Rambler's Top100
Статьи ИКС № 5 2009
Галина БОЛЬШОВА  05 мая 2009

Впереди много работы

– подвел итог 8-й международной конференции АДЭ «Безопасность и доверие при использовании инфокоммуникационных сетей и систем» председатель исполкома АДЭ Аркадий Кремер. Но главное – организованы и работают новые рабочие группы, нацеленные на решение актуальных для информационной безопасности задач.

Среди множества тем, обсуждавшихся на конференции, главные и наиболее острые выделились сами собой – наибольшим числом участников соответствующих заседаний секций. Таковых оказалось несколько: безопасность инфраструктуры, проблемы взаимодействия операторов при инцидентах, сложности подтверждения соответствия ряду требований и, конечно же, персональные данные.

Уровень ИБ определяется безопасностью инфраструктуры

Обсуждение проблем регулирования телекоммуникаций, которые с развитием технологий все более превращаются в инфокоммуникационную отрасль, началось с отчета недавно организованной рабочей группы АДЭ (РГ-2), разрабатывающей концепцию инфокоммуникационного регулирования. К началу апреля РГ-2, используя подход сетевой модели OSI, разработала базовую инфокоммуникационную модель, определив три уровня: транспортный (сетевая инфраструктура, транзитная и доступа), сервисный (отвечающий за порождение и оказание инфокоммуникационных услуг) и контентный (отвечающий за содержимое коммуникаций). Разработаны и требования к модели регулирования.

По мнению Ю. Сенглеева (МТС), рабочей группе следует внести в Гражданский кодекс отдельную главу, регулирующую оказание единой инфокоммуникационной услуги. Он также считает, что взаимоотношения между операторами и другими участниками рынка (теми, от кого зависит оказание услуг) должны регулироваться не сонмом подзаконных актов, а Инфокоммуникационным кодексом в виде федерального закона прямого действия. Для его подготовки РГ-2 должна разработать доктрину Инфокоммуникационного права.

Но даже при условии реализации всех планов рабочей группы взаимодействие операторов связи при инцидентах пока остается «белым пятном» правовой области. Противодействовать угрозам ИБ каждый оператор вынужден в одиночку, в рамках собственной сети. Механизмы взаимопомощи, увы, не отлажены, хотя в глобальных инфокоммуникационных сетях и угрозы глобальны.

Руслан Стоянов, руководитель отдела безопасности сети ОАО «РТКомм.РУ»Р. Стоянов («РТКомм.РУ») считает, что пора узаконить административные меры как по «горизонтали» (взаимодействие операторов по атакам и спаму, предоставление ИБ-сервисов), так и по «вертикали» (процедуры взаимодействия с госорганами: регулятором, МВД и др.). И все это должно стать частью общей системы безопасности государства. По мнению М. Доронина («Ростелеком»), столь же необходим централизованный центр компетенции сетевой безопасности на уровне регулятора, а также форум операторов для выработки единой позиции по инцидентам и угрозам и мер по их устранению. А предложение А. Кондакова («Наунет СП») – создать при АДЭ рабочую группу по противодействию спаму и на ее базе техническую площадку по отработке технических мер противодействия вредоносной активности – было внесено в итоговый документ конференции.

«Персона года» – персональные данные

Они незримо присутствовали на многих заседаниях. Так, предоставление электронных социальных услуг тоже несет в себе опасности для персональных данных. Для повышения защищенности инфраструктуры таких сетей В. Беленкович («Авангард Комьюникешнз») предложил использовать идентификацию пользователей социальных сервисов, которая должна стать функцией сервисной инфраструктуры общего пользования. И госструктурам, и операторам таких сетей нужны механизмы защиты и доверия, обеспечивающие безопасность. Один из таких механизмов – управление идентификацией (Identification Data Management, IDM) – уже обсуждается в рамках МСЭ (ИК-17), где разрабатываются рекомендации по стандартизации IDM, модель данных IDM и описание IDM-сервисов.

Но и при условии «неанонимности» персональные данные надо защищать согласно ФЗ-152, причем не только в социальных сетях. О проблемах реализации требований законодательства операторами связи шла речь на круглом столе при участии всех заинтересованных лиц: операторов персональных данных, представителей ФСТЭК, ФСБ и Роскомнадзора. Краткий итог заседания подвел его ведущий М. Емельянников (НИП «Информзащита»): для защиты персональных данных существующих документов достаточно. Но 28 законов и около 40 подзаконных актов нуждаются в доработке для соответствия ФЗ-152 и требованиям ФСТЭК и ФСБ. Формы и методы контроля соответствия должны быть определены совместным приказом регулирующих органов в июле 2009 г.

  


И в заключение еще об одном документе – требованиях к системам сохранения доходности, разработанных Мининформсвязи. Теперь операторам, внедрившим Revenue Assurance, для ведения своей деятельности понадобится еще один сертификат – подтверждающий соответствие этой системы опубликованным требованиям.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!