Новые направления в развитии ИБ в телекоммуникационной отрасли Дмитрий Костров, Директор по проектам CNEWS Forum 2010 10.11.2010, Москва 1 Вопросы к обсуждению 1. Тенденции бизнеса в TELCO. Что в России ? 2. Основные проблемы в ИБ. 3. Основные тренды в решении проблем, связанных с ИБ. Защита данных – защита бизнеса Новые направления в развитии ИБ в телекоммуникационной отрасли 2 Convergence Новые направления в развитии ИБ в телекоммуникационной отрасли 3 THREATS Единая Политика информационной безопасности Этап развития компаний на данный момент характеризуется возрастающей ролью информационной сферы, представляющей собой: совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, системы регулирования возникающих при этом взаимоотношений. Безопасность ведения бизнеса существенным образом зависит от обеспечения информационной безопасности. Новые направления в развитии ИБ в телекоммуникационной отрасли 4 Обеспечение информационной безопасности Обеспечение информационной безопасности (ИБ) является непрерывным процессом, осуществляемым системой обеспечения информационной безопасности (СОИБ) и взаимоувязывающим правовую, организационную техническую деятельность, проводимую под непосредственным управляющим воздействием руководства Компании, направленную на поддержание функционирования компании в условиях воздействия угроз безопасности. Новые направления в развитии ИБ в телекоммуникационной отрасли 5 Эволюционные этапы Успех интегрируемых компаний в защите и управлении собственной информацией как стратегическим активом зависит от инфраструктуры, процесса, людей и корпоративной культуры, в идеале работающих согласовано. Зрелость компаний по каждому из этих измерений может быть четко представлена в модели эволюции информации, охватывающей пять эволюционных этапов: операционный уровень; консолидированный уровень; интеграционный уровень; оптимизационный уровень; инновационный уровень. Новые направления в развитии ИБ в телекоммуникационной отрасли 6 ПРИМЕР 4-го уровня На 4-м уровне модели эволюции информации, который характеризует ее как гибкое и адаптируемое предприятие, оптимизированное для достижения максимальной эффективности и постоянно подстраивается под изменяющиеся рынки. Доступ к актуальной информации воспринимается как нечто данное. Рост потока конфиденциальной и «чувствительной» информации является одновременно и конкурентным преимуществом, и потенциальной уязвимостью (если поток информации по какой-либо причине прервется). Распространяя внутрикорпоративную информацию через публичные сети и привлекая партнеров в корпоративную сеть, компании обязаны придавать большее значение мерам по обеспечению безопасности, отказоустойчивости сети и целостности данных Новые направления в развитии ИБ в телекоммуникационной отрасли 7 ЦЕЛИ Основной целью ИБ является достижение устойчивого функционирования бизнеса и успешного выполнения миссии и ключевых целей интегрируемых компаний, в условиях рисков, способных привести к нарушению конфиденциальности, целостности, доступности или подотчетности. Единая Политика информационной безопасности является высокоуровневым документом в области обеспечения информационной безопасности. Основной целью Политики является определение основных принципов обеспечения информационной безопасности, а также основных направлений защиты информации при работе подразделений, ответственных за ИБ. Дополнительной целью Политики является гармонизация документов в рамках интеграционного процесса. Новые направления в развитии ИБ в телекоммуникационной отрасли 8 ЗАДАЧИ Основные задачи Единой Политики информационной безопасности Создание непрерывного процесса обеспечения информационной безопасности в компаниях; Определение основных задач подразделений, отвечающих за обеспечение информационной безопасности; Выделение основных направлений в обеспечении информационной безопасности; Определение роли и места подразделений по защите информации в структурах компаний; Описание роли всех подразделений компаний при обеспечении информационной безопасности; Рекомендации подразделениям по защите информации по взаимодействию с внешними организациями в части развития мер информационной безопасности. Новые направления в развитии ИБ в телекоммуникационной отрасли 9 ТРЕБОВАНИЯ Требования Политики деятельности компаний. распространяется на все процессы Политика определяет место процесса обеспечения ИБ в Карте процессов многоуровневой модели бизнес-процессов управления производством (eTOM) в рамках Риск - менеджмента. Необходимо отметить, что любая информация – является активом, а защита информации является важным процессом. Новые направления в развитии ИБ в телекоммуникационной отрасли 10 Основные принципы СУИБ (1/3) «Приверженность руководства». «Внедрение и поддержка СУИБ собственными руками». Вовлечение в процесс обеспечения ИБ всех сотрудников организации, имеющих дело с информационными ресурсами и системами. Непрерывность обеспечения ИБ. Вся информация должна быть классифицирована: например, коммерческая тайна, служебная информация, персональные данные, открытая информация и т.п., Все ресурсы и информационные системы должны быть классифицированы, «Есть ресурс – должен быть контроль доступа субъектов к нему; нет контроля доступа – не должно быть ресурса». Новые направления в развитии ИБ в телекоммуникационной отрасли 11 Основные принципы СУИБ (2/3) У каждой информационной системы должен быть ответственный владелец ресурса, определяющий уровень доступа к информации, а также администратор системы, управляющий доступом и администратор безопасности, контролирующий доступ. Экономическая эффективность ИБ: технологии по защите информации и обеспечении ИБ ресурсов для каждого из классификации должны быть однотипными; функции владельцев и администраторов на различные информационные системы могут быть объединены для минимизации расходов на обслуживание ИБ. Новые направления в развитии ИБ в телекоммуникационной отрасли 12 Основные принципы СУИБ (3/3) Проверка на соответствие уровню ИБ всех информационных систем и бизнес-процессов Компании. Системы защиты должны управляться (контролироваться) подразделением, отвечающим за ИБ. Все эксплуатируемые, модернизируемые и внедряемые системы должны проходить проверку на соответствие требованиям ИБ. Все бизнес-процессы, услуги и сервисы компании должны проходить оценку с точки зрения реализации рисков ИБ. Ответственность. Новые направления в развитии ИБ в телекоммуникационной отрасли 13 Пример В целях обеспечения сохранения инвестиций в информационную безопасность, унификации работ по выполнению требований Федеральных законов и подзаконных нормативно-правовых актов, оптимизации затрат на построение системы защиты при интеграции компаний разрабатываются следующие документы: 1.«Программа по выполнению законодательства по ПДн и ИБ». Состав мероприятий может быть скорректирован с учетом особенностей бизнес-процессов, информационных систем и процессов обработки конфиденциальной информации в компаниях. 2.«Системы обеспечения информационной безопасности и защиты, а также функциональные требования к ним». Новые направления в развитии ИБ в телекоммуникационной отрасли 14 Системы обеспечения информационной безопасности и защиты персональных данных Назначение документа Настоящий документ устанавливает перечень и основные требования к системам обеспечения информационной безопасности и защиты персональных данных в, включая рекомендованный выбор технических решений. Документ разработан с учетом результатов проведения первоочередных работ по защите персональных данных в информационных системах персональных данных и с учетом рекомендаций Головной компании по унификации средств защиты информации. Цель документа Данный документ направлен на формирование унифицированного подхода к обеспечению информационной безопасности с компаниями, входящими в Группу компаний , и применяемым в этой области техническим решениям. Новые направления в развитии ИБ в телекоммуникационной отрасли 15 Системы обеспечения информационной безопасности и защиты персональных данных Назначение документа Настоящий документ устанавливает перечень и основные требования к системам обеспечения информационной безопасности и защиты персональных данных в, включая рекомендованный выбор технических решений. Документ разработан с учетом результатов проведения первоочередных работ по защите персональных данных в информационных системах персональных данных и с учетом рекомендаций Головной компании по унификации средств защиты информации. Цель документа Данный документ направлен на формирование унифицированного подхода к обеспечению информационной безопасности с компаниями, входящими в Группу компаний , и применяемым в этой области техническим решениям. Новые направления в развитии ИБ в телекоммуникационной отрасли 16 THREATS Международные стандарты и рекомендации по информационной безопасности для операторов связи Рекомендации Международного союза электросвязи МСЭ-Т Е.408 «Требования к безопасности сетей электросвязи»; МСЭ-Т Х.800 «Архитектура защиты для взаимосвязи открытых систем»; МСЭ-Т X.805 «Архитектура безопасности для систем, обеспечивающих связь между оконечными устройствами»; семейство МСЭ-Т Х.8ХХ; МСЭ X.1051. Стандарты международной организации по стандартизации: Стандарт ISO/IEC 27011:2008 Information technology -- Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. Национальные стандарты: Британский стандарт NICC ND 1643 V1.1.1 (2009-09) «Minimum security standards for interconnecting communications providers». Новые направления в развитии ИБ в телекоммуникационной отрасли 17 THREATS Крупнейшие международные операторы связи, сертифицированные по требованиям ISO 27001:2005 Новые направления в развитии ИБ в телекоммуникационной отрасли 18 А как в Отечестве?) Федеральные законы РФ: № 126 от 07.07.2003 «О связи»; № 152 от 27.07.2006 «О персональных данных»; Постановление Правительства РФ: № 418 от 02.06.2008 «О Министерстве связи и массовых коммуникаций Российской Федерации». Приказы Министерства связи и массовых коммуникаций РФ: № 2 от 12.01.09 «Об утверждении Правил применения оборудования автоматизированных систем управления и мониторинга сетей электросвязи»; №1 от 09.01.2008 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации»; №73 от 02.07.2007 «Об утверждении Правил применения автоматизированных систем расчетов». ГОСТ: Р524482005 «Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения»; Р 53110-2008 «Система обеспечения информационной безопасности сети связи общего пользования. Часть 1. Общие положения». Новые направления в развитии ИБ в телекоммуникационной отрасли 19 THREATS Предпосылки для самоорганизации в отрасли и создания стандарта по ИБ Накоплен опыт совместной работы в таких организациях как: Ассоциация документальной электросвязи; Инфокоммуникационный союз; РСПП. Приобретен положительный опыт организации совместно финансируемых работ по тематике обеспечения информационной безопасности: НИР «Тритон»; Разработка ГОСТ Р 53110-2008 «Система обеспечения информационной безопасности сети связи общего пользования. Часть 1. Общие положения». Операторы успешно координируют свою деятельность в рамках совершенствования законодательной базы РФ (ФЗ «О связи», ФЗ «О персональных данных»). Накопленный операторами связи опыт по обеспечению информационной безопасности является инновационным капиталом отрасли. Новые направления в развитии ИБ в телекоммуникационной отрасли 20 THREATS Цель и задачи стандартизации в отрасли связи глазами операторов Цель Повышение уровня доверия между операторам связи, государством и потребителями услуг связи. Задачи: установление единых в отношении всех операторов связи подходов для обеспечения информационной безопасности информационных систем и сетей связи операторов связи; разработка и установление «отраслевых» подходов к защите ПДн; предоставление операторам связи доступа к лучшим международным практикам обеспечения ИБ адаптированным в соответствии с требованиями регуляторов и опытом, накопленным операторами связи РФ в области ИБ; предоставление операторам связи единых методик по управлению рисками, инцидентами, по оценке результативности систем менеджмента информационной безопасности Новые направления в развитии ИБ в телекоммуникационной отрасли 21 THREATS Преимущества стандартизации в области информационной безопасности для отрасли связи внедрение стандарта внесет значительный вклад в инновационное развитие отрасли; использование стандарта операторами связи значительно повысит уровень защищенности информационных систем, в том числе информационных систем персональных данных (за исключением информационных систем критически важных объектов), информационно-телекоммуникационных сетей и других сетей связи; позволит операторам оптимизировать затраты на обеспечение информационной безопасности; обеспечит приоритет отечественных требований по информационной безопасности на телекоммуникационном рынке РФ; повысит авторитет российских операторов на международном уровне. Новые направления в развитии ИБ в телекоммуникационной отрасли 22 THREATS Основные принципы разработки стандарта в области информационной безопасности для отрасли связи смещение акцента в области стандартизации от требований наличия механизмов обеспечения информационной безопасности к процессному подходу обеспечения информационной безопасности; обязательность для всех участников рынка услуг связи; баланс интересов операторов связи и потребителей услуг связи; универсальность требований, возможность предъявления идентичных требований к операторам различных услуг связи; многовариантность реализации требований; возможность объективной проверки выполнения требований; экономическая оправданность реализации требований. Новые направления в развитии ИБ в телекоммуникационной отрасли 23 Департамент информационной безопасности 24