Защищенные сетевые коммуникации не требуют «зоопарка»

После выхода и вступления в силу Указания Банка России[1] большинство финансовых организаций оказалось перед необходимостью изменения организации защиты своих сетевых коммуникаций хотя бы в той части, которой касается это Указания – в части осуществления переводов денежных средств.

Желание минимизировать изменения и не трогать то, что «и так работает» глубоко понятно каждому, однако в том случае, когда обязательно подлежит изменению именно наиболее сложный в технологическом смысле сегмент инфраструктуры, эта игра может не стоить свеч.

К основным особенностям, которые существенно влияют на обеспечение защиты сетевой коммуникации при осуществлении переводов денежных средств, относятся следующие:

• жесткие требования к времени и порядку выполнения автоматизированных функций;
• наличие разнородных, территориально и пространственно распределенных элементов (мобильных и стационарных) с сочетанием разнообразных информационных технологий (банкоматы, терминалы оплаты, информационные киоски, фронт-офис, ДБО и пр.);
• неприемлемость отключения систем для проведения мероприятий по обеспечению безопасности информации, а также другие требования аналогичного плана.

При этом структурно в инфраструктуре, обеспечивающей переводы денежных средств может быть выделена совокупность подконтрольных объектов (ПКО) и совокупность каналов связи, по которым передаются информационные и управляющие сигналы. Все информационные и управляющие сигналы, сформированные ПКО, должны защищаться на месте выработки, доставляться в защищенном виде и расшифровываться перед обработкой (использованием) другим ПКО. Это требует внедрения в уже функционирующие инфраструктуры средств защиты, которые должны обеспечивать:

• криптографическую защиту информации о состоянии ПКО и управляющих сигналов для ИС;
• информационное взаимодействие с ПКО (USB, Ethernet, и др.);
• возможность использования стандартных цифровых каналов (WiFi, BlueTooth, и др.);
• информационное взаимодействие с каналообразующей аппаратурой (RS232, RS435 и др.).

Большинство имеющихся в настоящее время на рынке средств защиты информации при их внедрении потребуют, в лучшем случае, некоторой доработки отдельных ПКО, а в худшем случае – изменение функциональной структуры и замены ПКО на совместимые со средствами защиты. Оба эти варианта связаны с существенными финансовыми и временными затратами, вплоть до приостановки функционирования, что зачастую неприемлемо. Альтернативным вариантом является гибкая адаптация средств защиты информации под различные типы оборудования самого различного назначения. Это вариант очевидно менее хлопотный для финансовой организации, так как адаптация СЗИ выполняется не ими, а вендорами СЗИ.

Примеров таких СЗИ на сегодняшний день не много, но они есть. Для защиты сетевой коммуникации в инфраструктуре, включающей разнообразное оборудование, взаимодействующее разнообрзным образом по различным каналам, можно использовать интеграционную платформу «МК-И».

Интеграционная платформа «МК-И» представляет собой комплекс распределенных одноплатных микрокомпьютеров «m-TrusT» новой гарвардской архитектуры, обладающих «вирусным иммунитетом» и интерфейсных плат. Каждый микрокомпьютер «m-TrusT» является точкой сбора информационных и/или управляющих сигналов от ПКО, их шифрованием для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровкой.

Типовые характеристики микрокомпьютеров:

• Габаритные размеры: 65 x 80 мм;
• Процессор: Quad-core ARM Cortex-A17, up to 1.8 GHz;
• ОЗУ: 2 Гб DDR3;
• ПЗУ: 16 Гб NAND-flash;
• microUSB;
• microHDMI.

Общий вид микрокомпьютера «m-TrusT» представлен на рис. 1.

Для того, чтобы корректно подключиться к тому или иному конкретному ПКО и каналообразующей аппаратуре различных типов, необходимо использовать интерфейсные платы.

Рис.1 Микрокомпьютер «m-TrusT»

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить необходимую производительность и высокий уровень защищенности. Особенностями «m-TrusT» является наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом read only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации. Встроенные средства защиты информации имеют сертификаты соответствия ФСБ России и ФСТЭК России.

Коммутировать микрокомпьютер «m-TrusT» в «разрыв» между ПКО различного назначения и каналом связи позволяет интерфейсная плата. Как уже упоминалось – разнообразие оборудования, взаимодействующего по сети (ПК, банкомат, информационный киоск, терминал оплаты etc), является ключевой характеристикой инфраструктуры финансовой организации, поэтому интерфейсные платы должны быть разными, чтобы коммутировать одно и то же СЗИ (то есть не совместимые, не похожие, а именно одинаковые СЗИ) с разными ПКО. Например, она может быть такой, как на рис. 3:

• Габаритные размеры: 90 x 105 мм;
• Соединитель типа Розетка 87758-2016 MOLEX;
• Разъем USB Type A;
• Разъем Ethernet;
• Разъем питания от источника постоянного напряжения 5 вольт.

Интерфейсная плата №2

• Габаритные размеры 90 x 110 мм;
• Соединитель типа Розетка 87758-2016 MOLEX;
• USB-хаб;
• Разъем USB Type A;
• 2 разъема Ethernet ;
• Разъем RS-232, подключенный через преобразователь USB-RS-232;
• Разъем RS-485, подключенный через преобразователь USB-RS-485;
• Разъем для micro-SD карты;
• Разъем питания от источника постоянного напряжения 5 вольт.

Рис.2 Интерфейсная плата

На рис. 4 изображен «m-TrusT», подключенный к интерфейсной плате.

Рис. 3 Интерфейсная плата с подключенным «m-TrusT»

На рисунке 4 показан другой вариант интерфейсной платы с меньшим количеством интерфейсных разъемов (рис. 4):

• Габаритные размеры: 90 x 105 мм
• Соединитель типа Розетка 87758-2016 MOLEX
• Разъем USB Type A
• Разъем Ethernet
• Разъем питания от источника постоянного напряжения 5 вольт

Рис. 4 Интерфейсная плата («облегченный» вариант)

Возможна разработка интерфейсных плат для других типов разъемов, с учетом уже имеющегося опыта внедрения на транспорте, мы уверенно говорим о том, что эта задача решается с положительным результатом в разумные сроки.

Разумеется, не всегда уместно использование СЗИ именно такого форм-фактора. Обычно оборудование, обрабатывающее данные с ПКО, представляет собой обыкновенные сервера в серверных стойках, размещенных стационарно и не имеющих каких-либо значительных конструктивных особенностей. И для этого элемента инфраструктуры финансовой организации больше подойдет исполнение «в стойку».

При этом технически – не считая корпуса – это одно и то же оборудование, оно работает, эксплуатируется и обслуживается одинаково.

Таким образом, использование микрокомпьютеров «m-TrusT» для защиты сетевого взаимодействия финансовой организации позволит построить подсистему защиты для разнообразного оборудования с использованием одного и того же СЗИ, «подогнанного» под каждый инфраструктурных элемент. Каждый, кто проектировал или внедрял подсистему защиты информации, понимает, как много это значит во всем – от обучения эксплуатирующего персонала до проведения ремонтных работ – перекоммутировать интерфейсную плату не требуется, просто заменяется подключенный к ней модуль – операция становится элементарной. В таких условиях имеет смысл не ограничивать модернизацию исключительно той частью инфраструктуры, что подпадает под действие Указания, а наоборот, унифицировать защиту сетевого взаимодействия, сократив «зоопарк» технических средств без затрат на адаптацию собственной инфраструктуры.

[1] Указание Банка России от 7 мая 2018 г. N 4793-У «О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”».

Автор: Конявская С. В.

Дата публикации: 01.01.2018

Библиографическая ссылка: Конявская С. В. Защищенные сетевые коммуникации не требуют «зоопарка» // Национальный банковский журнал. 2018. № 10 (176). С. 92–93.

---