С января 2024 года автоматизированная информационная система «Налог-3» станет обязательной для взаимодействия с ФНС России. Подготовка к интеграции с новой системой — дело не одного дня. Расскажем, как выбрать средство криптографической защиты информации для АИС «Налог-3», и дадим подробный обзор продуктов трёх рекомендованных производителей СКЗИ.
Введение
С января 2024 года автоматизированная информационная система ФНС России «Налог-3» будет введена в промышленную эксплуатацию. Компании смогут взаимодействовать с налоговой только через эту систему. Подготовка к интеграции с АИС «Налог-3» требует времени, особенно для государственных компаний, где расходы надо заранее заложить в бюджет и согласовать. Поэтому начало 2023 года — удачное время для того, чтобы всё продумать и начать подготовку устройств и специалистов. «Глобал АйТи» — системный интегратор, специализирующийся на информационной безопасности. В этой статье эксперты компании расскажут о подготовке к интеграции с АИС «Налог-3» и выборе средств криптографической защиты, отвечающих требованиям регуляторов.
Что такое СКЗИ и почему оно важно при электронном документообороте между юрлицом и налоговой
Средствами криптографической защиты информации (СКЗИ) называют программы или устройства для шифрования данных. СКЗИ используют в разных сферах, например, для доверенного хранения документов или передачи информации по защищённым каналам связи. К СКЗИ относятся средства шифрования, имитозащиты, электронной подписи, кодирования, изготовления ключевых документов, сами ключевые документы, аппаратные и программно-аппаратные криптографические средства.
Основные принципы действия СКЗИ — это защищённость, непрерывность, однотипность, целостность, автоматизация и доступность технических процессов. СКЗИ упрощают взаимодействие юридических лиц и ФНС, защищают целостность документов и передаваемой информации, сокращают время на добавление новых компонентов, если надо расширить сеть.При использовании СКЗИ информация защищена от неправомерного доступа, уничтожения, модификации, блокирования, копирования, распространения. Фиксируются дата, время и все участники информационного взаимодействия. СКЗИ подтверждают достоверность и актуальность информации, содержащейся в документах. При выявлении сбоев и нарушений сообщение об этом поступает владельцам информационных систем, проблема начинает решаться.
На базе российских решений можно построить единое безопасное информационное пространство для взаимодействия компаний с ФНС России. Почему выбор СКЗИ для АИС «Налог-3» актуален сейчас
АИС «Налог-3» может собирать данные о продажах в онлайн-режиме. Например, покупатель оплатил товар на кассе — информация об оплате сразу поступает в ФНС. Так внутри единого информационного пространства ФНС сможет получать точные и полные данные, а их сбор будет автоматизирован. Требования к электронному документообороту с налоговой формируются уже давно. В 2006 году был принят закон о защите персональных данных, с которого началась информационная безопасность в России. Постепенно появлялись другие законы, нормативные акты, требования регуляторов — ФСБ России, ФСТЭК России, Роскомнадзора.
Требования к криптографии определяет ФСБ. Среди них — необходимость использовать российские средства криптографической защиты каналов связи в госорганах. На основе взаимодействия с российскими вендорами налоговая сформировала список из трёх производителей, чьи продукты рекомендованы для работы с АИС «Налог-3»: «ИнфоТеКС», «Код Безопасности», «Фактор-ТС».С 2024 года начнётся плановый добровольно-принудительный переход на АИС «Налог-3». В коммерческих организациях переход будет проще: решили — купили. В государственных организациях есть своя специфика подключения: надо заложить покупку в бюджет на будущий год. Выбор СКЗИ, согласование со всеми службами, тестирование, настройка каналов связи, обучение бухгалтерии и системных администраторов — всё это требует времени. Организация не может за один день купить СКЗИ, установить его и начать работать с АИС «Налог-3».
Сергей Мотовилов, операционный директор:
— Часть платформ производителей выходит из эксплуатации, вводятся новые, что-то отсутствует, что-то поставляется в рамках контракта за 150 дней. Надо учитывать ряд моментов со стороны организации и со стороны регуляторов, технические особенности настройки каналов, наличие необходимого оборудования. Организации должны подать документы на вступление в пилотную группу, налоговая должна это подтвердить, потом надо взять виртуальное или фактическое «железо», настроить, подготовить людей. Процесс — не однодневный. Если смотреть в рамках стандартной дорожной карты, то организации, которые начнут над этим думать в январе, к фактическим действиям придут к концу этого года или к началу 2024-го. Поэтому актуально делать это сейчас.
Первая половина 2023 года — подходящее время для того, чтобы начать подготовку к переходу на АИС «Налог-3». Поэтому выбор подходящего для этой цели СКЗИ — актуальная и важная тема.
Какие СКЗИ рекомендует ФНС России для работы с АИС «Налог-3»
«ИнфоТеКС», «Код Безопасности», «Фактор-ТС» — российские решения, они занесены в российский реестр аппаратных платформ, сертифицированы ФСТЭК, ФСБ и Минцифры России. Все производители имеют сертификацию ИТ. МЭ. А4.П3 и ИТ. СОВ. С4.П3, сертификацию ФСБ России по классам защиты КС2-КС3.Эти решения включают в себя межсетевой экран, криптомаршрутизатор и систему обнаружения вторжений. У каждого из них есть программно-аппаратный комплекс для централизованного управления и мониторинга и клиенты для подключения удалённых рабочих мест. У каждого производителя — своё уникальное криптошифрование. Шифруют информацию как на канальном уровне OSI, так и на сетевом.
Иван Макаров, ведущий специалист отдела информационных технологий, занимается подбором оборудования:
— На решениях каждого из этих производителей можно построить отказоустойчивый кластер в режиме «актив — пассив» и обеспечить непрерывную передачу данных. Для входа используется аутентификация. Обеспечивается скрытие внутренних сегментов сети. Каждое из этих решений может защищать как внутренние отдельные сегменты сети, так и весь периметр. Например, можно поднять защищённый криптотуннель от рабочей станции до головного офиса или до ФНС.
Dionis DPS от «Фактор-ТС»
Dionis DPS позволяет строить VPN-тоннели по криптошифрованию ГОСТ 28147-89 посредством использования протоколов GRE / gretap с контролем состояния туннеля, L2TP с возможностью упаковки в туннель IPsec, PPTP, PPPoE. Из трёх рекомендованных это решение имеет самую высокую скорость шифрования — до 100 Гб/c; на рынке есть всего три продукта с такой производительностью. Также это единственное решение, сертифицированное по 2-му классу защиты и подходящее для защиты гостайны.У Dionis DPS есть свой защищённый почтовый клиент, имеется система обнаружения и предотвращения вторжений (IPS / IDS) . Для криптошифрования необходимо «Автоматизированное рабочее место генерации ключевой информации» — программное обеспечение, которое генерирует ключи для шифрования и дешифрования трафика. Используется статическое и динамическое шифрование.
«Континент» от «Кода Безопасности»
«Континент» использует имитозащиту циркулирующих в VPN IP-пакетов в соответствии с ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая». Поддерживает стандарт хеширования ГОСТ Р 34.11-2012 и режим замкнутой криптографической сети, который автоматически блокирует весь незащищённый трафик. «Континент» может вести мониторинг состояния комплекса шифрования из защищённых сетей с помощью средств управления объектами сети по протоколу SNMP, при этом есть возможность удалённой настройки параметров SNMP как для каждого криптошлюза индивидуально, так и с использованием групповых операций. Кроме того, комплекс обеспечивает защищённый канал для управления пограничными маршрутизаторами и поддерживает виртуальные локальные сети VLAN (IEEE 802.1Q) с возможностью создания не менее чем 254 VLAN-интерфейсов на один физический порт.
VIPNet Coordinator HW от «ИнфоТеКС»
Функционирует на базе адаптированной операционной системы Linux, использует собственный протокол ViPNet VPN, который обеспечивает беспрепятственное защищённое взаимодействие независимо от типа канала связи. Поддерживает взаимодействие с клиентскими компонентами на различных операционных системах: Windows, Linux, macOS, iOS, Android, а также работу в современных мультисервисных сетях с использованием протоколов Cisco SCCP и H. 323.
Какой из продуктов лучше всего соответствует требованиям регуляторов.
По основным характеристикам изделия трёх рекомендованных производителей похожи. Выбор зависит от того, как устроена информационная система компании, какие есть потребности кроме взаимодействия с налоговой, каковы компетенции людей, отвечающих за информационную безопасность.
Важно учитывать информационную структуру компании: как и на чём она построена, какие продукты в ней уже есть. Лучше использовать изделия одного производителя внутри единой сети. Надо продумать все желаемые варианты использования СКЗИ, от этого тоже зависит выбор. Можно взять изделие только для АИС «Налог-3», а можно подобрать такое, которое будет решать ещё и другие, дополнительные задачи.
Ещё один критерий выбора — каким оборудованием захотят и смогут управлять специалисты по информационной безопасности компании. Работа с СКЗИ требует знаний и навыков обращения с информационным оборудованием. Компетенции специалистов компании или подрядной организации — тоже важный фактор, влияющий на выбор СКЗИ. Нет такого шаблона, по которому определённый вид организации нуждается в конкретном СКЗИ. Надо разбираться в устройстве информационной системы и потребностях компании, чтобы сделать оптимальный выбор. Для выбора СКЗИ лучше обратиться к специалистам, составить ТЗ или озвучить свои потребности.
Как компания «Глобал АйТи» помогает клиентам выбирать и настраивать оборудование
Компания «Глобал АйТи» работает со всеми рекомендованными производителями СКЗИ к АИС «Налог-3». Реализация любого из трёх решений одинаково выгодна для компании, поэтому нет необходимости придерживаться принципа «продать что есть». Технические специалисты «Глобал АйТи» отталкиваются от требований заказчика.
«Глобал АйТи» подбирает для заказчиков то оборудование, которое лучше подойдёт по техническим параметрам. Специалисты компании готовы подобрать оборудование для тех, кто не знает, что лучше использовать. Могут помочь и взыскательному клиенту с глубокими техническими знаниями: ответить на вопросы, подтвердить информацию из описания, чтобы он мог выбрать оптимальное решение.
Цена и выбранный продукт закладываются в проект. Важно, чтобы к моменту его реализации выбранное изделие было в наличии. Для своих заказчиков компания «Глобал АйТи» может позволить себе резерв изделий под проект, а также своевременный контроль их наличия. Можно зафиксировать бюджет: к моменту приобретения изделие не подорожает, если есть договорённость с заказчиком о конкретном сроке реализации проекта.
Компания «Глобал АйТи» настраивает СКЗИ удалённо или на месте, в зависимости от квалификации специалиста компании-клиента, а также сопровождает на этапе «пилотирования». У компании — свой тестовый парк, который предоставляется заказчику. Многие задачи уже отработаны, и технические специалисты готовы предоставить информацию, чтобы заказчик не тратил время на «пилотирование».
Сергей Мотовилов, операционный директор:
— Помимо теоретического понимания изделия важен ещё опыт практического применения. У нас есть релевантный опыт, благодаря которому, зная запросы компании, мы можем определить, что лучше подойдет для неё. Мы можем выбрать устройство так, чтобы оно долго служило, отвечая требованиям регуляторов и потребностям компании.
Выводы
Выбираете СКЗИ для работы с АИС «Налог-3»? Обратите внимание на продукты одного из трёх рекомендованных ФНС России производителей: «ИнфоТеКС», «Код Безопасности», «Фактор-ТС». Любое из этих решений подойдёт для работы с АИС «Налог-3». При выборе стоит учитывать дополнительные задачи, которые должно решать СКЗИ, компетенции специалистов компании, бюджет.
Хорошим решением будет доверить выбор, настройку и обслуживание СКЗИ той компании, для которой эта деятельность является профильной. Опыт работы с разными СКЗИ помогает её специалистам подобрать оптимальное решение.