• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Знак качества безопасности

Нередко операторы, особенно крупные, защищают только процесс передачи информации, биллинг и системы документооборота, забывая подчас о безопасности информации клиента, передаваемой по их каналам связи. Но вирус или троян клиента способен «положить» и систему, и сеть оператора. Помогают ли стандарты и аттестация сети и оборудования избежать проблем и дают ли гарантии пользователям?

А.Ткачев: Попробую ответить за все наши межрегиональные компании (МРК). Кроме собственной ИС и безопасности сетевой инфраструктуры, операторов очень заботит предоставление качественных услуг для потребителей. Отсюда – повышенное внимание к защите данных в автоматизированных системах расчета, передаваемых данных и -- по новому федеральному закону -- персональных данных и информации, циркулирующей в информационной среде оператора. Есть такое крылатое выражение: «если есть ресурс, к нему есть и контроль доступа. Нет контроля доступа, нет и ресурса».

В межрегиональных компаниях «Связьинвеста» давно созданы регламенты доступа к данным для организации работы с защищаемыми ресурсами. Специалисты МРК осознают, что поддержка ИБ на основе соблюдения норм и стандартов -- это условие обеспечения непрерывности бизнеса.

Но в целом не все операторы понимают важность стандартов и использования лучших мировых практик по защите информации. Здесь следует отметить недостаточную подготовленность персонала. Порой даже встречается непонимание руководством необходимости использования стандартов. Другая сторона проблемы – наша некоторая косность, желание обойтись своими средствами, «малой кровью». Увы, но не все руководители понимают, что для создания конкурентных преимуществ современной компании около 20% (а иногда и более) от общего бюджета ИТ нужно тратить на безопасность.

А. Чередниченко: Конечно же, без стандартов в области безопасности компания обойтись не может. Но типовая ситуация: «пока гром не грянет, мужик не перекрестится». Решения, связанные с защитой информации, внедряются по мере поступления проблем. А что дает стандартизация? Стандарты описывают то, как должна выглядеть система обеспечения ИБ, в них содержатся лучшие практики (практические руководства и подходы, каким образом достичь тех или иных результатов при организации защиты, обеспечить минимизацию рисков потери тех или иных критичных данных).

Д. Соболев: Может ли оператор обойтись без стандартов в области ИБ, зависит от зрелости компании. Первым домовым сетям не нужны были стандарты. К ним в очередь вставали, чтобы подключиться к Интернету. А альтернативные телефонные операторы? Они зарабатывали свои деньги на низкой цене переговоров и о безопасности не думали. О стандартах по ИБ не думал даже регулятор в области связи. Но по мере развития бизнеса и роста компаний, необходимость в стандартах становилась всё более очевидной.

Зачем нужны стандарты? Во-первых – минимизация расходов. Лучшие практики позволяют экономить средства на исследовательские работы: берем стандарт, реализуем требования, если необходимо сертифицируемся. Кроме того, наличие стандарта снижает неопределенность, определяет порядок затрат на ИБ, получается простейшая оптимизационная задача, минимизировать финансовые затраты при заданных требованиях.

Банальный пример – защита персональных данных. Не было регламентирующих документов – операторы персональных данных вкладывали огромные деньги, чтобы удовлетворить регулятора, чтоб не наказали за пропажу персональных данных. Появились нормативные документы – стало гораздо проще. Известно, что нужно сделать для соблюдения требований регулятора, и мы постараемся минимизировать наши расходы.

Во-вторых, польза от стандартизации (прежде всего для крупных операторов) в том, что соответствие международным стандартам позволяет войти в пул международных поставщиков услуг связи, привлечь новых зарубежных клиентов, удовлетворить требования крупного бизнеса.

Д. Батранков: Стандарты, безусловно, нужны, хотя они и не успевают за всеми текущими угрозами. Пока их пишут, появляются новые угрозы. Но в то же время они нужны как базовый уровень, чтобы и клиенты, и взаимодействующие операторы связи могли представить, что творится в сети оператора, к которому они подключены. По сути, стандарт нужен телеком-оператору для того, чтобы он развивал свой бизнес. В нем есть концентрированный опыт, который помогает ему минимизировать свои расходы на безопасность.

Ю. Нисневич: Все говорят: «стандарт ИБ». А что это такое: стандарт технической или правовой защиты? Полагаю, что стандарт технической защиты -- замечательный подарок тем, кто хочет туда залезть. Нарушители целостности системы тоже читают стандарты.

И еще. Прозвучала замечательная мысль: нам напишут нормы, мы по ним будем работать и тратить меньше денег. А результат? Вы хотите отчитаться по нормам или защитить?

К сожалению, после того, как вышел закон о ПД, далеко не самый совершенный, количество исчезающих персональных данных увеличилось. Тогда какую задачу вы решаете: исполнять нормы или действительно защищать информацию? Не вижу, где эти задачи стыкуются.

С. Березин: Я бы хотел разбить процесс обеспечения стандарта ИБ на три направления. Одно — давление со стороны законодательства: есть законодательные регламенты, которым оператор должен соответствовать. Отсюда – одна часть затрат, формальная. Второе направление – соответствие зарубежным стандартам, которые позволят оператору выйти на зарубежный рынок, дает ему конкурентные преимущества. Это тоже формальная часть затрат.

Третье направление -- внутренние регламентирующие документы, которые служат непосредственно защите информации, а не закрытию каких-то дыр, не прикрытие от каких-то норм. Это и есть реальная ИБ, регламенты, которые позволяют внедрять средства технической и организационной защиты.

П. Антонов: Стандарт, с одной стороны -- некая унификация, т.е. единые правила игры для всех, а с другой -- требования. То есть оператор связи без стандарта по ИБ (специализированного, операторского) сам по себе может существовать. Но вопрос: как? Может ли без этого существовать операторское сообщество и Интернет в целом? Пока еще может, но уже видно, что с ростом угроз чем дальше, тем тяжелей.

И. Трифаленков: В корне неверно, что стандарты помогают не только тем, кто защищает свои ресурсы, но и тем, кто их несанкционированно похищает. Стандарт — это всегда порядок. Считать, что беспорядок делает жизнь безопасной, не правильно. Практика показывает, что чем более упорядочена система, чем в большей степени она соответствует стандартам, тем меньше у нее шансов стать небезопасной. Хотя бы потому, что в такой системе все риски известны, оценены и существуют контрмеры на все значимые риски. Применение стандартов незаменимо ничем, потому что в них сосредоточен концентрированный опыт, который будет внедряться каждым его использующим. Получить этот опыт на собственной шкуре стоит таких затрат, что, наверное, вся остальная деятельность уже окажется бессмысленной.

Д. Костров: Нужен стандарт или нет -- зависит от степени зрелости бизнеса. Давайте просто сегментируем рынки и увидим, что все – как в бизнесе. Есть нижний уровень операторов, средний и высокий. Для оператора начального уровня, с уровнем зрелости ближе к нулевому, стандарты только лишняя обуза. Соблюдать их для такого оператора -- людей не хватит. Внутри маленькой компании нет сегментирования по бизнесу: отдел кадров, поддержка логистики… Думы об ИБ начинаются со среднего уровня и выше. «Малыши» могут спокойно прожить без стандартов.

А что стандарт плох, поскольку его почитал хакер и знает, как взломать систему… Смотря какой стандарт. Если в нем есть некая реализация ГОСТа по шифрованию, которую надлежит использовать, то умный математик может что-то сделать. Но если стандарт сделан правильно, он упорядочивает определенные действия, указывает что должно быть в системе защиты, а не как ее сделать. А уж как «дОлжно» это «что» реализовать -- для этого, товарищи, мы учимся и на работе деньги получаем. Стандарт – не инструкция, как нажимать правильные кнопки и выбирать между Cisco или Juniper.

А. Гермогенов: Многие присутствующие считают: «маленький оператор может прожить и без стандарта». Но где? Разве что в полной изоляции.

Государственный регулятор призван устанавливать правила игры на общем поле. Не забывайте, существует Единая сеть электросвязи РФ, сеть связи общего пользования. Если маленький оператор к ней подключается, он безусловно должен выполнить установленные для нее правила игры. Для чего? В конечном счёте для того, чтобы обеспечить непрерывное предоставление качественных услуг связи.

Многие выступающие говорили об ИБ вообще, но таковой не бывает. Бывает обеспечение информационной безопасности для конкретного объекта.

По мнению государственного регулятора, для операторов связи наиболее важным аспектом является обеспечение ИБ технических средств и средств связи с целью поддержания устойчивого функционирования сети, то есть опосредованно -- для непрерывного предоставления услуг связи. Это единственная задача.

Поэтому и маленький оператор прожить без соблюдения стандарта или без соблюдения общих правил игры не сможет. Потому что он обязательно захочет подключиться к сети связи общего пользования, а значит, должен выполнить условия такого подключения. Современные средства позволяют, находясь где-нибудь на периферии, «завалить» сервер в Москве и, таким образом, вывести из строя фрагмент сети связи общего пользования. Чтобы этого не допустить, нужны минимальные или, другими словами, базовые требования к оборудованию и к правилам работы операторов связи. Это и есть базовый уровень ИБ. К сожалению, на сегодня таких отраслевых нормативных документов нет.

У нас в стране в сфере информационной безопасности существует несколько государственных регуляторов: в лице ФСБ России, ФСТЭК России – каждая в своей области. ФСТЭК России заботится о безопасности информации, а устойчивостью функционирования сети связи или информационной системы она не занимается. Кстати, самая безопасная система та, которая не работает. ФСБ занимается, в частности, криптографией, но тоже не устойчивостью функционирования сетей и систем. К сожалению, в настоящее время отсутствуют нормативные документы, определяющие минимальные базовые требования по информационной безопасности к оборудованию и к операторам связи для того, чтобы «играть на общем поле».

Мнение о том, что в рассматриваемой области невозможно регулировать, прозвучавшее в ходе обсуждения, неверно. Отрегулировать можно всё, что угодно. Регулятор может так «закрутить гайки», что мало не покажется всем. Оператору, естественно, нужно как можно больше свободы, чтобы заработать деньги и предоставить услуги. Но если у него пойдут сплошные сбои оборудования из-за спама, DDoS-атак и т.д., рано или поздно он будет вынужден выполнить те самые минимальные требования по ИБ -- его жизнь заставит. Так вот, государственный регулятор и хочет определить тот минимальный или базовый уровень информационной безопасности, который позволит нормально функционировать всем операторам связи в общих интересах.

Замечу, что не надо от регулятора «прикрываться», мы никому не хотим зла. Мы хотим найти тот самый оптимум между двумя крайними случаями: системой, абсолютно открытой для всех, и системой закрытой, но не работающей. Именно в этом роль регулятора.

Р. Хайретдинов: Когда появился закон о персональных данных, все представители производителей и интеграторов бросились предлагать свои услуги, в том числе и операторам, и столкнулись с такой позицией: «сейчас мы ничего делать не будем, посмотрим, кого и за что накажут, поймем, что он делал не так, и сделаем правильно». Компания InfoWatch занимается защитой конфиденциальных данных, в том числе от их утери, но сегодня нам не известен ни один оператор ПД, который понес наказание за утерю данных. Получается, как обычно: регламенты строгие, но необязательные к исполнению. Обычно, поймав своего нарушителя, компания наказывает его сама. А о наказаниях «от регулятора» история умалчивает. Поэтому все сидят и ждут: а зачем выполнять какие-то стандарты и требования, если они не приносят денег и за из невыполнение никто не карает? Если стандарт (требование) приносит деньги, будем выполнять, даже если их не будет навязывать регулятор. Нет контроля требований -- поэтому и не выполняют.

А. Чередниченко: Пока нет конкретных ключевых показателей – значит, нельзя измерить. Если нельзя измерить– нет соответствия. Такие показатели можно выработать только  основе лучших практик, которые аккумулированы в стандарте. Для каждой отрасли, в том числе и для телекома, нужны ключевые показатели. Они должны учитывать требования каждой из заинтересованных сторон. Только тогда можно наложить ограничения и наказать за несоблюдение требований стандарта.

С. Березин: Но существуют методики оценки риска. Почему нельзя разделить ресурсы, классифицировать риски и часть «закрыть» за счет регуляторных требований, а часть – дополнительными услугами операторов?

А. Чередниченко: Оценка рисков -- это подход, рекомендованный стандартами. На практике чаще пытаются сэкономить: закрывают конкретную проблему, не видя, что является главным, что второстепенным в этой ситуации.

Д. Батранков: Клиент оператора хочет быть уверен, что провайдер передает его данные в нужном направлении, не сохраняя нигде больше (и что его разговор со службой поддержки не будет лежать потом в Интернете). Поэтому какой-то регулирующий орган должен заставить провайдера следовать этим правилам. Этот же орган может вменить провайдеру предоставлять сервис, ограничивающий для детей посещение разных порно- и прочих вредных для них сайтов.

Мы все с вами клиенты провайдеров. Мне как клиенту нужна надежная связь. Где гарантии, что внезапно канал не упадет, не случится какая-то DoS-атака и т.д.? Какова вероятность, что я не останусь вдруг без Интернета? Например, для клиентов «Юг-Телекома» она была равна вероятности, что Сочи выиграет проведение Олимпиады. После этого, как мы все знаем, произошла DDoS-атака со стороны зарубежных стран, и защитные средства не справились. Клиент не должен заботиться о том, как защищается провайдер, – это забота регулятора (его требований, стандартов). Клиентам нужны какие-то гарантии, что канал будет всегда работать.

С точки зрения телекоммуникационного оператора те стандарты, которые уже есть, реализовать легко. Поскольку производители, например IBM, уже предлагают оператору соответствие требованиям стандартов в своих продуктах (например, IPS). И даже более того: в случае услуг MSS, когда провайдер перекладывает управление средствами защиты на стороннюю компанию, оператор не будет обвиняться средствами массовой информации в успешных атаках. Отвечать за надежность канала при атаках будет внешняя компания. Если пройдет атака, виноват будет поставщик услуг безопасности -- IBM.

А. Кремер: Если без применения стандарта можно обойтись, то это либо проблема стандарта, либо проблема оператора. Стандарт можно считать действующим лишь в том случае, если у него есть реализованные и проверяемые приложения. С другой стороны, практическая польза таких приложений должна быть известна и понятна оператору.