| Рубрикатор |  |
 |
| Статьи | |
|
| 12 августа 2008 |
Так ли прост базовый уровень?
Базовый уровень был предложен в России, получил поддержку профессионального операторского сообщества и в сентябре 2007 года был утвержден МСЭ на основе консенсуса в качестве международного документа. Какова первая практика применения? Читайте полную версию круглого стола, опубликованного в журнале «ИКС», № 7—8/2008. Часть V.
«ИКС»: Насколько требования базового уровня удовлетворяют требованиям ИБ для операторов? Сложны они для операторов или слишком просты?
Аркадий Кремер, председатель Исполкома общественно-государственного объединения «Ассоциация документальной электросвязи», зам. председателя исследовательской комиссии по стандартизации ИБ МСЭ: Наряду с такими важными направлениями стандартизации, как архитектура информационной безопасности и управление информационной безопасностью, базовый уровень стал новым направлением в стандартизации информационной безопасности, получившим название «безопасность взаимодействия». Присоединение к базовому уровню подтверждает готовность и способность оператора связи участвовать в коллективном обеспечении информационной безопасности (вместе с другими операторами, потребителями, представителями правоохранительных органов).
Базовый уровень был предложен в рамках рабочей группы АДЭ, получил широкую поддержку профессионального операторского сообщества и в сентябре 2007 года был утвержден МСЭ на основе консенсуса в качестве международного документа и размещен на сайте МСЭ-Т. На русском языке текст базового уровня размещен на сайте АДЭ. В рамках российской добровольной системы сертификации «Связь – качество» утверждены требования базового уровня, и операторские компании уже проходят процедуру подтверждения соответствия этим требованиям. Регламентированное и безопасное межоператорское взаимодействие – неотъемлемая составная часть устойчивого функционирования сети связи общего пользования.
Дмитрий Костров, руководитель службы безопасности, МТТ: Компания МТТ является членом МСЭ, как и «Ростелеком», мы тоже работали в Женеве по внедрению стандарта базового уровня. Почему бы нам не провести сертификацию компании на требования того уровня, который мы в мире предлагали. Сертификацию прошли, времени и ресурсов много не потратили.
Трудоемкость сертификации, если компания серьезно занимается вопросами ИБ, не велика. Базовый уровень создавался с позиций «что можно сделать». Если компания не занималась ИБ и менеджментом качества тоже, то аттестацию не пройдет. А если строила бизнес-процессы нормальным образом, то получит сертификат, пусть и с замечаниями и предложениями. Если коротко: несложно, немного, недорого.
С другой стороны, базовый уровень – этот документ неполный. Это лишь первый шаг для того, чтобы компания начала заботится об ИБ.
Не надо думать, что вирус у клиента – его беда, а тебе, оператору – только трафика больше. Другой клиент, у которого от этого вируса или спама сотовый телефон не работает, факс не справляется, видеоконференцсвязи нет, может и отказаться от ваших услуг, перейти к другому провайдеру, где можно работать спокойно. Вот вам и выгода от базовых требований и ИБ.
Александр Ткачев, начальник отдела информационного обеспечения, «Связьинвест»: В МРК в основном внедрен базовый уровень. Но как подсказывает практика (события в ЮТК с DDoS-атакой), к сожалению, не везде создана сама инфраструктура, соответствующая базовому уровню; в основном она внедрена в генеральных дирекциях МРК. Степень внедрения высока в компаниях электросвязи Северо-Запада, Урала, Сибири, а в других филиалах недостаточна.
Денис Батранков, консультант по информационной безопасности, IBM ISS: Компании-провайдеры уже задаются вопросом, какие бы они хотели стандарты или требования стандартов выполнять сами, для своих нужд, а какие бы выполнялись их «соседями». Вопрос сводится к тому, чтобы договориться о требованиях по присоединению, необходимых для бизнеса оператора.
А. Кремер: Все стандарты – абсолютно добровольные, и им следуют, когда считают, что без этого обойтись нельзя. Но обеспечение безопасности не может рассматриваться как дело добровольное. Добровольное подтверждение соответствия хорошо для начала, но вряд ли добровольность приведет к реально безопасному и устойчивому функционированию сети связи общего пользования.
Добровольное подтверждение соответствия может быть неким полигоном. Имея достаточную практику, можно будет перейти к обсуждению обязательных требований.
Алексей Сабанов, заместитель гендиректора, «Аладдин Р.Д.»: Тезис о том, что требования стандартов должны быть обязательны со временем – спорный. Базовый уровень – отраслевой стандарт. Но нормативной документации в отрасли «связь», которой обязан следовать оператор, и так слишком много для того, чтобы все выполнять. В то же время на некоторых сетях уже стоят сертифицированные решения – используйте, Интернет очищайте от спама, предоставляйте услуги чистого трафика. Обязательность, на мой взгляд, вредна, должна быть заинтересованность и добровольность.
А. Кремер: Никто и не предлагает стандарты сделать обязательными. В рамках МСЭ используется термин «рекомендация». Они должны быть такими, чтобы их было невыгодно не выполнять. В то же время стандарты часто включаются в нормативно-правовые акты, обязательные для исполнения.
Александр Гермогенов, зам. директора Департамента госполитики в области ИКТ Мининформсвязи России: Регулятор только «за». Ведь правильно было сказано: требования стандартов – это фактически те же, но добровольные нормы. Действительно, отдельные нормативные требования, содержащиеся в добровольных стандартах, на основе опыта наверняка перейдут в разряд обязательных нормативных требований. Замечу, что обязательная норма – это приказ, а не стандарт. Это нормативно-правовой акт того или иного уровня, в котором обобщен имеющийся опыт.
Подготовила Галина Большова
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3
