Открыть сервис

Шифрование CUI

Шифрование CUI — это процесс преобразования контролируемой несекретной информации (Controlled Unclassified Information, CUI) в форму, недоступную для чтения неавторизованными лицами, с использованием криптографических алгоритмов. CUI представляет собой категорию информации, создаваемую или обрабатываемую государственными органами (прежде всего в США) и их подрядчиками, которая не является секретной (Classified), но подлежит защите в соответствии с законами, нормативными актами или политикой правительства. Шифрование CUI является обязательным требованием для обеспечения конфиденциальности и целостности таких данных, особенно при передаче по незащищённым каналам или хранении на внешних носителях. В Российской Федерации аналогом CUI может служить информация ограниченного доступа, не составляющая государственную тайну, но регламентируемая Федеральным законом «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ) и подзаконными актами, такими как требования к защите персональных данных (152-ФЗ).

История и происхождение термина

Термин CUI был введён в США в 2010 году в рамках исполнительного указа президента Барака Обамы № 13556 «О контролируемой несекретной информации». До этого существовала разрозненная система маркировок (например, «For Official Use Only» — FOUO, «Sensitive But Unclassified» — SBU), что создавало путаницу в уровнях защиты. Целью реформы было унифицировать требования к защите несекретной, но чувствительной информации, обрабатываемой федеральными агентствами и их подрядчиками. В 2016 году Министерство обороны США (DoD) выпустило директиву DFARS 252.204-7012, которая обязала подрядчиков шифровать CUI при хранении и передаче, используя стандарты, одобренные Национальным институтом стандартов и технологий (NIST).

В России понятие «контролируемая несекретная информация» не используется в официальном обороте. Однако схожие по смыслу категории регулируются, например, «Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» (утверждено постановлением Правительства РФ № 1233 от 3 ноября 1994 года). Для защиты такой информации, включая персональные данные, коммерческую тайну и профессиональные тайны, применяются требования к криптографической защите, установленные Федеральной службой безопасности (ФСБ) России и Федеральной службой по техническому и экспортному контролю (ФСТЭК).

Классификация CUI

CUI делится на две основные категории, которые влияют на требования к шифрованию:

  • CUI Basic — информация, защита которой требуется по закону или нормативному акту, но без дополнительных специфических требований. Примеры: данные о государственных закупках, отчёты о соблюдении экологических норм.
  • CUI Specified — информация, для которой закон или нормативный акт устанавливает конкретные меры защиты, включая алгоритмы шифрования, длину ключей или процедуры управления. Примеры: экспортно-контролируемые данные (ITAR), информация о ядерных материалах (DOE), медицинские записи (HIPAA).

В России классификация информации ограниченного доступа включает:

  • Персональные данные (ФЗ-152) — требуют шифрования при передаче по открытым каналам и хранении в базах данных.
  • Коммерческая тайна (ФЗ-98) — защищается по решению обладателя, но при передаче государственным органам может подлежать обязательному шифрованию.
  • Служебная тайна — информация, доступ к которой ограничен в интересах государственного управления.

Требования к шифрованию CUI

Стандарты шифрования

Для защиты CUI в США обязательными являются криптографические алгоритмы, одобренные NIST в рамках Федерального стандарта обработки информации (FIPS) 140-2 или 140-3. Ключевые требования включают:

В России требования к шифрованию информации ограниченного доступа регулируются ГОСТ Р 34.10-2012 (электронная подпись), ГОСТ Р 34.11-2012 (хэширование), ГОСТ 28147-89 (симметричное шифрование, заменён на ГОСТ Р 34.12-2015 с режимами CTR, OFB, CBC). Для государственных информационных систем обязательно использование сертифицированных ФСБ России средств криптографической защиты информации (СКЗИ), таких как «КриптоПро CSP» или «ViPNet CSP».

Управление ключами

Шифрование CUI требует строгого управления криптографическими ключами:

  • Генерация ключей: должна выполняться с использованием сертифицированных генераторов случайных чисел (в США — NIST SP 800-90A, в России — ГОСТ Р ИСО/МЭК 18031).
  • Хранение ключей: ключи должны храниться в аппаратных модулях безопасности (HSM) или программных хранилищах, защищённых паролем и шифрованием. В России допускается использование токенов (Рутокен, JaCarta) с сертифицированными СКЗИ.
  • Ротация ключей: рекомендуется не реже одного раза в год, а при компрометации — немедленно.
  • Резервное копирование: ключи должны копироваться в зашифрованном виде с контролем доступа.

Шифрование при передаче и хранении

  • Data-in-Transit: все данные CUI, передаваемые по открытым сетям (Интернет, Wi-Fi, мобильные сети), должны шифроваться с использованием протоколов TLS, IPsec или SSH. В России для государственных нужд часто применяется ГОСТ-совместимый TLS (ГОСТ Р 34.10-2012 + ГОСТ 28147-89).
  • Data-at-Rest: файлы, базы данных, резервные копии и съёмные носители (USB-диски, внешние HDD) должны шифроваться с использованием полнодискового шифрования (BitLocker, LUKS) или файловых систем с поддержкой шифрования (eCryptfs, EncFS). В России для этого применяются СКЗИ, такие как «КриптоПро» или «Secret Disk».
  • Data-in-Use: шифрование оперативной памяти (например, Intel SGX, AMD SEV) пока редко требуется для CUI, но может быть рекомендовано для облачных сред.

Применение шифрования CUI

В государственном секторе

Шифрование CUI обязательно для всех федеральных агентств США и их подрядчиков, работающих по контрактам с Министерством обороны, Министерством энергетики, NASA и другими. Например, подрядчики, обрабатывающие CUI, должны внедрить шифрование на уровне сети (VPN), баз данных (TDE) и электронной почты (S/MIME или PGP).

В России аналогичные требования действуют для государственных информационных систем (ГИС), обрабатывающих персональные данные или служебную информацию. Например, система «Госуслуги» использует шифрование по ГОСТ Р 34.10-2012 для защиты каналов связи.

В коммерческом секторе

Хотя CUI — это государственная категория, коммерческие организации, работающие с государственными заказами, обязаны соблюдать требования к шифрованию. Например, компании, участвующие в программе ITAR, должны шифровать экспортные данные с использованием AES-256.

В России коммерческие организации, обрабатывающие персональные данные (например, банки, медицинские учреждения), обязаны шифровать их при передаче и хранении в соответствии с требованиями 152-ФЗ и приказами ФСТЭК.

В облачных средах

При размещении CUI в облачных сервисах (AWS GovCloud, Azure Government, Google Cloud for Government) требуется шифрование на стороне клиента (client-side encryption) или использование сертифицированных облачных провайдеров. В России для облачных решений, обрабатывающих данные ограниченного доступа, обязательно использование сертифицированных СКЗИ и размещение в центрах обработки данных (ЦОД) на территории РФ.

Критика и ограничения

Шифрование CUI критикуется за:

  • Сложность внедрения: малые и средние предприятия часто не имеют ресурсов для внедрения полного набора требований (HSM, сертифицированные СКЗИ, обучение персонала).
  • Снижение производительности: шифрование и дешифрование больших объёмов данных (например, в системах реального времени) может увеличивать задержки.
  • Проблемы совместимости: использование разных стандартов (FIPS vs ГОСТ) затрудняет международное сотрудничество.
  • Риски утечки ключей: при ненадлежащем управлении ключами шифрование становится бесполезным.

В России дополнительной проблемой является необходимость использования только сертифицированных СКЗИ, что ограничивает выбор решений и увеличивает затраты.

Интересные факты

  • В 2020 году Министерство обороны США обнаружило, что более 40% подрядчиков не выполняли требования к шифрованию CUI, что привело к ужесточению аудитов.
  • В России с 2021 года действует «Закон о суверенном интернете», который требует от операторов связи использовать сертифицированные СКЗИ для шифрования трафика, что косвенно влияет на защиту CUI-аналогов.
  • Алгоритм AES-256, используемый для шифрования CUI, считается криптостойким даже для квантовых атак, но NIST уже разрабатывает постквантовые стандарты (например, CRYSTALS-Kyber).

Источники

  • Исполнительный указ президента США № 13556 «О контролируемой несекретной информации» (2010).
  • Директива Министерства обороны США DFARS 252.204-7012 (2016).
  • Федеральный закон РФ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ (2006).
  • Федеральный закон РФ «О персональных данных» № 152-ФЗ (2006).
  • Стандарты NIST FIPS 140-2, FIPS 140-3, SP 800-53.
  • ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ 28147-89.
  • Приказы ФСТЭК России № 17, № 21 (2013) — требования к защите информации в ГИС.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →