В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
А.С. Кремер
председатель Исполнительного комитета АДЭ, заместитель председателя исследовательской комиссии МСЭТ по информационной безопасности
КООРДИНАЦИОННЫЙ совет по информационной безопасности инфокоммуникационных сетей и систем образован в соответствии с решением Исполкома общественно-государственного объединения "Ассоциация документальной электросвязи" 25 мая 2005 г.
В качестве основных направлений деятельности Координационного совета определены:
Методологическое и нормативно-правовое обеспечение
Системы обеспечения информационной безопасности (ИБ) решают, как правило, три основные задачи: наблюдение за условиями функционирования защищаемого объекта, обнаружение уязвимостей и угроз, а также принятие адекватных мер противодействия.
ИБ инфокоммуникационных сетей и систем является неотъемлемой составной частью экономической безопасности деятельности оператора связи. При выявлении основных угроз и защищаемых ресурсов необходимо отталкиваться от задач, решаемых защищаемым объектом, а также от оценки рисков, связанных с возможными сбоями функционирования при реализации угроз.
Одним из способов противодействия правонарушениям на сетях электросвязи является создание инфраструктуры идентификации, обеспечивающей удостоверение как участников электронного обмена данными, так и полномочий, которыми они обладают. В этой области важные перспективы имеет расширение использования электронных подписей и их удостоверений, а также других технологий идентификации и аутентификации (биометрика, RFID , штрихкоды и т.д.).
Операторы связи работают в реальных условиях, для которых характерны воздействия нарушителей, существование неверно сконфигурированных систем, ошибки в программном обеспечении, перегруженные администраторы, находящиеся в плохом настроении сотрудники. Система управления обеспечением ИБ должна быть многослойной, функционировать как по периметру, так и внутри сети, учитывать не только технологические, но и гуманитарные аспекты, в том числе проверку выполнения инструкций по действиям персонала в различных ситуациях.
Ни одна из известных технологий сама по себе не может решить все проблемы, связанные с обеспечением информационной безопасности. В то же время при совместном использовании различных технологий важной задачей становится устранение слабых сторон и усиление возможностей каждой технологии. Согласованное построение системы предполагает также наличие методов оценки и возможность сопоставления ожидаемого и обеспечиваемого уровней информационной безопасности.
Перечисленные методологические подходы реализуются в предложениях по совершенствованию нормативной правовой базы в сфере обеспечения информационной безопасности. В 2005 г. комитетами и рабочими группами АДЭ завершены следующие основные работы. По плану реализации "Концепции обеспечения ИБ сети связи общего пользования ЕСС России" выполнена корректировка текста Концепции в соответствии с новым законом "О связи" и разработаны проекты нормативных правовых актов "Термины и определения" и "Базовый уровень обеспечения ИБ". По плану реализации меморандума противодействия распространению вредоносных программ и спама разработаны словарь терминов и определений "Компьютерные вирусы", а также профиль защиты "Средства антивирусной защиты". Завершены работы по НИР "Сравнение законодательств России и зарубежных стран по обеспечению И Б", в которой анализируется зарубежный опыт и российские перспективы. Разработаны отчет по анализу процессов стандартизации инфраструктуры открытых ключей (ИОК) и предложения по развитию инфраструктуры удостоверяющего центра (УЦ).
В соответствии с рекомендацией Координационного совета в проект плана Мининформ-связи России на 2006 г. включены три НИР:
Координация деятельности участников инфокоммуникационного рынка
Работа по координации деятельности участников инфокоммуникационного рынка нашла свое отражение в создании межоператорской группы анализа инцидентов (МЕГА).
Основными задачами этой группы являются:
Расширение международного сотрудничества
Важным фактором расширения международного сотрудничества и координации деятельности операторов связи, производителей оборудования и регуляторов является проект Международного союза электросвязи (МСЭ) "Базовый уровень информационной безопасности операторов связи". Проект выполняется по инициативе Российской Федерации и под руководством АДЭ, имеет категорию "высший приоритет" и должен быть завершен в 2008 г. разработкой серии рекомендаций МСЭ.
Проект должен решить пять основных задач.
Первая задача. Базовый уровень означает использование однотипных критериев операторами взаимодействующих сетей. Использование критериев должно зависеть от типа сети (например, проводная или беспроводная) и от принятого режима регулирования (например, обеспечение требуемого уровня безопасности является одним из условий получения лицензии или условием подключения к сети другого оператора).
Вторая задача. Разработанная в рамках выполнения проекта серия рекомендаций должна стать отражением баланса между предполагаемыми затратами оператора, ожидаемым результатом и возможностью его оценки, баланса национального права и установившейся сетевой практики саморегулирования, баланса интересов пользователей, операторов и регуляторов. Серия рекомендаций должна содействовать созданию доказательной базы и эффективному правоприменению.
Третья задача. Необходимо организовать взаимодействие экспертов МСЭ с экспертами других международных организаций, работающих в области стандартизации: ISO, ETSI, IETF. Стандарт является реально действующим лишь в том случае, когда он имеет приложения. Для обеспечения государственных структур и бизнеса практическими рекомендациями по оснащению техническими средствами существующие стандарты в рамках выполнения проекта будут проанализированы с точки зрения эффективности их использования, текущего статуса и предполагаемых направлений модернизации.
Четвертая задача. Необходима гармонизация различных языков, на которых специалисты говорят об обеспечении информационной безопасности. Это языки юристов, страховщиков, оценщиков (или эвалюаторов), технологов, правоприменительных органов, стандартизаторов, операторов.
Пятая задача. Основным критерием обеспечения информационной безопасности должна являться поддержка решения защищаемым объектом своих функциональных задач в условиях воздействий нарушителей. В настоящее время можно говорить об эволюционной смене концептуальных моделей постановки и решения задач в электросвязи. Основными признаками этой смены являются:
Указанные изменения должны находить свое отражение в создании систем обеспечения информационной безопасности, являющихся неотъемлемой составной частью сетей связи. Это выражается в переходе от защиты информации к обеспечению сетевой и информационной безопасности, в переводе информационной безопасности из проблемы технической в проблему общества в целом. Подтверждением необходимости такого перевода является развитие сети Интернет, в которой каждый пользователь в определенной степени становится и оператором, и администратором безопасности, в том числе и собственной. При отсутствии необходимых ограничений, а также разделения ответственности пользователей и операторов, Интернет-кафе, продающие кофе, а не услуги связи, и конечные пользователи, не продающие ничего, могут свести на нет усилия операторов связи по обеспечению базового уровня информационной безопасности.
Для выполнения проекта в рамках исследовательской комиссии МСЭ по информационной безопасности образована так называемая "целевая" группа. Такая организационная форма в соответствии с регламентом сектора стандартизации МСЭ открывает возможность участия в проекте не только членам МСЭ. В ближайшие планы работ по проекту входят:
Обсуждения промежуточных результатов работы группы в 2006 г. пройдут в апреле (Южная Корея), сентябре (Москва), октябре (Италия) и декабре (Швейцария).
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1+2, 2006