Координация усилий

Координация усилий

А.С. Кремер
председатель Исполнительного комитета АДЭ, заместитель председателя исследовательской комиссии МСЭТ по информационной безопасности

КООРДИНАЦИОННЫЙ совет по информационной безопасности инфокоммуникационных сетей и систем образован в соответствии с решением Исполкома общественно-государственного объединения "Ассоциация документальной электросвязи" 25 мая 2005 г.

В качестве основных направлений деятельности Координационного совета определены:

• рассмотрение проектов нормативных правовых актов в области обеспечения информационной безопасности и организация технической экспертизы таких актов;
• содействие реализации единых типовых требований к обеспечению информационной безопасности инфокоммуникационных сетей и систем;
• организация разработки и реализации учебных программ переподготовки и повышения квалификации специалистов в области обеспечения информационной безопасности.

Методологическое и нормативно-правовое обеспечение

Системы обеспечения информационной безопасности (ИБ) решают, как правило, три основные задачи: наблюдение за условиями функционирования защищаемого объекта, обнаружение уязвимостей и угроз, а также принятие адекватных мер противодействия.

ИБ инфокоммуникационных сетей и систем является неотъемлемой составной частью экономической безопасности деятельности оператора связи. При выявлении основных угроз и защищаемых ресурсов необходимо отталкиваться от задач, решаемых защищаемым объектом, а также от оценки рисков, связанных с возможными сбоями функционирования при реализации угроз.

Одним из способов противодействия правонарушениям на сетях электросвязи является создание инфраструктуры идентификации, обеспечивающей удостоверение как участников электронного обмена данными, так и полномочий, которыми они обладают. В этой области важные перспективы имеет расширение использования электронных подписей и их удостоверений, а также других технологий идентификации и аутентификации (биометрика, RFID , штрихкоды и т.д.).

Операторы связи работают в реальных условиях, для которых характерны воздействия нарушителей, существование неверно сконфигурированных систем, ошибки в программном обеспечении, перегруженные администраторы, находящиеся в плохом настроении сотрудники. Система управления обеспечением ИБ должна быть многослойной, функционировать как по периметру, так и внутри сети, учитывать не только технологические, но и гуманитарные аспекты, в том числе проверку выполнения инструкций по действиям персонала в различных ситуациях.

Ни одна из известных технологий сама по себе не может решить все проблемы, связанные с обеспечением информационной безопасности. В то же время при совместном использовании различных технологий важной задачей становится устранение слабых сторон и усиление возможностей каждой технологии. Согласованное построение системы предполагает также наличие методов оценки и возможность сопоставления ожидаемого и обеспечиваемого уровней информационной безопасности.

Перечисленные методологические подходы реализуются в предложениях по совершенствованию нормативной правовой базы в сфере обеспечения информационной безопасности. В 2005 г. комитетами и рабочими группами АДЭ завершены следующие основные работы. По плану реализации "Концепции обеспечения ИБ сети связи общего пользования ЕСС России" выполнена корректировка текста Концепции в соответствии с новым законом "О связи" и разработаны проекты нормативных правовых актов "Термины и определения" и "Базовый уровень обеспечения ИБ". По плану реализации меморандума противодействия распространению вредоносных программ и спама разработаны словарь терминов и определений "Компьютерные вирусы", а также профиль защиты "Средства антивирусной защиты". Завершены работы по НИР "Сравнение законодательств России и зарубежных стран по обеспечению И Б", в которой анализируется зарубежный опыт и российские перспективы. Разработаны отчет по анализу процессов стандартизации инфраструктуры открытых ключей (ИОК) и предложения по развитию инфраструктуры удостоверяющего центра (УЦ).

В соответствии с рекомендацией Координационного совета в проект плана Мининформ-связи России на 2006 г. включены три НИР:

• "Разработка и обоснование предложений по требованиям защиты сетей связи и передаваемой по ним информации от несанкционированного доступа";
• "Разработка и обоснование предложений по требованиям к безопасности сети связи общего пользования и методов их проверки (общие требования)";
• "Разработка предложений по оценке рисков, связанных с обеспечением целостности, устойчивости функционирования и безопасности ЕСС России".

Координация деятельности участников инфокоммуникационного рынка

Работа по координации деятельности участников инфокоммуникационного рынка нашла свое отражение в создании межоператорской группы анализа инцидентов (МЕГА).

Основными задачами этой группы являются:

• стандартизация регламентов взаимодействия операторов с целью повышения их готовности противодействовать различным видам атак (DDOS-атакам, распространению вредоносных программ и спама, мошенничеству, осуществляемому с использованием сетей связи);
• координация работ по анализу инцидентов, разработке стратегии и тактики реагирования операторов связи на нарушения функционирования систем, консолидация усилий операторов связи и правоохранительных органов в противодействии правонарушениям на сетях связи;
• построение эффективных экономических моделей обеспечения информационной безопасности на сетях операторов, организация коллективного использования капиталоемких систем обеспечения информационной безопасности.

Расширение международного сотрудничества

Важным фактором расширения международного сотрудничества и координации деятельности операторов связи, производителей оборудования и регуляторов является проект Международного союза электросвязи (МСЭ) "Базовый уровень информационной безопасности операторов связи". Проект выполняется по инициативе Российской Федерации и под руководством АДЭ, имеет категорию "высший приоритет" и должен быть завершен в 2008 г. разработкой серии рекомендаций МСЭ.

Проект должен решить пять основных задач.

Первая задача. Базовый уровень означает использование однотипных критериев операторами взаимодействующих сетей. Использование критериев должно зависеть от типа сети (например, проводная или беспроводная) и от принятого режима регулирования (например, обеспечение требуемого уровня безопасности является одним из условий получения лицензии или условием подключения к сети другого оператора).

Вторая задача. Разработанная в рамках выполнения проекта серия рекомендаций должна стать отражением баланса между предполагаемыми затратами оператора, ожидаемым результатом и возможностью его оценки, баланса национального права и установившейся сетевой практики саморегулирования, баланса интересов пользователей, операторов и регуляторов. Серия рекомендаций должна содействовать созданию доказательной базы и эффективному правоприменению.

Третья задача. Необходимо организовать взаимодействие экспертов МСЭ с экспертами других международных организаций, работающих в области стандартизации: ISO, ETSI, IETF. Стандарт является реально действующим лишь в том случае, когда он имеет приложения. Для обеспечения государственных структур и бизнеса практическими рекомендациями по оснащению техническими средствами существующие стандарты в рамках выполнения проекта будут проанализированы с точки зрения эффективности их использования, текущего статуса и предполагаемых направлений модернизации.

Четвертая задача. Необходима гармонизация различных языков, на которых специалисты говорят об обеспечении информационной безопасности. Это языки юристов, страховщиков, оценщиков (или эвалюаторов), технологов, правоприменительных органов, стандартизаторов, операторов.

Пятая задача. Основным критерием обеспечения информационной безопасности должна являться поддержка решения защищаемым объектом своих функциональных задач в условиях воздействий нарушителей. В настоящее время можно говорить об эволюционной смене концептуальных моделей постановки и решения задач в электросвязи. Основными признаками этой смены являются:

• отделение в сетевой архитектуре уровня формирования логики и содержания услуг от уровня передачи информации;
• постепенное превращение голосовых услуг из основного продукта телекоммуникаций в одно из многих приложений, работающих поверх IP;
• постепенное превращение услуг связи из непосредственно потребляемого продукта в средство доступа к нетелекоммуникационным сервисам;
• переход от обеспечивающей телекоммуникационной отрасли к системообразующей инфокоммуникационной.

Указанные изменения должны находить свое отражение в создании систем обеспечения информационной безопасности, являющихся неотъемлемой составной частью сетей связи. Это выражается в переходе от защиты информации к обеспечению сетевой и информационной безопасности, в переводе информационной безопасности из проблемы технической в проблему общества в целом. Подтверждением необходимости такого перевода является развитие сети Интернет, в которой каждый пользователь в определенной степени становится и оператором, и администратором безопасности, в том числе и собственной. При отсутствии необходимых ограничений, а также разделения ответственности пользователей и операторов, Интернет-кафе, продающие кофе, а не услуги связи, и конечные пользователи, не продающие ничего, могут свести на нет усилия операторов связи по обеспечению базового уровня информационной безопасности.

Для выполнения проекта в рамках исследовательской комиссии МСЭ по информационной безопасности образована так называемая "целевая" группа. Такая организационная форма в соответствии с регламентом сектора стандартизации МСЭ открывает возможность участия в проекте не только членам МСЭ. В ближайшие планы работ по проекту входят:

• подготовка отчета о существующем заделе в исследуемой области;
• разработка, согласование и распространение от имени сектора стандартизации МСЭ анкет для сбора информации и подготовка обзора по результатам опроса;
• анализ стандартов, относящихся к безопасности базового уровня, возможных пробелов в идентифицированных стандартах, описание бизнес- приложений, для которых могут быть применимы требования к базовому уровню безопасности;
• анализ используемых методов оценки информационной и сетевой безопасности;
• формирование предварительного варианта базового уровня безопасности и подготовка предложений для инициирования выпуска Рекомендаций сектора стандартизации МСЭ.

Обсуждения промежуточных результатов работы группы в 2006 г. пройдут в апреле (Южная Корея), сентябре (Москва), октябре (Италия) и декабре (Швейцария).