Привет Хабр! Меня зовут Константин Закатов, я работаю в «ПК Аквариус» директором департамента по информационной безопасности. Количество киберугроз растет, поэтому необходимо постоянно модернизировать и адаптировать подходы к защите оборудования на объектах критической информационной инфраструктуры (КИИ). Один из ответов текущие вызовы - внедрение встроенных механизмов безопасности.
В этой статье объясню, что представляют собой эти встроенные механизмы безопасности, и расскажу, в каком направлении они развиваются на примере решений нашей компании.
Компания «Аквариус» - вендор, который разрабатывает и производит широкий спектр ИТ-оборудования, а также реализует комплексные ИТ-проекты федерального масштаба, включая решения в области кибербезопасности. Мы - его сотрудники - видим, что вопросы безопасности становятся критически важными на каждом этапе жизненного цикла ИТ-систем. Мировой рынок давно использует различные встроенные и неотделимые механизмы, такие как TPM и проприетарные чипы безопасности. Давайте разберёмся, как добиться похожего уровня у нас в стране на практике.
Для построения надёжной и безопасной информационной инфраструктуры требуется соединить компетенции по разработке средств вычислительной техники и экспертизу в области информационной безопасности.
Годами мы жили в мире, где базовые инструменты информационных систем были придуманы и спроектированы вне нашего поля зрения. Мы потребляли только готовый продукт, зачастую не отвечавший требованиям отечественных нормативных документов. Однако, поступательное движение нашей нормативной базы по локализации разработки и производства даёт свои плоды – мы научились создавать гораздо больше сами, а не только пользоваться готовыми технологиями. Тем самым мы движемся в сторону технологического суверенитета.
Аналогию технологическому суверенитету можно найти в области продуктовой безопасности: множество требований регламентируют обязанность любых иностранных производителей локализовывать свою продукцию на территории нашей страны, будь то йогурт или сладости. Так почему же мы не должны в областях промышленности, которые имеют критическое значение для нашей страны, действовать схожим образом? И если лет 10-15 назад мы говорили о встраивании отдельных элементов безопасности в иностранную технику, потому что мы не обладали достаточными компетенциями, то сейчас нам под силу реализовать сложные, но крайне необходимые элементы «по умолчанию» в отдельных элементах инфраструктуры и обеспечить их жизненный цикл в рамках всей системы.
Объекты КИИ
Рассмотрим для примера абстрактный современный объект КИИ. Это сложная, зачастую распределенная система, включающая несколько или все эти элементы:
Рис. 1. Схема сети типового объекта
Центр обработки данных (серверы)
Территориально распределённые пользователи (АРМ)
Мобильные сотрудники (планшеты и смартфоны)
Удалённые работники (ноутбуки)
Сети связи (коммутаторы)
Хранилища данных (СХД)
Каждый из этих элементов — потенциальная точка входа для злоумышленников, которые могут реализовать и развивать свои атаки с целью хищения информации или нанесения ущерба. Классические угрозы, реализуемые разными группами злоумышленников — осуществление несанкционированного доступа к информации, внедрение вредоносного ПО, организация сетевых атак. Соответственно, каждый из перечисленных элементов должен иметь свои механизмы защиты.
Нормативная база
Сейчас требования к защите информации в государственных информационных системах регламентируется Приказом ФСТЭК России от 11 февраля 2013 года № 17.
В августе 2024 года ФСТЭК России опубликовал для общественного обсуждения проект нового приказа, который вносит серьезные изменения в требования к защите информации в государственных информационных системах.
Вот некоторые требования нового документа, на которые обращу внимание:
доверенная загрузка ПО для серверов и рабочих станций российского производства с применением аппаратных модулей безопасности для хранения ключей и сертификатов;
строгая аутентификация с использованием аппаратных модулей безопасности для всех новых серверов и рабочих станций российского производства, подключаемых к информационным системам после 1 января 2029 года. Эти изменения подталкивают к переходу на доверенное "железо" и софт с аппаратными средствами защиты.
Сейчас в нормативной базе ещё недостаточно охвачен вопрос применения тех самых модулей безопасности, которые должны быть внутри каждого элемента информационной системы. В мире существует несколько вариантов реализации такой технологии, и единого стандарта для всех нет. В текущих условиях для защиты наших критических областей мы должны создать такой стандарт как минимум в рамках государства.
Немного о доверенных ПАКах: что это такое и зачем они нужны?
Программно-аппаратный комплекс (ПАК) — это решение, где "железо" и софт совместно закрывают конкретную задачу.
Чтобы ПАК считался доверенным, он должен отвечать ряду критериев:
железо должно входить в реестр российской радиоэлектронной продукции;
софт должен соответствовать требованиям к ПО для органов государственной власти и компаний, работающих по 223-ФЗ на значимых объектах КИИ (согласно ПП РФ № 1478);
и софт, и железо должны соответствовать требованиям ФСТЭК и/или ФСБ и иметь соответствующие сертификаты (если ПАК выполняет функции защиты информации).
К 2029 году доля доверенных ПАКов в инфраструктуре КИИ должна составлять 100%.
Типы доверенных ПАК:
ПАК ИБ: Межсетевые экраны, системы обнаружения вторжений (СОВ/СПА), средства защиты от утечек информации (DLP).
ПАК для работы с данными: Системы ввода/вывода и обработки данных, СУБД.
ПАК виртуализации: Платформы виртуализации, контейнеризации, гиперконвергентные решения.
ПАК систем хранения данных.
ПАК видеоконференцсвязи.
ПАК телекоммуникационного оборудования: Коммутаторы, маршрутизаторы.
ПАК АСУ ТП: ПЛИС, SCADA-системы.
Мы в «Аквариусе» активно сотрудничаем с ведущими российскими разработчиками ПО для создания комплексных решений, отвечающих самым высоким требованиям безопасности. Наличие собственных производственных мощностей и экспертных знаний позволяет нам контролировать безопасность на каждом этапе: от проектирования до производства, от поставки до организации технической поддержки. При этом «Аквариус» обладает всеми необходимыми лицензиями для работы в области информационной безопасности:
на деятельность по разработке и производству средств защиты конфиденциальной информации;
на деятельность по технической защите конфиденциальной информации;
на проведение работ, связанных с созданием средств защиты информации.
Наши серверы, СХД и коммутаторы служат надежной аппаратной платформой для различных инфраструктурных решений, а совместная работа с партнёрами в итоге приведёт отрасль к следующему уровню защищённости инфраструктуры – с использованием встроенных технологий безопасности.
Заключение
Встроенные механизмы безопасности — это не просто тренд, а необходимость. Комплексный подход, включающий доверенное «железо», сертифицированное ПО и аппаратные средства защиты, становится стандартом де-факто. Внедрение таких механизмов требует глубокого понимания нормативной базы и тесного сотрудничества с надежными поставщиками и разработчиками.