Рубрикатор |
Статьи | ИКС № 7-8 2008 |
Галина БОЛЬШОВА  | 28 июля 2008 |
Знак качества безопасности
Нередко операторы, особенно крупные, защищают только процесс передачи информации, биллинг и системы документооборота, забывая подчас о безопасности информации клиента, передаваемой по их каналам связи. Но вирус или троян клиента способен «положить» и систему, и сеть оператора. Помогают ли стандарты и аттестация сети и оборудования избежать проблем и дают ли гарантии пользователям?
Исследование нормативной базы в области информационной безопасности (ИБ) при предоставлении услуг в области связи, проведенное по заказу НП «ЦИПРТ», стало мотивом для организации ЦИПРТ и журналом «ИКС» круглого стола «Стандартизация в области информационной безопасности и бизнес оператора связи».Как показал отчет ЦИПРТ, расхожее мнение, что документов и законов для ИБ у нас в стране недостаточно, не совсем соответствует действительности. И хотя отраслевого стандарта ИБ в телекоме пока нет, а есть лишь Требования базового уровня для операторов связи, интересно узнать, насколько важна для самих операторов комплексная защита всех аспектов их деятельности и каналов связи. Насколько хватает им законодательных норм для защиты посредством унифицированных процедур?
Круглый стол провела обозреватель «ИКС» Галина БОЛЬШОВА.
Ситуацию в области ИБ в применении к сетям оператора обсуждали:
Павел Антонов, технический консультант, Cisco Systems;
Денис Батранков, консультант по информационной безопасности, IBM ISS;
Святослав Березин, ведущий инженер, «АМТ ГРУП»;
Александр Гермогенов, зам. директора департамента госполитики в области ИКТ Мининформсвязи России*; (должность указана на момент проведения круглого стола)
Дмитрий Костров, руководитель службы безопасности, МТТ;
Аркадий Кремер, председатель Исполкома АДЭ, зам. председателя исследовательской комиссии по стандартизации ИБ МСЭ;
Юлий Нисневич, профессор ГУ ВШЭ, сотрудник ЦИПРТ;
Валерий Петрунин, директор департамента по работе с телекоммуникационным сектором, «Информзащита»;
Алексей Сабанов, заместитель гендиректора, «Аладдин Р.Д.»;
Дмитрий Соболев, директор дирекции информационной безопасности компании ТТК;
Александр Ткачев, начальник отдела информационного обеспечения, «Связьинвест»;
Илья Трифаленков, директор по развитию бизнеса, «Инфосистемы Джет»;
Рустэм Хайретдинов, заместитель генерального директора, InfoWatch;
Алексей Чередниченко, ведущий консультант, Symantеc.
«ИКС»: Может ли оператор обойтись без стандартов в области ИБ, если он хорошо понимает, что и как ему надо защищать?
А. ТКАЧЕВ: Кроме собственной ИС и безопасности сетевой инфраструктуры, компании «Связьинвеста» очень заботит предоставление потребителям качественных услуг. Отсюда повышенное внимание к защите данных в АСР, передаваемых данных и – по новому закону – персональных данных. И без стандартов здесь не обойтись. Существует крылатое выражение: «Если есть ресурс, к нему должен быть и контроль доступа. Нет контроля доступа, нет и ресурса». В МРК давно созданы регламенты доступа к данным и организации работы с защищаемыми ресурсами. К сожалению, не все операторы осознают важность стандартов и использования лучших мировых практик по защите информации.
Д. СОБОЛЕВ: Может ли оператор обойтись без стандартов в области ИБ – зависит от зрелости компании. Первым домовым сетям не нужны были стандарты. К ним в очередь вставали, чтобы подключиться к Интернету. А альтернативные телефонные операторы? Они зарабатывали свои деньги на низкой цене переговоров и о безопасности не думали. Но по мере развития бизнеса и роста компаний необходимость в стандартах становилась все более очевидной.
Ю. НИСНЕВИЧ: Что это такое – стандарт технической или правовой защиты? Полагаю, что стандарт технической защиты – замечательный подарок тем, кто хочет туда залезть, ведь нарушители целостности системы тоже читают стандарты.
И. ТРИФАЛЕНКОВ: В корне неверно, что стандарты помогают похитителям ресурсов. Стандарт – это всегда порядок. Беспорядок не делает жизнь безопасной. Практика показывает: чем более упорядочена система, тем больше у нее шансов стать безопасной. Хотя бы потому, что в такой системе все риски оценены, а на наиболее значимые из них предусмотрены контрмеры.
С. БЕРЕЗИН: В процессе обеспечения стандарта ИБ можно выделить три направления: давление со стороны законодательства, соответствие международным нормам и внутренние регламенты по реализации технических средств и оргмер, направленные непосредственно на защиту ресурсов, а не на «прикрытие» от каких-то норм. Это и есть реальная ИБ.
Д. КОСТРОВ: Нужен стандарт или нет – зависит от степени зрелости бизнеса. Для оператора начального уровня он только обуза. В маленькой компании нет даже сегментирования по бизнесу. Думы об ИБ начинаются со среднего уровня и выше. А говорить, что стандарт плох только потому, что он подсказал хакеру, как взломать систему... Так это смотря какой стандарт. Если, например, в нем приведена реализация ГОСТа по шифрованию, то умный математик может оттуда что-то извлечь. «Правильный» же стандарт упорядочивает определенные действия, указывает, что должно быть в системе защиты, а не как ее сделать.
А. ГЕРМОГЕНОВ: Многие считают: маленький оператор может прожить и без стандарта. Но где? Разве что в полной изоляции. Регулятор призван устанавливать правила игры на общем поле, в единой сети электросвязи РФ, к которой хочет подключиться и маленький оператор. По мнению регулятора, операторам наиболее важно обеспечить ИБ средств связи для поддержания устойчивого функционирования сети, т.е. опосредованно – для непрерывного предоставления услуг связи. Увы, но в настоящее время в РФ нет нормативных документов, определяющих базовые требования к оборудованию и к операторам связи для игры на общем поле.
Д. БАТРАНКОВ: Клиент оператора хочет быть уверен, что сотрудники провайдера перенаправляют его данные в нужном ему направлении, не сохраняя их больше нигде. Регулирующий орган должен определить, каким правилам обслуживания следует провайдер и какие дополнительные сервисы необходимо предоставлять. К примеру, сейчас очень актуален сервис по ограничению посещения детьми до 16 лет порнографических сайтов и сайтов, разжигающих насилие. Клиент не должен разбираться, как защищается провайдер, – о нем должен позаботиться регулятор путем создания стандартов безопасности.
А. КРЕМЕР: Если оператор может прожить без какого-то стандарта, то вряд ли этот документ можно назвать стандартом. Реальный стандарт тот, у которого есть практическое применение.
Р. ХАЙРЕТДИНОВ: Регламенты у нас строгие, но необязательные к исполнению. Компания InfoWatch занимается защитой конфиденциальных данных, в том числе от потерь, но история не знает оператора, который был бы наказан регулятором за их утерю. А зачем тогда следовать каким-то стандартам и требованиям, если они не приносят реальных денег и за их невыполнение никто не карает? Но если стандарт приносит деньги – будем выполнять, даже если он не навязан регулятором.
А. ЧЕРЕДНИЧЕНКО: Для соответствия любому стандарту нужен набор ключевых показателей, по которым можно измерить это соответствие. Нельзя измерить – нельзя наказать за несоблюдение.
«ИКС»: Насколько нормы базового уровня удовлетворяют требованиям ИБ для операторов? Сложны ли они для операторов или слишком просты?
А. КРЕМЕР: Безопасность – неотъемлемая часть операторского бизнеса, и речь должна идти не об отрасли «Безопасность», а о безопасности в отрасли «Связь». Стандарт МСЭ по базовому уровню (его требования рождались в том числе и в АДЭ) появился по причине важности безопасности взаимодействия операторов сети связи общего пользования. В этом его главный смысл. На основе этого международного документа в рамках добровольной системы «Связь–Качество» (российская система под эгидой Федерального агентства связи) утвержден российский нормативный документ «Базовый уровень ИБ операторов связи». Один из четырех органов сертификации (ЦКС), получил аккредитацию по направлению «Информационная безопасность». Практически завершил сертификацию МТТ, готовятся к сертификации еще ряд операторских компаний.
Д. КОСТРОВ: МТТ тоже участвовал в работе над стандартом МСЭ. Почему бы нам не провести сертификацию компаний на требования того уровня, который мы в мире предлагали? Сертификацию прошли, времени и ресурсов много не потратили – несложно, недорого. Но с точки зрения ИБ данный документ неполный – это лишь первый шаг к тому, чтобы компания начала заботиться об ИБ.
А. ТКАЧЕВ: В МРК базовый уровень по большей части внедрен, в основном в генеральных дирекциях. Но в целом в сетях электросвязи еще не полностью создана инфраструктура, соответствующая базовому уровню (вспомните инцидент в ЮТК с DDoS-атакой). Степень внедрения высока в СЗТ, на Урале, в Сибири, а в других филиалах недостаточна.
А. КРЕМЕР: Все стандарты априори добровольные. Но сама безопасность не может рассматриваться как дело добровольное! Со временем некоторые нормы могут стать обязательными.
А. САБАНОВ: Нормативной документации в отрасли «Связь» и так слишком много. Следовать ей в полном объеме или нет, оператор должен решать сам. Обязательной должна быть информация о возможностях оператора связи, а не стандарт. В то же время на некоторых сетях уже стоят сертифицированные решения – используйте, предоставляйте услуги чистого трафика. Обязательность, на мой взгляд, здесь даже вредна, должна быть заинтересованность и добровольность.
А. КРЕМЕР: Есть немало примеров, когда обязательными становились требования после их включения в нормативные правовые акты.
А. ГЕРМОГЕНОВ: Регулятор занимается нормативами. Требования стандартов – это фактически те же, но добровольные нормы. Некоторые из них, как показывает опыт, наверняка перейдут в разряд обязательных нормативных требований.
«ИКС»: Смогут ли операторы связи защитить персональные данные на своих сетях, следуя закону «О персональных данных»?
Д. СОБОЛЕВ: В ФЗ «О персональных данных» главное действующее лицо – оператор ПД. Специфику оператора связи никто учесть не захотел. Так, АСР обязательно содержит систему взаимодействия с клиентом (персональная страничка с информацией о балансе его счета и т.д.), возникает необходимость взаимодействия АСР с Интернетом. Как в этой ситуации обеспечить те требования, которые нам предъявляют?
Д. КОСТРОВ: Да и не просто сервер или CRM – всю территориально распределенную систему надо защищать (и во что это все обойдется?..). А размещать все данные в одном месте мы не имеем права. Компания у нас большая, а по созданной ФСТЭК классификации операторов персональных данных МТТ попадает в самый высокий класс защиты. При наших людских и финансовых ресурсах это не очень страшно, но, на мой взгляд, не совсем правильно. Закон о персональных данных повторяет прошлые ошибки, потом будем его дорабатывать…
В. ПЕТРУНИН: Если есть общий закон о персональных данных, то не мешало бы выработать отраслевой стандарт о защите персональных данных у оператора связи.
И. ТРИФАЛЕНКОВ: Проблема этого закона в том, что он инициирован регулирующими структурами, вводился сверху. А легитимность странички пользователя решается не техническими средствами. В договор о предоставлении услуг юристы впишут абзац, где будет сказано, что пользователь согласен, чтобы его страница в том виде, в каком она есть, публиковалась в Интернете. Хочешь – подписывай, не хочешь – отдыхай. При защите персональных данных нужно рассматривать два аспекта: персональные данные сотрудников оператора и персональные данные, передаваемые оператору в процессе его деятельности (биллинг, регистрация пользователей и т.д.). А защита персональных данных в трафике пользователя не входит в круг обязанностей оператора. В лучшем случае он будет предоставлять дополнительные услуги. Конечно, оператор, может согласиться отвечать за все, но – за дополнительные деньги. Нормативных документов для защиты персональных данных на сегодня достаточно, хотя требования к системам низкого уровня очень несовершенны и нуждаются в модернизации.
А. ГЕРМОГЕНОВ: Если документов хватает, определять, что и как защищать, – дело оператора. Требование одно – сертифицированными средствами.
Д. СОБОЛЕВ: Дело не в том, как, а в том, сколько стоит эти требования реализовать. Операторы столкнутся с проблемой защиты персональных данных в силу отраслевой специфики. Если эти требования не адаптировать под специфику отрасли, то о возможности доступа к персональной странице клиента придется забыть. Вот и влияние стандартов в области ИБ на бизнес.
А. САБАНОВ: Зачем закрывать? Надо просто обеспечить защищенный доступ. Решения такие есть, и они сертифицированы ФСТЭК.
Д. КОСТРОВ: Цену вопроса для оператора, желающего защитить персональные данные «по закону», все узнают к 2010 г. Нормативы ФСТЭК только появились. Сначала надо выявить системы, обрабатывающие персональные данные, классифицировать их, выбрать и внедрить механизмы обеспечения безопасности согласно методическим рекомендациям ФСТЭК. Вот тогда мы и сможем оценить затраты. Срок сертификации систем – 1 января 2010 г.
«ИКС»: Как вы оцениваете степень влияния ИБ на бизнес оператора?
И. ТРИФАЛЕНКОВ: Даже если не говорить о дополнительных услугах, ориентированных на ИБ (а они есть, и их объем ежегодно растет), то возможность расширить клиентскую базу под лозунгом «у нас есть уровень безопасности, а у других нет» весьма значима.
Д. СОБОЛЕВ: Крупным операторам соответствие стандартам ИБ помогает в бизнесе. При выходе на массовый рынок также необходимы гарантии соблюдения требований по ИБ. Однако для простого обывателя сообщение, что компания сертифицирована по международному стандарту, – пустой звук. Нужны не просто стандарты, а стандарты, понятные людям, поддерживаемые государством. Им будут следовать, потому что они позволят привлечь новых клиентов.
Р. ХАЙРЕТДИНОВ: Вряд ли. Есть, например, нормы и требования по обеспечению безопасности, связанной с алкогольной продукцией. Но хоть кто-то, покупающий водку, на это внимание обращает? А вопрос пиара – это вопрос определенной господдержки. Надо ввести аналог Знака качества. Сертифицировал оператор систему качества – получил знак с государственным логотипом. Можно обвешаться сертификатами – толку не будет, пока государство не скажет: это наш (государства) знак заботы о вас, люди. Важно морально поддержать компании, которые проведут сертификацию на соответствие нормативам ИБ, а деньги операторы сами вложат.
Д. СОБОЛЕВ: ТТК выходит на рынок широкополосного доступа и заинтересован в наличии подобного стандарта. Но одного нашего желания недостаточно, необходима поддержка государства в продвижении стандарта в «широкие массы». Нам, операторам, нужен знак качества сервиса.
П. АНТОНОВ: А важна ли ИБ для физлиц? Наши пользователи не готовы к сервисам безопасности. Им важнее низкая цена, удобство пользования и широкий спектр предоставляемых услуг.
Р. ХАЙРЕТДИНОВ: Когда китайцы выходили на рынок Германии со своими дешевыми джипами, немцы демонстративно разбили машину и показали, что и как разбилось. То, что сертифицировано, разобьется как надо: с большей вероятностью сохранения жизни. Поэтому если государство поддержит оператора, то знак «Проверено государством. Безопасно», обязательно станет источником дохода. Только знак этот должен быть знаком для рынка, а не для специалистов.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!