Рубрикатор |
Статьи | ИКС № 05 2012 |
Лилия ПАВЛОВА  | 08 мая 2012 |
Что на календаре безопасности?
Незаконченная кампания по формированию нормативной базы для персональных данных; СОРМ, запутавшийся в сонме новых сервисов; еще одна ступень «электронизации» госуслуг – такова для инфобезопасности весна-2012.
Новый год персональных данных
ФСБ и ФСТЭК России подготовили проекты постановлений правительства в области защиты персональных данных применительно к информационным системам операторов. Одно постановление должно определить уровни защищенности персональных данных, второе – требования ФСТЭК и ФСБ к защите в зависимости от уровней защищенности. Чего ждать операторам связи от новых документов? Этот вопрос разработчикам нормативно-правовых актов задавали и участники конференции АДЭ «Обеспечение доверия и безопасности при использовании ИКТ», и последующего Форума директоров по информационной безопасности. Как отметил Александр авторы стремились максимально сохранить преемственность новых нормативно-правовых актов ФСБ с ПП-781 и «приказом трех». «Если у оператора уже построена система защиты, менять ее нет смысла, – заверил А. Бодров. – Надеемся, что операторам нужно будет сделать минимальное количество шагов, во многом формальных». В то же время в документах будут фигурировать новые понятия – собственно «уровень защищенности» и «категория нарушителя». Предусмотрено три категории нарушителей, в соответствии с которыми выставляется уровень защищенности. Выпустить постановления планируется в мае, а к середине лета ФСБ планирует дополнить их соответствующими приказами о составе и содержании технических мер.
Примечательно, что процесс разработки этих документов происходил без общественного обсуждения, чем операторы несколько встревожены. «Есть доля беспокойства, поскольку документов пока не видели, – заметил Дмитрий Устюжанин («ВымпелКом»). – А вдруг там неожиданности?». Неожиданностей операторы опасаются в части детализации требований, в то время как им достаточно общего посыла от регулятора. Оператор в состоянии реализовать его в соответствии со своей спецификой, а насильно, по словам Д. Устюжанина, осчастливить сложно. Со своей стороны, Александр Золотников (ТТК) подчеркнул, что в многоструктурной операторской компании, имеющей как магистральный, так и розничный бизнес, невозможно отделить защиту персональных данных от защиты информации. «Решить системно этот вопрос нам позволяет процессный подход, это корпоративный стандарт, – сообщил А. Золотников. – Мы пошли по пути аудита информационной безопасности и, в частности, персональных данных». Более того, крупные игроки операторского рынка, владеющие магистральными сетями, вполне могут предложить своим клиентам-операторам аутсорсинговую услугу защиты персональных данных, сняв с них эту головную боль. Однако, по признанию А. Золотникова, такая услуга не востребована бизнес-сообществом: «При нашей готовности, к сожалению, обращений нет».
СОРМ потерялся во времени
«Белые пятна» информационной безопасности разрастаются в сегменте систем оперативно-розыскных мероприятий (СОРМ). Резкий рост числа сервисных приложений и проприетарных протоколов (как обеспечить корректный съем данных?), появление и быстрое развитие рынка М2М (что будет объектом контроля?), облачные вычисления (как обеспечить наблюдаемость объектов в облаке?), взрывной рост объемов передаваемых данных (можно ли угнаться за этими объемами при существующей законодательной и технической базе?), независимость провайдеров приложений от операторов сети (что считать территорией юрисдикции при оказании сервисных услуг на основе приложений?) – все это проблемы СОРМ, так или иначе связанные с повсеместным использованием IP-коммуникаций и IP-сервисов.
Операторы в числе проблем называют также существующий «зоопарк» СОРМ – многообразие типов используемых систем, тенденцию к росту числа систем с дублирующим функционалом, переход от принципа активного съема информации к пассивному. Как отмечает Алексей Ермаков (МТС), в наиболее широко распространенной системе активного голосового СОРМ для постановки абонента на контроль отправляются команды на коммутаторы MSC; одна из очевидных проблем информационной безопасности состоит в том, что команды для постановки абонента попадают на оборудование сетей связи зарубежного производства и могут быть ими перехвачены. В связи с этим был выбран пассивный принцип работы СОРМ: в дополнение к работающей системе активного голосового СОРМ устанавливается система пассивного съема копии сетевого трафика с каналов связи транспортной сети. Однако это создает лишь иллюзию независимости от производителя оборудования связи, иллюзию того, что в полном объеме обеспечена скрытность фактов проведения оперативно-розыскных мероприятий. Кроме того, это заставляет операторов создавать мониторинговую «надстройку» над своей сетью, которая сопоставима по сложности и стоимости реализации с самой сетью, – что дает им повод назвать СОРМ «новым нерегулируемым регулярным налогом» для телекоммуникационной отрасли.
Нормативно-правовая документация в этой области устанавливает только широкое определение того, что должно быть. Де-факто СОРМ развивается вдогонку рынку телекоммуникационных сервисов для абонентов. Отсутствие стратегии развития не позволяет операторам своевременно формировать бюджет на реализацию требований СОРМ и планировать технологическое развитие ИТ-инфраструктуры компаний с учетом этих требований. С другой стороны, требования законов о персональных данных, о разного рода тайнах приводят к повышению рисков для операторов. По словам Александра Першова (Минкомсвязи России), в министерство действительно поступает много жалоб от операторов с просьбами дать разъяснение по применению нормативно-правовых актов в части СОРМ на сетях связи общего пользования. «Ситуация крайне обострилась, – признает А. Першов. – И в ближайшее время нам предстоит разработать и принять ряд документов, направленных на проведение оперативно-розыскных мероприятий на сетях».
Первый такой документ – проект Правил применения оборудования систем коммутации, включая ПО, обеспечивающее выполнение установленных действий при проведении ОРМ в сетях фиксированной телефонной связи, – планируется направить на регистрацию в Минюст России 7 мая 2012 г. Для Правил применения оборудования средств связи узлов телематических служб и передачи данных, в том числе ПО, этот срок – 20 июня 2012 г. Правила применения оборудования информационных систем, содержащих базы данных абонентов оператора связи и предоставленных им услуг связи при взаимодействии с уполномоченными органами, осуществляющими оперативно-розыскные мероприятия, будут отправлены в Минюст 30 июля 2012 г. «Подробный план разработки этих документов предусматривает все ступени прохождения, в том числе взаимодействие с Минэкономразвития для оценки регулирующего воздействия, – сообщил А. Першов. – Мы жестко придерживаемся этого плана, однако сложность работы над документами состоит в том, что эти объемные материалы, подготовленные техническими специалистами, требуется перевести на язык нормативно-правовых актов».
Идентификация часа «е»
С 1 июля этого года по всей России, как говорится в распоряжении Правительства РФ №1993-р, должна быть обеспечена «возможность для заявителей в целях получения услуги предоставить документы в электронном виде с использованием Единого портала государственных и муниципальных услуг». Иначе говоря, житель любого российского населенного пункта сможет получить нужные документы, не обивая порогов госучреждений. Как отметила Елена Петина (Пенсионный фонд РФ), сейчас готовятся изменения в 210-ФЗ, где законодательно будет подтверждено использование страхового номера индивидуального лицевого счета (СНИЛС) как единого идентификатора при межведомственном и межбазовом обмене сведениями для предоставления гражданам государственных услуг в электронном виде (к слову, СНИЛС – это идентификатор и социальных карт, и будущих электронных универсальных карт), а также введено единство межбазового информационного обмена.
Собственно, система СНИЛС существует с 1996 г. и содержит сведения о пенсионных правах 120 млн граждан. За один период отчетности в систему поступает 91 млн индивидуальных сведений от работодателей (с 2011 г. отчетность ежеквартальная), причем 99,1% сведений – в электронном виде; из них 50,8% – с ЭЦП по защищенным каналам связи. Однако, по мнению Е. Петиной, задача полного перехода на электронные госуслуги в назначенный срок может быть реализована не в полной мере по двум основным причинам – из-за недостаточной полноты электронного взаимодействия органов федеральной и региональной власти и низкого уровня информатизации отдельных муниципальных образований. Хотя поправки в закон и нацелены на решение, по крайней мере, первой проблемы.
С точки зрения взаимодействия особую роль играет вопрос идентификации: система должна четко «понимать», кто обращается за услугой – и кто услугу оказывает. В этой связи МТС выдвигает собственную идею облачной криптографии (CaaS, криптография как услуга), суть которой – обеспечить универсальные механизмы идентификации и аутентификации, электронной подписи на стороне сервера (Server Side Signature, SSS) и использовать масштабируемые криптографические платформы HSM Portal (Hardware Security Module). По словам Алексея Кораблина (МТС), криптография как услуга обеспечивает доступность услуг ИБ класса hi-end для малого и среднего бизнеса; она выгодна государству, поскольку позволяет соблюдать универсальные федеральные и отраслевые политики безопасности, централизовать и упростить аудит и контроль СОРМ, внедрять электронные госуслуги на новом уровне (юридически значимый электронный документооборот); наконец, она удобна отдельному пользователю, поскольку не требует установки дополнительного ПО. «Сегодня большинство предоставляемых услуг – информационные, – заметил А. Кораблин. – С внедрением этой технологии взаимодействие станет двусторонним, т. е. пользователи смогут общаться с органами госвласти. А широкая доступность таких криптографических услуг, как электронная подпись, позволит перейти к массовому оказанию юридически значимых услуг с использованием электронных подписей с минимальными затратами со стороны бюджета». Оператор технологически готов к реализации этой идеи, однако воплощена она может быть не раньше, чем через год-полтора.
D L P з а в т р а ш н е г о д н я
Рынок DLP сегодня характеризуют высокие темпы роста, увеличение количества вендоров, усиление конкуренции, «стандартизация» задач и систем. Все это свидетельствует о молодости рынка. По данным Zecurion, сейчас DLP-системы есть у 39% компаний, где работает более 500 сотрудников, у 24% с численностью персонала от 50 до 250 сотрудников и у 17% компаний с численностью до 50 сотрудников. При этом в ближайший год еще 17% компаний малого бизнеса планируют приобрести систему защиты от утечек.
Что защищают компании? В первую очередь персональные данные (68%), списки клиентов и поставщиков (57%), схемы внутренних бизнес-процессов (41%), прогнозы и планы развития бизнеса (38%), производственные и технические документы (36%).
По мнению Алексея Раевского (Zecurion), вероятность утечек в малых компаниях такая же, как и в больших, так что в ближайшие годы следует ожидать роста DLP-рынка именно в секторе SMB. При этом стоимость систем DLP будет снижаться, а их технологичность повышаться. В дальнейшем функции защиты от утечек будут вводиться в состав других систем ИБ, и наличие функционала DLP на рынке информационной безопасности станет стандартом.