После выхода и вступления в силу Указания Банка России большинство финансовых организаций оказалось перед необходимостью изменения организации защиты своих сетевых коммуникаций хотя бы в той части, которой касается это Указание, – в части осуществления переводов денежных средств. Желание минимизировать изменения и не трогать то, что «и так работает», хорошо понятно каждому. Однако в том случае, когда обязательно подлежит изменению именно наиболее сложный в технологическом смысле сегмент инфраструктуры, эта игра может не стоить свеч.

К основным особенностям, которые существенно влияют на обеспечение защиты сетевой коммуникации при осуществлении переводов денежных средств, относятся следующие:

• жесткие требования к времени и порядку выполнения автоматизированных функций;
• наличие разнородных, территориально и пространственно распределенных элементов (мобильных и стационарных) с сочетанием разнообразных информационных технологий (банкоматы, терминалы оплаты, информационные киоски, фронт-офис, ДБО и пр.);
• неприемлемость отключения сис­тем для проведения мероприятий по обеспечению безопасности информации, а также другие требования аналогичного плана.

При этом структурно в инфраструктуре, обеспечивающей переводы денежных средств, может быть выделена совокупность подконтрольных объектов (ПКО) и совокупность каналов связи, по которым передаются информационные и управляющие сигналы. Все информационные и управляющие сигналы, сформированные ПКО, должны защищаться на месте выработки, доставляться в защищенном виде и расшифровываться перед обработкой (использованием) другим ПКО. Это требует внедрения в уже функционирующие инфраструктуры средств защиты, которые должны обеспечивать: 

• криптографическую защиту ин­-фор­мации о состоянии ПКО и управляющих сигналов для ИС; 
• информационное взаимодействие с ПКО (USB, Ethernet и др.); 
• возможность использования стан­дартных цифровых каналов (Wi-Fi, Bluetooth и др.); 
• информационное взаимодействие с каналообразующей аппаратурой (RS232, RS435 и др.). 

Большинство имеющихся в настоящее время на рынке средств защиты информации при их внедрении потребуют в лучшем случае некоторой доработки отдельных ПКО, а в худшем случае – изменение функциональной структуры и замену ПКО на совместимые со средствами защиты. Оба эти варианта связаны с существенными финансовыми и временными затратами, вплоть до приостановки функционирования, что зачастую неприемлемо. Альтернативным вариантом является гибкая адаптация средств защиты информации под различные типы оборудования самого различного назначения. Это вариант, очевидно, менее хлопотный для финансовой организации, так как адаптация средств защиты информации (СЗИ) выполняется не ими, а вендорами СЗИ.

Примеров таких СЗИ на сегодняшний день немного, но они есть. Для защиты сетевой коммуникации в инфраструктуре, включающей разнообразное оборудование, взаимодействующее разнообрзным образом по различным каналам, можно использовать интеграционную платформу «МК-И».

Интеграционная платформа «МК-И» представляет собой комплекс распределенных одноплатных микрокомпьютеров m-TrusT Новой гарвардской архитектуры, обладающих «вирусным иммунитетом», и интерфейсных плат. Каждый микрокомпьютер m-TrusT является точкой сбора информационных и/или управляющих сигналов от ПКО, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровки.

Типовые характеристики микрокомпьютеров: 

• Габаритные размеры: 65 x 80 мм
• Процессор: Quad-core ARM
• Cortex-A17, до 1,8 ГГц
• ОЗУ: 2 Гб DDR3
• ПЗУ: 16 Гб NAND-flash
• microUSB
• microHDMI

Общий вид микрокомпьютера m-TrusT представлен на рисунке 1.

Для того чтобы корректно подключиться к тому или иному конкретному ПКО и каналообразующей аппаратуре различных типов, необходимо использовать интерфейсные платы.

 
Рис. 1. Микрокомпьютер m-TrusT

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить необходимую производительность и высокий уровень защищенности. Особенностями m-TrusT является наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом read only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации. Встроенные средства защиты информации имеют сертификаты соответствия ФСБ России и ФСТЭК России.

Коммутировать микрокомпьютер m-TrusT в «разрыв» между ПКО различного назначения и каналом связи позволяет интерфейсная плата. Как уже упоминалось, разнообразие оборудования, взаимодействующего по сети (ПК, банкомат, информационный киоск, терминал оплаты и т.д.), является ключевой характеристикой инфраструктуры финансовой организации, поэтому интерфейсные платы должны быть разными, чтобы коммутировать одно и то же СЗИ (то есть не совместимые, не похожие, а именно одинаковые СЗИ) с разными ПКО. Например, она может быть такой, как на рисунке 3:

• Габаритные размеры: 90 x 105 мм
• Соединитель типа «розетка» 
• 87758-2016 MOLEX
• Разъем USB, тип A
• Разъем Ethernet
• Разъем питания от источника постоянного напряжения 5 вольт

Интерфейсная плата № 2

• Габаритные размеры 90 x 110 мм
• Соединитель типа «розетка» 87758-2016 MOLEX
• USB-хаб
• Разъем USB, тип A
• 2 разъема Ethernet
• Разъем RS-232, подключенный через преобразователь USB-RS-232
• Разъем RS-485, подключенныйичерез преобразователь USB-RS-485
• Разъем для карты micro-SD 
• Разъем питания от источника постоянного напряжения 5 вольт

Рис. 2. Интерфейсная плата

На рисунке 3 изображен m-TrusT, подключенный к интерфейсной плате.

Рис. 3. Интерфейсная плата с подключенным m-TrusT

На рисунке 4 показан другой вариант интерфейсной платы с меньшим количеством интерфейсных разъемов:

• Габаритные размеры: 90 x 105 мм
• Соединитель типа «розетка» 
• 87758-2016 MOLEX
• Разъем USB, тип A
• Разъем Ethernet
• Разъем питания от источника постоянного напряжения 5 вольт

Рис. 4. Интерфейсная плата («облегченный» вариант)

Возможна разработка интерфейсных плат для других типов разъемов. С учетом уже имеющегося опыта внедрения на транспорте мы уверенно говорим о том, что эта задача решается с положительным результатом в разумные сроки.

Разумеется, не всегда уместно использование СЗИ именно такого форм-фактора. Обычно оборудование, обрабатывающее данные с ПКО, представляет собой обыкновенные сервера в серверных стойках, размещенных стационарно и не имеющих каких-либо значительных конструктивных особенностей. И для этого элемента инфраструктуры финансовой организации больше подойдет исполнение «в стойку». 

При этом технически, не считая корпуса, это одно и то же оборудование, оно работает, эксплуатируется и обслуживается одинаково.

Таким образом, использование микро­компьютеров m-TrusT для защиты сетевого взаимодействия финансовой организации позволит построить подсистему защиты для разнообразного оборудования с использованием одного и того же СЗИ, «подогнанного» под каждый инфраструктурный элемент. Каждый, кто проектировал или внедрял подсистему защиты информации, понимает, как много это значит во всем – от обучения эксплуатирующего персонала до проведения ремонтных работ. В данном же случае перекоммутировать интерфейсную плату не требуется, просто заменяется подключенный к ней модуль, и операция становится элементарной. В таких условиях имеет смысл не ограничивать модернизацию исключительно той частью инфраструктуры, что подпадает под действие Указания, а, наоборот, унифицировать защиту сетевого взаимодействия, сократив «зоопарк» технических средств без затрат на адаптацию собственной инфраструктуры.