Как выбрать средство криптозащиты
для взаимодействия с АИС «Налог-3»?
Введение
С января 2024 года автоматизированная информационная система ФНС России «Налог-3» будет введена в промышленную эксплуатацию. С этого момента все компании смогут взаимодействовать с налоговой только через эту систему.
Подготовка к интеграции с АИС “Налог-3” требует времени, особенно для государственных компаний, где расходы надо заранее заложить в бюджет и согласовать. Поэтому начало 2023 года – удачное время для того, чтобы составить план действий, а также подготовить свою ИТ-инфраструктуру и специалистов для работы с новой системой.
Надо отметить, что не все компании справятся с такой сложной задачей самостоятельно. Однако, есть специализированные организации, которые помогут наладить интеграцию с системой «Налог-3».
Например, «Глобал АйТи» — системный интегратор в области информационной безопасности. В этой статье эксперты компании «Глобал АйТи» расскажут про подготовку к интеграции с АИС «Налог-3», а также помогут сделать выбор средств криптографической защиты, отвечающих требованиям регуляторов.
Что такое СКЗИ и почему оно важно при электронном документообороте между юридическим лицом и налоговой
Средства криптографической защиты информации (СКЗИ) — это программные решения или аппаратные устройства для шифрования данных.
Сферы применения СКЗИ:
- доверенное хранение документов,
- передача информации по защищенным каналам связи,
- алгоритмы электронной подписи,
- обеспечение аутентификации пользователей или устройств.
Средства шифрования, имитозащиты, электронной подписи, кодирования, изготовления ключевых документов, сами ключевые документы, аппаратные и программно-аппаратные криптографические средства — все это относится к СКЗИ.
Надо отметить, что принцип работы СКЗИ базируется на триаде информационной безопасности — целостности, доступности и конфиденциальности информации.
Расскажем подробнее, как работают СКЗИ. Например, все бухгалтерские документы отправляются в ФНС и другие государственные органы при помощи криптографических средств защиты. Таким образом, СКЗИ, с одной стороны, упрощают взаимодействие юридических лиц и ФНС, а с другой стороны, обеспечивают необходимый уровень безопасности.
При передаче информации в ФНС СКЗИ осуществляют:
- защиту целостности документов,
- защиту информации от несанкционированного доступа, уничтожения, модификации, блокирования, копирования, распространения.
В момент передачи данных в ФНС происходит фиксация даты, времени и всех участников информационного взаимодействия. Таким образом, СКЗИ подтверждают достоверность и актуальность информации, содержащейся в документах.
При выявлении сбоев и нарушений сообщение об этом поступает владельцам информационных систем, все проблемы оперативно устраняются. Если необходимо расширить сеть, то добавление новых компонентов в систему происходит быстро и без проблем, таким образом система оперативно масштабируется.
На рынке продуктов и систем ИБ выбор СКЗИ достаточно большой, однако, необходимо обратить внимание на решения отечественных разработчиков, так как они имеют все необходимые разрешительные документы от регуляторов. Мало того, кампания по импортозамещению, проводимая в России в последние годы, дала возможность отечественным компаниям выпускать решения в сфере ИБ, которые не уступают по техническим характеристикам импортным аналогам.
Поэтому на базе российских решений можно построить единое безопасное информационное пространство для взаимодействия компаний с ФНС.
Схема взаимодействия с ФНС России с 2024 года
Почему выбор СКЗИ для АИС «Налог-3» актуален именно сейчас
Автоматизированная информационная система ФНС России (АИС «Налог-3») представляет собой единую информационную систему ФНС России, обеспечивающую автоматизацию деятельности ФНС России по всем выполняемым функциям.
Одна из таких функций заключается в том, что АИС «Налог-3» может собирать данные о продажах прямо в режиме онлайн. Например, покупатель оплатил товар на кассе — информация об оплате сразу поступает в ФНС. Таким образом, внутри единого информационного пространства ФНС сможет получать точные и полные данные обо всех операциях налогоплательщика, при этом их сбор будет полностью автоматизирован.
Ранее налогоплательщики предоставляли отчетную документацию в налоговые органы в бумажной форме, однако, технологии развиваются, постепенно внедряется электронный документооборот компаний-плательщиков с ФНС. Также идет постепенное формирование нормативной базы в этой области.
Уже в 2006 году был принят Федеральный закон “О персональных данных” от 27.07.2006 N 152-ФЗ, в дальнейшем к этому закону были выпущены значительные дополнения и изменения.
Постепенно появлялись другие законы, нормативные акты, требования регуляторов — ФСБ, ФСТЭК, Роскомнадзора.
Все эти нормативные документы определяли развитие российской информационной безопасности.
Отдельными нормативными документами регулируется криптография в РФ, требования к криптографии определяет ФСБ. К примеру, приказ ФСБ России № 524 от 24 октября 2022 года вводит «Требования о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств». Этот документ определяет критерии и правила выбора СКЗИ для защиты государственных информационных систем (ГИС).
Среди последних требований этого регулятора — необходимость использовать российские средства криптографической защиты каналов связи в государственных органах.
ФНС, базируясь на своем опыте работы с российскими компаниями, сформировала список из трех производителей, рекомендованных для работы с АИС «Налог-3» — «ИнфоТеКС», «Код безопасности», «Фактор-ТС».
С 2024 года начнется плановый переход на АИС «Налог-3».
В коммерческих компаниях эта модернизация будет проходить быстро и просто: запланировали покупку СКЗИ, выбрали поставщика и внедрили решение.
В государственных организациях есть своя специфика подключения: надо запланировать покупку в бюджет на будущий год. Выбор СКЗИ, согласование со всеми службами, тестирование, настройка каналов связи, обучение бухгалтерии и системных администраторов — все это требует времени. Таким образом, организация не может за один день купить, установить СКЗИ и начать работать с АИС «Налог-3», требуется определенный период времени на такого рода модернизацию. Поэтому январь 2023 — подходящее время для того, чтобы начать подготовку к переходу на АИС «Налог-3» и без суеты и нервотрепки выбрать подходящее для этой цели СКЗИ.
А что думают по этому поводу эксперты компании «Глобал АйТи»?
Сергей Мотовилов, операционный директор, занимается тактическим планированием проектов и контролем их завершения, отвечает за проект от идеи до вывода на рынок:
— «Часть платформ определенных производителей выводится из эксплуатации, вместо них вводятся новые, какие-то компоненты отсутствуют, что-то поставляется в рамках контракта за 150 дней. Есть моменты, которые надо учитывать со стороны организации, со стороны регуляторов, например, технические особенности настройки каналов, наличие необходимого оборудования. Процесс проходит следующим образом: организации должны подать документы на вступление в пилотную группу, налоговая должна это подтвердить, затем необходимо приобрести виртуальное или фактическое «железо», все настроить, подготовить людей. Это процесс не однодневный. Если взять и составить стандартную «дорожную карту» для такой модернизации, то организации, которые начнут над этим думать в январе, к фактическим действиям придут к концу года или к началу 2024 года. Поэтому начинать планирование необходимо сейчас».
Какие СКЗИ рекомендует ФНС для работы с АИС «Налог-3»
Решения российских компаний «ИнфоТеКС», «Код безопасности», «Фактор-ТС» занесены в российский реестр аппаратных платформ, сертифицированы ФСТЭК, ФСБ и Минцифры РФ. Все производители прошли сертификацию ИТ.МЭ.А4.П3 и ИТ.СОВ.С4.П3, а их продукты являются средствами криптографической защиты информации классов защиты КС2 и КС3, в соответствии с требованиями ФСБ России.
Каждое такое решение состоит из межсетевого экрана, криптомаршрутизатора и системы обнаружения вторжений.
Архитектура подобной системы представляет собой программно-аппаратный комплекс для централизованного управления и мониторинга и «клиенты» для подключения удаленных рабочих мест.
Каждый производитель представляет свое уникальное криптошифрование. Информация шифруется как на канальном, так и на сетевом уровнях модели OSI.
Ниже приводим мнение нашего эксперта, который занимается подбором оборудования.
Иван Макаров, ведущий специалист отдела информационных технологий.
— «На решениях каждого из этих производителей можно построить отказоустойчивый кластер в режиме «актив/пассив» и обеспечить непрерывную передачу данных. Для входа в систему используется аутентификация. Каждое решение обеспечивает скрытие внутренних сегментов сети и может защищать как внутренние отдельные сегменты сети, так и весь периметр.
Dionis DPS от «Фактор-ТС»
Dionis DPS позволяет строить криптографические туннели следующих видов:
- статические — с использованием симметричных ключей и на ключевых парах Dikey, c шифрованием и имитозащитой IP-трафика по алгоритму ГОСТ 28147-89;
- динамические — по протоколу IPSec (IKEv1, ESP) с шифрованием и имитозащитой передаваемых IP-пакетов и двусторонней криптографической аутентификацией по алгоритмам ГОСТ 281470-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012, в инфраструктуре открытых ключей (сертификаты X.509), с контролем состояния туннеля.
Хочется отметить, что из всех трех решений, рекомендованных ФНС России, именно Dionis DPS предназначено для криптографической защиты информации, передаваемой по высокоскоростным каналам связи на скорости 100 Гб/с.
Это единственное решение, сертифицированное по 2 классу защиты и подходящее для защиты гостайны.
В состав программно-аппаратного комплекса Dionis DPS входит защищенный почтовый клиент, предназначенный для обмена как конфиденциальной почтовой корреспонденцией (с использованием криптографических средств защиты информации), так и открытой почтовой корреспонденцией (не защищенной криптографическими методами) между пользователями почтовых систем.
Также в состав данного решения входит IPS/IDS — система обнаружения и предотвращения вторжения. Для криптошифрования непосредственно на рабочих местах сотрудников необходимо установить «Автоматизированное рабочее место генерации ключевой информации» — ПО, которое генерирует ключи для шифрования и дешифрования трафика. В Dionis DPS используется как статическое, так и динамическое шифрование.
«Континент» от «Код безопасности»
Работа программно-аппаратного комплекса «Континент» базируется на имитозащите IP-пакетов, циркулирующих в VPN туннеле. Комплекс функционирует согласно ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».
«Континент» поддерживает стандарт хеширования ГОСТ Р 34.11-2012 и режим замкнутой криптографической сети, который автоматически блокирует весь незащищенный трафик. Основные возможности программно-аппаратного комплекса «Континент»:
- мониторинг состояния комплекса шифрования (далее — КШ) из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP;
- удаленная настройка параметров SNMP как для каждого криптошлюза индивидуально, так и с использованием групповых операций;
- обеспечение защищенного канала для управления пограничными маршрутизаторами;
- поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт.
VIPNet Coordinator HW от «ИнфоТеКС»
Базовые функции решения VIPNet Coordinator HW:
- работа на базе адаптированной операционной системы Линукс;
- использование собственного протокола ViPNet VPN, который обеспечивает беспрепятственное защищенное взаимодействие независимо от типа канала связи;
- поддержка взаимодействия с клиентскими компонентами на различных операционных системах: Windows, Linux, macOS, iOS, Android;
- поддержка работы в современных мультисервисных сетях с использованием протоколов Cisco SCCP, H.323.
Какой из продуктов лучше всего соответствует требованиям регуляторов
Выше был сделан детальный обзор трех программно-аппаратных решений, рекомендованных ФНС для работы с АИС «Налог-3». Как видно из обзора, по основным характеристикам продукты трех рекомендованных производителей схожи.
Остается вопрос, какое именно решение лучше подойдет именно для вашей организации?
Постараемся дать четкие критерии для такого выбора, определим основные моменты при обследовании вашей организации, на которые стоит обратить внимание:
- Изначальное устройство ИТ-инфраструктуры компании, на каких решениях она построена, какие продукты в ней уже есть. Лучше использовать продукты и системы одного производителя внутри единой сети.
- Уровень компетенций специалистов по ИБ, работающих в компании. Работа со СКЗИ требует знаний и навыков обращения со специальным оборудованием. Компетенции специалистов компании или подрядной организации — важный фактор, влияющий на выбор СКЗИ.
- Планирование бизнес-процессов в компании. На этом этапе необходимо выяснить, какие еще потребуются взаимодействия (с другими организациями, клиентами, партнерами и т. д.), кроме налоговой. Надо продумать все желаемые варианты использования СКЗИ, от этого тоже зависит выбор. Можно приобрести продукт только для АИС «Налог-3», а можно подобрать систему, которая будет решать еще и дополнительные задачи.
Однако, каждая организация уникальна, в ней выстроены свои бизнес-процессы, своя ИТ-инфраструктура. Поэтому, нет общего «рецепта» для всех компаний по выбору СКЗИ.
В каждом случае необходимо разбираться в устройстве информационной системы и потребностях компании, чтобы сделать оптимальный выбор. Поэтому для грамотного выбора СКЗИ лучше обратиться к специалистам, предварительно составить ТЗ или озвучить свои потребности на предварительной консультации.
Как компания «Глобал АйТи» помогает клиентам выбирать и настраивать СКЗИ
Компания «Глобал АйТи» работает со всеми рекомендованными производителями СКЗИ к АИС «Налог-3». Для компании одинаково выгодна продажа любого из решений, поэтому специалисты «Глобал АйТи» беспристрастно подходят к выбору СКЗИ, при выборе решения руководствуются только требованиями заказчика.
На этапах выбора программно-технических решений, проектирования и проведения работ «Глобал АйТи» исповедует следующие принципы:
- Оборудование подбирается, в первую очередь, по техническим требованиям заказчика.
- Специалисты компании оказывают консультационную поддержку на всех этапах работ, начиная с этапа подбора технического решения.
- На этапе проектирования стоимость выбранного решения закладывается в смету. Можно зафиксировать бюджет, к моменту приобретения изделие не подорожает, если есть договоренность с заказчиком о конкретном сроке реализации проекта.
- Компания «Глобал АйТи» для своих заказчиков всегда имеет резерв изделий под проект, а также в компании ведется контроль наличия оборудования.
- Удаленная настройка оборудования или «с выездом на место» проводится в зависимости от квалификации специалистов компании-клиента.
- «Глобал АйТи» имеет свой парк тестового оборудования, которое предоставляется по требованию клиента.
- Многие задачи уже отработаны специалистами компании «Глобал АйТи», поэтому заказчику могут быть предложены типовые варианты решений, без затрат времени и денег на пилотирование.
По мнению Сергея Мотовилова, операционного директора «Глобал АйТи»:
«Помимо теоретического понимания изделия, важен еще опыт практического применения. У нас есть релевантный опыт, благодаря которому мы можем, зная запросы компании, определить, что лучше подойдет для нее. Мы можем выбрать устройство так, чтобы оно долго служило, отвечая требованиям регуляторов и потребностям компании».
Выводы
Как же правильно выбрать СКЗИ для работы с АИС “Налог-3”?
Первоначально необходимо учесть требования ФНС и обратить внимание на продукцию следующих производителей: «ИнфоТеКС», «Код безопасности», «Фактор-ТС». Любое из этих решений подойдет для работы с АИС “Налог-3”.
На следующем этапе, стоит учесть дополнительные задачи, которые должно решать СКЗИ, компетенции специалистов компании, бюджет.
Что делать, если нет возможности справиться с данной задачей силами своих специалистов?
Хорошим решением будет доверить выбор, настройку и обслуживание СКЗИ компании, для которой эта деятельность является профильной.
Специалисты компании «Глобал АйТи» имеют большой опыт работы с разными СКЗИ, поэтому всегда помогут подобрать оптимальное решение.
Автор: Ушаков Денис, исполнительный директор “Глобал Ай Ти”