Необходима концепция базового уровня информационной безопасности операторов
Аркадий Кремер, председатель исполкома АДЭ, призывает активно участвовать в разработке международных стандартов |
Вероятно, наибольшую угрозу для информационных систем представляют средства связи — по электронной почте приходит большинство вирусов, электронные магазины и форумы используются для фишинга, по почте и SMS рассылается спам… И все это делается с молчаливого согласия операторов, которые, впрочем, по закону и не могут вмешиваться в сеансы связи своих клиентов. Для реализации такого права и выработки единых правил российская Ассоциация документальной электросвязи предложила Международному союзу электросвязи концепцию базового уровня информационной безопасности. Ее основные положения обсуждались в рамках «Инфофорума», прошедшего в конце января.
Концепция документа «Базовый уровень информационной безопасности операторов связи» предполагает соблюдение оператором минимальных требований по информационной безопасности. Эти требования состоят из трех частей — организационные, технологические и межоператорские. Предполагается, что эти требования должны стать фактически обязательными для всех, кто планирует заниматься операторским бизнесом.
Организационные методы защиты предполагают наличие у оператора принятой политики безопасности. Правила из нее должны включаться в должностные инструкции сотрудников оператора, а также в договоры с партнерами, поставщиками и клиентами. Кроме того, сформулированы принципы корректного использования защиты: ее нельзя направлять против третьих лиц, а вред от нее должен быть существенно меньше, чем от реализации угрозы.
Раздел технических требований в основном содержит перечисление современных технологий защиты. В документе рекомендуется использовать антивирусы, спам-фильтры, системы предотвращения вторжений, анализаторы сетевого трафика, корреляторы событий, блокировку некорректных IP-адресов и другие методы сетевой защиты. Показательно, что все перечисленные в документе технологии предназначены для защиты сетей передачи данных, а о механизмах защиты телефонных сетей, таких как средства выявления мошенничества, документ умалчивает.
В документе есть требования и к поставщикам информационных услуг. В частности, им рекомендуется для публичных сервисов иметь возможность аутентифицировать пользователей, определять юрисдикцию сервиса, собирать сведения о его владельце, уведомлять о разглашении собранных персональных сведений и об обнаружении уязвимостей. Для обработки инцидентов оператор должен иметь круглосуточную службу реагирования на инциденты или хотя бы арендовать ее услуги.
Документ был предложен МСЭ в декабре. Его доработку поручено проводить АДЭ, и сейчас происходит его обсуждение; документ можно найти на сайте ассоциации.