Rambler's Top100
Статьи
08 августа 2008

Чего не хватает оператору для защиты?См. также "ИКС" №7-8'2008

Участники рынка – об операторской специфике в применении к безопасности. Читайте полную версию круглого стола, опубликованного в журнале «ИКС», № 7–8/2008. Часть IV.

«ИКС»: Каких стандартов по безопасности и требований не хватает оператору связи?

Павел Антонов, технический консультант, Cisco Systems: Есть ряд проблем информационной безопасности, которые решить может только оператор связи: распространение спама, DDoS-атаки, мошенничество, фишинг и т.д. У него есть для этого инструменты – сети, каналы передачи данных. Заинтересован ли он в этом? Да, поскольку эти проблемы влияют на доступность к сети, т.е. на бизнес оператора.

А в существующей нормативной базе (например, «базовый уровень»), нет операторской специфики. Что-то напоминает ISO 27001, что-то – другие стандарты. Операторская специфика в применении к безопасности, наверное, состоит в защите от угроз, исходящих от вредоносного кода, спама, DDoS-атак. Например, в Канаде на государственном уровне принят закон, обязывающий операторов связи контролировать спам, исходящий из их сетей. Результат – Канада далеко не на первых местах по источникам спама в мире.

Илья ТрифаленковИлья Трифаленков, директор по развитию бизнеса, «Инфосистемы Джет»: Эффективно бороться с проблемой спама можно лишь путем подавления его источников. Но наш оператор не только не имеет законодательных оснований бороться со спамом (а также с фишингом, вирусами, троянами), если он направлен не на него (оператора), а на кого-нибудь из его клиентов. Он не имеет права этого делать. Согласно законодательству РФ такие деяния есть вмешательство в информационные потоки, которые оператор обязан передавать неизменными. И это, быть может, одна из самых больших законодательных бед: с одной стороны – оператор должен отвечать за нераспространение спама, а с другой – не должен нарушать целостность передаваемой информации. Как совместить эти требования?




Дмитрий СоболевДмитрий Соболев, директор Дирекции информационной безопасности компании ТТК:
Существуют различные стандарты в области ИБ. Одни, связанные с обеспечением собственной безопасности, необходимы операторам связи, чтобы успешно функционировать на рынке. Например, ISO 27001 позволяет оператору связи создать эффективную систему менеджмента и сделать систему ИБ прозрачной как для топ-менеджмента компании, так и для клиентов.

Но есть аспекты ИБ, которые абсолютно не интересны оператору связи с точки зрения бизнеса. Это защита персональных данных, борьба с DDoS-атаками и спамом.

Здесь и возникает роль регулятора и государства. Должны появляться нормативные акты и стандарты, заставляющие оператора выполнять общественно полезные требования.

Поэтому что касается стандартов, которые необходимы операторам, то они есть, например, руководящие документы ФСТЭК, ФСБ, стандарт ISO27001. Появились нормативные акты по защите персональных данных.

Валерий Петрунин, директор департамента по работе с телекоммуникационным сектором, «Информзащита»: Нужны отраслевые стандарты. Если есть общий закон о персональных данных, то не мешало бы выработать отраслевой стандарт о защите персональных данных у оператора связи.

В чем специфика? В частности – в наличии у него биллинговых систем. Нужен стандарт для биллинговых систем и других OSS/BSS, а их поставщики должны изначально учитывать его. Иначе за всё отвечает оператор связи.

Дмитрий КостровДмитрий Костров, руководитель службы безопасности, МТТ: Нам, в МТТ, стандартов не хватает. В отрасли «связь» нет таких наработок, как в банковском секторе. Что, по сути, регламентирует «базовый уровень» – лишь присоединение операторов, ISO-27001 у нас используется для биллинга. Поэтому мы разработали собственный корпоративный стандарт ИБ для всей компании, состоящий из трех частей: стандарт ИБ, аудит и методика аудита. Он утвержден в компании, проведен проверочный аудит. Это и есть внутренняя работа компании по направлению ИБ.    

                                                                                  Подготовила Галина Большова

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!