Рубрикатор |
Статьи | ИКС № 9 2010 |
Сергей Владимирович КОТЬКАЛО | 14 сентября 2010 |
Базовый уровень – основа стандартизации операторов
Базовый уровень безопасности операторов связи представляет собой минимальный набор рекомендаций. Их выполнение будет гарантировать достаточный уровень информационной безопасности коммуникационных услуг, обеспечивая при этом баланс интересов операторов, пользователей и регулятора.
Мировой опыт показывает высокую эффективность института добровольной сертификации при условии существования самоорганизующихся профессиональных объединений. Активная и консолидированная позиция операторов связи позволяет формировать среду их существования. Очевидно, что в перспективе требования добровольной системы сертификации станут элементами системы обязательной сертификации, целью которой будет законодательно поддержать операторское сообщество на уровне, определенном самими же операторами.
В области ИБ сетей связи стандартизация и сертификация особенно важны, поскольку внедрение новых технологий, интеграция инфраструктур сетей и растущий уровень взаимодействия операторов открывает дорогу все новым угрозам. В рамках направления «Управление информационной безопасностью сетей и систем операторов связи» в Системе добровольной сертификации «Связь-Качество» разработан нормативный документ – Требования «Базовый уровень информационной безопасности операторов связи» (далее – Базовый уровень безопасности).
Опираясь на этот документ, учитывая, какие стандарты безопасности актуальны, когда и как они должны применяться, каждый оператор может оценить состояние своей системы информационной безопасности.
Базовый уровень безопасности можно рассматривать как основу стандартизации и сертификации в области информационной безопасности сетей связи. Для операторов этот документ значительно полезнее других систем сертификации по информационной безопасности (ISO 27001, ГОСТ 15408, аттестация на соответствие требованиям безопасности информации), поскольку он ориентирован именно на деятельность операторов и обеспечение безопасности их взаимодействия и содержит ограниченный набор требований.
Базовый уровень и реформа «Связьинвеста»
Сегодня, когда готовится реформа «Связьинвеста», Базовый уровень безопасности особенно важен. Как известно, реформа госхолдинга будет происходить в несколько этапов: консолидация МРК на базе «Ростелекома», присоединение региональных операторских компаний и объединение сотовых активов новой компании.
На каждом из этапов предполагается интеграция организационно-технических инфраструктур управления сетями связи объединяющихся операторов. Очевидно, что уровень информационной безопасности присоединяемых операторов связи сильно различается, а исходя из принципа непрерывности защиты, общий уровень ИБ новой структуры будет зависеть от уровня ИБ каждого оператора. Это требует создания механизма оценки информационной безопасности присоединяемых операторов, который обеспечил бы их взаимное доверие. Именно в качестве такого механизма целесообразно рассматривать систему сертификации операторов на соответствие требованиям Базового уровня безопасности.
Однако, чтобы этот механизм начал действовать и стал по-настоящему эффективным, нужно провести большую работу:
• уточнить и детализировать требования Базового уровня безопасности на основе лучших мировых практик (ISO 27001 и 27002, рекомендаций МСЭ и т.д.);
• выработать более строгую систему оценок и поддающихся измерению критериев;
• для обеспечения высокого качества и независимости аудита разделить функции подготовки к сертификации и ее проведения.
Опыт, который будет получен при объединении МРК на базе «Ростелекома», даст уникальную возможность для доработки и развития Базового уровня безопасности и системы сертификации. В частности, на наш взгляд, в Базовом уровне должны найти отражение повышенные требования к ИБ, обусловленные планируемым размещением акций объединенной компании на Лондонской фондовой бирже.
Базовый уровень и централизованное управление сетью
В ближайшем будущем Базовый уровень безопасности может иметь и другие конкретные применения. Например, соответствующий ему механизм контроля может быть использован при оказании услуг связи государственным спецпользователям, в частности в рамках создания системы централизованного управления (далее – СЦУ) сетью связи общего пользования (ССОП) Единой сети электросвязи РФ в чрезвычайных ситуациях и в условиях чрезвычайного положения.
Цель создания СЦУ – управление взаимодействием спецпользователей и операторов для обеспечения эффективного и надежного предоставления услуг связи для государственных нужд с необходимым уровнем информационной безопасности. СЦУ взаимодействует с центрами управления сетей операторов, входящих в ССОП и участвующих в оказании услуг спецпользователям, а также с центрами управления сетей связи специального назначения. СЦУ является распределенной иерархической системой и состоит из ряда центров управления: НЦУСС (национальный центр управления сетями связи) и ТЦУСС (территориальный центр управления сетями связи) в каждом федеральном округе.
С точки зрения предоставления услуг связи спецпользователям сети, присоединенные к СЦУ, являются ее частью, и поэтому к ним и к их системам управления, участвующим в предоставлении услуг связи спецпользователям, должны предъявляться соответствующие требования по уровню управления сетями электросвязи вообще и по обеспечению ИБ и уровню управления системами ИБ в частности. В чрезвычайных ситуациях и в условиях чрезвычайного положения сеть электросвязи должна обеспечить:
• организацию и контроль исполнения решений о приоритетном использовании ресурсов сети связи и средств связи, сохранившихся в зоне чрезвычайных ситуаций;
• мониторинг хода восстановления работоспособности сети связи и средств связи в случаях их повреждения;
• подготовку и доведение до эксплуатационного персонала оперативных решений по обеспечению дополнительно возникающих потребностей в связи для нужд государственного управления, обороны страны, безопасности государства, обеспечения правопорядка;
• взаимодействие с органами всех уровней единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций.
В рамках вклада комитета ИК-17 МСЭ-Т в развитие Резолюции 58 «Поощрение создания национальных групп реагирования на компьютерные инциденты, в частности для развивающихся стран» российская делегация на Всемирной ассамблее по стандартизации электросвязи 2008 г. предложила разработать рекомендации по созданию национальных центров безопасности сетей связи (NNSC), которые должны обеспечивать координацию усилий национального операторского сообщества в вопросах обеспечения безопасности ССОП. Защищенная передача информации, киберсекьюрити, защита от фрода, безопасное взаимодействие, сбор и обмен решениями (лучшими практиками) – вот неполный перечень проблем, которые должен решать NNSC. Российский NNSC может быть построен на базе СЦУ как наиболее подходящего для этих целей института. В этом случае круг операторов связи, которые будут подключаться к СЦУ, значительно расширится и актуальность выполнения присоединенными операторами требований обеспечения безопасности повысится. Система сертификации на соответствие Базовому уровню безопасности может стать тем фундаментом, на котором будут формироваться и развиваться требования, предъявляемые к СЦУ в части информационной безопасности.
В заключение отметим, что создать эффективную систему контроля уровня информационной безопасности на основе системы сертификации на соответствие Базовому уровню безопасности можно только при деятельной поддержке как операторского сообщества, так и государства. икс
Чего требует Базовый уровень
В разработке «Базового уровня информационной безопасности операторов связи» под эгидой АДЭ участвовала группа представителей предприятий отрасли. Авторы документа опирались на Правила системы добровольной сертификации услуг связи, средств связи и систем менеджмента качества организаций связи «Связь-Качество», утвержденные Протоколом № 1 от 23.12.2004 заседания организаторов Системы добровольной сертификации «Связь-Качество».
Соответствие рекомендациям Базового уровня означает готовность и способность оператора связи взаимодействовать с другими операторами, пользователями и правоохранительными органами с целью совместного противодействия угрозам информационной безопасности.
Выполнение всех рекомендаций может быть проверено. Проверка может осуществляться как самостоятельно оператором с последующим декларированием, так и аудиторским органом через систему подтверждения соответствия. Рекомендации могут использоваться для установления многосторонних критериев, с помощью которых оператор может оценить состояние своей сетевой и информационной безопасности.
Документ содержит требования к политикам оператора, к функциональности (техническим средствам) и к взаимодействию.
Операторам рекомендуется иметь утвержденную в соответствии с внутренними процедурами политику безопасности, основанную на лучших практиках оценки и управления рисками, отвечающую требованиям деловой деятельности и национальному законодательству. Политика безопасности должна публиковаться и доводиться до сведения персонала оператора и внешних участников (клиентов, взаимодействующих операторов, других заинтересованных лиц).
Требования к функциональности рекомендуют использовать только сертифицированные технические средства в строгом соответствии с условиями лицензионного соглашения, определяемого их изготовителем. Для доступа к управляющим функциям коммуникационного оборудования применяются персональные учетные записи. На коммуникационном оборудовании запрещается неавторизованный доступ или доступ с паролем по умолчанию к управляющим и консольным портам, управляющим или административным учетным записям любого коммуникационного оборудования и/или ПО.
В отношении взаимодействия оператору рекомендуется иметь возможность идентифицировать клиентов и других операторов, с которыми он непосредственно взаимодействует на физическом и канальном уровнях. Также оператор должен иметь круглосуточную службу реагирования на инциденты безопасности – собственную или аутсорсинговую.
Д. КОСТРОВ, директор по проектам ОАО «МТС»