• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Так ли прост базовый уровень?

Базовый уровень был предложен в России, получил поддержку профессионального операторского сообщества и в сентябре 2007 года был утвержден МСЭ на основе консенсуса в качестве международного документа. Какова первая практика применения? Читайте полную версию круглого стола, опубликованного в журнале «ИКС», № 7—8/2008. Часть V.

Аркадий Кремер, председатель Исполкома общественно-государственного объединения «Ассоциация документальной электросвязи», зам. председателя исследовательской комиссии по стандартизации ИБ МСЭ: Наряду с такими важными направлениями стандартизации, как архитектура информационной безопасности и управление информационной безопасностью, базовый уровень стал новым направлением в стандартизации информационной безопасности, получившим название «безопасность взаимодействия». Присоединение к базовому уровню подтверждает готовность и способность оператора связи участвовать в коллективном обеспечении информационной безопасности (вместе с другими операторами, потребителями, представителями правоохранительных органов).

Базовый уровень был предложен в рамках рабочей группы АДЭ, получил широкую поддержку профессионального операторского сообщества и в сентябре 2007 года был утвержден МСЭ на основе консенсуса в качестве международного документа и размещен на сайте МСЭ-Т. На русском языке текст базового уровня размещен на сайте АДЭ. В рамках российской добровольной системы сертификации «Связь – качество» утверждены требования базового уровня, и операторские компании уже проходят процедуру подтверждения соответствия этим требованиям. Регламентированное и безопасное межоператорское взаимодействие – неотъемлемая составная часть устойчивого функционирования сети связи общего пользования.

Дмитрий Костров, руководитель службы безопасности, МТТ: Компания МТТ является членом МСЭ, как и «Ростелеком», мы тоже работали в Женеве по внедрению стандарта базового уровня. Почему бы нам не провести сертификацию компании на требования того уровня, который мы в мире предлагали. Сертификацию прошли, времени и ресурсов много не потратили.

Трудоемкость сертификации, если компания серьезно занимается вопросами ИБ, не велика. Базовый уровень создавался с позиций «что можно сделать». Если компания не занималась ИБ и менеджментом качества тоже, то аттестацию не пройдет. А если строила бизнес-процессы нормальным образом, то получит сертификат, пусть и с замечаниями и предложениями. Если коротко: несложно, немного, недорого.

С другой стороны, базовый уровень – этот документ неполный. Это лишь первый шаг для того, чтобы компания начала заботится об ИБ.

Не надо думать, что вирус у клиента – его беда, а тебе, оператору – только трафика больше. Другой клиент, у которого от этого вируса или спама сотовый телефон не работает, факс не справляется, видеоконференцсвязи нет, может и отказаться от ваших услуг, перейти к другому провайдеру, где можно работать спокойно. Вот вам и выгода от базовых требований и ИБ.

Александр Ткачев, начальник отдела информационного обеспечения, «Связьинвест»: В МРК в основном внедрен базовый уровень. Но как подсказывает практика (события в ЮТК с DDoS-атакой), к сожалению, не везде создана сама инфраструктура, соответствующая базовому уровню; в основном она внедрена в генеральных дирекциях МРК. Степень внедрения высока в компаниях электросвязи Северо-Запада, Урала, Сибири, а в других филиалах недостаточна.

Денис Батранков, консультант по информационной безопасности, IBM ISS: Компании-провайдеры уже задаются вопросом, какие бы они хотели стандарты или требования стандартов выполнять сами, для своих нужд, а какие бы выполнялись их «соседями». Вопрос сводится к тому, чтобы договориться о требованиях по присоединению, необходимых для бизнеса оператора.

А. Кремер: Все стандарты – абсолютно добровольные, и им следуют, когда считают, что без этого обойтись нельзя. Но обеспечение безопасности не может рассматриваться как дело добровольное. Добровольное подтверждение соответствия хорошо для начала, но вряд ли добровольность приведет к реально безопасному и устойчивому функционированию сети связи общего пользования.

Добровольное подтверждение соответствия может быть неким полигоном. Имея достаточную практику, можно будет перейти к обсуждению обязательных требований.

Алексей Сабанов, заместитель гендиректора, «Аладдин Р.Д.»: Тезис о том, что требования стандартов должны быть обязательны со временем – спорный. Базовый уровень – отраслевой стандарт.  Но нормативной документации в отрасли «связь», которой обязан следовать оператор, и так слишком много для того, чтобы все выполнять. В то же время на некоторых сетях  уже стоят сертифицированные решения – используйте, Интернет очищайте от спама, предоставляйте услуги чистого трафика. Обязательность, на мой взгляд, вредна, должна быть заинтересованность и добровольность.

А. Кремер: Никто и не предлагает стандарты сделать обязательными. В рамках МСЭ используется термин «рекомендация». Они должны быть такими, чтобы их было невыгодно не выполнять. В то же время стандарты часто включаются в нормативно-правовые акты, обязательные для исполнения.

Александр Гермогенов, зам. директора Департамента госполитики в области ИКТ Мининформсвязи России: Регулятор только «за». Ведь правильно было сказано: требования стандартов – это фактически те же, но добровольные нормы. Действительно, отдельные нормативные требования, содержащиеся в добровольных стандартах, на основе опыта наверняка перейдут в разряд обязательных нормативных требований. Замечу, что обязательная норма – это приказ, а не стандарт. Это нормативно-правовой акт того или иного уровня, в котором обобщен имеющийся опыт.

                                                                                  Подготовила Галина Большова