Рубрикатор | ![]() |
![]() |
Статьи | ![]() |
ИКС № 7-8 2008 | ![]() |
![]() |
Галина БОЛЬШОВА | 28 июля 2008 |
Знак качества безопасности
Нередко операторы, особенно крупные, защищают только процесс передачи информации, биллинг и системы документооборота, забывая подчас о безопасности информации клиента, передаваемой по их каналам связи. Но вирус или троян клиента способен «положить» и систему, и сеть оператора. Помогают ли стандарты и аттестация сети и оборудования избежать проблем и дают ли гарантии пользователям?


Как показал отчет ЦИПРТ, расхожее мнение, что документов и законов для ИБ у нас в стране недостаточно, не совсем соответствует действительности. И хотя отраслевого стандарта ИБ в телекоме пока нет, а есть лишь Требования базового уровня для операторов связи, интересно узнать, насколько важна для самих операторов комплексная защита всех аспектов их деятельности и каналов связи. Насколько хватает им законодательных норм для защиты посредством унифицированных процедур?
Круглый стол провела обозреватель «ИКС» Галина БОЛЬШОВА.
Ситуацию в области ИБ в применении к сетям оператора обсуждали:
Павел Антонов, технический консультант, Cisco Systems;
Денис Батранков, консультант по информационной безопасности, IBM ISS;
Святослав Березин, ведущий инженер, «АМТ ГРУП»;
Александр Гермогенов, зам. директора департамента госполитики в области ИКТ Мининформсвязи России*; (должность указана на момент проведения круглого стола)
Дмитрий Костров, руководитель службы безопасности, МТТ;
Аркадий Кремер, председатель Исполкома АДЭ, зам. председателя исследовательской комиссии по стандартизации ИБ МСЭ;
Юлий Нисневич, профессор ГУ ВШЭ, сотрудник ЦИПРТ;
Валерий Петрунин, директор департамента по работе с телекоммуникационным сектором, «Информзащита»;
Алексей Сабанов, заместитель гендиректора, «Аладдин Р.Д.»;
Дмитрий Соболев, директор дирекции информационной безопасности компании ТТК;
Александр Ткачев, начальник отдела информационного обеспечения, «Связьинвест»;
Илья Трифаленков, директор по развитию бизнеса, «Инфосистемы Джет»;
Рустэм Хайретдинов, заместитель генерального директора, InfoWatch;
Алексей Чередниченко, ведущий консультант, Symantеc.
«ИКС»: Может ли оператор обойтись без стандартов в области ИБ, если он хорошо понимает, что и как ему надо защищать?


Ю. НИСНЕВИЧ: Что это такое – стандарт технической или правовой защиты? Полагаю, что стандарт технической защиты – замечательный подарок тем, кто хочет туда залезть, ведь нарушители целостности системы тоже читают стандарты.
И. ТРИФАЛЕНКОВ: В корне неверно, что стандарты помогают похитителям ресурсов. Стандарт – это всегда порядок. Беспорядок не делает жизнь безопасной. Практика показывает: чем более упорядочена система, тем больше у нее шансов стать безопасной. Хотя бы потому, что в такой системе все риски оценены, а на наиболее значимые из них предусмотрены контрмеры.


А. ГЕРМОГЕНОВ: Многие считают: маленький оператор может прожить и без стандарта. Но где? Разве что в полной изоляции. Регулятор призван устанавливать правила игры на общем поле, в единой сети электросвязи РФ, к которой хочет подключиться и маленький оператор. По мнению регулятора, операторам наиболее важно обеспечить ИБ средств связи для поддержания устойчивого функционирования сети, т.е. опосредованно – для непрерывного предоставления услуг связи. Увы, но в настоящее время в РФ нет нормативных документов, определяющих базовые требования к оборудованию и к операторам связи для игры на общем поле.


Р. ХАЙРЕТДИНОВ: Регламенты у нас строгие, но необязательные к исполнению. Компания InfoWatch занимается защитой конфиденциальных данных, в том числе от потерь, но история не знает оператора, который был бы наказан регулятором за их утерю. А зачем тогда следовать каким-то стандартам и требованиям, если они не приносят реальных денег и за их невыполнение никто не карает? Но если стандарт приносит деньги – будем выполнять, даже если он не навязан регулятором.

«ИКС»: Насколько нормы базового уровня удовлетворяют требованиям ИБ для операторов? Сложны ли они для операторов или слишком просты?
А. КРЕМЕР: Безопасность – неотъемлемая часть операторского бизнеса, и речь должна идти не об отрасли «Безопасность», а о безопасности в отрасли «Связь». Стандарт МСЭ по базовому уровню (его требования рождались в том числе и в АДЭ) появился по причине важности безопасности взаимодействия операторов сети связи общего пользования. В этом его главный смысл. На основе этого международного документа в рамках добровольной системы «Связь–Качество» (российская система под эгидой Федерального агентства связи) утвержден российский нормативный документ «Базовый уровень ИБ операторов связи». Один из четырех органов сертификации (ЦКС), получил аккредитацию по направлению «Информационная безопасность». Практически завершил сертификацию МТТ, готовятся к сертификации еще ряд операторских компаний.

А. ТКАЧЕВ: В МРК базовый уровень по большей части внедрен, в основном в генеральных дирекциях. Но в целом в сетях электросвязи еще не полностью создана инфраструктура, соответствующая базовому уровню (вспомните инцидент в ЮТК с DDoS-атакой). Степень внедрения высока в СЗТ, на Урале, в Сибири, а в других филиалах недостаточна.
А. КРЕМЕР: Все стандарты априори добровольные. Но сама безопасность не может рассматриваться как дело добровольное! Со временем некоторые нормы могут стать обязательными.

А. КРЕМЕР: Есть немало примеров, когда обязательными становились требования после их включения в нормативные правовые акты.
А. ГЕРМОГЕНОВ: Регулятор занимается нормативами. Требования стандартов – это фактически те же, но добровольные нормы. Некоторые из них, как показывает опыт, наверняка перейдут в разряд обязательных нормативных требований.
«ИКС»: Смогут ли операторы связи защитить персональные данные на своих сетях, следуя закону «О персональных данных»?
Д. СОБОЛЕВ: В ФЗ «О персональных данных» главное действующее лицо – оператор ПД. Специфику оператора связи никто учесть не захотел. Так, АСР обязательно содержит систему взаимодействия с клиентом (персональная страничка с информацией о балансе его счета и т.д.), возникает необходимость взаимодействия АСР с Интернетом. Как в этой ситуации обеспечить те требования, которые нам предъявляют?
Д. КОСТРОВ: Да и не просто сервер или CRM – всю территориально распределенную систему надо защищать (и во что это все обойдется?..). А размещать все данные в одном месте мы не имеем права. Компания у нас большая, а по созданной ФСТЭК классификации операторов персональных данных МТТ попадает в самый высокий класс защиты. При наших людских и финансовых ресурсах это не очень страшно, но, на мой взгляд, не совсем правильно. Закон о персональных данных повторяет прошлые ошибки, потом будем его дорабатывать…
В. ПЕТРУНИН: Если есть общий закон о персональных данных, то не мешало бы выработать отраслевой стандарт о защите персональных данных у оператора связи.


Д. СОБОЛЕВ: Дело не в том, как, а в том, сколько стоит эти требования реализовать. Операторы столкнутся с проблемой защиты персональных данных в силу отраслевой специфики. Если эти требования не адаптировать под специфику отрасли, то о возможности доступа к персональной странице клиента придется забыть. Вот и влияние стандартов в области ИБ на бизнес.
А. САБАНОВ: Зачем закрывать? Надо просто обеспечить защищенный доступ. Решения такие есть, и они сертифицированы ФСТЭК.
Д. КОСТРОВ: Цену вопроса для оператора, желающего защитить персональные данные «по закону», все узнают к 2010 г. Нормативы ФСТЭК только появились. Сначала надо выявить системы, обрабатывающие персональные данные, классифицировать их, выбрать и внедрить механизмы обеспечения безопасности согласно методическим рекомендациям ФСТЭК. Вот тогда мы и сможем оценить затраты. Срок сертификации систем – 1 января 2010 г.
«ИКС»: Как вы оцениваете степень влияния ИБ на бизнес оператора?
И. ТРИФАЛЕНКОВ: Даже если не говорить о дополнительных услугах, ориентированных на ИБ (а они есть, и их объем ежегодно растет), то возможность расширить клиентскую базу под лозунгом «у нас есть уровень безопасности, а у других нет» весьма значима.
Д. СОБОЛЕВ: Крупным операторам соответствие стандартам ИБ помогает в бизнесе. При выходе на массовый рынок также необходимы гарантии соблюдения требований по ИБ. Однако для простого обывателя сообщение, что компания сертифицирована по международному стандарту, – пустой звук. Нужны не просто стандарты, а стандарты, понятные людям, поддерживаемые государством. Им будут следовать, потому что они позволят привлечь новых клиентов.

Д. СОБОЛЕВ: ТТК выходит на рынок широкополосного доступа и заинтересован в наличии подобного стандарта. Но одного нашего желания недостаточно, необходима поддержка государства в продвижении стандарта в «широкие массы». Нам, операторам, нужен знак качества сервиса.
П. АНТОНОВ: А важна ли ИБ для физлиц? Наши пользователи не готовы к сервисам безопасности. Им важнее низкая цена, удобство пользования и широкий спектр предоставляемых услуг.
Р. ХАЙРЕТДИНОВ: Когда китайцы выходили на рынок Германии со своими дешевыми джипами, немцы демонстративно разбили машину и показали, что и как разбилось. То, что сертифицировано, разобьется как надо: с большей вероятностью сохранения жизни. Поэтому если государство поддержит оператора, то знак «Проверено государством. Безопасно», обязательно станет источником дохода. Только знак этот должен быть знаком для рынка, а не для специалистов.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!