SYSTEMNETWORKS
КриптографияPKIКомплаенс

Криптография в корпоративной сети: что должен знать каждый CTO

14 июля 2025 · 10 мин чтения · System Networks

Корпоративная криптография — это не только «HTTPS включён». Это PKI, управление сертификатами, ключевые хранилища, шифрование резервных копий и соответствие российским стандартам ГОСТ для КИИ-объектов. Разберём практически.

Что надо шифровать: минимальный стандарт

Веб-трафик и API

TLS 1.2 минимум, TLS 1.3 рекомендуется. Отключить SSL 3.0, TLS 1.0/1.1.

Обязательно

VPN-туннели

AES-256-GCM или ChaCha20-Poly1305. ГОСТ для КИИ субъектов.

Обязательно

Жёсткие диски серверов

LUKS (Linux), BitLocker (Windows), аппаратное шифрование SED.

Обязательно для 152-ФЗ

Резервные копии

AES-256 до записи. Ключи хранить отдельно от данных.

Критично

Email (корпоративный)

S/MIME или PGP для конфиденциальных сообщений.

Рекомендуется

Базы данных

TDE (Transparent Data Encryption) или шифрование на уровне приложения.

При 152-ФЗ — обязательно

ГОСТ vs международные стандарты: когда важно

Когда ГОСТ-шифрование обязательно

Для КИИ-объектов, государственных информационных систем и систем обработки гостайны — ФСБ России требует ГОСТ-сертифицированные СКЗИ (средства криптографической защиты информации). Использование AES или RSA вместо ГОСТ 34.12-2018 и ГОСТ Р 34.10-2012 является нарушением.

ГОСТ-шифрование нужно для:

  • КИИ субъекты (187-ФЗ)
  • Государственные ИС (ГИС)
  • Обработка гостайны
  • ФНС, Роскомнадзор-требования

AES/RSA достаточно для:

  • Коммерческие компании без КИИ
  • 152-ФЗ персональные данные (до УЗ-1)
  • Международные операции
  • Шифрование резервных копий

Управление сертификатами: PKI для бизнеса

PKI (Public Key Infrastructure) — это инфраструктура цифровых сертификатов, которая лежит в основе TLS, VPN, электронной подписи и шифрования почты. Без PKI каждый SSL-сертификат придётся покупать отдельно по коммерческой цене.

Внутренний корневой CA

Для внутренних сервисов, VPN-сертификатов, S/MIME. Бесплатно (Let's Encrypt не работает для внутренних имён).

Инструменты: Microsoft ADCS, HashiCorp Vault, EJBCA

Коммерческий CA для публичного домена

Для внешних веб-сайтов и API. Let's Encrypt — бесплатно. Для EV и OV сертификатов — платно.

Инструменты: Let's Encrypt, DigiCert, Sectigo

ГОСТ-сертифицированный CA

Для КИИ и госсектора. Обязателен для ключевых систем.

Инструменты: КриптоПро, ViPNet PKI, ФКУ Росказна

Криптографическая защита и КИИ-соответствие

Внедрение СКЗИ и криптографической защиты для КИИ →

ГОСТ 34.12-2018 · КриптоПро · ViPNet · ФСБ-сертификация · PKI

Начнём работу

Защитите инфраструктуру до того, как это потребуется

Бесплатная предварительная консультация. Оценка текущего уровня защиты за 1 день. Первые результаты — в течение недели.

Получить консультациюЗаказать аудит ИБ
+7 (499) 322-26-88info@st-nt.rusupport@st-nt.ru