|
|
В российском телекоме начинают регулировать ИБРоссийский телеком все больше становится похож на западных коллег. Прежде всего, это проявляется в регулировании данного сегмента рынка. Пока что российские телекомы должны удовлетворять намного меньшему числу нормативов, чем аналогичные компании в Европе и США, но эта ситуация постепенно меняется. Российские операторы пока менее подвержены воздействию тех или иных нормативов, чем их западные коллеги, однако ситуация с регулированием начинает меняться. Во-первых, все ближе к России становится «Базовый уровень информационной безопасности операторов связи». Это целый набор рекомендаций в области защиты данных. Причем все эти положения могут очень легко превратиться в обязательные требования. Во-вторых, уже давно у всех на слуху ФЗ «О персональных данных». Конечно, это не закон в сфере информационной безопасности (ИБ), но ряд положений по защите приватных сведений он имеет. Эти требования касаются, в том числе, российских телекоммуникационных компаний. «Базовый уровень» «Базовый уровень ИБ операторов связи» представляет собой минимальный набор рекомендаций, реализация которых должна гарантировать определенный уровень ИБ коммуникационных услуг, позволяя при этом обеспечить баланс интересов операторов, пользователей и государства. Разработка этого норматива обусловлена развитием телекоммуникационной отрасли: операторы связи вынуждены объединять свои сети, чтобы предоставлять необходимый набор услуг, но при этом сами операторы не знают, с кем они имеют дело и кому они могут доверять, чтобы избежать угроз ИБ. Для этих целей и вводится «Базовый уровень». Сегодня этот стандарт разрабатывается Международным Союзом Электросвязи, а в России наибольший вклад в его развитие вносит Ассоциация Документальной Электросвязи. В принципе использование рекомендаций будет различным в каждой стране в зависимости от требований государственного регулирования. Так, некоторые регуляторы смогут использовать данные рекомендации в качестве лицензионных условий. Некоторые операторы смогут самостоятельно выдвигать требования о выполнение данных рекомендаций в качестве условия присоединении к собственной сети связи. Более того, оператор может предоставлять телекоммуникационные услуги для пользователей с тем уровнем безопасности, который гарантируется при выполнении «Базового уровня», а услуги с повышенным уровнем безопасности могут предоставляться оператором на возмездной основе. Набор рекомендаций «Базового уровня» разделен на три группы: политики оператора, технические средства и обеспечение взаимодействия. При этом все представленные рекомендации проверяемы. Эта проверка может осуществляться как самостоятельно оператором с последующим декларированием, так и аудиторским органом через систему подтверждения соответствия. Методология проверки сейчас еще только разрабатывается. Прежде всего, отметим, что «Базовый уровень» рекомендует оператору связи иметь эффективную политику ИБ. Во-первых, политика должна быть зафиксирована (утверждена) в соответствии с внутренними процедурами компании. Во-вторых, политика должна включать раздел о разграничении ответственности между персоналом оператора, между оператором и его партнерами, между оператором и клиентом. В-третьих, положения политики ИБ рекомендуется включать в должностные инструкции персонала оператора. В-четвертых, применяемые методы защиты не рекомендуется направлять против третьих лиц (лиц, непричастных к созданию угроз ИБ) и/или их информационных ресурсов, а также причинять умышленный вред третьим лицам и/или их ресурсам. Наконец, в-пятых, возможный вред, причиняемый применяемыми средствами защиты, должен быть существенно меньше вреда, для противодействия которому эти средства используются. Конечно, все эти рекомендации выглядят довольно логичными и, можно даже сказать, очевидными. Однако, по мнению аналитического центра InfoWatch, на практике многие представители телекоммуникационного бизнеса обходятся вообще без политики ИБ, так что требования «Базового уровня» вполне закономерны. Переходя к рекомендациям в сфере технических средств, отметим пункты 3.14 и 3.16-3.18. Если все остальные требования данной главы «Базового уровня» указывают на конкретные технические моменты обеспечения ИБ, то пункт 3.14, напротив, является концептуальным: «Оператору рекомендуется принимать технические и организационные меры, позволяющие установить источник нарушений системы безопасности…, а также позволяющие блокировать (деактивировать) атаки». Как указывают эксперты InfoWatch, операторы должны быть в состоянии выяснить, откуда происходит атака, например, в случае DoS-атаки или неправомерных действий внутренних нарушителей. Кроме того, компания должна быть в состоянии блокировать этот источник, чтобы избежать реализации инцидента ИБ. Раздел 3.16 рекомендует оператору «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». Здесь следует в первую очередь обратить внимание на проблему безопасности персональных данных. К ней мы вернемся несколько позже в контексте ФЗ «О персональных данных», но пока заметим, что именно уязвимость приватных сведений граждан является одной из главных специфических проблем телекоммуникационной отрасли. Согласно разделам 3.17 и 3.18, компания должна вести журналы регистрации событий ИБ и хранить их, исходя из сроков исковой давности (в России общий срок — 3 года). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». Таким образом, «Базовый уровень» предусматривает пассивные меры ИБ, состоящие в накоплении информации для расследования инцидентов ИБ постфактум. Заключительным разделом «Базового уровня» является «Обеспечение взаимодействия». В этой главе любопытно отметить пункт 4.4: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, в России наконец-таки может появиться норма, которая закрепит обязанность оператора в разглашении факта и всех обстоятельств утечки персональных данных клиентов. Конечно, пока «Базовый уровень» только разрабатывается и в будущем может носить лишь рекомендательный характер. Однако, по мнению аналитического центра InfoWatch, тенденции развития нормативного регулирования в России однозначно указывают, что «Базовый уровень» довольно быстро станет обязательным. На практике требования этого норматива просто превратятся в условия получения лицензии на предоставление телекоммуникационных услуг. ФЗ «О персональных данных» В ходе исследования InfoWatch 49% респондентов заявили, что основным препятствием на пути реализации требований закона является недостаточная конкретность его требований. Следовательно, уполномоченный орган, которому государство поручило следить за реализацией положений ФЗ «О персональных данных», должен выпустить соответствующий стандарт. Отметим, что этот орган уже выбран. Им является ФСТЭК России. Однако стандарт безопасности персональных данных все еще не разработан и не опубликован. Между тем, посмотрим, насколько легко будет телекоммуникационным компаниям выполнить положения ФЗ. Обращаясь к результатам исследования InfoWatch, заметим, что большая часть респондентов (47%) считает внедрение требований достаточно сложным, но выполнимым проектом. При этом информационную систему придется модернизировать довольно сильно. В то же самое время почти треть (32%) опрошенных профессионалов заявила, что такой проект вряд ли можно считать сложным: сильно менять ИТ-инфраструктуру не надо, хотя чуточку повозиться все-таки придется. Еще 7% респондентов высказались за то, что это очень легкий проект, а 14% — за очень сложный. Между тем, усредняя ответы можно сделать вывод, что подавляющее большинство респондентов считает требования ФЗ к защите персональных данных вполне «подъемными». Насколько сильно придется изменять свою ИТ-систему в соответствии с ФЗ? По мнению экспертов InfoWatch, при должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских телекомов больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности. Кроме того, 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты. Планы по внедрению новых ИТ-продуктов для соответствия ФЗ Таким образом, подавляющее большинство респондентов (71%) совершенно адекватно отреагировали на требования закона, которые фактически и ставили своей целью подвигнуть российские организации к устранению постоянных утечек. Завершая рассмотрение проблемы обеспечения ИБ в компаниях телекоммуникационного сектора, отметим, что фирмам следует обратить больше внимание на нормативные акты. Например, реализация требований «Базового уровня» и ФЗ «О персональных данных» позволяет минимизировать риски утечки приватных сведений клиентов, а в случае возникновения инцидента, как минимум, избежать массы неприятностей с регулирующим органом и судебными претензиями пострадавших граждан. Алексей Доля |