Шифрование и криптографические средства защиты информации: базовые правила для бизнеса
Почему шифрование - это не опция, а закон
Если вы ведете бизнес в России и работаете с персональными данными - ваши клиенты, сотрудники, контрагенты - вы обязаны использовать криптографические средства защиты информации (СКЗИ). Это не рекомендация. Это требование закона. С 2007 года, с вступлением в силу Федерального закона № 152-ФЗ «О персональных данных», любая организация, которая хранит или передает эти данные, должна применять сертифицированные ФСБ средства шифрования. Игнорировать это - рисковать штрафом до 750 тысяч рублей по статье 13.12 КоАП РФ. В 2023 году Роскомнадзор выдал 142 предписания именно за нарушения в работе с СКЗИ. Это не теория. Это практика. И она стоит дорого.
Что такое СКЗИ и зачем он нужен
СКЗИ - это не просто программа для шифрования файлов. Это сертифицированные аппаратные или программно-аппаратные комплексы, которые обеспечивают три ключевые защиты: конфиденциальность, целостность и аутентичность. Конфиденциальность - значит, никто не может прочитать ваши данные, кроме тех, кому они предназначены. Целостность - гарантия, что данные не были изменены при передаче или хранении. Аутентичность - подтверждение, что сообщение пришло именно от того, кто утверждает, что оно от него. Без этих трех элементов защита данных - иллюзия.
СКЗИ работает с ключами. Секретными, которые должны храниться в защищенных носителях - токенах, смарт-картах, специальных устройствах. Эти носители должны быть опломбированы. Нельзя копировать ключи на флешку, нельзя выводить их на экран, нельзя устанавливать их на чужой компьютер. Нарушение этих правил - уже нарушение закона. Даже если вы используете «самый надежный» софт из интернета, если он не сертифицирован ФСБ - он не подходит для работы с персональными данными в России.
Какие классы защищенности существуют
Не все системы требуют одинакового уровня защиты. Приказ ФСТЭК № 17 делит автоматизированные системы на классы защищенности. Для большинства коммерческих организаций, обрабатывающих персональные данные, важны два уровня:
- УЗ 1 - очень высокий уровень. Применяется к биометрическим данным, данным о здоровье, финансам, местоположению. Здесь обязательны сертифицированные ФСБ СКЗИ, шифрование при передаче и хранении, двухфакторная аутентификация. Пример: банк, хранящий данные клиентов, или клиника с электронными медицинскими картами.
- УЗ 2 - высокий уровень. Для обычных персональных данных: ФИО, адрес, телефон, email. Требует шифрования при передаче, но не всегда при хранении. Пример: интернет-магазин, собирающий данные покупателей для доставки.
Если вы не знаете, к какому уровню относится ваша система - начните с УЗ 1. Лучше перестраховаться, чем получить штраф за несоответствие. С 1 января 2024 года требования к УЗ 1 стали еще строже: теперь даже данные о профиле пользователя в соцсетях, если они связаны с биометрией, попадают под этот уровень.
Какие СКЗИ можно использовать
В России действует строгий список сертифицированных средств. Не любое шифрование подходит. Только те, что прошли проверку ФСБ. Крупнейшие поставщики на рынке:
- InfoTeCS - ViPNet CSP, самое распространенное решение. Используется в 28% компаний.
- Калуга Астрал - КриптоПро CSP. Часто выбирают для ЭЦП и госуслуг.
- Код Безопасности - КриптоПро ЭЦП и другие продукты. Популярны в банковской сфере.
Все они поддерживают ГОСТы - российские криптографические стандарты: ГОСТ 34.10-2012 для цифровой подписи, ГОСТ 34.12-2015 для шифрования. Западные решения - как OpenSSL, VeraCrypt, BitLocker - не проходят сертификацию ФСБ. Их нельзя использовать для законной защиты персональных данных в России. Даже если они «лучше» - они не легальны. 78% российских компаний уже перешли на отечественные СКЗИ, по данным Infotecs. Это не выбор. Это необходимость.
Как внедрить СКЗИ - пошагово
- Определите класс защищенности вашей системы. Сколько данных вы обрабатываете? Какие типы? Это решит, какой уровень защиты нужен.
- Выберите сертифицированное СКЗИ. Проверьте список на сайте ФСБ. Не покупайте «дешевле» - несертифицированные решения не пройдут проверку.
- Закупите аппаратные носители. Токены, смарт-карты, USB-ключи. Они должны быть опломбированы и иметь защиту от вскрытия.
- Настройте интеграцию. СКЗИ нужно подключить к вашим системам: CRM, бухгалтерии, сайту, почте. Это занимает от 2 до 6 месяцев. Не ждите быстрого результата.
- Обучите сотрудников. Минимум 40 часов теории и 80 часов практики. Без этого ключи будут утекать через человеческий фактор - самый слабый звено.
- Пройдите аттестацию. ФСБ или ФСТЭК проверят, что вы всё сделали правильно. Без аттестации - вы не легальны.
Средний срок внедрения - 4-6 месяцев. Если вы начали в январе, к концу лета вы должны быть готовы к проверке. Запаздывание - это риск.
Что нельзя делать с ключами
Это не просто правила. Это запреты, за нарушение которых можно получить штраф. Вот что нельзя:
- Копировать ключи на флешку, жесткий диск или в облако.
- Выводить ключи на экран компьютера или печатать их на принтере.
- Устанавливать ключи на чужой компьютер, даже если он ваш.
- Писать ключи на бумаге или хранить в текстовых файлах.
- Передавать ключи коллеге «на время».
Ключ - это как паспорт. Его нельзя никому показывать. Его нельзя оставлять на столе. Его нельзя хранить в одном ящике с обычными документами. Он должен быть в отдельном, защищенном месте - и только у того, кто имеет на это право. Даже если вы - директор, вы не можете использовать чужой ключ. Каждый ключ привязан к конкретному человеку и его полномочиям.
Почему интеграция - самая большая боль
Многие компании покупают СКЗИ, но потом не могут его подключить к своим системам. SAP, 1С, Outlook, CRM-системы - они не созданы для российских криптографических стандартов. Интеграция требует доработки, адаптеров, кастомного кода. По опросу Ассоциации электронного документооборота, 57% компаний столкнулись с серьезными проблемами на этом этапе. Один пользователь на форуме SecurityLab.ru написал: «Внедрили ViPNet за 3 месяца, а интеграция с SAP заняла 6 месяцев». Это нормально. Это ожидаемо. Не ждите, что всё заработает «из коробки».
Если у вас облачные сервисы - это еще сложнее. СКЗИ требует физического контроля над носителем ключа. В облаке - его нет. Поэтому многие компании используют гибридные схемы: ключ хранится на локальном токене, а шифрование происходит через специальный прокси-сервер. Это дороже, но единственный способ работать в облаке и оставаться в законе.
Сколько это стоит
Рынок СКЗИ в России растет. В 2023 году он достиг 18,7 млрд рублей. Но это не значит, что это дешево. Стоимость внедрения включает:
- Лицензии на ПО - от 20 000 до 150 000 рублей в год на организацию.
- Аппаратные носители - от 3 000 до 15 000 рублей за токен.
- Интеграция - от 300 000 до 2 млн рублей, в зависимости от сложности.
- Обучение - от 100 000 рублей на команду.
- Поддержка - 15-25% от стоимости ПО в год.
В среднем, переход на СКЗИ увеличивает ИТ-расходы компании на 15-25%. Это не трата - это инвестиция в безопасность и законность. Без нее вы не сможете работать с госзаказами, банками, крупными клиентами. А в будущем - вы не сможете работать вообще.
Что меняется в 2025-2027 годах
Правила не стоят на месте. С 1 января 2025 года вступает в силу обновленный Приказ ФСТЭК № 17. Он вводит новый класс защищенности К0 - для критически важных инфраструктур: энергетика, транспорт, связь. Там уже требуют квантово-устойчивые алгоритмы. Это значит: сегодняшние ГОСТы через 5 лет могут стать устаревшими.
К 2027 году планируют запустить Государственную систему управления ключами (ГСУК). Это единый центр, который будет выдавать, хранить и контролировать ключи для всех организаций - и государственных, и частных. Это сократит издержки, но сделает зависимость от государства еще сильнее. Уже сейчас 98% госструктур и 95% банков используют СКЗИ. В малом бизнесе - только 35%. Но эта цифра будет расти. Потому что Роскомнадзор проверяет все чаще.
Что делать, если вы еще не начали
Если вы еще не внедрили СКЗИ - не откладывайте. Каждый месяц промедления - это месяц риска. Проверьте:
- Обрабатываете ли вы персональные данные?
- Храните ли их в базе или передаете по сети?
- Есть ли у вас сертифицированный СКЗИ?
Если хотя бы один ответ - «да», и вы не используете СКЗИ - вы нарушаете закон. Начните с консультации с вендором. InfoTeCS, Калуга Астрал, Код Безопасности - все они предлагают бесплатные аудиты. Сделайте его. Узнайте, какой уровень вам нужен. Составьте план на 6 месяцев. Обучите сотрудников. Закупите оборудование. Пройдите аттестацию. Это не «сделать когда-нибудь». Это «сделать сейчас».
Шифрование - это не про технику. Это про ответственность. За данные клиентов. За репутацию компании. За вашу юридическую безопасность. Игнорировать его - значит игнорировать закон. А в России это рискованно. Не потому что он строгий. А потому что он работает.
Можно ли использовать западные программы вроде VeraCrypt для защиты персональных данных в России?
Нет. Даже если VeraCrypt технически надежен, он не сертифицирован ФСБ России. По закону № 152-ФЗ и приказам ФСБ, для защиты персональных данных в России можно использовать только средства, прошедшие официальную сертификацию. Использование несертифицированных решений - нарушение, которое влечет административные штрафы до 750 000 рублей. Роскомнадзор проверяет соответствие, а не техническую эффективность.
Что будет, если я не внедрю СКЗИ, но у меня нет персональных данных?
Если вы не обрабатываете персональные данные - закон № 152-ФЗ к вам не применяется. Но важно четко определить, что такое «персональные данные». Это не только ФИО и телефон - это IP-адрес, cookie, данные о местоположении, если они могут быть связаны с личностью. Если вы ведете сайт, онлайн-магазин, CRM или даже учет сотрудников - вы обрабатываете персональные данные. Если не уверены - проведите аудит. Лучше перестраховаться.
Можно ли хранить ключи СКЗИ на общем сервере?
Нет. Ключи должны храниться только на сертифицированных аппаратных носителях - токенах, смарт-картах, HSM. Они должны быть опломбированы, и их нельзя копировать. Хранение ключей на сервере, в облаке или на диске - нарушение требований Приказа ФСБ и ФСТЭК. Даже если сервер защищен, это не заменяет физический контроль. Такие действия могут привести к аннулированию сертификата и штрафу.
Как часто нужно обновлять СКЗИ?
Сертификаты СКЗИ действуют 5 лет. После этого их нужно переаттестовать. Также производители выпускают обновления ПО - их нужно устанавливать регулярно, чтобы закрыть уязвимости. Но главное - следить за изменениями в законодательстве. С 2025 года вводятся новые требования к квантово-устойчивым алгоритмам. То, что было актуально в 2023, может стать устаревшим через год. Регулярно проверяйте обновления на сайте ФСБ и у вашего вендора.
Можно ли использовать СКЗИ в облаке?
Да, но с ограничениями. Ключи не могут храниться в облаке. Они должны быть на физическом носителе, который находится в вашем контроле. Решение - гибридная модель: ключ хранится на токене в офисе, а шифрование и расшифровка происходят через специальный прокси-сервер, подключенный к облаку. Такие решения есть у InfoTeCS и Калуга Астрал. Простое шифрование в облаке без физического ключа - нарушение.
Кто несет ответственность за нарушения СКЗИ - директор или ИТ-специалист?
Ответственность несет юридическое лицо - компания. Но в случае штрафа Роскомнадзор может привлечь к ответственности как руководителя, так и ответственного за информационную безопасность. Если нарушение связано с халатностью сотрудника - его могут уволить. Но основной штраф - на компанию. Поэтому важно, чтобы все процессы были документированы, обучены и контролировались. Ответственность - коллективная, но управление - индивидуальное.
Вам может понравиться
Nazar Astanov
СКЗИ - это не опция, а обязательство. Если не хочешь штрафа - делай как надо. Не экономь на законе.