Вызовы для банков

Некоторые даже не предполагают, сколько в таком проекте приходится учитывать деталей, включая множественные требования к режиму обеспечения ИБ. Основные из них изложены в Положении Банка России «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля» от 7 декабря 2023 года № 833-П. Но это только верхушка айсберга.

Список их велик: здесь требования к эксплуатации средств криптографической защиты информации, к межсетевым экранам, нормативы в области работ по оценке влияния программно-аппаратных средств сети на функционирование модуля Банка России, требования безопасности, предъявляемые к КИИ, и многие другие.

Проект по созданию инфраструктуры цифрового рубля требует серьезного опыта и углубленных знаний. Специалисты по ИБ, задействованные в таком проекте, должны обладать десятками специализированных компетенций.

Так, банкам, для выполнения такого проекта необходимо подобрать средства защиты информации (СЗИ), доработать банковское программное обеспечение (ПО), встроить криптографические средства в это ПО, организовать защищенные каналы связи, развернуть два удостоверяющих центра, встроить в систему дистанционного банковского обслуживания модуль ЦБ с сертифицированным средством криптографической защиты информации, изолировать инфраструктуру цифрового рубля от остальной инфраструктуры банка, обеспечить корректное функционирование криптографических средств, провести оценку корректности встраивания СКЗИ.

Цифровой рубль: строим магистраль без пробок

Самостоятельно реализовать такой многоуровневый проект под силу только крупнейшим банкам, располагающим большими IТ- и ИБ-командами. При отсутствии таких ресурсов я бы не рекомендовал идти по пути максимальной экономии. К этой работе имеет смысл привлечь дополнительную команду квалифицированных специалистов.

На мой взгляд, стоит приступать к такому проекту с опытным системным интегратором в сфере ИБ, что позволит избежать фатальных ошибок вследствие выбора неверных архитектурных решений, выстроить верную магистральную линию, выработать четкий план действий, предусмотреть весь спектр требований по безопасности, проработать дорожную карту, избежать многих ошибок, чреватых удорожанием проекта и сложностями с его реализацией в срок.

Может ошибочно показаться, что времени на реализацию проекта еще достаточно, но это не так. Поскольку выполнение всего комплекса мероприятий, включая доработки ПО, прохождение процедур оценки соответствия, организацию тестового взаимодействия с Банком России, может занять около года, времени остается все меньше. Особенно с учетом того, что проект требует существенных финансовых вложений и реализовать его за счет текущего бюджета не получится.