Rambler's Top100
Статьи ИКС № 7 2005
01 июля 2005

Операторы: «У нас все в порядке»

1. Есть ли в вашей организации необходимость использовать средства защиты информации и почему?



М. ЕМЕЛЬЯННИКОВ: Бизнес-процессы холдинга «Связьинвест» активно используют IT-инфраструктуру, достаточно сложную и разветвленную, в которой возможны существенные риски и реализация угроз, а применение только штатных механизмов безопасности платформ и приложений нужного уровня защиты не обеспечивает, так что установка различных СЗИ в сети – суровая производственная необходимость.

С. НОВГОРОДСКИЙ: Необходимость, безусловно, есть. Поэтому в 2004 г. в СЗТ и была разработана и введена в действие стратегия обеспечения ИБ, включающая в себя не только текущие задачи, но и программу развития системы ИБ на период до 2010 г. На сети СЗИ применяются для защиты сведений об абонентах и осуществляемых ими соединениях, систем управления и сетей связи от несанкционированного доступа, информации, составляющей коммерческую тайну компании. В качестве СЗИ применяются МЭ, средства криптографической защиты информации, средства защиты от НСД, антивирусные средства, системы обнаружения вторжений, противодействия атакам и выявления уязвимостей (Intrusion Detection System, IDS), средства webи e-mail-мониторинга. Эксплуатацией и управлением средств ИБ наряду со специалистами подразделений безопасности занимаются и специалисты IT-подразделений.

Д. КОСТРОВ: В настоящее время огромное влияние на развитие бизнеса оказывает конкурентная борьба на рынке, и одним из ее орудий является обеспечение информационной безопасности как внутренней ИС компании (для сохранения коммерческой тайны), так и ее операторской сети (для создания конкурентных преимуществ). Поэтому защита информации – одно из главных направлений работы МТТ. В 2003 г. у нас была создана служба информационной безопасности (СИБ). Ее главная задача – гарантировать, что уровень безопасности организации является достаточным по отношению к целям бизнеса. Для определения этой «достаточности» наша СИБ использует систему оценки рисков, а методология снижения рисков в области ИБ связана, как известно, с эффективным применением СЗИ.

2. Какие основные виды угроз характерны для вашего бизнеса?

ОБЩЕЕ МНЕНИЕ. Основные риски, характерные для бизнеса телекоммуникационных компаний:
  • Угрозы хищения, разрушения и несанкционированного доступа к объектам и линиям связи с целью перепродажи содержащихся в них цветных и драгоценных металлов и иных материальных средств.
  • Финансовый ущерб и нанесение вреда деловому имиджу вследствие утечки конфиденциальной информации о клиентах и партнерах компании (базы данных абонентов, данные об услугах связи, электронные цифровые подписи уполномоченных лиц в системах банк – клиент, персональные данные сотрудников, информация по управлению сетями связи и др.).
  • Финансовый ущерб и нанесение вреда деловому имиджу вследствие мошенничества на сетях связи, несанкционированного вмешательства в управление сетями связи и доступа к инфокоммуникационным системам.
  • Угрозы остановки и сбоев информационной инфраструктуры компании или ее использования злоумышленниками для совершения неправомерных действий в отношении третьих лиц и организаций (возможно, клиентов оператора) посредством распределенных компьютерных атак.
  • Снижение эффективности бизнеса вследствие использования служебных технических средств обработки и передачи информации в неслужебных целях, а также несоответствия предоставленных прав доступа к информационным ресурсам и должностных обязанностей.
  • Снижение инвестиционной привлекательности компании вследствие несоответствия реализуемых мер международным стандартам информационной безопасности.
М. ЕМЕЛЬЯННИКОВ: Набор угроз довольно стандартный: НСД, проникновение в сеть вредоносного контента, сложность обеспечения доступности информации из-за увеличения нагрузки на корпоративную сеть и/или количества узлов в ней (проблемы масштабирования существующих ресурсов и приложений в ходе развития) и т. д. И хотелось бы отметить такую серьезную (и порой недооцениваемую многими) угрозу бизнесу, как непроизводительное использование сетевых ресурсов собственными сотрудниками.

С. НОВГОРОДСКИЙ: В отличие от большинства развитых стран, в России вмешательство в работу информационных систем, попытки их взлома, несанкционированного доступа к услугам связи, кража паролей считаются чуть ли не доблестью среди молодых людей, только-только приобщившихся к компьютерным технологиям. Службе информационной безопасности СЗТ приходится постоянно противодействовать настойчивым усилиям как опытных, так и начинающих злоумышленников «протестировать» эффективность систем безопасности компании. А в целом перечень угроз – типичный для сети оператора.

Д. КОСТРОВ: Про характерный для сети МТТ список угроз можно сказать, что он классический для всех современных операторов. Наиболее критичный вид угроз – НСД к информации уровня «коммерческая тайна» и «для внутреннего использования». И здесь чрезвычайно полезно принятое в нашей системе ИБ деление злоумышленников на внутренних и внешних, что позволяет реализовать продуманную политику. Проблема противодействия мошенничеству и снижению дохода компании – общая для отрасли и может решаться с помощью организационных мер политики безопасности и за счет использования FMS, которую мы планируем внедрить у себя.

3. Какие СЗИ используются на вашей сети:
  • российского или зарубежного производства;
  • сертифицированные или нет;
  • применяется ли система управления ИБ;
  • как часто проводится аудит ИБ;
  • есть ли претензии к СЗИ? Польза или вред от них для бизнес-процессов?
М. ЕМЕЛЬЯННИКОВ: В системе ИБ холдинга эксплуатируются как российские, так и зарубежные СЗИ – последние, к сожалению, преобладают. При этом преимущество у нас отдается сертифицированным продуктам.

Единой системы управления ИБ, в строгом смысле этого понятия, у нас нет. Однако организовано администрирование и централизованное управление отдельными компонентами системы ИБ.

Внешний аудит системы ИБ проводится периодически, в зависимости от возникающих задач, примерно один раз в два года, внутренний аудит – гораздо чаще, не реже чем раз в год.

Претензии к СЗИ есть всегда: как к наличию ошибок и недоработок, так и к сложности администрирования, разбора файлов, отсутствию механизмов эффективной оптимизации этой работы. Но есть две, наиболее неприятные для пользователя СЗИ.

Претензия 1. Для сертифицированных средств серьезной проблемой является совместимость с обновлениями и патчами распространенных платформ и приложений после их появления. Перед администратором безопасности все время стоит дилемма – использовать «дырявую» систему с сертифицированным средством защиты или обновить ОС, но потерять сертификат, а может быть, и возможность применения данного СЗИ.

Претензия 2. Не обеспечивается интеграция СЗИ разных производителей, в том числе, например, российских, реализующих единственный ГОСТированный алгоритм шифрования. Для сложных гетерогенных сетей это постоянная головная боль: увеличивается совокупная стоимость владения за счет использования шлюзов между различными системами и снижается производительность.

Что касается взаимодействия СЗИ с бизнес-процессами, то ни одна система безопасности работу с бизнес-приложениями, мягко говоря, не упрощает и пропускную способность сети и ее производительность отнюдь не увеличивает. Всегда нужен поиск разумного компромисса, и при условии понимания топ-менеджментом компании рисков, связанных с низким уровнем безопасности, этот компромисс вполне достижим.



С. НОВГОРОДСКИЙ: Система информационной безопасности компании постоянно совершенствуется, и пополнение ее СЗИ во многом зависит от внешней среды, от тех рисков и угроз, которые будут появляться. В СЗТ применяются средства защиты информации отечественного и зарубежного производства, и провести границу между ними не так просто. Это, как правило, комплексные системы, в которых используются программно-аппаратные средства отечественных и зарубежных производителей.

Для наиболее важных объектов информатизации мы используем только СЗИ, сертифицированные в РФ.

В последнее время отмечается тенденция прямого применения международных стандартов ИБ, например ГОСТ Р ИСО/МЭК 15408, и, по мнению нашей компании, ее следует распространить на сертификацию СЗИ, применяемых для защиты информации, не составляющей государственную тайну.

В нашей системе ИБ принято четкое разделение функций администрирования информационных систем и функций администрирования по требованиям информационной безопасности (контроля) – для этих целей существует специальное подразделение. Эффективность работы СЗИ на сети компании регулярно проверяется в ходе аудиторских проверок, которые проводятся с привлечением специализированных организаций. Более того, руководствуясь международным стандартом ISO 17799 «Информационные технологии. Практические правила управления информационной безопасностью», мы сформировали постоянные технические комиссии, выполняющие роль специального форума для обсуждения вопросов ИБ.

Замечу, что в СЗТ действует удостоверяющий центр. Компания зарегистрирована в Российском дереве идентификаторов объектов, в ветке «Операторы связи», а ее удостоверяющий центр – в ветке «Удостоверяющие центры». Это обеспечивает безопасное информационное взаимодействие СЗТ с клиентами и партнерами, позволяя однозначно определить, кому принадлежит ЭЦП и каким удостоверяющим центром был выдан цифровой сертификат.

Поскольку наша система ИБ развивается согласно принятой программе, то конфликтов в связке «СЗИ – бизнес-процесс» у нас нет.

Д. КОСТРОВ: В настоящее время на сети МТТ используются как отечественные СЗИ, так и зарубежные. Это и МЭ, и средства защиты от НСД, и IDS, и системы оценки рисков …

Применение сертифицированных средств защиты от НСД представляется в настоящее время неактуальной задачей, так как сертификация западных систем, по моему мнению, не дает практически ничего. Я не вижу смысла покупать сертифицированный МЭ Cisco PIX 515Е за бо ’льшие деньги, чем несертифицированный. Да и процедур сертификации для антивирусной системы или IDS практически нет, а вот системы шифрования и ЭЦП в соответствии с законом «Об ЭЦП» применяются только сертифицированные.

Система управления ИБ, установленная в ИС МТТ, основана на стандарте ISO 17799. Аудит ИБ подсистем (как внутренний, так и внешний) проводится по мере необходимости, но не реже одного раза в год.

4. Как выделяются средства на ИБ (с трудом, руководство понимает необходимость, регулярно, от случая к случаю)?

М. ЕМЕЛЬЯННИКОВ: Средства на эксплуатацию и развитие системы ИБ компании выделяются, и необходимость этого осознается, но информационная безопасность – вещь очень дорогостоящая, в том числе и в части зарплаты обслуживающего ее персонала.

С. НОВГОРОДСКИЙ: У руководства СЗТ нет сомнений, что средства защиты информации приносят пользу для поддержания бизнес-процессов компании и ее деловой репутации. Показатель внимания к проблеме – объем затрат на обеспечение ИБ. Так, в 2003 – 2004 гг. только прямые инвестиции в систему ИБ выросли в 12 раз по сравнению с 2002 г., и рост продолжается.

Д. КОСТРОВ: Руководство компании сознает важность применения средств ИБ, поэтому СИБ имеет отдельный бюджет.

5. Кто отвечает за ИБ на предприятии, есть ли практика повышения квалификации в области ИБ?

М. ЕМЕЛЬЯННИКОВ: За ИБ «Связьинвеста» отвечает специально выделенное подразделение департамента безопасности. Повышение квалификации сотрудников проводится постоянно и в самых разных формах – от специализированных курсов до самообразования. Если в эксплуатацию вводится новый продукт, то сотрудники департамента ИБ предварительно проходят обучение, преимущественно авторизованное. Организован обмен опытом в масштабах холдинга, централизованное корпоративное обучение по разным разделам ИБ, в том числе по заказным программам.

С. НОВГОРОДСКИЙ: С 2003 г. в СЗТ действует четкая функциональная вертикаль подразделений безопасности. Сегодня в каждом филиале есть штатные специалисты по ИБ – не реже одного раза в два года они проходят переподготовку.

Д. КОСТРОВ: Как уже было сказано, для обеспечения ИБ компании создана служба информационной безопасности. Вместе с тем одна из задач СИБ – повышение самосознания в области ИБ и других сотрудников компании. Для этого регулярно проводятся их обучение и акции по повышению уровня ИБ в рамках работы с коллективом. Для самих сотрудников СИБ предусмотрено плановое повышение квалификации в различных учебных центрах.

6. Основные проблемы защиты информации на предприятии (угрозы внутренние/внешние, финансирование, кадры, несовместимость СЗИ или плохое соответствие бизнес процессам, иное)?

М. ЕМЕЛЬЯННИКОВ: Проблем в области ИБ немало. Это и поиск оптимального решения для конкретного бизнес-процесса с точки зрения соотношения цена/качество, и получение независимых от производителей оборудования услуг консалтинга, и сложность используемых систем безопасности, и понятные ограничения по численности обслуживающего персонала (мало хороших спецов, способных глубоко разбираться в большом количестве платформ и приложений). Но все-таки основные проблемы всегда находятся внутри; хакеры и вирусописатели – чаще страшилка поставщиков решений и услуг, чем наиболее опасная угроза безопасности.

Основные потери бизнес, увы, несет из-за нечестных и недобросовестных сотрудников. Даже из-за тех, «безобидных», что читают на экране в рабочее время «Эхо Москвы» или «чатятся» с друзьями: ведь за канал-то платит фирма.

С. НОВГОРОДСКИЙ: Главная проблема защиты информации для СЗТ – квалифицированные специа-листы. Спрос на них на Северо-Западе России чрезвычайно высок, а предложение значительно ниже. Но есть и «внутренние» трудности: у нас не всегда имеется возможность обеспечить достойный уровень оплаты труда для администраторов ИБ.

Д. КОСТРОВ: Полагаю, что основной пул проблем лежит не в области защиты информации на отдельном предприятии и даже не в несовершенстве законодательной базы, как привыкли говорить. Основная проблема ИБ для всех операторов – несогласованность действий в отрасли связи. Для участников телекоммуникационного рынка, увы, не существует единых норм по ИБ, нет и перечня удачных практик. Наш уровень ИБ и ее уровень в банковской сфере – это земля и небо. Там в полной мере (и не первый год) действуют отраслевые стандарты ИБ, а у нас базовые требования для оператора начали разрабатывать только в апреле этого года.

7. Что бы вы хотели изменить в части ИБ на предприятии?

М. ЕМЕЛЬЯННИКОВ: Необходимо постоянно добиваться единства политических и технических решений по информационной безопасности в разнородных бизнес-процессах, базирующихся на IT-инфраструктуре. А это очень сложно.

И как выходить из этого положения – готового рецепта нет.

С. НОВГОРОДСКИЙ: Невозможно создать абсолютно безопасную систему. Но непрерывно совершенствовать безопасность инфокоммуникационных систем СЗТ и оперативно реагировать на угрозы нашей службе безопасности вполне по силам. Ее главная задача – реализовывать структурный подход к си-стеме ИБ на практике. А значит, ее все время надо дополнять. Средства ИБ должны на полшага опережать хакеров и злоумышленников.

Д. КОСТРОВ: Как всякому руководителю, мне хотелось бы расширить свое подразделение квалифицированными специалистами, а также увеличить бюджет СИБ, чтобы внедрить еще более «продвинутые» средства защиты. Ведь перечень предоставляемых нами услуг включает самые современные, от WAP-сервисов до GPRS-роуминга.

8. Чем, по-вашему, необходимо дополнить нормативную или законодательную базу по ИБ, чтобы повысить уровень защищенности и надежности сетей предприятий вашего профиля? Чего вам не хватает в области законов или стандартов, РД, положений?

М. ЕМЕЛЬЯННИКОВ: Главная беда ИБ – отсутствие единого правового поля: законы, применяемые в области ИБ, не соответствуют, а часто и противоречат друг другу. Многие принципиальные решения отдаются на откуп регулирующим органам, что очень опасно: появляется соблазн обслуживания (в первую очередь) интересов этих ведомств, вмешательства в самостоятельную хозяйственную деятельность коммерческих структур. Так и не устранено базовое противоречие между законом «О техническом регулировании» и системой сертификации средств безопасности.

В России до сих пор нет базовых законов (об информации персонального характера, служебной тайне), фактически не работает и закон об ЭЦП (2002 г.).

Процесс присоединения к международным стандартам безопасности половинчатый – стандарт принимается в России (как когда-то «Оранжевая книга», а недавно ГОСТ Р ИСО/МЭК 15408), но в соответствующие межгосударственные соглашения Россия не входит.

Что же касается «родной сторонки», то в отраслевом министерстве за последние пять лет так и не появилось ни одного документа по ИБ – ни нормативного, ни методического. Нет ни перечня сведений, составляющих служебную тайну, ни перечня критически важных сетей связи и управления, что усложняет взаимодействие регулирующих органов с операторами связи. Многие виды преступлений в отрасли, такие, например, как несанкционированное подключение к аналоговым линиям телефонной связи, хищение медного кабеля или повреждение ВОЛС (воровать оптический кабель бессмысленно) по закону и преступлениями-то не являются, а значит, добиться возмещения ущерба и наказания виновных практически невозможно.

С. НОВГОРОДСКИЙ: Развитие технологий, как известно, порождает развитие и рост угроз. Поэтому необходимо четко формулировать нормы ИБ, причем не только на текущий момент, но и хотя бы на краткосрочную (5 – 10 лет) перспективу. А для нормального операторского бизнеса необходимы, безусловно, новые отечественные стандарты (например, по системам управления ИБ и аудиту) и, конечно же, требования по обеспечению базового уровня информационной безопасности систем связи.

Д. КОСТРОВ: Сегодня важно принять отраслевой стандарт рекомендательного характера и базовые требования по ИБ для их обязательного выполнения всеми операторами связи.

ОАО «Ростелеком»: «Главное – комплексная защита информации»

Бизнес «Ростелекома» немыслим без защиты хранящейся и обрабатываемой в его ИС информации. А ввод в эксплуатацию информационной системы управления предприятием Axapta и удаленных ИС сделал задачу обеспечения целостности и достоверности этой информации еще более актуальной.

Виды угроз информационной безопасности для ИС «Ростелекома» типичны: это и нарушения конфиденциальности, и угрозы целостности и доступности информации, и пресловутые черви и вирусы. Но они различаются по принципу и характеру воздействия, использованию доступа и каналов и другим признакам, поэтому в 2002 г. компания, прежде чем создавать систему ИБ, разработала и утвердила концепцию информационной безопасности.

Базовые требования к системе: комплексная защита информации, централизованное управление и мониторинг, масштабируемость подсистем ИБ. Причем на первом этапе был проведен аудит ИБ всех ИС и используемых ресурсов, определены риски и уязвимости, а также выработаны рекомендации по их устранению.

Для создания комплексной системы ИБ (КСИБ) использовались продукты компаний «ЭЛВИСПЛЮС», Clearswift, Internet Security Systems, Trend Micro, Symantec, Cisco, RSA Security. Кроме того, тесная связь КСИБ с бизнес-процессами компании потребовала подготовки нормативнораспорядительной документации, регламентов и процедур.

Предварительные этапы заняли два года: к концу 2003 г. было завершено обследование ЛС генеральной дирекции, а в начале 2005 г. система этой структуры была сдана в эксплуатацию. В результате ее внедрения появилась возможность осуществлять анализ почтового трафика, была реализована защищенная служба электронной почты, организованы VPN для выделенных сегментов ЛС. Сегодня в компании функционирует подсистема обнаружения и отражения атак, проводится мониторинг и протоколирование внутрисетевых событий для последующего анализа с точки зрения обеспечения требований ИБ. Сегодня ведутся работы по созданию КСИБ Северо-Западного и Центрального филиалов, а также ММТ.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!