Что такое классы СКЗИ и почему это важно для электронной подписи
Средства криптографической защиты информации (СКЗИ) — это программные или аппаратные средства, которые реализуют криптографические алгоритмы для шифрования, формирования и проверки электронной подписи. В России СКЗИ сертифицируются ФСБ России и получают класс защиты: КС1, КС2, КС3, КВ или КА.
Для бизнеса наиболее актуальны три класса — КС1, КС2 и КС3. Они определяют, от каких угроз защищает средство и, соответственно, для каких операций его можно использовать. Неправильный выбор класса СКЗИ может привести к тому, что электронная подпись не будет иметь юридической силы при подаче документов в государственные органы, а в худшем случае — к штрафам и отказам в регистрации.
Классификация СКЗИ установлена приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных» и Положением ПКЗ-2005 (утверждено приказом ФСБ от 09.02.2005 № 66). Требования к электронной подписи определяются Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи».
Класс защиты определяет модель нарушителя — набор возможностей, которые предположительно имеет злоумышленник. Чем выше класс, тем более мощные атаки СКЗИ способно отразить. Выбор класса зависит от того, какую информацию вы защищаете и какие требования предъявляют регуляторы к конкретному виду деятельности.
Что такое КС1, КС2, КС3 — отличия классов защиты
Модель нарушителя для каждого класса
Ключевое отличие классов — в предполагаемых возможностях злоумышленника (модели нарушителя). Каждый следующий класс включает все возможности предыдущего и добавляет новые угрозы:
| Параметр | КС1 | КС2 | КС3 |
|---|---|---|---|
| Модель нарушителя | Внешний нарушитель, не имеющий доступа к системе | Внутренний нарушитель без прав доступа к СКЗИ | Внутренний нарушитель с правами пользователя СКЗИ |
| Физический доступ | Нет доступа к оборудованию | Есть доступ к оборудованию, но не к СКЗИ | Есть доступ к оборудованию и к СКЗИ |
| Способ атаки | Сетевые атаки, перехват трафика, вредоносное ПО | + физический доступ к компьютеру, кража носителя | + возможность запуска ПО на компьютере с СКЗИ |
| Хранение ключей | Реестр, флешка, жёсткий диск | Защищённый токен (Рутокен, JaCarta, eToken) | Токен с неизвлекаемым ключом + доверенная среда |
| Типичная реализация | КриптоПро CSP 5.0 (программный) | КриптоПро CSP 5.0 + токен + сертифицированная ОС | Специализированные аппаратные комплексы |
| Стоимость | От 2 700 руб. (лицензия CSP) | От 5 000 руб. (CSP + токен) | От 15 000 руб. и выше |
Более 90% коммерческих организаций в России используют СКЗИ класса КС1 (КриптоПро CSP). Для большинства задач электронного документооборота, сдачи отчётности и подписания договоров этого класса достаточно. КС2 и КС3 требуются в специфических случаях, которые мы рассмотрим ниже.
Ключевые различия в деталях
КС1 — самый распространённый класс. СКЗИ класса КС1 защищает от атак, выполняемых из-за пределов контролируемой зоны: перехвата сетевого трафика, подбора паролей, внедрения вредоносного ПО через интернет. Предполагается, что злоумышленник не имеет физического доступа к компьютеру, на котором установлено СКЗИ. Ключи электронной подписи могут храниться на любом носителе, включая реестр Windows или обычную USB-флешку.
КС2 — дополнительно учитывает угрозу со стороны лица, которое находится внутри контролируемой зоны (например, сотрудник офиса), имеет физический доступ к компьютеру, но не имеет легитимного права на использование СКЗИ. Для защиты от такого нарушителя ключи должны храниться на защищённом аппаратном токене, а операционная система должна быть сертифицирована ФСТЭК России. На практике КС2 требует использования Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ или аналогичных устройств.
КС3 — предполагает, что злоумышленник является легитимным пользователем компьютера с установленным СКЗИ и может запускать произвольное программное обеспечение. Для защиты от такой угрозы требуется доверенная среда функционирования: аппаратно-программный модуль доверенной загрузки (АПМДЗ), неизвлекаемые ключи на токене и контроль целостности среды. Класс КС3 применяется в банковской сфере, государственных информационных системах особой важности и при работе с государственной тайной.
Какой класс СКЗИ нужен для каких операций
Ниже приведена сводная таблица, показывающая минимально необходимый класс СКЗИ для различных бизнес-операций. Обратите внимание на цветовую кодировку: зелёный — достаточно КС1, жёлтый — рекомендуется КС2, красный — обязательно КС2 или КС3.
| Тип операции | Мин. класс | Основание (НПА) |
|---|---|---|
| Сдача отчётности в ФНС (НДС, прибыль, УСН) | КС1 | Приказ ФНС от 04.03.2014 № ММВ-7-6/76@ |
| Подписание договоров в ЭДО (Диадок, СБИС, Такском) | КС1 | 63-ФЗ ст. 5, 6; соглашение сторон |
| Работа на торговых площадках (ЭТП, B2B-Center) | КС1 | 44-ФЗ ст. 5; 223-ФЗ |
| Подача документов в суд (ГАС «Правосудие», «Мой Арбитр») | КС1 | Приказ Судебного департамента от 27.12.2016 № 251 |
| Сдача отчётности в ПФР/СФР | КС1 | Постановление Правления ПФ от 11.01.2018 № 3п |
| Регистрация ООО/ИП в ФНС онлайн | КС1 | Приказ ФНС от 12.10.2020 № ЕД-7-14/743@ |
| Работа в ЕГАИС (алкогольная продукция) | КС1 | Приказ Росалкогольрегулирования от 21.05.2014 № 149 |
| Участие в госзакупках (44-ФЗ, подписание контрактов) | КС1/КС2 | 44-ФЗ ст. 5; рег. операторов ЭТП |
| Подача документов в Росреестр (ЕГРН) | КС2 рек. | Приказ Росреестра от 18.10.2016 № П/0515 |
| Работа в ГИС ЖКХ | КС2 рек. | Приказ Минцифры от 29.02.2016 № 74 |
| Маркировка товаров (Честный ЗНАК) | КС1/КС2 | ПП РФ от 26.04.2019 № 515 |
| Банковские операции (ДБО, платёжные поручения) | КС2 | 382-П Банка России; Положение 683-П |
| Работа с персональными данными (ИСПДн 1-2 уровня) | КС2/КС3 | Приказ ФСБ от 10.07.2014 № 378 |
| Государственные ИС (ГИС) класса К1 | КС3 | Приказ ФСТЭК от 11.02.2013 № 17; Приказ ФСБ № 378 |
| Работа с гостайной (секретно, совершенно секретно) | КВ/КА | Закон РФ от 21.07.1993 № 5485-1 |
Ряд площадок и информационных систем предъявляют требования, превышающие минимальные. Например, некоторые операторы электронных торговых площадок в рамках 44-ФЗ требуют сертификат с КС2, хотя формально закон допускает КС1. Перед получением сертификата уточните требования конкретной площадки или информационной системы, в которой планируете работать.
Продукты КриптоПро по классам защиты
Компания «КриптоПро» является основным российским производителем СКЗИ. Рассмотрим, какие продукты соответствуют каждому классу защиты.
КриптоПро CSP 5.0
Флагманский продукт для формирования и проверки электронной подписи. Поддерживает ГОСТ Р 34.10-2012 (создание и проверка ЭП) и ГОСТ Р 34.11-2012 (хэширование). В зависимости от конфигурации может обеспечивать классы от КС1 до КС3.
| Продукт / Конфигурация | Класс | Хранение ключей | Примерная стоимость |
|---|---|---|---|
| КриптоПро CSP 5.0 (программный) | КС1 | Реестр, флешка, HDD | 2 700 руб. (бессрочная) |
| КриптоПро CSP 5.0 + КриптоПро Рутокен CSP | КС1 | Рутокен Lite / S | 3 500 руб. |
| КриптоПро CSP 5.0 + Рутокен ЭЦП 2.0 | КС2 | Неизвлекаемый ключ на токене | 5 000 руб. |
| КриптоПро CSP 5.0 + JaCarta-2 ГОСТ | КС2 | Неизвлекаемый ключ на токене | 5 500 руб. |
| КриптоПро CSP 5.0 + eToken ГОСТ | КС2 | Неизвлекаемый ключ на токене | 5 200 руб. |
| КриптоПро CSP 5.0 + АПМДЗ + токен | КС3 | Неизвлекаемый ключ + доверенная загрузка | от 15 000 руб. |
Аппаратные токены
Токен — это защищённый USB-носитель для хранения ключей электронной подписи. Для класса КС1 токен не обязателен (но рекомендуется). Для КС2 и выше — обязателен токен с поддержкой неизвлекаемых ключей.
| Токен | Макс. класс | Неизвлекаемые ключи | Аппаратная криптография |
|---|---|---|---|
| Рутокен Lite | КС1 | Нет | Нет |
| Рутокен S | КС1 | Нет | Нет |
| Рутокен ЭЦП 2.0 | КС2 | Да (ГОСТ) | Да (ГОСТ Р 34.10-2012) |
| Рутокен ЭЦП 3.0 | КС2 | Да (ГОСТ) | Да (ГОСТ Р 34.10-2012) |
| JaCarta-2 ГОСТ | КС2 | Да (ГОСТ) | Да (ГОСТ Р 34.10-2012) |
| JaCarta-2 SE | КС3 | Да (ГОСТ) | Да + защита от инвазивных атак |
| eToken ГОСТ | КС2 | Да (ГОСТ) | Да (ГОСТ Р 34.10-2012) |
Облачная и мобильная подпись
КриптоПро myDSS — решение для облачной электронной подписи. Ключи хранятся на сервере удостоверяющего центра, а подтверждение операции выполняется через мобильное приложение. Сертифицировано ФСБ по классу КС1. Подходит для подписания документов в ЭДО, сдачи отчётности, работы на торговых площадках.
КриптоПро CSP для мобильных платформ — SDK для iOS и Android. Позволяет формировать электронную подпись на мобильном устройстве. Класс КС1. Ключи хранятся в защищённом хранилище операционной системы (Keychain на iOS, Keystore на Android).
С 2023 года всё больше удостоверяющих центров предлагают облачные решения для УКЭП. Класс КС1 облачной подписи достаточен для большинства коммерческих операций. Преимущество — не нужно устанавливать КриптоПро CSP на каждый компьютер, подписание доступно с любого устройства.
OID в сертификате — как определить класс СКЗИ
Класс СКЗИ, для которого выпущен сертификат электронной подписи, указывается в расширениях сертификата X.509 в виде OID (Object Identifier). Зная OID, можно точно определить, на каком классе СКЗИ должен использоваться сертификат.
Таблица OID классов КриптоПро
| OID | Класс | Описание |
|---|---|---|
1.2.643.2.2.49.1 |
КС1 | Средства ЭП класса КС1 |
1.2.643.2.2.49.2 |
КС2 | Средства ЭП класса КС2 |
1.2.643.2.2.49.3 |
КС3 | Средства ЭП класса КС3 |
1.2.643.2.2.49.4 |
КВ | Средства ЭП класса КВ |
1.2.643.2.2.49.5 |
КА | Средства ЭП класса КА |
Как посмотреть OID в сертификате
Существует несколько способов определить класс СКЗИ из сертификата:
Способ 1: КриптоПро CSP (Windows)
- Откройте КриптоПро CSP (Панель управления → КриптоПро CSP)
- Перейдите на вкладку «Сервис» → «Просмотреть сертификаты в контейнере»
- Выберите контейнер и нажмите «Далее»
- На вкладке «Состав» найдите расширение «Средства электронной подписи владельца»
- Значение OID покажет класс СКЗИ
Способ 2: certutil (командная строка)
certutil -dump certificate.cer | findstr "1.2.643.2.2.49"
Способ 3: OpenSSL
openssl x509 -in certificate.cer -text -noout | grep "1.2.643.2.2.49"
Способ 4: Linux (КриптоПро CSP)
/opt/cprocsp/bin/amd64/certmgr -list -store uMy | grep "1.2.643.2.2.49"
Не все удостоверяющие центры включают OID класса СКЗИ в сертификат. Если OID отсутствует, это обычно означает, что сертификат выпущен для использования на КС1. Уточняйте информацию у вашего удостоверяющего центра при получении сертификата.
Взаимосвязь OID и области применения
Класс СКЗИ в сертификате определяет не только требования к аппаратному обеспечению, но и область допустимого применения. Если информационная система требует КС2, а ваш сертификат содержит OID для КС1, система может отклонить подпись. Наиболее часто с этим сталкиваются при работе с Росреестром и банковскими системами ДБО.
При заказе сертификата в удостоверяющем центре обязательно укажите, для каких целей планируется использование. УЦ выпустит сертификат с соответствующим OID, и вам не придётся перевыпускать его впоследствии.
Судебная практика — можно ли оспорить подпись по классу СКЗИ?
Вопрос о юридической силе электронной подписи, сформированной на СКЗИ «неправильного» класса, периодически возникает в судебных спорах. Рассмотрим основные выводы из судебной практики.
Общий подход судов
Российские суды при оценке юридической силы УКЭП руководствуются статьёй 6 Федерального закона 63-ФЗ, которая устанавливает условия признания электронного документа равнозначным документу на бумаге с собственноручной подписью. Ключевые условия:
- Квалифицированный сертификат действителен на момент подписания
- Сертификат выдан аккредитованным удостоверяющим центром
- Подпись создана с использованием средств ЭП, сертифицированных ФСБ России
- Документ не претерпел изменений после подписания
Обратите внимание: закон 63-ФЗ не устанавливает минимальный класс СКЗИ как условие юридической силы УКЭП. Класс СКЗИ регулируется отдельными нормативными актами для конкретных информационных систем.
Ключевые прецеденты
Участник аукциона оспаривал контракт, подписанный противной стороной с использованием КС1, ссылаясь на то, что площадка требовала КС2. Суд отклонил довод, указав, что сертификат был действителен, выдан аккредитованным УЦ, а требования площадки к классу СКЗИ не являются основанием для признания подписи недействительной по 63-ФЗ.
Клиент банка оспаривал платёжное поручение, подписанное УКЭП на КС1, хотя договор ДБО предусматривал КС2. Суд принял сторону клиента, указав, что банк обязан обеспечить соблюдение условий договора и не должен был принять документ, подписанный на несоответствующем классе СКЗИ. Ключевым стало то, что требование КС2 было явно прописано в договоре.
Злоумышленник получил доступ к ключам ЭП, хранившимся в реестре Windows (КС1), и подписал подложные документы. Суд отметил, что использование КС2 (с хранением на токене) могло бы предотвратить инцидент, поскольку для кражи ключа потребовался бы физический доступ к токену.
Выводы для бизнеса
Исходя из судебной практики, можно сделать следующие выводы:
- Несоответствие класса СКЗИ само по себе не делает подпись недействительной по 63-ФЗ. Суды оценивают совокупность обстоятельств.
- Если требование к классу СКЗИ прописано в договоре (например, договор ДБО с банком), несоблюдение может быть основанием для оспаривания.
- Регуляторные требования (приказы ФСБ, ЦБ) имеют юридическую силу и могут быть основанием для признания нарушения.
- С точки зрения безопасности, использование более высокого класса СКЗИ снижает риск компрометации ключей и упрощает защиту в суде.
Рекомендация: даже если для вашей деятельности формально достаточно КС1, рассмотрите использование токена (КС2) для хранения ключей. Дополнительные затраты невелики (около 2 000-3 000 руб.), а уровень защиты и юридическая устойчивость значительно возрастают.
FAQ — частые вопросы о классах СКЗИ
1.2.643.2.2.49.1 — КС1, OID 1.2.643.2.2.49.2 — КС2, OID 1.2.643.2.2.49.3 — КС3. Класс можно посмотреть через КриптоПро CSP (вкладка «Состав» сертификата), через certutil в командной строке или через OpenSSL.