Rambler's Top100
Статьи ИКС № 9 2008
Дмитрий КОСТРОВ  16 сентября 2008

Информационная безопасность в рекомендациях, требованиях, стандартах

Обеспечение информационной безопасности становится все более важным показателем в рейтинге телекоммуникационных компаний на конкурентном рынке. Однако для адекватной оценки любой системы безопасности нужны сопоставимые критерии, установленные в рекомендациях, требованиях, стандартах ИБ, одобренные на международном уровне и принятые во многих странах.

Дмитрий Костров
Требования базового уровня ИБ
для операторов электросвязи РСС

1. Разработать политику безопасности для каждой из действующих и проектируемых информационных и телекоммуникационных сетей и систем.

2. Обеспечить проведение организационных мероприятий по обеспечению ИБ.

3. Провести инвентаризацию и классификацию информационных ресурсов.

4. Обеспечить выполнение требований по ИБ при подборе и расстановке кадров.

5. Обеспечить выполнение требований по физической безопасности оборудования и программного обеспечения.

6. Разработать процедуры реагирования на нарушения в сфере ИБ.

7. Обеспечить защиту от вредоносного программного обеспечения.

8. Отработать процедуры контроля и регистрации действий пользователей.

9. Предусмотреть мероприятия по обеспечению ИБ при передаче информации, установке и модернизации программного обеспечения.

10. Разработать нормативные документы для организации контроля доступа к отдельным компонентам сети и ко всей сети электросвязи.

11. Разработать мероприятия по обеспечению ИБ при разработке (технической поддержке сетей связи).
ИБ в законе

ФЗ «О связи» (ст. 46, п. 1) обязывает оператора «осуществлять построение сети связи с учетом технических и организационных требований к безопасности и устойчивости функционирования сети». Помимо этого закон возлагает на оператора такие функции ИБ, как защита сооружений связи и средств связи от несанкционированного доступа к ним; защита сетей связи и передаваемой по ним информации от несанкционированного доступа; обеспечение безопасности (информационной безопасности) функционирования внутренней инфраструктуры оператора связи.

Требования эти необходимо реализовывать в системе функционирования сети связи, контролировать их работоспособность, сопровождать эксплуатацию, готовить и представлять в вышестоящие инстанции статистическую отчетность. Однако из-за отсутствия координирующих нормативных положений единого подхода к обеспечению безопасности информации не существует. Нет общего подхода и к составу подразделений ИТ и ИБ. Это, как правило, зависит от объема выполняемых оператором задач, а функциональные обязанности между ИТ и ИБ распределяются исходя из предыдущего опыта руководителей этих подразделений.

Сертификация по международным стандартам

Самая известная в мире сертификация – по требованиям стандарта ISO 27001:2005. В России на сегодняшний день официально сертифицировали свои системы управления информационной безопасностью (СУИБ) шесть компаний; четыре из них работают в сфере ИТ.

Стандарт ISO/IEC27001:2005, выпущенный British Standards Institute в 2005 г., основан на лучших мировых практиках. Он четко определяет ключевые процессы, которыми необходимо управлять менеджеру, отвечающему за обеспечение ИБ в организации.

Согласно этому стандарту, процессы должны быть формализованы и взаимосвязаны для успешного под-тверждения эффективности системы ИБ (СИБ), причем заключительный этап подтверждения – проведение независимой проверки аккредитованным органом по сертификации. Положительное заключение такого органа свидетельствует об эффективном и корректном обеспечении процессов управления ИБ, о позитивном имидже фирмы, а для ее руководства служит убедительным аргументом, что в ИС предприятия используются современные средства обеспечения ИБ с максимальным уровнем эффективности. Сам процесс проверки внешним органом по сертификации повышает степень доверия руководства к ИБ-подразделениям, являясь показателем качества и профессионализма сотрудников этой службы.

 Обязательства Администраций связи РСС

- совместно разрабатывать документы в сфере обеспечения информационной безопасности существующих информационных и телекоммуникационных сетей и систем;

- принимать организационные и технические меры по обеспечению ИБ, в том числе внедрять средства обеспечения ИБ;

- разработать базовые требования к персоналу, ответственному за обеспечение ИБ;

- разработать процедуру взаимодействия сторон при проведении анализа и устранения нарушений ИБ информационных и телекоммуникационных сетей и систем;

- разработать требования по обеспечению физической безопасности информационных и телекоммуникационных сетей и систем и обеспечивать их реализацию;

- применять специальные программные и технические средства обеспечения целостности и конфиденциальности информации.

Решение о внедрении СУИБ в организации должно приниматься на самом высоком уровне управления, в идеале – генеральным директором. Без поддержки руководства такие проекты нередко обречены на провал, в лучшем случае – на неэффективное функционирование в условиях неприятия процессов работниками фирмы.

При создании СУИБ необходимо определить и документировать область деятельности, на которую планируется распространить требования стандарта. Выбор области – отправная точка создания системы. Для достижения максимальной эффективности СИБ для бизнеса нужно выделить самый важный для организации сегмент деятельности. При этом следует понимать: чем больше данный сегмент, тем более дорогостоящим с точки зрения финансовых и трудовых затрат окажется процесс внедрения СУИБ.

Для процессов, внедрения которых требует стандарт, должен быть обеспечен замкнутый непрерывный цикл улучшения. По мере усложнения информационно-телекоммуникационных систем требования к ним должны своевременно пересматриваться и актуализироваться. Если требование не сформулировано или сформулировано неверно, то и выбор средств защиты информации (СЗИ) после их внедрения будет неадекватен угрозам. Непрерывность и своевременная реакция на инциденты и отклонения в работе процессов контролируются внутренними аудиторскими проверками и проверочными аудитами внешнего органа по сертификации. Внутренний аудит направлен на выявление несоответствий и полностью документируется. Для эффективного устранения несоответствий в работе СУИБ используется процедура управления корректирующими и предупреждающими действиями.

При успешном завершении сертификационного аудита выдается сертификат соответствия сроком на три года. Затем ежегодно проводятся внешние аудиторские проверки состояния СУИБ в организации, а это значит, что процесс обеспечения ИБ находится под постоянным контролем, он прозрачен и понятен руководству.




Не пренебрегайте рекомендациями МСЭ-Т

В п. 11.1 «Управление рисками нарушения ИБ на предприятии» проекта новой Рекомендации МСЭ-Т Х.1207 «Руководящие принципы решения проблемы риска проникновения шпионского ПО и потенциально нежелательного ПО, предназначенные для поставщиков услуг электросвязи» описана необходимость создания СУИБ. Вместе с тем на уровне предприятия-поставщика услуг электросвязи СУИБ, внедренная для выявления рисков нарушения ИБ, должна соответствовать другой рекомендации МСЭ-Т – Х.1051 «Система управления информационной безопасностью. Требования к электросвязи. ISMS-T».

Именно МСЭ-T X.1051 вводит требования к управлению ИБ для телекоммуникационных компаний. Согласно этому документу, для них принятие решения о создании СУИБ должно быть стратегическим. Архитектуру и реализацию СУИБ следует осуществлять в полном соответствии с потребностями бизнеса, требованиями к безопасности, используемыми процедурами, а также размером и организацией бизнес-процессов в компании. Предполагается, что СУИБ будет масштабироваться в соответствии с потребностями организации. Рекомендации могут использоваться для оценки соответствия внутренними и внешними сторонами, включая органы сертификации.

Применительно к специфике телекоммуникационных компаний в МСЭ-T X.1051 представлены цели и средства управления, полностью соответствующие ISO/IEC 17799 и BS 7799-2:2002 (на его основе разработан стандарт ISO/IEC 27001:2005).

Основное требование к поставщику услуг электросвязи, которое следует учитывать при внедрении МСЭ-T X.1051, – это наличие на данном предприятии системы ИБ, позволяющей перманентно (т.е. на постоянной основе) выявлять, оценивать, интерпретировать риски нарушения ИБ, связанные с представляемыми им услугами, причем как непосредственно конечным пользователям, так и опосредованно – через потребителей услуг. Кроме того, такая система должна обладать возможностями управления этими рисками. Используя непрерывные процессы управления рисками, поставщики услуг повышают наглядность своих профилей рисков и смогут продемонстрировать регуляторным органам и другим заинтересованным сторонам безопасность своих сетей и услуг. В данной рекомендации есть положение, по которому поставщики могут также рассматривать вопрос о своей официальной сертификации на соответствие рекомендациям ISMS-T по системе сертификации ISO/IEC 27001.

Заметим, что в создании рекомендации «Базовый уровень информационной безопасности операторов связи», который лег в основу требований документа X.sbno ITU-T, участвовали группа представителей предприятий отрасли «Связь» и Ассоциация документальной электросвязи. Документ определяет базовый уровень ИБ для операторов в виде минимального набора рекомендаций, реализация которых будет гарантировать определенный (базовый) уровень ИБ коммуникационных услуг, обеспечивая при этом баланс интересов операторов, пользователей и государства.

Важно, что каждая рекомендация проверяема. Проверка может осуществляться как самим оператором с последующим декларированием соблюдения требований, так и аудиторским органом через систему подтверждения соответствия. Часть рекомендаций может послужить основой для установления многосторонних критериев, позволяющих оператору оценить состояние своей сетевой и информационной безопасности. Кроме того, требования к «Базовому уровню…» позволяют каждому оператору оценить, какие стандарты безопасности актуальны и как их следует применить.

Выполнение рекомендаций, приведенных в данном документе, означает готовность и способность оператора связи взаимодействовать с другими участниками процесса (операторы, пользователи и правоохранительные органы) с целью совместного противодействия угрозам информационной безопасности.

При этом необходимо отметить, что требования к «Базовому уровню…» есть минимальный набор рекомендаций, реализация которых будет гарантировать определенный уровень ИБ коммуникационных услуг. Требования эти разработаны в соответствии с Правилами системы добровольной сертификации услуг связи, средств связи и систем менеджмента качества организаций связи «Связь-Качество», утвержденными в декабре
2004 г. заседанием организаторов Системы добровольной сертификации услуг связи, средств связи и систем менеджмента качества организаций связи «Связь-Качество». Ожидается, что в 2008 г. как минимум один оператор пройдет добровольную сертификацию по данным требованиям.

Но самое главное, выполнение требований к «Базовому уровню…» подтверждает, что использование средств защиты позволяет снизить риски и стоимость их внедрения адекватна возможному ущербу.

В рекомендации подчеркивается, что оператор должен придерживаться лучших практик безопасности при создании приложений и услуг, предоставляемых конечным пользователям сети (например, при создании клиентам возможностей самообслуживания). При этом применяемые методы защиты не должны быть направлены против третьих лиц (непричастных к созданию угроз безопасности) и/или их информационных ресурсов, а также не должны причинять умышленный вред третьим лицам и/или их ресурсам. Кроме того, возможные неудобства, причиняемые выбранными средствами защиты, должны быть существенно меньше тех, для противодействия которым они используются.

Три уровня требований

Все требования в документе X.sbno ITU-T разделены на три уровня: к политикам оператора, к функциональности и к взаимодействию (что отличает его от РСС).

В требованиях к политикам определена необходимость зафиксированной (утвержденной) внутренними процедурами предприятия связи политики безопасности, основанной на лучших практиках оценки и управления рисками, отвечающей нуждам деловой деятельности и соответствующей национальному законодательству. Политики безопасности должны быть опубликованы и доведены до сведения персонала оператора связи и внешних участников (клиентов, взаимодействующих операторов, других заинтересованных лиц).

В требованиях к функциональности описаны требования только к имеющимся сертифицированным техническим средствам, которые следует применять в строгом соответствии с условиями лицензионного со-глашения, определяемого их изготовителем. При этом доступ к управляющим функциям коммуникационного оборудования реализуется через персональные учетные записи. Отметим, что присутствует и требование, запрещающее неавторизованный доступ или доступ с паролем по умолчанию к коммуникационному оборудованию, управляющим и консольным портам, управляющим или административным учетным записям любого коммуникационного оборудования и/или ПО. Здесь же описываются требования по обновлению ПО, процедуры антиспуфинга, антивирусной защиты, применения SpamFirewall и журналирования событий.
 

В требованиях к взаимодействию описан порядок идентификации собственных клиентов и других операторов, с которыми осуществляется непосредственное взаимодействие на физическом и канальном уровнях. В подразделе указывается на необходимость наличия круглосуточной службы реагирования на инциденты безопасности (или использования такой службы на правах аутсорсинга).

Взаимодействие на международном уровне

Еще один интересный с точки зрения ИБ документ – Меморандум о взаимодействии операторов электросвязи Регионального содружества в области связи (РСС) в сфере обеспечения ИБ информационных и телекоммуникационных сетей и систем, имеющий приложение № 1 – «Требования к обеспечению базового уровня информационной безопасности сетей электросвязи».

В меморандуме описаны общие положения по взаимодействию между членами РСС в части обеспечения ИБ и перечислены обязательства Администраций связи независимых государств.

Отдельно оговорено важное обязательство членов РСС: проводить анализ соответствия аппаратно-программных средств информационных и телекоммуникационных сетей и систем базовому уровню ИБ. Базовый уровень определяет технические, организационные, законодательные и другие требования, рекомендуемые операторам электросвязи РСС для обеспечения безопасного функционирования взаимодействующих сетей электросвязи. Меморандум содержит и 11 основных требований базового уровня ИБ. Выполнение требований меморандума – условие присоединения к сетям операторов РСС. 

Рекомендации в деталях

В требованиях к «Базовому уровню…» прописано условие защиты от спама. А на ближайшее заседание 17-й Исследовательской комиссии МСЭ-Т (ITU-Т) вынесено утверждение проектов новых Рекомендаций МСЭ-Т Х.1231 (Технические методы противодействия спаму), Х.1240 (Технологии, применяемые при противодействии спаму, рассылаемому по электронной почте) и Х.1241 (Техническая структура противодействия спаму, рассылаемому по электронной почте). Согласно уже принятым требованиям, на каждом оконечном сервере электронной почты (или при нем) следует устанавливать системы детектирования спама во входящих сообщениях, которые способны их помечать как спам.
 

Для защиты от DDoS-атак (в первую очередь атак типа «отказ в обслуживании») оператору вменяется в обязанности применение технических и организационных мер, позволяющих не только установить источник атак, но и блокировать (деактивировать) их. Интересным является требование использования системы обнаружения и предупреждения атак (IDS/IPS) с регулярно обновляемой базой сигнатур. Такая система в реальном масштабе времени осуществляет выборочную контекстную проверку трафика, принимаемого от клиентов или от других операторов.

Существует также требование обеспечения конфиденциальности передаваемой и/или хранимой информации для систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи. При этом оно должно соблюдаться и в том случае, если эта информация стала известна оператору связи в силу исполнения договоров об оказании услуг связи.



Причины добровольной сертификации

- оператор нуждается в демонстрации своей способности предоставлять услуги связи, отвечающие установленным требованиям;

- оператор имеет цель демонстрировать взаимодействующим с ним операторам связи способность и готовность совместно с ними противостоять угрозам ИБ.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!