Журнал "Information Security/ Информационная безопасность" #5, 2019

тами компрометации ключа за счет отчуж- даемости его носителя, а с другой – под- ключенное к порту USB-устройство резко снижает надежность решения при вибра- ции, ударах, нагревании и прочих усло- виях, в которых работают технические средства на объектах КИИ. Модуль работы с неизвлекаемым клю- чом должен быть реализован как часть резидентного компонента безопасности, размещенного непосредственно на плате компьютера, а не как отчуждаемый пер- сональный носитель ключа. Универсальное решение Вариантов исполнения требований 187-ФЗ несколько. Можно: 1) провести модернизацию объектов КИИ; 2) для каждого объекта КИИ разрабо- тать, изготовить и сертифицировать собст- венное множество аппаратных СКЗИ; 3) создать специальную аппаратуру со всеми необходимыми свойствами, особенностью которой будет простейшая модернизация к любым объектам и кана- лам, не требующая проведения повтор- ной сертификации. Очевидно, что только третий вариант полностью приемлем, если цена решения будет доступной. Адаптация СЗИ к тех- ническим средствам объектов КИИ поз- волит сохранить инвестиции. Однако адаптация СЗИ (а особенно СКЗИ) – это повторная сертификация. Решение – в декомпозиции: разделе- ние СЗИ на то, что должно быть неизмен- ным, чтобы не требовалось повторной сертификации, и то, что может меняться, чтобы интегрироваться с очередным тех- ническим средством на объекте КИИ. Такое решение уже создано – это защищенная интеграционная платформа МК-И. Микрокомпьютер для масштабных задач MK-И – это микрокомпьютер Новой гарвардской архитектуры m-TrusT и интерфейсная плата для его коммутации с сетевой инфраструктурой, которая может включать в себя самые разные типы оборудования. Интерфейсные платы делаются различными, а сам мик- рокомпьютер m-TrusT – универсальный, его форм-фактор не зависит от предпо- лагаемого места установки. Каждый микрокомпьютер m-TrusT является точкой сбора информационных и/или управляющих сигналов от объектов КИИ, их шифрования для передачи по каналам связи, а также приема зашиф- рованных сигналов из каналов связи и их расшифровки. Микрокомпьютер не подключается напрямую ни к чему, кроме собственной интерфейсной платы, поэтому его состав несложный и постоянный. Наличие собственной ОС и вычисли- тельных ресурсов позволяет обеспечить достаточную для защиты сетевого взаи- модействия производительность 1 и высо- кий уровень защищенности. Особенностями m-TrusT является наличие датчика случайных чисел и раз- мещение ПО в памяти с физически устанавливаемым доступом Read Only (только чтение), что исключает вредо- носное воздействие на ПО и обусловли- вает неизменность среды функциони- рования СКЗИ. Ресурсы m-TrusT обес- печивают СФК и возможность серти- фикации варианта исполнения СКЗИ на m-TrusT на класс КС3. Помимо Новой гарвардской архитектуры, защищенность платформы определяется РКБ и СДЗ, сертифицированным ФСТЭК России. Встроенное СКЗИ может быть любым сертифицированным. Разумеется, за счет описанных особен- ностей МК-И построенное на нем решение может поддерживать любой из вариантов связи объектов или даже все их одновре- менно, причем с дублированием каждого канала (несколько каналов Ethernet, несколько SIM-карт для мобильного Интернета и т.д.), чтобы во время рабо- ты использовать тот, который доступен в данный момент и в данном месте. Такое средство защиты универсально: на все технические средства всех объ- ектов системы внедряется одно и то же СЗИ без внесения каких-либо изменений в само защищаемое оборудование. Эта универсальность обеспечивается интер- фейсными платами. Особые варианты Как показала практика, для некоторых объектов может быть удобным исполне- ние платформы в едином корпусе, напри- мер если частое переоборудование не требуется, а техническое средство функ- ционирует вне помещения, где внешние условия могут быть разнообразными и не всегда благоприятными. В этом слу- чае корпус снижает возможное воздей- ствие внешних условий. Некоторые из объектов КИИ могут быть офисными или серверными. В таких слу- чаях гораздо уместнее и соответствующее исполнение платформы для СЗИ – для размещения в стойку или на столе. Именно поэтому мы утверждаем, что m-TrusT – универсальное решение. Адап- тация СЗИ к системе и к ее конкретному объекту – это задача не эксплуатирую- щей организации, а производителя СЗИ. И она решена. Платформа в действии Для систем класса АСУТП и КИИ осо- бое значение имеют климатические условия. Специализированные компью- теры m-TrusT могут изготавливаться для категорий С (Custom), I (Industrial) и M (Military). Стандартное решение – I. Еще раз подчеркнем, что такая плат- форма уже создана, запатентована, решения, построенные на ней, серти- фицированы, внедряются и применяют- ся в реальных функционирующих КИИ. Ее преимущества – кроме сертифици- рованных ФСТЭК и ФСБ России встроенных средств защиты и "вирус- ного иммунитета" – достаточная про- изводительность при низкой цене. l • 13 КИИ www.itsec.ru Задачи коммутации и использования широкого спектра каналов и протоколов связаны уже не с требованиями регуляторов, а с техническими особенностями объектов КИИ. Необходимость поддерживать множество различных интерфейсов тоже требует аппаратных решений. Всем этим требованиям отвечает специализированный компьютер с аппаратной защитой данных m-TrusT. Его особенностями являются: l Новая гарвардская архитектура, обеспечивающая вирусный иммунитет; l аппаратная поддержка реализации доверенной загрузки; l функциональная замкнутость среды; l аппаратное обеспечение целостности; l аппаратное резидентное решение по неизвлекаемости ключа; l аппаратный ДСЧ. АДРЕСА И ТЕЛЕФОНЫ ОКБ САПР см. стр. 48 NM 1 Возможна защищенная передача видеосигнала с камер без ощутимого снижения качества изображения. Реклама