СКЗИ: Виды, функции и применение криптографической защиты информации

Средства криптографической защиты информации (СКЗИ) — это программные, аппаратные
или программно-аппаратные решения, предназначенные для защиты данных с применением криптографических методов (шифрование, имитовставка/MAC, электронная подпись, криптографическая аутентификация, управление ключами и т. п.). Они помогают обеспечивать конфиденциальность, целостность, подлинность данных и неотказуемость (в сценариях электронной подписи).

В России применение шифровальных (криптографических) средств в ряде случаев должно соответствовать требованиям, устанавливаемым уполномоченными регуляторами: ФСБ — по линии криптографии (в т. ч. сертификация СКЗИ и требования к средствам электронной подписи), ФСТЭК — по линии технической защиты информации в информационных системах. В государственных ИС при использовании криптосредств дополнительно учитываются требования ФСБ по криптографической защите.

Основные функции СКЗИ

• Шифрование — преобразование данных в нечитаемый вид для защиты от несанкционированного доступа.
• Электронная подпись (ЭП) — подтверждение авторства (подлинности) и целостности,
  а также обеспечение неотказуемости. Термин «ЭЦП» считается устаревшим; в законодательстве используется «электронная подпись».
• Криптографическая аутентификация — проверка подлинности пользователя/устройства с использованием криптографии (сертификаты, протоколы challenge-response и т. п.).
• Управление ключами — генерация, хранение, распределение, смена и отзыв криптографических ключей/сертификатов.
• Контроль целостности — обнаружение изменений в данных с применением криптографических
  механизмов (например, MAC/AEAD или подпись). Важно: «просто хэш» без ключа не защищает от активного нарушителя
  (он может пересчитать хэш).

Виды СКЗИ

По типу реализации

• Программные: криптопровайдеры/криптобиблиотеки и т. п. (например, CryptoPro CSP, ViPNet CSP и др.).
• Аппаратные: смарт-карты, USB-токены, аппаратные модули безопасности (HSM) (например, Рутокен, eToken, HSM).
• Программно-аппаратные: комбинация ПО и устройств (например, токен + ПО для подписи/шифрования).

По назначению

• Для шифрования данных: защита файлов, дисков, хранилищ, а также трафика.
• Для электронной подписи: создание и проверка ЭП (средства электронной подписи по 63-ФЗ).
• Для защиты каналов связи (VPN/туннели):
  не «IPsec/TLS как СКЗИ», а продукты/реализации, которые используют эти протоколы (например, IPsec-VPN или TLS-VPN, включая варианты с ГОСТ алгоритмами).
• Для криптографической аутентификации: решения на сертификатах/ключах (PKI), токены, смарт-карты и т. п.

По применяемым алгоритмам

• Симметричные: ГОСТ Р 34.12-2015 («Кузнечик», «Магма»), AES. ГОСТ 28147-89 может встречаться в наследуемых системах, но при описании актуальной базы логичнее опираться на ГОСТ Р 34.12-2015.
• Асимметричные: ГОСТ Р 34.10-2012, RSA.
• Хэширование: ГОСТ Р 34.11-2012, SHA-2/ SHA-3 (как часть схем целостности/подписи; для защищённой целостности обычно нужен MAC/AEAD или подпись).

По области применения

• Государственные: защита информации ограниченного доступа и/или гостайны (в зависимости от режима — требования/сертификация по линии уполномоченных органов).
• Коммерческие: банки, электронная коммерция, корпоративные системы.
• Персональные: защита личных данных (например, шифрование дисков/почты/резервных копий и т. п.).

Примеры (с учётом корректной классификации)

• CryptoPro CSP: криптопровайдер для ЭП и криптоопераций.
• ViPNet: комплекс решений для защищённых сетевых взаимодействий (в т. ч. VPN-сценарии).
• Рутокен: аппаратные токены для хранения ключей и выполнения криптоопераций.
• Примечание: ПАК «Соболь» — это, как правило, средство защиты от НСД/доверенной загрузки (смежный класс СЗИ), а не типичное «СКЗИ для шифрования/подписи».

Особенности применения в России

• При выборе криптоалгоритмов часто ориентируются на ГОСТ-стандарты (например, ГОСТ Р 34.12-2015, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012).
• Требование использовать сертифицированные средства (в т. ч. СКЗИ) зависит от типа системы и применимых нормативов/режима обработки информации; корректнее говорить «в установленных случаях», а не «всегда для любой конфиденциальной информации».
• Применение характерно для государственных ИС, банков, систем электронного документооборота и сдачи отчётности (например, ФНС, а вместо ПФР с 01.01.2023 действует Социальный фонд России — СФР).