Круглый стол "Вестника Связи"

Опубликовано в журнале "Вестник Связи" от 07.2006

В начале июня в МТУСИ прошло очередное заседание круглого стола, организованного редакцией “Вестника связи”. На обсуждение была вынесена статья А.В. Доли “Защита от инсайдеров в телекоммуникационных компаниях”, вызвавшая большую волну откликов наших читателей (опубликована в № 4 ВС за 2006 г.). В работе круглого стола приняли участие представители операторов связи, государственных учреждений, компаний-интеграторов, разработчиков аппаратных и программных средств обеспечения информационной безопасности, эксперты в области подготовки нормативно-правовой базы и стандартизации. По традиции роль ведущего взял на себя заведующий кафедрой инфокоммуникаций ИПК МТУСИ, член редакционной коллегии “Вестника Связи” Наум Семенович Мардер (Н.М.). Во вступительном слове он предложил аудитории сформировать общий взгляд на проблему, сфокусировав внимание на методах и средствах ее решения. В начале дискуссии участники пришли к общему соглашению о том, какой смысл они вкладывают в понятие “инсайдер”. Первое слово было предоставлено автору статьи.

А.В. Доля (А.Д.), независимый эксперт: Проблема инсайдеров и утечки информации существует уже давно, но долгое время она носила скрытый характер. Впрочем, даже сейчас, по представленным в статье данным авторитетных международных организаций, только 10 % внутренних инцидентов получают огласку, в то время как 90 % подобных происшествий компании не афишируют. И это вполне понятно, ведь каждое разглашение инцидента наносит вред репутации компании.

Наиболее интересной проблемой, на мой взгляд, является именно методологический подход к защите от инсайдеров и утечек, т. е. каким образом локализовать проблему и защитить компанию? В обсуждаемой статье приведено несколько решений, но при изучении проблемы мне пришлось столкнуться с таким парадоксом: существует изобилие точечных решений, и при этом отсутствуют комплексные подходы.

Производители или разработчики средств защиты зачастую предлагают решения, которые закрывают ту или иную брешь, например, для электронной почты, баз данных. На практике также используются разрозненные продукты и решения, которые позволяют перекрыть только один или небольшое количество каналов утечки. Я бы хотел акцентировать внимание на том, что точечные решения, хотя и пользуются большой популярностью и успешно сейчас продвигаются, общую задачу решить не в состоянии.

Говоря о методологии защиты от утечек, следует выделить несколько ее этапов. Во-первых, в компании следует идентифицировать все ценные ресурсы, т. е. определить объект защиты. Во-вторых, выявить все имеющиеся коммуникационные каналы — те, которыми разрешено пользоваться, и те, которые административно запрещены.

Как показывает практика, наиболее популярный способ защиты — это административные меры. Например, многие компании пользуются внутренней изолированной сетью, за пределы которой конфиденциальные данные не выходят. Другой способ заключается в том, чтобы полностью лишить компьютер каких-то функциональных возможностей, например, запретить использование всех USB-портов, дисководов, доступ в Интернет. Однако, подобное решение обладает серьезным недостатком — сама компания лишается возможности использовать эти ресурсы. Еще один шаг — это установление контроля над каждым из коммуникационных каналов. После того, как будут закрыты все каналы, необходимо позаботиться о том, чтобы инсайдер не имел возможности создать собственный канал.

Таким образом, на мой взгляд, только комплексная защита способна дать ощутимый результат. При этом крепость всей цепи определяется прочностью ее самого слабого звена.

Н.М.: Какие наиболее эффективные способы защиты на основе вашего анализа можно предложить?

А.Д.: В первую очередь, это активный мониторинг действий сотрудников компании. К сожалению, большое количество существующих на рынке решений реализуют пассивный мониторинг. Это означает, что все действия пользователя просто заносятся в журнал. Этот журнал может быть очень подробным, изобилующим разнообразными фактами о каждом системном событии, в результате чего, буквально за недели генерируются журнальные файлы очень больших объемов.

Такие решения нужны для того, чтобы была возможность расследовать уже происшедший инцидент. Но извлечь полезную информацию из этого не всегда просто, поскольку слишком много событий являются легитимными. Поэтому самым эффективным способом является активный мониторинг, его реализует программа, которая анализирует действия пользователя. Она должна уметь отличать, с какой информацией работает пользователь — конфиденциальной или общедоступной. В случае конфиденциальной информации должна быть продумана политика безопасности. Секретная информация не должна попадать на мобильный накопитель, а при сохранении в ноутбуке она должна быть защищена шифрованием. Через электронную почту конфиденциальная информация должна пересылаться только в пределах организации, либо только доверенным партнерам с использованием шифрования. Пассивные решения этого сделать не позволяют.

К сожалению, многие действия инсайдера нельзя определить как вредоносные, если он имеет право на доступ к этой информации, но его действия не были вовремя выявлены системой мониторинга. В этом случае остается все тот же пассивный анализ, когда постфактум можно определить, кто имел доступ к документу, ставшему объектом мошенничества, какие изменения он внес и когда. Эти сведения могут являться доказательством вины нарушителя и отвести беспочвенные обвинения от добросовестных сотрудников.

Е.Л. Дружинин (Е.Д.), эксперт по информационной безопасности компании “КРОК”: Методы защиты выбираются, исходя из политики безопасности компании, которая должна строиться на основе общепринятых стандартов и определять все информационные ресурсы, которые являются конфиденциальными, риски, связанные с потерей конфиденциальности, возможные каналы утечки информации и все остальное. Политика безопасности показывает, что необходим комплексный подход, включающий и организационные, и технические меры. В политике безопасности действия инсайдеров — лишь один из возможных рисков.

А.Н. Петухов (А.П.), директор департамента систем информационной безопасности “АйТи”: Мы разделяем угрозы на внутренние и внешние исключительно на основании принадлежности субъекта действия к корпорации. Само по себе это мало что дает, и по-настоящему принципиальной особенностью внутреннего нарушителя является то, что он действует в рамках предоставленных ему полномочий и ничего не ломает, а внутренняя угроза реализуется исключительно в границах того, что человеку разрешено. Несмотря на наносимый ущерб, он, строго говоря, и нарушителем не является, поскольку ничего не нарушает. Вся его деятельность проходит в рамках явно или неявно предоставленных ему полномочий, и многочисленные записи в журнальных файлах — это абсолютно легитимные события. В связи с этим у меня вопрос: каким образом можно защититься, ограничивая себя средствами мониторинга и регистрации событий, не предпринимая никаких других шагов?

А.Д.: Тут следует разделять, что человеку разрешено, что запрещено. Если, предположим, у сотрудника есть право на доступ к конфиденциальным документам и разрешение на их модификацию, то нужно иметь такую систему защиты, которая не позволит ему совершить несанкционированные действия.

А.П.: Для того, чтобы сделать то, что не разрешено, ему придется предпринять дополнительные усилия — что-то сломать, обойти, найти какую-то брешь. Чем это отличается от внешнего нарушителя?

А.Д.: Тем, что внешний нарушитель не имеет легитимных полномочий в корпоративной системе.

А.П.: Какие-то имеют, а какие-то нет. Те же самые партнеры, которым мы предоставляем базы, имеют полномочия доступа. Если мы принимаем тезис, что внутренняя угроза реализуется исключительно в рамках предоставленных полномочий, то тогда мониторинг, оставаясь необходимым инструментом, сам по себе становится относительно бессмысленным, и любые пассивные (в Вашей терминологии) действия малоэффективны. В чем тут защита?

А.Д.: Защита состоит в том, чтобы ограничить разрешенные полномочия. Существующие точечные пассивные решения, о которых я упоминал выше, не справляются с задачей ограничения полномочий легитимного пользователя таким образом, чтобы он мог полностью распоряжаться конфиденциальной информацией в рамках политики внутри сети и при этом не имел возможности совершить утечку. Иными словами, чтобы конфиденциальная информация не могла покинуть корпоративный периметр.

А.П.: Утечка — это единственная угроза? Есть ведь такие явления как манипулирование средствами социальной инженерии или саботаж. Саботажнику-администратору не нужно ничего выносить, достаточно обрушить базу.

А.Д.: Саботажник в некоторых случаях может воспользоваться и утечкой как средством мести. Да, Вы правы, он может обрушить базу, уничтожить резервную систему копирования, чтобы вывести сеть из строя на несколько дней или недель. Но речь идет о том, чтобы ограничить действия пользователя внутри сети. Чтобы человек имел возможность, например, записать не имеющий секретного статуса документ на внешний накопитель, но не мог сделать это с конфиденциальным документом.

А.П.: Есть радикальные решения терминальных технологий, ограничивающие пользователя, у которого в распоряжении только мышь, клавиатура, монитор и, может быть, аппаратура идентификации, а все остальное функционирует и контролируется на сервере. В этом случае никто, кроме, конечно, администратора, ничего никуда не унесет.

Предлагая подобные ограничения, мы тем самым сужаем область возможных внутренних угроз. Допускаете ли Вы в идеале возможность сокращения этой области до таких рамок, что внутренних угроз вообще не будет? Лично я утверждаю, что такое принципиально невозможно.

Н.М.: Само понятие “инсайдер” пришло из финансовой сферы. Инсайдером называли того, кто обладает информацией, позволяющей предвидеть развитие событий на бирже и использовать ее в своих интересах. Мы до сих пор еще не определили, что понимаем под “инсайдером” в телекоммуникационной отрасли. По определению автора статьи, инсайдеры — это сотрудники компании, у которых в силу служебных обязанностей имеется доступ к конфиденциальным сведениям и информационным активам компании.

С.А. Тарасов (С.Т.), глава представительства компании CA: Да, необходимо предусматривать защиту, в частности, от каждого сотрудника.

А.П.: В определении важен не столько субъект, сколько само действие. Что есть реализация внутренней угрозы?

А.Д.: Действие — это когда конфиденциальная информация покидает корпоративный периметр.

А.П.: Но если конфиденциальная информация не выходит за периметр, а уничтожается или искажается внутри него — разве это не угроза? Безопасность — это гораздо шире, чем защита от утечки.

Сейчас популярны как минимум три системных критерия. Это конфиденциальность, целостность и доступность информации. Часто к ним добавляют еще достоверность и неотрекаемость. В профилях защиты используются именно эти критерии. То есть конфиденциальность давно уже перестала быть исключительным критерием безопасности.

А.Д.: Безусловно, под внутренними угрозами мы понимаем не только нарушение конфиденциальности и утечки.

А.П.: Да все, что представляет собой угрозу для бизнеса или деятельности корпорации…

А.Д.: …со стороны ее сотрудников, которые могут реализовать эту угрозу.

Н.М.: То есть инсайдер все-таки имеет негативный смысл? Это тот человек, который не только обладает доступом к информации, но и желает нанести вред компании?

С.Т.: Я специально сейчас открыл словарь Мюллера: “Инсайдер — член группы, организации”. В переводе с английского языка это тот, кто работает внутри компании. Второй смысл — это тот, кто в силу служебного положения имеет доступ к конфиденциальной информации. По определению это не враг, здесь нет никакого негативного смысла. Понятие “инсайдер” может разниться в зависимости от контекста, но в целом негативного смысла оно не заключает. Я согласен с автором в том, что он использует именно такой смысл.

Н.М.: Но если “инсайдер” — это сотрудник компании, тогда мы не должны говорить о защите от “инсайдеров”.

С.Т.: Почему? От всех сотрудников надо обязательно защищаться. Каждый сотрудник может быть потенциальным или сознательным нарушителем.

А. Задонский (А.З.), технический эксперт компании CA: В статье в основном ставится два вопроса: каким образом и куда происходит утечка данных? Но проблемы обеспечения информационной безопасности операторов связи гораздо шире. Во-первых, о комплексном подходе говорилось в процессе дискуссии, но не в статье. Между тем, когда рассматривается утечка данных с учетом методов их классификации и каналов утечки, возникает очень важный вопрос управления доступом — так называемый access management — определение того, кто к чему и с помощью каких средств имеет доступ. Если этот вопрос будет решен грамотно, то возможно и не надо будет думать о том, каким образом и куда будет утекать информация.

Р.Н. Яфизов (Р.Я.), технический специалист компании Symantec: Даже если этот вопрос будет решен грамотно, все равно надо думать о том, как не допустить утечки информации. Ведь согласно “правам” пользователь имеет доступ к своей части информации, в том числе и ценной для бизнеса компании.

Н.М.: Давайте сосредоточимся только на таком узком вопросе, как утечка информации по вине сотрудников, а также на способах и методах защиты от этой проблемы.

С.Т.: Но при этом остаются за скобками действия сотрудников, которые способствуют тому, что человек снаружи имеет возможность нанести ущерб компании.

А.В. Медведев (А.М.), старший инженер отдела безопасности ОАО “МТТ”: Мы говорим о защите информации, но я бы назвал это не защитой, а контролем и аудитом за ее движением. Защита предполагает дальнейшие ограничительные действия. Когда офицер безопасности, предположим, увидел по результатам аудита какие-то неправильные действия сотрудников при обращении с информацией, он применяет определенные меры: изолирует эту информацию, блокирует возможность неправомерной ее передачи нарушителем и т. д. В данной статье говорится именно о том, с помощью каких средств мы должны идентифицировать неправомерные действия наших сотрудников с целью выявления возможных нарушителей.

По моему мнению, меры защиты должны вводиться до внедрения устройств контроля, а рамки ограничений должны быть сужены ровно до такого предела, чтобы система защиты не мешала бизнесу. В то же время необходимо исключить возможность создания дополнительных каналов утечки информации. Внедрение системы защиты подра-зумевает очень большую документальную работу на начальном этапе, до внедрения программно-аппаратных средств контроля, представленных в статье. В противном случае мы получим такое большое количество журнальных событий, что никто не сможет в них разобраться.

А.Ю. Тимофеев (А.Т.), технический директор компании “Праймтек”: Существует важное понятие — управление рисками. Это основа безопасности любой компании. Без этого этапа внедрять какие-то средства аудита, в том числе активного, просто лишено всякого смысла. Этот подготовительный этап необходим для любой компании. И на основании этой работы уже выбираются конкретные средства и точки контроля тех или иных параметров безопасности.

Е.Д.: Мы несколько отклонились от обсуждения статьи, имеющей практическую направленность, но не отражающей все важные аспекты защиты конфиденциальной информации.

В статье рассматривается ряд средств, позволяющих защитить некоторые каналы утечки информации. Продолжая обсуждение этой темы, мне бы хотелось более широко рассмотреть угрозы утечки конфиденциальной информации применительно к телекоммуникационным компаниям и обсудить существующий на сегодняшний день инструментарий защиты от них. Нужно отметить, что при защите необходимо соблюдать баланс между доступностью и конфиденциальностью информации.

Проблему защиты от инсайдеров необходимо рассматривать в контексте функционала соответствующих средств защиты. На практике всегда очень важно найти компромисс между функционалом средств защиты и угрозами. Наверное, все присутствующие могли бы привести дополнительные примеры систем и средств, чтобы понимать, в рамках каких решений можно анализировать существующие проблемы и оценить их широту в целом.

Телекоммуникационные компании нуждаются в промышленных решениях, которые хорошо интегрируются в существующую инфраструктуру и которыми можно эффективно управлять. Поэтому было бы интересно услышать отзывы и мнения коллег об опыте их внедрения и использования.

Р.Я.: И хотелось бы обратить внимание на накопленный “западный” опыт, на средства, которые предоставляются ведущими компаниями.

А.С. Кремер (А.К.), председатель Исполкома Ассоциации документальной электросвязи, член Со-вета директоров Европейской Ассоциации Электронных сообщений (ЕЕMA) и заместитель председателя исследовательской комиссии сектора стандартизации Международного союза электросвязи: Мне все-таки кажется, что статья, которую мы сегодня обсуждаем, в первую очередь интересна для читателей ведущего отраслевого журнала. Обсуждаем ли мы конкретную угрозу или меры защиты от этой угрозы, — в конечном счете, все сводится к вопросу о том, что же делать оператору связи?

Наверное, побудительной причиной, по которой читатель стал бы внимательно изучать эту статью, становится вопрос оснащения — куда оператору обращаться, что покупать, каким принципам следовать. В этом плане будущая серия публикаций, на мой взгляд, заслуживает внимания и хорошо, что журнал начал активно развивать это направление. И здесь интересно обсудить вопросы того, как именно подходить к обеспечению информационной безопасности.

Первое, на что хотелось бы обратить внимание, — нельзя относиться к обеспечению информационной безопасности как к товару или услуге, которую можно приобрести. А сегодня это достаточно часто наблюдается, безопасность предлагается по частям, в розницу. Можно отдельно купить средства криптографии, межсетевые экраны, системы защиты от утечки и многое другое, но при этом никакой безопасности не получить.

Безопасность следует рассматривать как систему, которую можно создать и которой надо управлять. Первое, что нужно было бы сделать, — это определить, какими методами эту систему строить. А вынесенная на обсуждение статья — хороший повод для определения подходов к решению задачи.

Данная система должна быть неотъемлемой составной частью бизнеса оператора. То есть безопасность должна стать системой, неразрывно связанной с тем, что делает операторская компания. Поэтому я бы не считал правильным сегодня и в дальнейшем строить дискуссию вокруг того, что должен делать оператор для того, чтобы решаемые операторской компанией задачи с точки зрения обес-печения информационной безопасности были минимально необходимыми и достаточными.

Я также считаю, что к этой статье, несомненно, очень интересной, нужно относиться достаточно осторожно в плане конкретных рекомендаций. Было бы большой ошибкой навязывать оператору рекомендации по приобретению конкретных продуктов.

Н.М.: Если мы укажем общее решение для всех проблем, оно будет самое дешевое, чем если это делать по частям.

А.Т.: Мне кажется, что любые рассуждения о защите нужно начинать именно с выбора тех необходимых методологических основ или стандартов, которые разработаны всем мировым сообществом, и брать за основу именно их. Я предложил бы обратиться к опыту международной организации по стандартизации ISO. Данная организация разрабатывает, в том числе, стандарты, направленные на решение глобальных вопросов информационной безопасности.

Я имею в виду известные стандарты 27 подкомитета Международной организации по стандартизации (ISO). Вокруг стандартов серии 2700x, в частности ISO/IEC 17799, в России в настоящее время наблюдается определенный бум. Являясь экспертом в 27-м подкомитете, я принимаю непосредственное участие в их разработке — они охватывают все необходимые процессы, которые должны быть реализованы для эффективного управления безопасностью.

Не углубляясь в тему, скажу, что для каждой отдельной отрасли, в том числе и для отрасли телекоммуникаций, уже разработаны вспомогательные стандарты. Участниками 27-ого подкомитета совместно с экспертами МСЭ-Т активно разрабатывается документ, который формирует набор рекомендаций стандарта ISO/IEC 17799, применимых именно к сфере телекоммуникаций.

Помимо этого существует стандарт ISO/IEC 18028, который так и называется “сетевая безопасность”. Он включает в себя и модель безопасности телекоммуникаций, и вопросы использования технологии VPN, межсетевых экранов (firewall) и многое другое. Накоплен громадный опыт на уровне организации ISO, поэтому я предлагаю всем заинтересованным лицам ознакомиться с этими стандартами, возможно, вы найдете в них очень много полезного.

И вот эта общая методология построения систем безопасности, которая содержится в серии стандартов 2700х, уже и будет регламентировать выбор тех или иных средств, основываясь на рекомендациях. Это те отправные точки, которые как раз и нужно контролировать с помощью системы аудита. А потом на основе дополнительного анализа рисков можно уже выбирать дополнительные параметры и тоже их контролировать. Однако вначале должен быть разработан глобальный методологический подход.

Н.М.: Но автор говорит о другом. В телекоммуникационных компаниях постоянно возникают случаи кражи баз данных. И автор говорит, что надо срочно заткнуть брешь, и предлагает способы, как это сделать. Он утверждает, что если сегодня эту брешь не закрыть, а рассматривать общую модель построения плотины, то можно потерять “всю воду”.

А.Т.: Это не совсем так. Дело в том, что это одна из частных угроз среди тысячи других. И рассматривать это как панацею, как единственное средство, которое может решить моментально все проблемы, конечно, неразумно.

Без построения глобальной системы управления безопасностью невозможно говорить о внедрении каких-то конкретных технологических средств. Наша компания тоже является разработчиком подобной системы. Как это не парадоксально, она называется “Инсайдер” — это название возникло несколько лет тому назад.

Данная система обеспечивает контроль практически всех параметров, которые описаны в обсуждаемой статье, но при ее внедрении в течение трех последних лет возникало множество проблем, связанных именно с построением тех наборов правил, тех регламентов, на основании которых происходит анализ нарушений. Можно сказать, что порой эта работа по сложности и объему сопоставима с созданием самого продукта. Мы пытались разрабатывать различные аналитические сервисы: использовать статистический анализ, нейронные сети и другие сложные механизмы, и упирались опять-таки в проблему, связанную с тем, что руководство не может сформулировать те правила, с помощью которых выявляются критичные события, влияющие на безопасность. Проблема во внедрении, а не в наличии средств. Это мой личный опыт.

А. Ясонов (А.Я.), менеджер по продажам компании Check Point: Решение должно подходить для защиты и внутренней безопасности, и периметра, и Web-трафика, и всего остального, все его компоненты должны интегрироваться между собой и быть способными решать не только одну узкую задачу, но и весь комплекс проблем, которые могут появиться впоследствии. И для этого лучше подобрать универсальное решение, позволяющее закрыть всю систему, но внедрение которого можно начинать с отдельных компонентов.

У компании Check Point есть своего рода конструктор, система защиты и внутренней безопасности, и настольных рабочих станций, и периметра, и Web-трафика. Это решение интегрируется с более 350 продуктами наших партнеров.

А.Т.: Существует еще целый класс систем обнаружения вторжений Meta-IDS (Intrusion Detection Systems). Это высокоуровневые анализаторы систем управления корпоративной безопасностью, осуществляющие сбор данных и журнальных событий с десятков и сотен различных систем разных производителей и способные сформировать обобщенную оценку. Такие продукты в большей степени направлены на комплексный анализ безопасности. Здесь же речь идет несколько о другом…

А.М.: Несколько слов по поводу сертификации и стандартизации. Поскольку мы здесь говорим о контроле движения информации, которая существует в телекоммуникационных компаниях, мы должны четко понимать, какие документы у нас являются конфиденциальными, по каким потокам они перемещаются, кто, куда и каким образом обращается. Это огромная работа, которая заключается в написании стандартов, политик, разделении информации по категориям, и что особенно важно — в анализе рисков. Необходимо четко понимать, от каких угроз в первую очередь нужно обезопасить компанию, поскольку может оказаться, что половина предлагаемых средств и не понадобится. Не имея этой документальной поддержки, мы не можем начать внедрение какого-либо технического решения.

А.Т.: Внедрение стандартов, таких как 27001 (Требования к системам управления безопасностью) — это огромный труд. Своими силами вводить подобную систему будет очень сложно. Зато при внедрении сразу становится ясно, какие параметры нужно контролировать. Это избавляет от необходимости ставить на все узлы сенсоры, а затем кропотливо анализировать результаты их работы.

Н.М.: Какие частные решения могли бы быть сегодня полезны и в дальнейшем интегрировались в общие системные решения?

С.Т.: Я уверен, что никакая из представленных здесь компаний не может сейчас предложить готовое решение. Но есть первый обязательный шаг, без которого невозможно двигаться дальше. Начиная решать задачу безопасности, необходимо разобраться, что за объект охраняется. Поэтому первоочередная задача заключается в том, чтобы пересчитать все то, что имеется у компании, включая ее сотрудников, и определиться с ресурсом, который и является объектом охраны.

Это не самый очевидный инструмент, который требуется для решения задачи утечки информации и безопасности в целом, но если задача учета всех ресурсов не поставлена, то говорить об обеспечении защиты от утечки или безопасности в целом, бессмысленно. Поэтому первый шаг — это учет всех ресурсов, которые есть в организации. Следующие шаги, наверное, изложит кто-то другой.

А.К.: Если говорить о конкретных проблемах, которые Вы назвали, то их решение лежит не в технической плоскости, а в нормативно-правовой. Большая проблема состоит в том, что сегодня нет нормативной базы для того, чтобы эту задачу решать в полной мере. Законодателям не удалось принять закон “О персональных данных”, но ход его обсуждения показал, что там есть, в частности, интересы тех, кто хотел бы продавать как можно больше дополнительного оборудования и, тем самым, создавать каналы для утечки. И, безусловно, эта заинтересованная группа противодействует принятию закона. Еще одна группа — это те, кто не хочет нести ответственность.

Операторы — люди серьезные и прагматичные и, бе-зусловно, они не ждут, пока появится какое-то указание приобретать тот или иной продукт. Но проблема здесь состоит в том, что если говорить не о корпоративной сети, а сети связи общего пользования, то в ней все взаимосвязано. Поэтому решение задачи у одного оператора вовсе не гарантирует то, что у него не будет проблем. Они могут возникнуть через взаимодействие с теми операторами, которые таких задач не решают.

Сегодня очень многие операторы, когда речь заходит о реализации базового, или минимального, уровня, иногда готовы свести его к нулю. Если же информационная безопасность будет трактоваться как неотъемлемая составная часть деятельности организации, ситуация кардинально изменится к лучшему.

В этой связи я хотел бы рассказать о проекте МСЭ, который называется “Базовый уровень информационной безопасности операторов связи”. Данный проект начался в 2005 г. по инициативе нашей страны. Я являюсь руководителем этого проекта как заместитель председателя исследовательской комиссии МСЭ по информационной безопасности. Учитывая важность проекта, МСЭ создал специальную группу, разрешив участвовать в проекте не только членам МСЭ. Это важный момент, потому что для участия в этом проекте не надо платить членские взносы.

Проект должен закончиться в 2008 г. принятием рекомендации, которая так и будет называться “Базовый уровень информационной безопасности операторов связи”. Безопасность не может рассматриваться как дело исключительно добровольное. Поэтому, как мне представляется, после или вместе с принятием этих рекомендаций будут внесены соответствующие изменения в условия лицензирования. И поэтому в рамках АДЭ в этой работе активно участвуют сами операторские компании.

Н.М.: Можно надеяться, что в 2009 г. в условия лицензирования будут внесены дополнительные требования?

А.К.: Я думаю, что это произойдет раньше, потому что в конце этого года принято решение в исследовательской комиссии по безопасности (оно поддержано Министерством связи) о представлении проекта этой рекомендации. Данный проект обсуждается абсолютно открыто, потому что чем больше экспертов примут в нем участие, в том числе и представители компаний-разработчиков, тем лучше.

Здесь упоминался стандарт, регламентирующий организацию внутреннего бизнеса компании в интересах безопасности. Это специальный стандарт, который адаптирует приложения 27 серии для операторов связи. В рекомендации записано, что будет отбираться только то, что позволяет получить результат без значительных вложений. Это очень важный критерий.

Базовый уровень — это есть не что иное, как набор требований, которые оператору будет предписано выполнять для того, чтобы он продемонстрировал готовность, желание и способность взаимодействовать с другими операторами, правоприменительными органами, потребителями для обес-
печения безопасности.

Мы в ближайшее время опубликуем на сайте АДЭ опрос-ный лист на русском языке. Его будет также рассылать МСЭ на английском языке. Будет приветствоваться, если все желающие внесут свои рекомендации. Это исключительно интересный случай, когда специалисты, эксперты, могут влиять на то, что в итоге будет рекомендовано операторским компаниям. И, конечно, при активном участии самих операторских компаний.

А.Т.: Подход очень правильный. Но в чем важность тех стандартов 27-й серии, о которых я говорил? Эти стандарты закладывают основу новой добровольной системы сертификации.

Все вы знаете систему качества ISO 9000, и я предполагаю, что сертификация по 27-й серии будет еще более популярна, поскольку доверие к той или иной организации, если оно будет подкреплено сертификатом 27-й серии, станет очень весомым доказательством того, что организация внедрила эффективную и надежную систему безопасности. Так же, как мы доверяем качеству продуктов и услуг тех компаний, у которых внедрена система качества ISO 9000, то же самое будет и в отношении безопасности.

Поэтому помимо обязательных требований, все коммерческие компании, которые хотят укрепить свою репутацию, в том числе и на международном рынке, скорее всего, пойдут на этот шаг и проведут сертификацию. Она будет недешевой, но в стремлении улучшить свой имидж компании поднимут общий уровень культуры управления безопасностью. Я полагаю, что это будет глобальным явлением во всем мире, в том числе и в России.

Р.Я.: И ведь многие западные компании уже это поняли и применяют данный подход. Приведение своей информационной системы в соответствие с международными стандартами безопасности является очень правильным шагом. А насчет стоимости — в конечном итоге заказчику выходит дешевле, когда он уже привел свою систему в соответствие со стандартом, и осталась только задача подтверждения.

В.С. Алешин, проректор по научной работе МТУСИ: Все попытки решить задачу информационной безопасности каким-либо частным методом принципиально ошибочны. Проблема информационной безопасности будет в той или иной степени решена только тогда, когда она выйдет на общегосударственный уровень.

В пятницу я вышел из Мининформсвязи, и сразу за углом, на Тверской улице перед подземным переходом, в киоске продается шесть баз данных, в том числе МГТС, МТС, ГАИ. Из них пять содержат конфиденциальную информацию о частных лицах. Вы думаете, кто-нибудь понес ответственность за появление этой продукции?

Поэтому первый принцип, который должен стоять во главе угла — юридическая ответственность компании за утечку информации конфиденциального характера на государственном уровне. Тогда руководство компании будет заинтересовано в принятии соответствующих мер. Пока нет закона, человека серьезно не накажешь, его можно лишь уволить. Сейчас же существует такая модель: украл сотрудник базу данных, вычислили его, — работника увольняют, а компания сохраняет свое лицо.

А.П.: Достаточно предусмотреть такую ответственность в законе о персональных данных. В первоначальной редакции закона, — не в той урезанной, которая в сентябре прошлого года была принята, а в предлагаемой первоначальной, — были предусмотрены части, касающиеся защиты информации. Эти формулировки законопроекта были аналогичны соответствующим разделам закона о государственной тайне. Просто необходимо принять закон о персональных данных, обеспечивающий защиту этого информационного ресурса юридически так, как это сделано для государственной тайны.

С.З.: Юридическая ответственность — это все нужно и правильно. Но чтобы вводить неотвратимость наказания, надо сначала предложить средства реализации системы безопасности. Статья посвящена средствам, и в ней предложено четыре направления. Думаю, стоит их рассмотреть и обсудить, для каждого из них есть свои замечания и дополнения.

Е. Бабкин, директор направления биллинговых систем, компания CTI: Статистика обращений к нам пользователей со своими пожеланиями говорит о том, что приблизительно 80 % беспокоятся о работе системы шифрования паролей, но лишь на участке от клиента до биллинговой системы. И только 20 % озабочены тем, что надо закрывать информацию, которая лежит в базе. И это, несмотря на обязательные требования сертификации биллинговой системы. То есть фактически информация в операторской базе паролей лежит в открытом виде, не говоря уже о CDR и прочих данных.

Кроме того, необходимо ввести еще одного субъекта ответственности за информационную безопасность — сами защищаемые системы. Часто уязвимости в системе безопасности возникают из-за несовершенства базовой системы предоставления услуг. Это верно и в отношении биллинговых систем: даже в сертифицированных и защищенных системах могут существовать варианты обхода защиты инсайдерами и создания прецедентов утечки информации. Любая сложная информационная система, состоящая из многих отдельных подсистем (одной из которых является и биллинговая система), обладает достаточно широким функционалом, чтобы неправильная (несогласованная) настройка всего комплекса могла привести к возможности незаконного использования содержащейся в ней конфиденциальной информации. И при этом никакие внешние системы безопасности не смогут не то что предупредить, а даже отследить факты утечки информации.

Поэтому очень важно обращать особое внимание на функциональность тех систем, которые необходимо защищать, и сертифицировать операторов связи по критерию безопасности информации.

А.М.: Не буду раскрывать схемы защиты, которые используются в компании “Межрегиональный ТранзитТелеком”. Но некоторые из проблем, которые обозначены в статье, у нас давно решены, в частности, это защита трафика электронной почты, Интернет, ведутся работы по мобильным носителям. Первоначально проводились работы по идентификации ресурсов, классификации информации и
т. д. С тем, чтобы не накладывать эти технические средства на всю компанию, мы выбирали определенные участки, где действительно хранится критичная информация. Насколько мне известно, наши коллеги также достаточно успешно работают в этих направлениях.

А.Т.: А как будет осуществляться проверка на соответствие базовым требованиям? Будет ли это независимый типа АДЭ или государственный орган типа Гостехкомиссии (ФСТЭК России)?

А.К.: Дело в том, что в системе “Связь” система сертификации была, есть и будет, и ничего нового, на мой взгляд, это решение регулятора не внесет. Сегодня не хватает лишь нормативной базы. А необходимые для сертификации органы, лаборатории, уже есть.

Н.М.: Я думаю, это будет что-то типа Гостехкомиссии.

А.Т.: Не уверен, потому что Гостехкомиссия — достаточно специфичный орган и сфера деятельности у него очень ограничена.

А.К.: По-моему, самым разумным является как раз использование отраслевой системы сертификации. Ее главная целевая функция — проверка правильности функционирования именно оборудования связи. Дополнительными требованиями должны быть как раз требования по безопасности. Если говорить о Гостехкомиссии, она безусловно, имеет очень много важных документов, но мне представляется, что это не совсем про связь…

Н.М.: Право на связь Конституцией не гарантировано, а вот на тайну связи — гарантировано. Тогда встает вопрос: кто же осуществляет контроль за выполнением конституционного права каждого? Должна быть какая-то межведомственная структура. Может быть, какая-то комиссия по защите тайны… Мне кажется, по логике вещей это не может быть отраслевой ведомственной задачей…

А.Т.: Хотя вопрос защиты информации — общий для государства, тем не менее существуют разные сферы влияния. Криптографией занимается ФСБ, а вопросами НСД — Гостехкомиссия, уже есть разделение, хотя кажется, что это вопросы глобальные и общие.

А.К.: Мне бы еще хотелось сказать, что безопасность очень конкретна. Когда предлагаются некие меры, которые годились бы и для связи, и для атомной энергетики, и для авиационного транспорта, то может быть в какой-то очень малой части они могли бы быть применимы для всех. Поэтому мне представляется справедливым, чтобы в отрасли связи безопасность контролировалась тем, кто отвечает за функционирование систем связи.

Н.М.: В широком плане “Электронная Россия” — это электронная страна. Ребенок при рождении получает персональный код, который его сопровождает всю жизнь, а дальше к этому коду “нанизываются” номера военного билета, водительского удостоверения, телефона и т. д. И все эти базы данных между собой в государстве должны будут взаимодействовать.

А.Т.: Правильно, должен быть общий критерий оценки безопасности в различных ведомствах.

Н.М.: А далее контроль уже может осуществляться отраслевыми структурами.

Обобщая то, что обсуждалось, необходимы: системность в защите информации; глубокий анализ всех возможных угроз; совершенствование нормативно-правовой базы; адекватные меры защиты, включая организационные, правовые и технические.

При этом следует указать на следующие моменты, принципиальные для телекоммуникационных компаний: одного мониторинга информации недостаточно, нужен еще глубинный анализ; важен вопрос эффективности применяемых мер борьбы с инсайдом, в частности экономической эффективности.

Страницы “Вестника связи” открыты для всех, кто желает внести свой вклад в решение проблем информационной безопасности.

Постскриптум

В ходе проведения круглого стола совместно с компанией InfoWatch было проведено анонимное анкетирование его участников. Из тринадцати респондентов, работающих в крупных организациях с числом компьютеризированных рабочих мест от 1000 до 10000 и выше, семеро указали, что в их компаниях уже внедрены или в течение 2006 г. планируются к внедрению специализированные решения для выявления и предотвращения утечек.

Остальные участники встречи, работающие в компаниях с числом оснащенных компьютерами рабочих мест до 1000, собираются установить подобные средства в текущем году или в течение ближайших двух лет. (Исключение составил лишь один участник опроса, указавший, что подобные средства планируются к внедрению лишь после 2009 г.).

Хотя большинство ответивших на вопросы анкеты затруднились сообщить о случаях утечки конфиденциальной информации в их организациях, представители трех компаний отметили, что за текущий год подобные случаи уже были выявлены. В десяти компаниях политика ИТ-безопасности предусматривает положения по защите от инсайдеров, а восемь участников опроса указали, что утечка конфиденциальной информации является одной из наиболее опасных угроз.

Ваше имя:

Пароль: