Сергей Добриднюк, заместитель директора департамента «Операционная деятельность» в «Диасофт», и Денис Сенюков, директор департамента по работе с финансовым сектором в компании «Информзащита», выступили с докладом «Архитектура ИБ цифрового рубля без «черных дыр».
Архитектура информационной безопасности в цифровом рубле – это не «сервис», а базовое условие легитимности, заявил Сергей Добриднюк. «Это уровень, на котором жесткие требования ФСТЭК, ФСБ и ЦБ должны быть интегрированы в ИТ-ландшафт банка без потери функциональности транзакционных систем», — подчеркнул он.
Четко прописанные требования и правила платформы ЦР крайне важны и, по словам эксперта, сегодня среди всех слоев архитектуры (бизнес, базы данных, интеграция и др.) информационная безопасность наиболее задокументирована. Однако банкам крайне сложно переводить теорию в практику, так как они вынуждены действовать в условиях жестких технологических и операционных ограничений. Сергей Добриднюк перечислил эти препятствия:
- Регулятор требует изоляции систем, работающих с ЦР и криптографией. Однако отсутствует стандарт, как именно это сделать: выделить физические сервера, использовать логическую сегментацию (VLAN/VRF) или строить микросегментацию на базе Zero Trust.
- Отсутствие «золотого стандарта» СЗИ. На рынке есть несколько ключевых производителей, но их аппаратные модули (HSM) имеют разные протоколы управления, способы резервирования и физические интерфейсы. ЦБ РФ не предписывает конкретную модель. Банку приходится «изобретать» логику подключения: если вы выберете одного вендора и «зашьете» его API в ядро системы, перейти на другого при перебоях с поставками будет невозможно.
- Отсутствие единого перечня «подозрительных паттернов» для Цифрового рубля. Банки самостоятельно настраивают правила, что считать инцидентом (например, 10 запросов баланса в секунду или подпись с необычного IP-адреса шлюза).
- Системы КИИ нужно обновлять, не нарушая периметр. Регулятор не прописывает процесс безопасной доставки кода в изолированный контур ЦР.
«Без системного подхода к архитектуре ИБ банк рискует построить «золотую клетку» – максимально безопасную систему, которую невозможно обновлять, поддерживать или масштабировать при росте нагрузки. Опыт «Диасофт» показывает: нужно строить «модульную ИБ» так, чтобы замена HSM или криптобиблиотеки была «заменой детали», а не переписыванием всего проекта. Это и есть главная задача системного подхода в ИБ – обеспечить технологический суверенитет банка», — объяснил Сергей Добриднюк.
В первой волне подключения к платформе ЦР участвовали крупные банки, у которых есть финансовые ресурсы на инновации. Для средних и малых банков при выборе ИТ-решения для цифрового рубля ценовой критерий не менее важен чем функциональность и производительность.
У банка есть возможность экономить на ИТ-решении Цифрового рубля, продолжил тему Денис Сенюков. Он советует:
- Выбирать оптимальные решения от разных вендоров. При мультивендорном подходе требуется закладывать больше времени на этап стендирования совместимости комопнент.
- Использовать собственные вычислительные мощности для вспомогательных и тестовых компонентов: тестовая среда, балансировщики, бэкапирование, вспомогательные компоненты приклада, не требующие криптографии.
- Переиспользовать межсетевые экраны ФСТЭК, граничные и внутренние.
Спикер также призвал банки искать баланс между эксплуатационными характеристиками архитектуры и стоимостью исходя из планируемой нагрузки на ближайшие 3 года. По его словам, важно выбирать решение и партнеров с опытом реализации и экспертизой по СКЗИ.
15 российских банков уже выбрали «Цифровой рубль Банка России» от «Диасофт». Это современное микросервисное решение для автоматизации всех операций с цифровым рублем. Его подсистема информационной безопасности поддерживает все российские системы защиты информации.
«Цифровой рубль Банка России» от «Диасофт» является полностью импортонезависимым и включено в реестр отечественного программного обеспечения Минцифры России.