в этой сфере только формируется, и, несмотря на то, что это удобный инструмент, многие крупные компании (особенно в госсекторе) пока осторожно подходят к таким решениям из-за вопросов контроля и аудита.

Законодательные требования и регламенты по СКЗИ в 2025 году

В 2025 году правила применения криптосредств стали гораздо жёстче. СКЗИ больше не рассматривается как внутренняя инициатива компании — они закреплены в законах и обязательных приказах.

Использование сертифицированных решений предписано для работы с персональными данными, для объектов критической инфраструктуры и для всех государственных информационных систем.

№152-ФЗ «О персональных данных»: СКЗИ как обязательная мера защиты

Федеральный закон №152 регулирует обработку персональных данных и прямо указывает на необходимость технических мер защиты. Статья 19 говорит о комплексном подходе к обеспечению безопасности, включая организацию внутренних процессов и процедур.

Использование СКЗИ зависит от уровня защищённости и класса ИСПДн. Например, для ИСПДн 4-го класса не всегда требуется применение СКЗИ, а для 1-го класса это критически важно. Выбор конкретного СКЗИ должен быть обоснован в модели угроз, которую разрабатывает оператор персональных данных.

Области применения требований №152-ФЗ:

• клиентские базы с паспортными данными и телефонами
• CRM и HR-системы с персональными сведениями сотрудников
• государственные сервисы, в которых происходит обмен персональными данными

Без криптозащиты такие системы теряют легитимность. Утечка персональных данных ведёт к проверкам Роскомнадзора, обязательным уведомлениям пострадавших клиентов, приостановке интеграций с госресурсами и риску временного отключения сервисов до устранения нарушений.

№187-ФЗ «О безопасности КИИ»: переход на отечественные криптосредства

Федеральный закон №187-ФЗ определяет требования к объектам критической информационной инфраструктуры — это энергетика, финансы, транспорт, связь, промышленность, другие государствообразующие отрасли. Для таких организаций криптографическая защита — не опция, а обязанность.

С 1 января 2025 года действует запрет на использование иностранного ПО и оборудования для защиты информации на объектах КИИ. Это правило распространяется и на СКЗИ. Теперь банки, энергокомпании и телеком-операторы должны строить криптографию только на отечественных сертифицированных средствах.

Для бизнеса это означает:

• необходимость плановой замены импортных решений на российские
• пересмотр схем интеграции, так как зарубежные алгоритмы больше нельзя использовать в критичных сегментах
• формирование долгосрочных контрактов с российскими вендорами

Требование перехода на отечественную продукцию было введено именно для объектов КИИ, начиная с 2025 года, оно касается не только криптозащиты, но и всего используемого ПО и оборудования.

Приказ ФСБ №117: сертифицированные СКЗИ для всех государственных систем

26 марта 2025 года был опубликован приказ ФСБ №117, который существенно расширил требования к применению СКЗИ. Ранее сертифицированные средства требовались только в ГИС. Теперь правило распространяется на все ИТ-системы органов власти, унитарных предприятий и государственных учреждений.

Ключевые положения приказа:

• криптографическая защита обязательна вне зависимости от типа системы
• использовать можно только сертифицированные СКЗИ
• контроль исполнения ложится на ведомственные службы безопасности

Помимо самого факта обязательности сертифицированных СКЗИ, приказ регулирует процесс их жизненного цикла. Это важно для ИБ-специалиста. Приказ также описывает:

• Порядок получения лицензии на деятельность по разработке и распространению СКЗИ. Касается не только производителей, но и интеграторов, которые оказывают услуги по внедрению.
• Правила учёта и хранения СКЗИ — рутинная, но обязательная процедура для любой организации. Нужно вести журналы, отслеживать выдачу и уничтожение средств, что является частой точкой контроля при проверках ФСБ.
• Процедуры вывода из эксплуатации. Например, что делать с носителем, который вышел из строя.

Эта норма увеличила спрос на лицензированные продукты — от КриптоПро CSP до криптошлюзов и HSM. Государственный сектор вынужден полностью переходить на подтверждённые российские средства защиты.

Приказы ФСТЭК: классы СКЗИ и уровни защищённости информации

ФСТЭК регулирует, какие именно меры должны применяться для защиты данных:

1. Приказ №17 описывает требования к защите государственных информационных систем. В нём определены обязательные меры, включая использование СКЗИ для каналов связи и хранения информации.
2. Приказ № 31 конкретизирует требования к защите информации в автоматизированных системах управления технологическими процессами (АСУ ТП). Это актуально для объектов КИИ, где АСУ ТП играют ключевую роль.
3. Приказ №21 вводит уровни защищённости персональных данных. В зависимости от категории ИСПДн компания обязана применять криптографию определённого класса.

Для организаций это означает:

• выбор СКЗИ должен опираться на категорию системы и уровень защищённости
• необходимо документально подтвердить использование сертифицированных средств при проверке
• регламент применения СКЗИ должен быть отражён в политике информационной безопасности

Сертификация и реестры: ключ к легитимности СКЗИ

Средства криптографической защиты информации (СКЗИ) подлежат обязательной сертификации. Для подтверждения соответствия установленным требованиям выдаются следующие документы:

• сертификат ФСБ: подтверждает соответствие средства требованиям безопасности и позволяет использовать его для шифрования данных
• сертификат ФСТЭК: распространяется на другие средства защиты информации (СЗИ), такие как системы обнаружения вторжений и межсетевые экраны. Некоторые СКЗИ могут иметь оба сертификата одновременно

Обе службы публикуют открытые реестры, позволяющие убедиться в действительности сертификатов:

• реестр ФСБ: предназначен для проверки СКЗИ
• реестр ФСТЭК: используется для проверки иных СЗИ

Использование продуктов, отсутствующих в указанных реестрах, недопустимо для защиты данных, подлежащих государственному регулированию.

Организация, использующая СКЗИ, обязана иметь лицензию на эксплуатацию. Этот факт зафиксирован приказом ФСБ № 117. Лицензия подтверждает право компании работать с криптографическими средствами. Отсутствие такой лицензии делает использование сертифицированного продукта незаконным.

СКЗИ давно перестали быть инструментом для специалистов по безопасности. Сегодня они встроены в каждую бизнес-функцию: от участия в тендерах и работы в ЭДО до защиты критической инфраструктуры и организации удалённого доступа. Их применение влияет на возможность заключать контракты, обмениваться документами, управлять доступами и соответствовать требованиям регуляторов.

Госзакупки и тендеры: какие СКЗИ нужны для участия и подписания контрактов

Для входа на электронные площадки и подписания контрактов участникам нужны квалифицированные электронные подписи. Их создание невозможно без сертифицированных СКЗИ.

Минимальный набор для тендеров:

• Криптопровайдер (например, КриптоПро CSP), который обеспечивает создание подписи в формате CAdES/PKCS#7
• Токен или смарт-карта (Rutoken, JaCarta, ESMART), где хранится закрытый ключ владельца
• Сертификат УКЭП, выданный аккредитованным удостоверяющим центром и загруженный в систему.

Ошибки в этой цепочке сразу блокируют участие: просроченный сертификат или неправильно установленный провайдер делают невозможной подачу заявки. Поэтому компании формируют отдельные регламенты: ведут учёт токенов, контролируют сроки действия сертификатов, создают резервные подписи на случай отсутствия уполномоченного сотрудника.

Электронная подпись и ЭДО

Системы электронного документооборота работают только при наличии корректно настроенных СКЗИ. Подпись документов должна быть юридически значимой, проверяемой в сторонних системах и соответствовать требованиям №63-ФЗ.

Основные элементы:

• криптопровайдер, встроенный в клиент ЭДО или офисный пакет
• токен с закрытым ключом сотрудника
• служба штампов времени (TSP), которая фиксирует момент подписания
• проверка статуса сертификатов через OCSP или CRL

Если хотя бы один элемент отсутствует, документооборот теряет юридическую силу. Контрагенты вправе отклонить такие документы, а налоговая или суд не примут их как доказательство. Поэтому компании выстраивают процесс так: автоматизируют ротацию сертификатов, подключают несколько TSP-сервисов для отказоустойчивости, а ключи хранят исключительно на токенах.

Инфраструктура КИИ и защита персональных данных

Организации из сферы КИИ обязаны использовать только отечественные сертифицированные СКЗИ. Это касается банков, энергетики, телеком-операторов, транспорта, промышленности.

СКЗИ в КИИ применяют в трёх направлениях:

• Защита каналов связи. IPsec-ГОСТ и TLS-ГОСТ для туннелей между сегментами и филиалами.
• Хранение данных. Шифрование БД с персональными данными и журналов событий.
• Аутентификация персонала. Использование сертификатов и токенов для доступа к рабочим местам и сервисам.

Таким образом, криптография — это не дополнительный слой, а обязательная часть архитектуры. Без неё нельзя легально эксплуатировать системы, которые относятся к КИИ или обрабатывают персональные данные.

СКЗИ для бизнеса: контроль доступа, аутентификация и целостность информации

Даже компании, которые не подпадают под требования КИИ, используют СКЗИ для защиты корпоративных процессов. Здесь основное внимание уделяется аутентификации и контролю целостности.

Примеры использования:

• доступ сотрудников в корпоративные порталы и VPN по сертификатам вместо паролей
• подпись внутренних документов (приказы, регламенты) в формате CAdES, чтобы исключить подмену
• защита файловых хранилищ и почтовых архивов шифрованием
• аудит действий с использованием криптографически защищённых журналов

Использование СКЗИ защищает учётные записи от компрометации, фиксирует авторство документов с помощью электронной подписи, даёт организации инструмент для контроля изменений в критичных системах.

Использование СКЗИ для удалённых сотрудников

Удалённый доступ — одно из уязвимых мест любой организации. Пароли здесь не дают достаточной защиты, поэтому применяют СКЗИ.

Решение строится так:

1. Сотруднику выдают токен с ключом и сертификатом.
2. VPN-шлюз принимает подключение только при предъявлении сертификата.
3. На сервере проверяется статус ключа (OCSP/CRL), фиксируется время подключения.
4. Журналы доступа подписываются криптографически для исключения подмены.

В результате удалённый сотрудник подключается по защищённому каналу, а компания получает доказуемый журнал его действий. Такой подход соответствует требованиям ФСТЭК и ФСБ, позволяет безопасно подключать к внутренним ресурсам распределённые команды.

Использование СКЗИ выходит за пределы обеспечения безопасности. Без криптографии нельзя подать заявку на тендер, подписать договор в ЭДО, эксплуатировать систему КИИ или организовать удалённый доступ. Каждая организация подбирает набор решений под свои задачи, но принцип один — юридическая значимость и управляемая защита достигаются только при использовании сертифицированных средств.

Как выбрать и внедрить СКЗИ

Криптография в 2025 году — часть обязательных требований: для госсектора действует приказ ФСБ № 117, для персональных данных — №152-ФЗ и приказы ФСТЭК, для КИИ — №187-ФЗ и запрет на иностранные средства защиты.

Реальный выбор начинается с корректного класса сертификации и заканчивается интеграцией в конкретные процессы: ЭДО, тендеры, VPN, базы данных, порталы. Ошибки в любом звене приводят к отказу систем и претензиям регуляторов.

Классы сертификации

Классы закреплены в нормативных документах ФСБ. Базовый ориентир — приказ ФСБ России от 10.07.2014 № 378, который описывает состав и уровни СКЗИ и увязывает выбор класса с моделью угроз и возможностями нарушителя. Суть подхода проста: чем ближе и компетентнее потенциальный нарушитель (вплоть до физического доступа к аппаратуре), тем выше требуемый класс.

Распределение классов по сферам применения выглядит следующим образом:

• КА используют в оборонной промышленности, на объектах критической информационной инфраструктуры и в системах, работающих с государственной тайной. Ключи и криптооперации выполняются внутри аппаратных модулей под жёстким контролем процедур.
• КВ применяют в банковской сфере и системах спецсвязи, где используются криптопроцессоры и специализированные комплексы, согласованные с регулятором.
• КС3 закреплён за судами, прокуратурой и организациями, которые обрабатывают чувствительные персональные данные. Типичный пример — VPN-шлюз с поддержкой ГОСТ-профиля, установленный в региональном суде.
• КС2 охватывает большинство коммерческих информационных систем персональных данных. Здесь распространена связка «токен и криптопровайдер (например, CSP)» на рабочих местах, подписание документов в 1С и ЭДО, а также защита сетевых каналов.
• КС1 остаётся минимальным уровнем для микробизнеса с простым документооборотом и без сложных внешних интеграций.

Что лежит в основе классификации:

• Модель угроз. Для КС1 предполагается удалённый нарушитель без физического доступа. Для КС2 и КС3 учитывают возможность атак внутри контролируемой зоны и использование профессиональных инструментов. Для КА и КВ подразумевают противника с максимальными ресурсами.
• Тип информации. Чем выше значимость — персональные данные, конфиденциальные сведения, финансовая отчётность или гостайна — тем выше класс.
• Среда применения. В судах и прокуратуре требования выше, чем в малом бизнесе; в оборонке и банках — максимальные.

Для обобщённой методики выбора используют шкалу «возможности источника атак» — от действий за пределами контролируемой зоны (КС1) до сценариев с доступом внутри неё (КС2/КС3). Для специальных задач существуют классы КВ и КА.

Класс — это не «уровень качества», а юридическая граница допустимого применения. Если система обрабатывает данные клиентов, она автоматически попадает в КС2, даже если объём небольшой. Если объект относится к КИИ, придётся брать КВ или КА вне зависимости от желания сэкономить.

Таким образом, определение класса сертификации — первый шаг при внедрении: от него зависят выбор вендора, структура закупки и даже требования к обучению персонала.

Документы и лицензирование

К лицензируемым видам деятельности относятся производство, распространение, оказание услуг в области шифрования. Порядок выдачи лицензий определяется Положением о лицензировании деятельности в области шифрования информации, утверждённым Постановлением Правительства РФ.

Эксплуатация СКЗИ для собственных нужд лицензии не требует. Для полноценной работы необходимо иметь ряд сопутствующих документов:

1. Сертификат соответствия на средство криптозащиты информации (СКЗИ). Производители получают его после прохождения сертификационных испытаний в органах ФСБ России. Заказчик вправе требовать копию сертификата при приобретении конкретного изделия.
2. Эксплуатационная документация (инструкции администратору и пользователям, регламенты учётов ключей, формуляры журналов и прочее).
3. Внутренняя документация организации по использованию СКЗИ, соответствующая требованиям №152-ФЗ («О персональных данных») и приказам ФСТЭК России. Включает модель угроз, локальные нормативные акты, технические руководства, процедуры по управлению ключами и журналами регистрации событий. Эта документация регулярно проверяется при инспекциях.

Организация обязана назначить ответственного за защиту информации, обладающего квалификацией и опытом в данной области.

Интеграция СКЗИ с корпоративными системами и государственными сервисами

Интеграция — ключ к работоспособности. Криптография должна встраиваться в каждую точку, где проходит юридически значимый процесс.

Электронный документооборот (ЭДО). В документообороте электронные подписи формируются на рабочих местах через криптопровайдер. Он выступает посредником, стандартизируя взаимодействие между программой (1С, MS Office) и токеном, где хранятся закрытые ключи. Чтобы подпись имела юридическую силу, надо проверять статус сертификата по OCSP/CRL, как того требует № 63-ФЗ. Дополнительную защиту обеспечивает TSP-метка времени, фиксируя момент подписания.

Госсервисы и электронные торговые площадки. В госзакупках пользователь аутентифицируется по сертификату, подписывает заявки тем же провайдером. Без действующей связки «провайдер — токен — сертификат» площадка не примет документ.

Сетевая криптография: защита каналов связи. Для безопасного взаимодействия между сегментами сети применяют криптошлюзы с профилями IPsec-ГОСТ или TLS-ГОСТ. Эти решения строят защищённые VPN-туннели. Их работа основана на инфраструктуре открытых ключей (PKI): все узлы должны иметь доверенные сертификаты, а корневые сертификаты удостоверяющих центров должны быть установлены на каждом рабочем месте.

Поддержка и обучение пользователей

Обычные пользователи, которые подписывают документы в ЭДО и подают заявки на площадках, осваивают базовые операции: работа с токеном, ввод PIN, проверка статуса сертификата и чтение результата проверки подписи. Для них достаточно кратких инструкций и внутренних мини-курсов. Не менее важно научить их:

• Распознавать типовые ошибки и знать, как их устранить.
• Осознавать риски и понимать, что токен — это цифровой аналог печати и личной подписи, требующий ответственного обращения.

Администраторы и специалисты по инфобезопасности проходят углублённую подготовку, которая включает:

• Установку и конфигурацию криптопровайдера.
• Интеграцию с прикладными системами.
• Настройку сервисов проверки статуса сертификатов: OCSP/CRL/TSP.
• Ведение учёта ключей, а также регламенты их ротации и отзыва.
• Настройку и аудит журналов событий.

Такой уровень обычно закрывают обучающие программы вендоров СКЗИ и лицензированных учебных центров.

Комплексный подход к СКЗИ выглядит так:

1. Определить требуемый класс защиты по модели угроз и профилю системы, опираясь на Приказ ФСБ № 378.
2. Приобрести сертифицированные СКЗИ и встроить их в ЭДО, ЭТП, VPN, другие системы.
3. Обучить персонал от рядовых пользователей до администраторов.
4. Пройти аттестацию информационной системы, если этого требуют законы (актуально для госсектора и КИИ).

Правильное администрирование СКЗИ — это фундамент, на котором строится вся криптографическая безопасность компании. Это не только техническая настройка, но и строгий учёт, контроль и регулярные проверки.

Не менее важно отслеживать срок действия самого СКЗИ, лицензии на него и, что самое главное, срок действия корневых сертификатов УЦ. Для автоматизации процесса применяют системы класса PKI-менеджмент. Они централизуют управление сертификатами, формируют уведомления о скором истечении срока, автоматизируют регламентные процедуры.

Журнал СКЗИ: как вести электронный учёт

Ведение журнала учёта СКЗИ — это первое, что проверяет регулятор. Сегодня он ведется в электронном виде с помощью специализированных информационных систем. Главная цель — обеспечить полный жизненный цикл каждого экземпляра СКЗИ:

• Фиксация получения каждого СКЗИ от производителя или поставщика (с указанием серийного номера, версии, даты и места получения).
• Запись о выдаче СКЗИ ответственному лицу (с указанием ФИО, должности и подписи).
• Отметка о начале использования, фиксация инцидентов и замены.
• Строгий учёт уничтожения СКЗИ (например, при выходе из строя токена) с составлением акта.

Минимальная структура журнала:

Практический минимум: заведите регламент регистрации актива в течение 24 часов после ввода. Любые операции (выдача токена, отзыв сертификата, смена владельца) фиксируйте сразу. Храните журналы не меньше срока хранения юридически значимых документов плюс один год. Включите контроль непрерывности — ежедневная проверка, что журнал содержит записи за прошедшие сутки.

Управление ключами, сертификатами и сроками действия

Любой криптографический механизм работает на ключах. Закрытый ключ хранится у владельца, используется для подписи или расшифровки, открытый распространяется в виде сертификата, нужен для проверки. Чтобы ключи оставались надёжными и юридически значимыми, ими управляют по регламентированному циклу, который закреплён в законах и стандартах PKI.

Это самая уязвимая часть криптографической системы. Несвоевременное продление сертификата или компрометация закрытого ключа может парализовать работу всей компании.

Каждая пара ключей (открытый/закрытый) имеет ограниченный срок действия. Администратор должен контролировать генерацию новых ключей, их использование и своевременную замену.

Сертификат удостоверяет принадлежность открытого ключа его владельцу. Администратор отвечает за своевременное получение новых сертификатов в УЦ, их установку на рабочие места, а также за их отзыв (например, при увольнении сотрудника).

Жизненный цикл ключей: выпуск, хранение на токене или в HSM, ротация, отзыв, архивация. Без этих процедур прекращают работать ЭДО, падают интеграции, срываются торги:

• Генерация и выпуск. Пара ключей создаётся на токене или в HSM. Формируется запрос на сертификат (CSR), выпускается сертификат в аккредитованном УЦ. Запись попадает в журнал, владелец проходит идентификацию.
• Хранение и доступ. Закрытые ключи хранятся на токене или в HSM. Доступ ограничен ролями, PIN/PUK хранятся по правилам конфиденциальности. Неудачные попытки доступа и блокировки фиксируются.
• Ротация. Установите график напоминаний: T-60/T-30/T-15 дней до истечения сертификата. Используйте массовое продление для сервисных ключей. После выпуска нового сертификата зафиксируйте тест успешной проверки подписи в связанных системах.
• Отзыв. Поводы: потеря носителя, увольнение, подозрение на компрометацию, изменение полномочий. Отзыв публикуется в CRL/OCSP, запись — в журнал, владельцу и администраторам приходит уведомление.
• Архив. Старые ключи переводятся в архивный статус. Обеспечивается проверка «старых» подписей (доступ к нужным корневым / промежуточным сертификатам, TSP-меткам). Регламент хранит связку «документ ↔ используемый сертификат».

Мониторинг работы СКЗИ и поддержка пользователей

Даже сертифицированные СКЗИ могут работать со сбоями. Чтобы не доводить их до простоя бизнес-процессов, необходим регулярный мониторинг. Система должна отслеживать статус криптопровайдеров, доступность OCSP и TSP, сроки действия сертификатов, ошибки криптошлюзов. Раннее выявление проблем снижает риск отказа ЭДО, VPN или тендерных площадок.

Ключевые показатели мониторинга работы СКЗИ:

• доступность OCSP и TSP (SLA, среднее время ответа, свежесть CRL)
• процент неуспешных проверок подписи по системам (ЭДО, 1С, площадки)
• истечения сертификатов по ролям и сервисам
• состояние криптошлюзов: число активных туннелей, используемые ГОСТ-профили, ошибки согласования
• события безопасности: блокировки PIN, попытки доступа к ключу, изменения ролей администраторов
• версия и статус обновлений провайдеров, плагинов, прошивок токенов и HSM

Каждое средство ведёт собственный журнал событий — фиксируются входы в систему, генерация и использование ключей, подписание документов. Чтобы анализ не превращался в ручную рутину, журналы централизуют и интегрируют с SIEM. Такой подход автоматизирует поиск аномалий, например, множественных попыток доступа к токену или неожиданных операций с сертификатами.

Отдельный элемент администрирования — поддержка пользователей. Строится по трёхуровневой модели для рационального распределения нагрузки и компетенций:

Карта СКЗИ: визуализация состава и расположения средств защиты в инфраструктуре

Визуализация помогает понять, где и какие СКЗИ используются, оценить риски. Карта СКЗИ — это схема инфраструктуры, где отмечены все узлы, использующие криптографию.

Что должно быть на карте:

• Слои. Пользовательский слой (рабочие места, токены), серверный слой (ЭДО, 1С, веб-сервисы), сетевой слой (криптошлюзы, профили IPsec/TLS-ГОСТ), уровень PKI (корневые/промежуточные УЦ, OCSP, CRL, TSP), аппаратный слой (HSM).
• Связности. Каналы между сегментами, узлы, где требуется взаимная аутентификация, точки отказа, зависимости от внешних сервисов.
• Ответственность. За каждый элемент указан владелец, контакт L2/L3, регламент обслуживания.
• Версионность. Дата актуализации, номер ревизии, связь с CMDB/ITAM, архив предыдущих версий.

Карту обновляют при каждом вводе/выводе средства, смене УЦ, изменении криптополитик, появлении нового сервиса. Раз в квартал — сверка карты с журналом СКЗИ и инвентаризацией.

Создание такой карты — это один из первых шагов при аттестации информационных систем и важный элемент для проведения аудитов.

Проверка и аудит работы СКЗИ

Проверки могут быть внутренними и внешними (со стороны регуляторов, например, ФСБ).

Внутренний аудит: регулярные проверки соблюдения регламентов, правильности ведения журналов, актуальности сертификатов.

Программа проверок:

• ежемесячно: целостность журналов, свежесть CRL, доступность OCSP/TSP, истекающие сертификаты, выборочная проверка подписей с валидацией штампа времени
• ежеквартально: тестовый сценарий по ключевым кейсам (ЭДО, площадка, VPN, веб-сервис), восстановление из резервной копии конфигураций, сверка карты СКЗИ с CMDB
• раз в полгода: ревью политик ключей, проверка разграни́чения ролей, анализ всех отзывов и инцидентов по ключам
• ежегодно: внутренний аудит на соответствие локальным политикам и требованиям регуляторов, акт готовности с перечнем устранённых и открытых несоответствий

Контрольные процедуры:

• выборочная ротация тестового сертификата с прохождением полного цепочки: выпуск → установка → успешная подпись → проверка → отзыв
• попытка запуска «устаревшей цепочки» (просроченный корневой/промежуточный сертификат) на тестовом контуре — подтверждение, что продуктив блокирует такие сценарии
• сверка всех сервисных сертификатов с их фактическим использованием (никто не подписывает «чужим» ключом, нет «общих» сертификатов на группу)

Результаты проверок отражаются в журнале СКЗИ и карте, владельцы процессов получают задачи с сроками исправления. Повторная проверка фиксирует закрытие инцидентов.

Что проверяет ФСБ:

Главное

СКЗИ — обязательное требование. Использование сертифицированных средств криптографической защиты закреплено в ФЗ-152, ФЗ-187, приказах ФСТЭК и ФСБ. С 2025 года приказ ФСБ №117 распространил требование на все государственные системы, а для КИИ действует полный отказ от иностранной криптографии.

Классы сертификации определяют сферу применения. От КС1 для малого бизнеса до КА для оборонки и гостайны. Неправильный выбор класса делает систему юридически несостоятельной и открывает риски блокировки процессов.

Практическая роль СКЗИ. Электронная подпись в ЭДО и на площадках, защищённые каналы связи через криптошлюзы, хранение персональных данных, удалённый доступ по сертификатам — все эти процессы строятся только на СКЗИ.

Администрирование критично. Журнал учёта, управление ключами, контроль сроков сертификатов, карта расположения средств защиты и регулярный аудит — это ежедневная работа службы ИБ, без которой криптоконтур быстро выходит из строя.

Лицензии и документы обязательны. Лицензия ФСБ действует 5 лет, сертификаты на СКЗИ выдаются производителями, а внутренние регламенты проверяет ФСТЭК. Без полного комплекта документов организация рискует попасть под санкции и потерять право работать с криптографией.

Поддержка и обучение — часть внедрения. Пользователи должны знать, как подписывать документы и работать с токенами. Администраторы обязаны уметь вести журналы, контролировать ротацию сертификатов и интеграцию с системами. Формальное обучение и курсы вендоров часто становятся обязательным условием для лицензии.