hostprofi.ru
Подобрать хостинг
Термин·буква Ф

ФСБ-сертификация

краткое определение

ФСБ-сертификация — подтверждение соответствия средств криптографической защиты информации (СКЗИ) требованиям ФСБ России. Обязательна для программного и аппаратного обеспечения, применяемого для защиты государственной тайны и в государственных информационных системах.

ФСБ-сертификация средств защиты информации — процедура подтверждения ФСБ России соответствия программного или аппаратного криптографического продукта установленным требованиям. Регулируется Приказом ФСБ России № 349 (от 09.02.2005) и Постановлением Правительства РФ № 79 о системе сертификации средств защиты информации. Обязательна для СКЗИ, применяемых в государственных и некоторых коммерческих информационных системах.

Что подлежит сертификации ФСБ

Обязательной сертификации ФСБ подлежат СКЗИ (средства криптографической защиты информации), применяемые:

  • Для защиты государственной тайны
  • В государственных информационных системах (ГИС) I и II класса
  • При обработке персональных данных (ПДн) с обязательным применением СКЗИ (актуальные модели угроз, утверждённые ФСБ)
  • В системах критической информационной инфраструктуры (КИИ)
  • В банковских системах (требование ЦБ РФ для СКЗИ в платёжных системах)

Что входит в понятие СКЗИ: алгоритмы шифрования ГОСТ (ГОСТ Р 34.12-2015 «Кузнечик», ГОСТ Р 34.11 «Стрибог»), средства электронной подписи (КриптоПро CSP, ViPNet CSP), VPN-шлюзы с российскими алгоритмами, TLS-библиотеки с ГОСТ-шифрами.

Уровни сертификации

  • КС1 — защита при отсутствии прямого доступа к СКЗИ; базовый уровень
  • КС2 — возможен физический доступ злоумышленника к СКЗИ
  • КС3 — потенциальный разработчик СКЗИ участвовал в атаке
  • КВ1, КВ2 — защита от высококвалифицированных атак, включая аппаратный анализ
  • КА1 — высший уровень, для защиты гостайны; максимальные требования

История

Система сертификации СКЗИ в России формировалась с 1994 года. Указ Президента РФ № 334 (1995) установил обязательную сертификацию для СКЗИ, применяемых в государственных структурах. Переход на отечественные стандарты шифрования (ГОСТ Р 34.12-2015 «Кузнечик», принятый взамен ГОСТ 28147-89 «Магма») потребовал ресертификации множества продуктов в 2016–2020 годах. КриптоПро CSP — наиболее распространённый сертифицированный ФСБ продукт; доля рынка свыше 70% среди коммерческих СКЗИ в России.

Связь с хостингом

Для хостинг-провайдеров, работающих с государственными заказчиками или обрабатывающих ПДн с повышенными требованиями безопасности, ФСБ-сертификация критична. Использование на серверах несертифицированного СКЗИ при обработке персональных данных 1-й категории (биометрия, здоровье) или государственной тайны является нарушением законодательства.

Важный нюанс: стандартная регистрация в Роскомнадзоре как оператора ПДн и соответствие 152-ФЗ не требуют обязательного применения ФСБ-сертифицированных СКЗИ — только при определённых условиях обработки (режим повышенной угрозы, определённый актуальной моделью угроз). TLS с зарубежными алгоритмами (AES-256) для большинства коммерческих сайтов не требует сертификации ФСБ.

Практические последствия для хостинга

При размещении ГИС (государственных информационных систем) на хостинге провайдер обязан предоставить документацию о применяемых СКЗИ и их соответствии требованиям ФСБ. Аттестация информационной системы по требованиям ФСБ — обязательная процедура перед вводом ГИС в эксплуатацию. Хостеры, работающие с государственным сегментом (Selectel, Ростелеком, DataLine), имеют соответствующие лицензии и аттестованные площадки.

Для обычного коммерческого хостинга: ФСБ-сертификация VPN-клиентов для корпоративного доступа к внутренним ресурсам (при работе с государственными системами), TLS на базе российских алгоритмов ГОСТ (ГОСТовый TLS) — для государственных порталов. КриптоПро, ViPNet — сертифицированные ФСБ реализации СКЗИ.

Процесс получения сертификата ФСБ

Сертификация СКЗИ — длительная и дорогостоящая процедура:

  1. Разработчик СКЗИ подаёт заявку в испытательную лабораторию (аккредитованную ФСБ)
  2. Лаборатория проводит проверку исходных кодов, документации и испытания СКЗИ
  3. Составляется экспертное заключение, направляемое в ФСБ
  4. ФСБ выдаёт сертификат соответствия (срок действия обычно 3–5 лет)

Срок получения сертификата: от 6 до 18 месяцев. Стоимость: от 1 до 5 млн рублей в зависимости от уровня (КС1–КА1). Это объясняет, почему сертифицированных СКЗИ на российском рынке немного, а иностранные криптографические решения (OpenSSL, BouncyCastle) сертификации ФСБ не имеют и не могут иметь без значительных инвестиций.

ГОСТ-шифрование на практике

Для хостинг-провайдеров и владельцев сайтов, которым нужен ГОСТ TLS:

  • КриптоПро TLS — браузерный плагин и серверное ПО для ГОСТ-шифрования
  • ГОСТ-сертификаты — выпускаются аккредитованными УЦ (КриптоПро, Тензор, Ростелеком-Солар)
  • nginx с патчем ГОСТ — существуют патчи для nginx с поддержкой ГОСТ-шифрования, но их использование требует сертифицированной библиотеки

Большинству коммерческих сайтов ГОСТ TLS и ФСБ-сертификация не нужны: стандартный TLS 1.3 с Let's Encrypt достаточен для 99% случаев. Исключение — госпорталы и организации, обязанные использовать ГОСТ по нормативным требованиям.

Другие термины

.NET
.NET — кросс-платформенная платформа разработки Microsoft (2016+) для создания веб-приложений (ASP.NET Core), API, микросервисов, консольных утилит на C#, F# и VB.NET.
.NET Core
.NET (ранее .NET Core) — открытый кроссплатформенный фреймворк Microsoft для веб-разработки. ASP.NET Core поддерживает MVC, Minimal API, gRPC и Blazor, работает на Linux/Windows/macOS.
.htaccess
.htaccess — конфигурационный файл Apache, позволяющий задавать настройки веб-сервера для конкретной директории без перезапуска сервера: редиректы, права доступа, rewrite-правила, PHP-настройки.
100GbE
100GbE (100 Gigabit Ethernet) — стандарт сетевого интерфейса со скоростью 100 Гбит/с (12,5 ГБ/с). Используется в магистральных каналах дата-центров, spine-коммутаторах и серверах с высокопроизводительными NVMe-массивами.
10GbE
10GbE (10 Gigabit Ethernet) — стандарт Ethernet со скоростью передачи данных 10 Гбит/с. Используется в серверных сетях для подключения серверов к коммутаторам, интерконнекта гипервизоров и связи с хранилищами iSCSI/NFS.
152-ФЗ
152-ФЗ — Федеральный закон «О персональных данных», устанавливающий правила сбора, хранения и обработки данных граждан РФ. Обязывает хранить персданные россиян на серверах в России.
1GbE
1 Gigabit Ethernet (1GbE) — стандарт сетевого интерфейса с пропускной способностью 1 Гбит/с (125 МБ/с). Основной стандарт для серверных и рабочих сетей с 2000-х годов, определённый в IEEE 802.3ab (витая пара Cat5e+) и IEEE 802.3z (оптика).
25GbE
25GbE (25 Gigabit Ethernet) — стандарт сетевого интерфейса со скоростью 25 Гбит/с, принятый IEEE 802.3by в 2016 году. Оптимальный баланс между стоимостью и производительностью для серверных подключений в современных дата-центрах.
Смотрите также:
Все терминыБлогКаталог тарифов
ФСБ-сертификация — что это, определение и как работает | Справочник — hostprofi.ru