Обеспечение безопасности телекома
11 мая 2008
Рубрика: Статьи, присланные на конкурс.
Автор: .

Обеспечение информационной безопасности оператора телекоммуникаций — проблема актуальная и комплексная, требующая согласованного принятия мер на законодательном, административном, процедурном и программно-техническом уровнях.

Для операторов телекоммуникаций информационная безопасность (ИБ) является составным элементом бизнеса и постепенно становится частью общей системы управления предприятием, поскольку нарушение работы информационных систем сказывается непосредственно на бизнесе оператора и чревато серьезными убытками. Хорошо организованная система ИБ дает оператору конкурентные преимущества, повышает инвестиционную привлекательность и эффективность управления, улучшает бизнес-процессы и имидж.

Законодательство и основные стандарты информационной безопасности

Законодательная база определяется требованиями законов Республики Узбекистан к обеспечению информационной безопасности.

Вопросы организации управления информационной безопасностью предприятия изложены в международном стандарте ISO/IEC 27001:2005 — понятия и процедуры, политика безопасности, общие принципы организации защиты, классификация ресурсов и управление ими, безопасность персонала, физическая безопасность, принципы администрирования систем и сетей, управление доступом.

По существу, эти стандарты и спецификации представляют собой модель системы менеджмента — набор организационных мероприятий и процедур управления ИБ. Стандарт ISO/IEC 27001 имеет много общего со стандартом управления качеством и основан на лучшей мировой практике. Он нацелен на эффективное управление безопасностью, выполняет организационную роль, определяя необходимые для этого ключевые процессы.

Технические спецификации, применимые к современным распределенным корпоративным информационным системам (ИС), создаются, главным образом, «Тематической группой по технологии Internet» (Internet Engineering Task Force, IETF) и ее подразделением — рабочей группой по безопасности.

Среди технических спецификаций важное место занимает X.800 «Архитектура безопасности для взаимодействия открытых систем (ВОС)». В ней выделены важнейшие сетевые сервисы безопасности: аутентификация, управление доступом, обеспечение конфиденциальности и/или целостности данных, а также невозможность отказаться от совершенных действий. Для реализации сервисов предусмотрены следующие сетевые механизмы безопасности и их комбинации: шифрование, электронная цифровая подпись (ЭЦП), управление доступом, контроль целостности данных, аутентификация, дополнение трафика, управление маршрутизацией, нотаризация. Выбраны уровни эталонной семиуровневой модели ВОС, на которых могут быть реализованы сервисы и механизмы безопасности.

Криптография как средство реализации сервисов безопасности предлагается в виде технической спецификации IETF «Обобщенный прикладной программный интерфейс службы безопасности» (Generic Security Service — Application Program Interface, GSS-API) , а также в виде национальных технических спецификаций.

Защита информационных активов телекома
Специфика защиты информации операторов телекоммуникаций проявляется, прежде всего, в характере тех данных, которые необходимо защищать. Защите подлежат вся информация, собственником которой является оператор, — технические данные о сетевой и IT-инфраструктуре, в том числе содержимое хранилищ данных.

В связи с тем, что операторы предоставляют услуги населению, это автоматически приводит к накоплению больших объемов персональных данных абонентов. Информация хранится в базах данных, находящихся в IT-инфраструктуре оператора. Кража такой информации чревата нарушением закона Республики Узбекистан о конфиденциальности информации о физических лицах, что может привести к неприятным последствиям вплоть до судебных издержек, дополнительному ущербу для имиджа, отзыву лицензии.

Грамотное управление рисками, умение правильно оценить их и определить потенциальные потери дает значительное конкурентное преимущество оператору телекоммуникаций.

Значение службы ИБ возрастает, она отвечает и за «непрерывность бизнеса», и за обеспечение работы сервисов IT. Методология оценки риска применима как к непрерывности работы систем IT, так и к конфиденциальности и защите информации. Управление хранением данных и ИБ считается двумя важнейшими сегментами, тесно связанными друг с другом.

При создании системы информационной безопасности оператора телекоммуникаций важно создать службу управления информационной безопасностью (СУИБ) и после определения информационных активов и анализа рисков разработать основные обеспечивающие нормативные документы в соответствии со стандартом ISO/IEC 27001:2005 и техническими спецификациями:
• базовые документы административного уровня — политика и концепция безопасности для оператора, инструкция обеспечения безопасности при выборе персонала и работе с ним, инструкция по организации форума предприятия по вопросам ИБ, а также положение о подразделении обеспечения информационной безопасности и распределение ответственности за вопросы ИБ
• инструкции по политике контроля доступа, в том числе по внесению изменений в списки пользователей и наделения их полномочиями доступа к ресурсам системы
• инструкции по инвентаризации и классификации ресурсов оператора, по управлению внутренними ресурсами и резервному копированию информации
• инструкция по защите от вредоносного ПО объектов оператора телекома
• инструкция по обеспечению безопасности носителей данных, рабочего места, оборудования
• инструкции по обеспечению безопасности при передаче информации
• процедуры реагирования в случае инцидентов, и др.,
а также разработанные с учетом специфики предприятия системные документы ИБ с рабочими названиями «План защиты корпоративной сети передачи данных оператора телекоммуникаций от несанкционированного доступа (НСД)», «План защиты баз данных и программно-аппаратных приложений от НСД».
Необходимое условие обеспечения защищенности корпоративной информационной системы, так и в целом IT-инфраструктуры – выделение отдельной службы с соответствующими функциями. Главная задача этого подразделения – создание гарантий того, что уровень организации ИБ достаточен по отношению к целям бизнеса телекома, с полным охватом всех необходимых функций создания системы ИБ и дальнейшего непрерывного мониторинга.

Служба информационной безопасности оператора включает руководителя подразделения, аналитика и администратора средств защиты или лиц, выполняющих эти обязанности, и подчиняется непосредственно руководителю IT- подразделения телекома.

Профессионально подготовленный персонал службы периодически проходит обучение в специализированном учебном центре «Инфосистема» при ЦНТМИ УзАСИ. Куратором вопросов ИБ на высшем административном уровне назначается один из заместителей директора, которому представляется периодический отчет, составленный согласно требованиям законодательства Республики Узбекистан и стандартов управления безопасностью.

Для каждого оператора телекома система информационной безопасности, как и все ее составные части, в том числе нормативные документы, разрабатываются индивидуально, применительно к структуре, с учетом имеющихся ресурсов, сетевой инфраструктуры и средств управления сетью, серверного оборудования и рабочих станций, программно-аппаратного обеспечения, хранилищ данных, предоставляемых услуг и выполняемых бизнес-процессов.

Можно выделить основные этапы разработки системы ИБ:
• определение информационных активов
• анализ рисков ИБ
• разработка концепции, политик, инструкций, регламентов
• поэтапное внедрение системы ИБ
• мониторинг, тестирование, аудит

Интеграционный подход к деятельности телекома
Интеграционный, или системный, подход для оператора становится все более необходимым: он охватывает системы безопасности, управления, операционной поддержки и поддержки бизнеса оператора – Operations Support System (OSS)/Business Support System (BSS). Аналитическая компания Gartner считает, что традиционная «лоскутная автоматизация» со временем уступит место объединению всех систем в рамках единой мультисервисной среды. Важно отметить, что системы ИБ интегрируются с системами управления предприятием и охватывают все уровни бизнес-процессов.

Наибольшую опасность для корпоративной информационной системы оператора телекома с важнейшими компонентами систем операционной поддержки/систем поддержки бизнеса (OSS/BSS) представляют внутренние злоумышленники (инсайдеры). Внешние злоумышленники без поддержки внутренних вряд ли смогут нарушить работу бизнес-процессов, выполняемых в рамках OSS/BSS. Поэтому к наиболее опасным источникам угроз на уровне бизнес-процессов относятся внутренние, которые реализуются в рамках полномочий персонала телекома. Может иметь место другая схема — внешние злоумышленники (например, конкуренты) и внутренние, действующие «в сговоре» с первыми.

Главная цель злоумышленника – получить контроль над активами на уровне бизнес-процессов. Прямое нападение на этом уровне (например, путем раскрытия конфиденциальной информации) более эффективно для нападающего и опаснее для оператора – владельца информации, чем атака на нижних уровнях – физическом (линии связи, аппаратные средства и пр.), сетевом (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и т.п.); приложений и сервисов (ОС, СУБД, технологических процессов и приложений). Причина – атаки на нижних уровнях требуют специфического опыта, знаний и ресурсов (в том числе и временных), а потому менее эффективны по соотношению затраты/результат. Чаще всего потенциальный злоумышленник стремится либо получить доступ к информации баз данных, хранящейся в системе OSS/BSS, либо нарушить ход строго описанного бизнес-процесса.

Интегрированная архитектура системы ИБ
Высокая эффективность комплексной системы ИБ может быть достигнута, если она функционирует как единый комплекс и имеет централизованное управление. Система безопасности строится на основе анализа рисков, и стоимость ее внедрения и поддержки должна быть адекватной существующим угрозам, то есть экономически обоснованной.

Интегрированная архитектура подсистем ИБ оператора телекома включает в себя набор следующих подсистем:
• подсистему защиты периметра сети и межсетевых взаимодействий (межсетевые экраны и т.п.)
• подсистему защиты серверов сети
• подсистему защиты хранилищ данных (баз данных)
• подсистему резервного копирования и восстановления данных
• автоматизированную систему установки обновлений ПО
• подсистему аутентификации и идентификации
• средства защиты рабочих станций
• средства анализа защищенности и управления политикой безопасности
• подсистему мониторинга и аудита безопасности
• средства обнаружения атак и автоматического реагирования
• подсистему комплексной антивирусной защиты
• средства контроля целостности данных
• средства криптографической защиты информации
• инфраструктуру открытых ключей
• средства управления безопасности.

В ходе эксплуатации корпоративной информационной системы оператора телекома обеспечивается защита от умышленного несанкционированного раскрытия, модификации или уничтожения информации, неумышленной модификации или уничтожения информации, недоставки или ошибочной доставки информации, ухудшения обслуживания или отказа в нем. Также весьма актуальна угроза отказа от авторства сообщения. Для этого служит электронная цифровая подпись (ЭЦП) под сообщениями.

С точки зрения архитектуры система OSS/BSS оператора телекома наложена на существующую сеть передачи данных, представляет собой выделенную подсеть с повышенным уровнем защиты (на базе технологий виртуальных частных сетей (VPN) и виртуальных локальных сетей (VLAN), и др.) для реализации мониторинга несанкционированных действий.

При оценке рисков в системе безопасности оператора важно категорировать, какую информацию обрабатывают подсистемы, входящие в OSS/BSS. Для операторов телекоммуникаций представляется очень важным защитить информацию о сетевой инфраструктуре, об абонентах (в частности, о физических лицах), и др., согласно требованиям законодательства.

Вся информация, циркулирующая в сети оператора, подлежит систематизации и классификации. Обычно во внутренней сети вся информация относится к уровню «для внутреннего использования», однако при необходимости можно отнести ее и к уровню «коммерческая тайна» с дополнительным уровнем обеспечения защищенности (например, введя дополнительную аутентификацию при доступе). Определяются соответствующие роли персонала организации, и устанавливается степень ответственности за исполнение этих ролей. Формирование ролей осуществляется на основании бизнес-процессов, а ответственность зафиксирована в должностных инструкциях.

Категорически не рекомендуется применять ролевой механизм, где одна персональная роль включает все правила, необходимые для выполнения полного бизнес-процесса в рамках корпоративной информационной системы телекома. Совокупность правил, составляющих роли, не должна быть критичной для предприятия с точки зрения последствий успешного нападения на исполнителя данной роли. Не следует совмещать в одном лице (в любой комбинации) роли разработки программно-аппаратного обеспечения, программного и технологического сопровождения, эксплуатации, администрирования или контроля (например, оператора и администратора, администратора и аудитора). Обязанности персонала по выполнению требований ИБ в соответствии с положениями ISO/IEC 27001:2005 следует включать в трудовые контракты (соглашения, договоры).

При распределении прав доступа персонала к системе, кроме технических аспектов, следует руководствоваться тремя принципами:
• «знание своих служащих» – предполагать возможные проблемы сотрудников, которые могут привести к злоупотреблениям ресурсами, аферам или махинациям
• «необходимые знания» – соблюдать правила безопасности для ограничения доступа к информации и ресурсам только тех лиц, кому требуется выполнять определенные обязанности
• «двойное управление», или принцип «четыре глаза» – использовать в системе независимое управление для сохранения целостности процесса и борьбы с искажением функций системы, которое отражено в требовании ИБ — выполнять некое критичное действие до завершения определенных транзакций двумя лицами независимо друг от друга.

Безопасность систем OSS/BSS должна обеспечиваться на всех стадиях деятельности телекома с учетом всех сторон, вовлеченных в бизнес-процессы. При этом модель системы ИБ (этапы работ и процессы, выполняемые на этих этапах) и разработку технических заданий, проектирование, создание, тестирование и приемку средств и систем защиты корпоративной информационной системы (с учетом OSS/BSS) следует обязательно согласовывать со службой управления ИБ (СУИБ). Ввод в действие, эксплуатация, снятие с эксплуатации систем OSS/BSS – все должно проходить при обязательном участии службы информационной безопасности СУИБ.

Защитные меры по ряду объективных причин имеют тенденцию к ослаблению своей эффективности, в результате чего снижается общий уровень ИБ, что неминуемо ведет к возрастанию рисков ИБ. Чтобы не допустить этого, нужно проводить регулярный мониторинг и аудит системы ИБ и своевременно принимать меры по поддержанию системы управления ИБ на необходимом уровне. В идеале должна действовать циклическая модель: планирование–реализация–проверка–совершенствование–планирование.

В целом требования ИБ к OSS/BSS, как и требования для сетевой инфраструктуре предприятия, включают идентификацию, аутентификацию, авторизацию; управление доступом; контроль целостности и регистрацию пользователей. При этом рекомендуется организовать службу централизованной парольной защиты для генерации, распространения, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями. К примеру, такую службу целесообразно организовать при группе администрирования базами данных в биллинг-центре.

Также необходимо организовать регистрацию действий персонала и пользователей в специальном электронном журнале, который должен быть доступен для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. Для контроля реализации положений нормативных актов по обеспечению ИБ, выявления нештатных (или злоумышленных) действий и потенциальных нарушений ИБ сотрудники СИБ выполняют мониторинг ИБ.

Целесообразно построение единой системы сетевой идентификации и интеграция систем управления доступом. Она позволяет реализовать управление жизненным циклом идентификационной информации, единую регистрацию в сети телекома, способствует внедрению ролевой модели доступа и автоматизации работы с абонентскими учетными данными.

Планируется интегрировать систему идентификации с существующей системой электронного документооборота и подсистемой учета кадров, разработанных силами собственных специалистов оператора ТШТТ в составе корпоративной информационной системы. Одновременно эта система служит целям аудита: вся информация о доступе сохраняется в журнале. Это поможет снизить нагрузку на администраторов, существенно сократить затраты на управление и аудит, улучшить поддержку пользователей.

Инциденты, касающиеся ИБ, фиксируются и передаются в соответствующие службы; при этом ведется специальная база данных инцидентов. Подразделение обеспечения непрерывности функционирования корпоративной информационной системы телекома отвечает и за поддержку систем безопасности.

Комплексный подход к внедрению систем безопасности позволяет:
• объективно оценить текущее состояние информационной безопасности телекома
• предотвратить утечку конфиденциальной информации
• обеспечить защиту и надежное функционирование прикладных информационных сервисов
• обеспечить безопасный доступ в Интернет с защитой от вирусных атак и спама
• защитить систему электронного документооборота телекома
• построить систему централизованного мониторинга и управления информационной безопасностью корпоративной сети и корпоративной информационной системы
• организовать защищенное информационное взаимодействие с территориально удаленными подразделениями и пользователями
• получать защищенный доступ ко всем информационным системам телекома
• обеспечить целостность и доступность информации.

Интеграция технических систем управления безопасностью помогает снизить затраты телекома.

Аудит ИБ телекома
Аудит необходимо проводить периодически, при этом он может быть внутренним или внешним. Порядок и периодичность проведения внутреннего аудита ИБ телекома в целом (или отдельных структурных подразделений) определяется руководством. Внешний аудит проводится независимыми аудиторами и не реже одного раза в год. Цель аудита ИБ – проверка и оценка ее соответствия требованиям законодательства, международных стандартов и других принятых нормативов.

При проведении аудита ИБ следует использовать стандартные процедуры документальной проверки, опрос и интервью с руководством и персоналом организации, а в качестве дополнительных – проверку на месте, чтобы подтвердить реализацию конкретных защитных мер, а также тестирование.

При анализе информационных рисков могут использоваться специальные инструментальные средства и методики, основанные на международных стандартах ISO/IEC 27001:2005, ISO/IEC 17799-2005, BS 7799-3:2006, CobiT и других.

Сертификация на соответствие ISO/IEC 27001:2005 — это сертификация на организацию управления ИБ, подтверждающую высокое качество работы и наличие реально построенной системы безопасности.
Требование времени
Принимая во внимание, что телекоммуникации — особая отрасль, в ближайшее время большинство телекомов будут иметь систему управления ИБ, построенную с учетом требований законодательства по информационной безопасности и согласованную со стандартом ISO/IEC 27001:2005, и необходимый сертификат соответствия. Однако уже сейчас стандарт ISO/IEC 27001:2005 становится фактическим стандартом обеспечения безопасности для телекоммуникационных компаний.

Система управления ИБ (СУИБ) значительно снижает риски ущерба для активов телекоммуникационного оператора.

Согласно прогнозам аналитических компаний, довольно быстро будут разработаны нормативы «базового уровня» информационной безопасности для операторов телекоммуникаций, которые станут обязательными для получения лицензии на предоставление телекоммуникационных услуг. «Базовый уровень ИБ операторов телекоммуникаций» будет представлять собой набор рекомендаций, реализация которых должна гарантировать определенный уровень ИБ инфотелекоммуникационных услуг, позволяя обеспечить баланс интересов операторов, пользователей и государства.

Автор: Найля Баширова, гл.спец. отд.02 ИВЦ филиала ТШТТ АК «Узбектелеком»
Информация о конкурсе

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте