Журнал "Information Security/ Информационная безопасность" #6, 2023
• 51 ЗАЩИТА ОКИИ И КОМПЛАЕНС www.itsec.ru Еще несколько лет назад мы оценили требования к платформе средства защи- ты для КИИ и поняли, что вполне можем выпустить подходящий микрокомпьютер, который будет: l создавать и поддерживать доверенную вычислительную среду; l обеспечивать работу с неизвлекаемым ключом в автоматическом режиме (вклю- чая автоматический старт работы); l обеспечивать возможность установки различных СКЗИ при соблюдении усло- вий сертификации на высокие классы; l обеспечивать работу с различными каналами связи по различным протоко- лам, при необходимости – параллельно; l обеспечивать коммутацию с различ- ным оборудованием объекта КИИ без модификации последнего. Всем этим требованиям отвечает спе- циализированный компьютер с аппарат- ной защитой данных m-TrusT, который мы спроектировали, разработали, выпус- каем серийно и предоставляем вендорам СКЗИ для сертификации своих СКЗИ в варианте исполнения на этой платформе. Особенностями этого микрокомпью- тера являются: l Новая гарвардская архитектура, на аппаратном уровне обеспечивающая целостность ОС и "вирусный иммуни- тет"; l аппаратная поддержка реализации доверенной загрузки (резидентный ком- понент безопасности, в котором реали- зован СДЗ уровня BIOS), l функциональная замкнутость среды, обеспечиваемая специальным программ- ным модулем; l аппаратное резидентное решение по неизвлекаемости ключа, не требующее подключения отчуждаемого носителя, а стало быть, обеспечивающее старт и работу в автоматическом режиме; l аппаратный ДСЧ. При этом формфактор m-Trust обес- печивает возможность адаптации к раз- нообразному оборудованию объектов КИИ без проведения дополнительных сертификационных испытаний, посколь- ку коммутация обеспечивается с помо- щью интерфейсных плат, а специализи- рованный компьютер, являющийся плат- формой СКЗИ, остается неизменным. Доверенная загрузка поддерживается программным комплексом "Аккорд-МКТ", сертифицированным ФСТЭК. Функциональная замкнутость среды поддерживается комплексом "Аккорд-Х", сертифицированным ФСТЭК. Физический датчик случайных чисел – двухплечевое решение с использовани- ем диодов 2Г103А9, по схеме "Дебют", имеет положительное заключение ФСБ. Криптографическое API поддержки аппаратного неизвлекаемого ключа платформы m-TrusT имеет положитель- ное заключение ФСБ. Ресурсы m-TrusT позволяют обеспе- чить СФК, позволяющую сертифици- ровать вариант исполнения СКЗИ на m-TrusT на класс КС3. Соответствующий опыт уже есть: спе- циализированный компьютер с аппарат- ной защитой данных m-TrusT сертифи- цирован ФСБ как платформа для СКЗИ DCrypt на класс КС3, но в конкретном решении встроенное СКЗИ может быть любым сертифицированным. Но в отличие от той начальной ситуа- ции, когда мы понимали, как надо, и делали платформу, которая могла как-то применяться в КИИ, сейчас мы уже можем говорить о практике приме- нения решений на базе m-TrusT. Так, в проектах АО "РЖД" – "Сапсан", "Ласточка", "Иволга" применяются крип- тошлюзы на базе m-Trust под общим названием TrusT-in-Motion (TiM). В МиМО ПФР используются термина- лы VDI на базе m-TrusT под общим названием "m-TrusT Терминал". В станках с ЧПУ "Балт-Систем" и уста- новлены m-TrusT как таковые, без кор- пуса, на специально разработанной для этого проекта интерфейсной плате. В шкафах SCADA "Вега-газ" установ- лены криптошлюзы m-TrusT в корпусе для установки на DIN-рейку. Для различных компаний мы также реализовали решения для БПЛА, защи- щенного удаленного доступа, АТМ. Каждый микрокомпьютер m-TrusT является точкой сбора информационных и/или управляющих сигналов от объектов КИИ, их шифрования для передачи по каналам связи, а также приема зашиф- рованных сигналов из каналов связи и их расшифровки. Построенное на m-TrusT решение может поддержать любой из вариантов связи объектов или даже все их одно- временно, причем с дублированием каж- дого канала (несколько каналов Ethernet, несколько SIM-карт для мобильного Интернета и т.д.), с тем чтобы во время работы использовать тот, что доступен в данный момент и в данном месте. Подытожим основные преимущества m-TrusT: 1. Работа в автоматическом режиме, что существенно снижает нагрузку на организационно-технические меры при эксплуатации СКЗИ. 2. Изменение формфактора без повторной сертификации изделия, что значительно сокращает сроки работ по защите КИИ. 3. Обеспечивается работа с любыми каналами связи, используемыми в КИИ. 4. Обеспечивается защита КИИ без глубокой переработки ее структуры, что сильно сокращает затраты на проведе- ние мероприятий. 5. Предыдущие пункты подтверждены практикой. l Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT Светлана Конявская-Счастная, АО “ОКБ САПР” На правах рекламы
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw