Rambler's Top100
Статьи ИКС № 2 2007
Михаил ЕМЕЛЬЯННИКОВ  01 февраля 2007

Безопасный биллинг оператора связи – что это?

Вопрос, вынесенный в заголовок статьи, только кажется простым или провокационным. Любые первые пришедшие в голову ответы на него в конечном счете окажутся неправильными – проблема гораздо глубже, чем кажется на первый взгляд.

М.Ю. ЕМЕЛЬЯННИКОВ, директор департамента КГ «Борлас»Когда говорят о безопасности биллинговой системы, имеют в виду защищенность интересов ее владельцев и/или пользователей. Кто они для биллинговой системы? К этой категории надо отнести три основные группы:
  • самого оператора связи – его подразделения и персонал, имеющие доступ к АСР;
  • клиентов оператора связи;
  • государство в лице органов власти и местного самоуправления
Однако интересы этих трех групп, мягко говоря, не совсем совпадают и, если делать биллинговое решение «не по понятиям, а по закону», учесть придется все.

Конкретнее? Пожалуйста.

Интересы оператора

Каковы наиболее существенные требования оператора связи, создающего и эксплуатирующего АСР? Их можно свести к трем основным и одному опциональному.

Основные требования:
  • защита экономических интересов (целостность и адекватность данных тарификации);
  • защита сведений об абонентах (клиентской базы как коммерческой тайны оператора);
  • защита сведений, предусмотренных законом: персональных данных клиентов, сведений, составляющих тайну связи и тайну частной жизни.

Опциональное требование – предотвращение мошенничества на сетях связи (фрод-менеджмент).

Первое требование для оператора – безусловно самое важное. Все его доходы – в этой самой биллинговой системе. Сбои, просчеты, ошибки суть прямые убытки, даже если первоначально они были «в пользу» оператора. Отрицательный итог неизбежен – за счет санкций.

Абонентская (клиентская) база – святая святых любого продавца товаров и услуг. Поэтому и продажа их на рынках – больше беда, чем вина оператора связи. Остальные сведения (персональные данные клиентов, информацию, относящуюся к тайне связи или тайне личной жизни) оператор обязан защищать в соответствии с нормами российского законодательства, и невыполнение их чревато не только имиджевыми, но и финансовыми потерями в случае исков клиентов – физических и юридических лиц.

Наличие блока АСР, обеспечивающего фрод-мониторинг или взаимодействие с системой фрод-мониторинга, – насущное требование сегодняшнего дня, когда миграция сетей связи в сети передачи данных открыла для мошенников невиданные возможности незаконного получения услуг связи или их неоплаты. К тому же операторское и роуминговое мошенничество стало головной болью для многих телекоммуникационных компаний.

А вся информация о трафике, оплате, тарифных планах – именно в биллинговой системе. Через нее гораздо быстрее и дешевле отследить многие аномалии, сопутствующие мошенничеству, нежели создавать самостоятельную систему фрод-мониторинга. Этим путем идут многие разработчики биллинговых решений, в первую очередь западные.

Интересы клиента

Близки по содержанию к уже перечисленным и требования клиентов оператора связи.

Основные требования:
  • адекватная и своевременная тарификация услуг связи;
  • сохранение тайны личной жизни и тайны связи.

Опциональные требования:
  • возможность онлайнового контроля и расходов на услуги связи, управления счетом и тарифным планом;
  • предотвращение несанкционированного пользования услугами связи за счет абонента.
Клиент хотел бы получать счета только за те услуги, которые ему реально предоставлены, и получать их как можно быстрее. Думаю, любого, кто пользовался роумингом, немало раздражал внезапно опустевший счет и заблокированный телефон через три-четыре дня после возвращения из-за рубежа, когда положительный остаток уже подтвержден и сюрприза никак не ждешь.

По поводу сохранения в тайне сведений о переговорах вспоминается реальный, но от этого не менее анекдотичный случай судебного иска абонента к оператору связи. Предмет иска: неправомерное предоставление доступа к информации о переговорах… его жене. Формально абонент был прав: клиентом был он, а не супруга, узнавшая из полученного на руки счета о частых, но скрываемых звонках мужа в другой город.

Непринятие оператором мер по предотвращению несанкционированного подключения к линии абонента и, соответственно, перекладывание на этого абонента оплаты переговоров привело в свое время к запрещению московскими властями отключения телефона за неоплаченный «межгород» – прежде чем отключать, по мнению депутатов городской Думы, линии надо защитить. И спорить с этим трудно.

Святое

А вот у государства в лице органов власти требования к безопасности АСР несколько иные:
  • сохранение в тайне сведений о телефонных переговорах спецпотребителей;
  • возможность проведения оперативнорозыскных мероприятий на каналах связи, сохранение в тайне факта их проведения и содержания;
  • адекватная тарификация услуг связи и налоговая прозрачность биллинговых отчетов.
Интересы спецпотребителей – органов власти, силовых структур, частей и учреждений Минобороны и т.п. – долгое время были камнем преткновения в вопросе о приватизации холдинга «Связьинвест», да и сейчас проблема полностью не снята. Все эти вопросы: кто будет иметь доступ к информации о переговорах силовиков, закрытых предприятий и военных, как эта информация будет защищаться – отнюдь не праздные для любого государства, и нашего в том числе.

Принятие Правительством России в 2005 г. Постановления № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативнорозыскную деятельность» поставило точку в длительных спорах о порядке и механизме предоставления субъектам оперативнорозыскной деятельности (ОРД) сведений о переговорах, обычно называемых протоколами соединений (если проще – кто, когда, с кем и как долго разговаривал). Теперь доступ к этой информации должен предоставляться не только без всяких санкций судов или прокуратуры, но и в режиме онлайн, да к тому же за три прошедших года.

А где эта информация? В биллинговой системе. Значит, надо обеспечить ее безопасное хранение, разграничить к ней доступ, создать интерфейс, приемлемый для оперативных работников, да еще и сделать так, чтобы работники предприятия связи, в том числе системные администраторы, администраторы АСР и баз данных, не знали, кто, когда и за какими сведениями из местных органов ФСБ обращался.

Другой важный государственный вопрос – налоги. В прессе последних лет темы налоговой задолженности и взаиморасчетов операторов, методики расчетов налогооблагаемой базы– одни из самых «горячих». Иски и штрафы в миллиарды рублей – одно из следствий особенностей тарификации услуг и интерконнекта (пропуска трафика).

Как операторы считают деньги, каковы внутренние механизмы контроля и их прозрачность? Вывод о законопослушности оператора связи и адекватности его финансовой и бухгалтерской отчетности зависит от того, какие ответы получают налоговые инспекторы в ходе проверок. А вся эта информация там же, в биллинге…

О требованиях…

Кто же и каким образом выдвигает требования к безопасности биллинговой системы оператора связи, и притом такие, чтобы интересы всех означенных категорий соблюдались?

Вопросы безопасности в нашей стране в той или иной степени регулируют три ведомства (см. таблицу): Мининформсвязи, ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю).

Исходный документ для любого разработчика биллингового решения и оператора связи – «Общие технические требования». Несмотря на то, что документ, мягко говоря, не нов (1998 г.), мы обнаружим, что требования по безопасности в нем довольно жесткие – одиннадцатый раздел ОТТ требует использования практически всех известных механизмов безопасности, а также применения сертифицированных средств защиты. Реализация ОТТ является условием сертификации АСР, без которой ее эксплуатация запрещена. Но, как это часто бывает в России, строгость законов компенсируется необязательностью их исполнения.

Ни в одной известной мне биллинговой системе (а сталкиваться приходилось со многими – и российскими, и зарубежными, и уникальными, и «коробочными», и «самописными») требования по безопасности не то, что не выполняются в полном объеме, – чаще всего просто игнорируются. Максимум, на что можно рассчитывать – определение ролей доступа к системе и парольная защита. Что-то еще делается при создании технической архитектуры биллингового решения. А уж встроенных в систему сертифицированных средств защиты видеть не приходилось никогда.

...и соответствии им

Чтобы упорядочить построение подсистемы безопасности АСР, рабочей группой АДЭ в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 был создан проект профиля защиты биллинговой системы. С результатом можно ознакомиться на сайте ФСТЭК России.

Но здесь начинаются неопределенности, которых в надежной защите быть не должно.

Во-первых, проект – это проект, и когда он станет утвержденным профилеми станет ли, неизвестно.

Во-вторых, сам стандарт, в соответствии с которым готовился профиль, предназначен для средств защиты информации, а не для крупных информационных систем, коими являются АСР. Нигде в мире аналогов такого профиля и вообще случаев сертификации биллинговых систем по ISO 15408 найти не удалось.

Зарубежные коллеги, имеющие значительно более богатый опыт использования данного стандарта, выражали сомнение в возможности его применения для биллинга с последующей сертификацией систем. Но, как любые представители бизнеса, в конце концов говорили: «Любой каприз – за ваши деньги». Грубая оценка стоимости такой работы показывает, что сертифицированная система безопасности будет стоить столько же, сколько и сама АСР. Комментарии излишни.

Третье «но» обусловлено мнением российских специалистов, знакомых с проектом профиля. Они сомневаются, что АСР, в которой профиль будет реализован в полном объеме, вообще сможет работать: слишком много требований и слишком уж они жесткие. Кстати, побочным результатом утверждения профиля явилась бы практическая невозможность использования зарубежных биллинговых решений, а, возможно, и зарубежных платформ для них, в первую очередь, систем управления базами данных.
Госправила для оператора
  • Оператор связи обязан своевременно обновлять информацию, содержащуюся в базах данных об абонентах оператора связи и оказанных им услугах связи (далее – базы данных). Указанная информация должна храниться оператором связи в течение трех лет и предоставляться органам федеральной службы безопасности … путем осуществления круглосуточного удаленного доступа к базам данных.
  • Базы данных должны содержать следующую информацию об абонентах оператора связи:

  • фамилия, имя, отчество, место жительства и реквизиты основного документа, удостоверяющего личность, представленные при личном предъявлении абонентом указанного документа, – для абонента-гражданина;
  • наименование (фирменное наименование) юридического лица, его место нахождения, а также список лиц, использующих оконечное оборудование юридического лица, заверенный уполномоченным представителем юридического лица, в котором указаны их фамилии, имена, отчества, места жительства и реквизиты основного документа, удостоверяющего личность, – для абонента – юридического лица;
  • сведения баз данных о расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонентов.

Еще один побочный эффект строгого следования нормативным документам – необходимость, чтобы разработчик АСР имел лицензию на техническую защиту конфиденциальной информации, поскольку такая информация в АСР безусловно хранится и обрабатывается. К ней относятся упоминавшиеся уже персональные данные и сведения, составляющие тайну связи. Таких лицензий у большинства разработчиков нет, да и зачем они, когда системой защиты в биллинге, как говорилось чуть выше, никто всерьез пока не занимается.

Относительно реализации требований субъектов ОРД необходимо заметить, что Постановление Правительства РФ № 538 однозначно требует выполнения вышеупомянутых «Правил взаимодействия операторов связи с уполномоченными государственными органами…». А факты запросов госорганов должны сохраняться оператором в тайне.

Этапы большого пути

Таким образом, для «правильного» построения одного биллингового решения необходимо создать, как минимум, два частных технических задания – по СИБ и по СОРМ. Причем первое должно разрабатываться в строгой взаимосвязи с существующими корпоративными политиками безопасности, требованиями ко всем объектам технической архитектуры информационных систем и быть единым для всех них. Согласитесь, создание отдельных центров обработки данных, выделение специальных каналов передачи данных и т.п. для каждой информационной системы абсурдно и слишком дорого. В современных условиях решения, в том числе и в области безопасности, должны быть хорошо масштабируемыми, технически и информационно совместимыми и эффективно управляемыми.

На всех этапах проектирования, построения и ввода в эксплуатацию биллингового решения заказчик (оператор) должен быть уверен, что получаемый продукт (кстати, весьма дорогой) действительно отвечает выдвинутым требованиям. Проблема валидации – документированной процедуры, дающей высокую степень уверенности в том, что конкретный процесс, метод или система будут неизменно приводить к результатам, которые отвечают заранее установленным критериям приемлемости, – решается в данном случае только одним способом – сертификацией и биллинговой системы, и биллингового решения в целом.

Помимо уже упоминавшейся обязательной сертификации в системе Мининформсвязи на соответствие ОТТ к АСР, для владельца биллинга представляют интерес еще несколько нормативных документов, позволяющих провести уже не обязательную, а добровольную сертификацию, т.е. подтверждение требуемого функционала (см. рисунок).

Сертификация (в системе ФСТЭК) на отсутствие в АСР недекларированных возможностей (НДВ) позволит оператору связи быть увереннымв том, что в программном решении нет «люков», «черных ходов» и других уязвимостей, позволяющих злоумышленнику вмешаться в процесс тарификации, изменить или уничтожить данные о предоставленных услугах, несанкционированно сменить тарифный план и т.п.

Следование стандарту ГОСТ ИСО/МЭК 15408 подтвердит, что используемые в АСР средства защиты информации действительно эффективно выполняют свои функции. Для этого, кстати, необязательно иметь утвержденный ФСТЭК профиль безопасности. Можно разработать задание по безопасности для конкретной АСР, получить его независимую оценку, а по завершении проектирования, построения и внедрения провести сертификацию в аккредитованной ФСТЭК организации.

Наконец, следование международному стандарту качества системы управления безопасностью ISO 27001:2005 (ранее – британский стандарт BS 7799-2:2002) давно стало общемировой практикой подтверждения высокого уровня системы информационной безопасности. Из более чем 3 тыс. сертификатов соответствия BS 7799/ISO 27001 четверть (больше, чем в других отраслях) выдана телекоммуникационным компаниям. Среди обладателей сертификатов признанные лидеры рынка – British Telecom, Vodafone, Orange, Japan Telecom, Swisscom, Telecom Italia и др.

***

Кто сможет пройти этот нелегкий путь, чтобы с гордостью сказать: «мой биллинг защищен»? Очевидно, что действительно безопасное решение может создать только поставщик, имеющий реальный опыт проектирования защищенных ИС, причем лишь при условии понимания заказчиком всей сложности и комплексности задачи. Последнее означает, что оператор должен максимально учитывать не только собственные интересы, но и интересы государства и своих клиентов. Подтверждением же достигнутого уровня безопасности станут сертификаты соответствия российским и международным стандартам.

Договоримся о терминах

Под биллинговой системой (автоматизированной системой расчетов за услуги связи, АСР) понимают информационную систему, в которой производится учет услуг связи, предоставленных клиентам и другим операторам, их тарификация, формирование отчетов (в том числе счетов), а также ведутся счета клиентов.

Биллинговое решение – это совокупность биллинговой системы и поддерживающей ее инфраструктуры, которая включает:
  • серверы приложений и баз данных;
  • каналы связи, обеспечивающие передачу биллинговой и предбиллинговой информации;
  • средства информационного взаимодействия АСР с собственными информационными системами предприятия связи (ERP, CRM, OSS/BSS, системами бухгалтерского учета и т.п.) и других операторов и органов власти (в частности, субъектов оперативно-розыскной деятельности).
Тогда безопасность биллингового решения есть не что иное, как защищенность информации, хранимой, обрабатываемой и передаваемой в АСР, а также защищенность поддерживающей АСР инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам и/или пользователям информации. Характеризуется эта суммарная защищенность способностью обеспечить целостность, доступность и конфиденциальность информации на всех циклах ее использования, в том числе с точки зрения непрерывности бизнеса оператора связи и катастрофоустойчивости информационной структуры.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!