Журнал "Information Security/ Информационная безопасность" #6, 2018

К основным особенно- стям объектов КИИ, которые имеют принципиальное значение для предпочтения того или другого средства КЗИ, относятся следующие: l жесткие требования к времени и порядку выполне- ния автоматизированных функций; l наличие разнородных, территориально и простран- ственно распределенных элементов (мобильных и стационарных) с сочетанием разнообразных информа- ционных технологий (банко- маты, терминалы оплаты, информационные киоски, фронт-офис, ДБО, подвиж- ные составы, станционное оборудование и пр.); l неприемлемость отключе- ния систем для проведения мероприятий по обеспече- нию безопасности информа- ции, а также другие требо- вания аналогичного плана. При этом КИИ характери- зует еще ряд существенных нюансов: l основной защищаемой информацией является тех- нологическая (обеспечиваю- щая управление технологи- ческими или чувствительно важными процессами) информация, программно- техническая (программы системного и прикладного характера, обеспечивающие функционирование КИИ), командная (управляющая) и измерительная; l опасность последствий вывода из строя и/или нару- шения функционирования КИИ (риски для благосо- стояния клиентов – это тоже крайне негативный резуль- тат нарушения функциони- рования системы, однако, опасности для жизни и здо- ровья объяснимо стоят в этом смысле особняком). 24 • ТЕХНОЛОГИИ Структурно в таких системах может быть выделена совокуп- ность подконтрольных объектов (ПКО) и совокупность каналов связи, по которым передаются информационные и управляю- щие сигналы. Все информа- ционные и управляющие сигна- лы, сформированные ПКО, должны защищаться на месте выработки, доставляться в защищенном виде и расшиф- ровываться перед обработкой (использованием) другим ПКО. Это требует внедрения в уже функционирующие инфра- структуры средств защиты, которые должны обеспечивать: l криптографическую защиту информации о состоянии ПКО и управляющих сигналов для ИС; l информационное взаимодей- ствие разнообразных ПКО (USB, Ethernet и др.); l возможность использования разнообразных цифровых кана- лов (Wi-Fi, Bluetooth и др.); l информационное взаимодей- ствие с разнообразной кана- лообразующей аппаратурой (RS-232, RS-435 и др.). Очевидно, что большинство имеющихся в настоящее время на рынке средств защиты информации при их внедрении потребуют в лучшем случае некоторой доработки отдельных ПКО, а в худшем – изменения функциональной структуры и замены ПКО на совместимые со средствами защиты. Хорошо понятно, почему это так: если сделать аппаратную базу СЗИ такой, чтобы она поддерживала все возможные интерфейсы во всех комбинациях, это будет самое большое, дорогое, слож- но настраиваемое и ненадежно работающее СЗИ в мире. Все три варианта (доработка ПКО, замена ПКО, использова- ние "огромного" СЗИ) связаны с существенными финансовыми и временными затратами. Альтернативным вариантом является гибкая адаптация средств защиты информации под различные типы оборудова- ния самого разного назначения. Это вариант очевидно менее хлопотный для эксплуатирующей (внедряющей) организации, так как адаптация СЗИ выполняется не ими, а вендорами СЗИ. Интеграционная платформа Примеров таких СЗИ на сего- дняшний день немного, но они есть. Для защиты сетевой ком- муникации в инфраструктуре, включающей разнообразное оборудование, взаимодей- ствующее разным образом по различным каналам, можно использовать интеграционную платформу "МК-И". Интеграционная платформа "МК-И" представляет собой ком- плекс распределенных одно- платных микрокомпьютеров m-TrusT Новой гарвардской архитектуры, обладающих "вирус- ным иммунитетом", и интер- фейсных плат для них. Каждый микрокомпьютер m-TrusT является точкой сбора инфор- мационных и/или управляющих сигналов от ПКО, их шифрова- ния для передачи по каналам связи, а также приема зашиф- рованных сигналов из каналов связи и их расшифровки. Типовые характеристики мик- рокомпьютеров: l габаритные размеры 65x80 мм; l процессор Quad-core ARM Cortex-A17, up to 1.8 GHz; l ОЗУ 2 Гбайт DDR3; l ПЗУ 16 Гбайт NAND-flash; l microUSB; l microHDMI. Общий вид микрокомпью- тера m-TrusT представлен на рис. 1. Микрокомпьютер не подключа- ется напрямую ни к чему, кроме собственной интерфейсной платы, поэтому его состав несложен и постоянен. Интерфейсная плата нужна как раз для того, чтобы корректно подключиться к тому или иному конкретному ПКО и каналообразующей аппаратуре различных типов. Наличие собственной ОС и вычислительных ресурсов поз- воляет обеспечить необходимую производительность и высокий уровень защищенности. Особен- ностями m-TrusT является нали- чие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом Read Only ("только чте- ние"), что исключает вредонос- ное воздействие на ПО и обес- печивает неизменность среды функционирования средств крип- тографической защиты инфор- мации. Встроенные средства защиты информации имеют сер- тификаты соответствия ФСБ России и ФСТЭК России. Итак, коммутировать микро- компьютер m-TrusT в "разрыв" между ПКО различного назначения и каналом связи позволяет интерфейсная плата. Как уже упоминалось, разно- Развитие средств криптографической защиты информации актором, определяющим тенденции ближайшего времени в защите информации и особенно именно в отношении разви- тия средств КЗИ, становится, конечно, процесс приведения объектов критических информационных инфраструктур (КИИ) в соответствие с 187-ФЗ и его подзаконными актами 1 . Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР", к.ф.н. Ф 1 Федеральный закон 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации"; постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"; приказ ФСТЭК России от 11 декабря 2017 г. № 235 “Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования".