В то же время именно операторы обладают возможностью принуждения к соблюдению законов, и поэтому государство может только через операторов воздействовать на "электронных" преступников. Для реализации такого права и выработки общих правил игры российская ассоциация документальной электросвязи (АДЭ) предложила международному союзу электросвязи - ITU - концепцию базового уровня информационной безопасности. Его основные положения обсуждались на девятой конференций "Инфофорум", прошедшей 25 и 26 января.
Концепция документа под названием «Базовый уровень информационной безопасности операторов связи» предполагает соблюдение оператором минимальных требований по информационной безопасности. Эти требования состоят из трех частей: организационные, технологические и межоператорские. Требования являются минимальными, то есть фактически обязательными для всех, кто планирует заниматься операторским бизнесом.
Организационные методы защиты сформулированы в разделе "Политика оператора". В нем предполагается наличие у оператора принятой политики безопасности. Рекомендации также содержат требование включать правила из политики в должностные инструкции сотрудников оператора, а также в договоры
с партнерами, поставщиками и клиентами. Кроме того, сформулированы два принципа корректного использования защиты: ее нельзя направлять против третьих лиц и вред от нее должен быть существенно меньше, чем вред от реализации угрозы.
Раздел технических требований, который называется "Технические средства", в основном содержит перечисление современных технологий защиты. В документе рекомендуется использовать антивирусы, спам-фильтры, системы предотвращения вторжений, анализаторы сетевого трафика, корреляторы событий, блокировку некорректных IP-адресов и другие методы сетевой защиты. Однако все перечисленные в документе технологии предназначены для защиты сетей передачи данных, а о механизмах защиты телефонных сетей, таких как системы выявления мошенничества, документ умалчивает.
В документе есть также требования к поставщикам информационных услуг. Они перечислены в разделе "Обеспечение взаимодействия". В частности, поставщикам услуг рекомендуется для публичных сервисов иметь возможность аутентифицировать пользователей, определять юрисдикцию сервиса, собирать сведения о его владельце, уведомлять о разглашении собранных персональных сведений и об обнаружении уязвимостей в программном и аппаратном обеспечении. Для обработки инцидентов оператор должен иметь круглосуточную службу реагирования на инциденты или хотя бы арендовать ее услуги. Кроме того, оператор должен предложить корпоративным клиентам назначить сотрудников, которые отвечают за информационную безопасность.
Документ «Базовый уровень информационной безопасности операторов связи» был предложен Международному союзу электросвязи на заседании в декабре прошлого года. Его доработку поручено проводить АДЭ, и сейчас происходит его обсуждение. Документ можно найти на сайте АДЭ. Эти рекомендации хотя и разрабатывает российская сторона, но действительны они будут по всему миру, поэтому у российских компаний и частных лиц есть возможность поучаствовать в разработке документа международной значимости.