презентация о новых продуктах компании

Новые направления в
развитии ИБ в
телекоммуникационной
отрасли
Дмитрий Костров, Директор по проектам
CNEWS Forum 2010
10.11.2010, Москва
1
Вопросы к обсуждению
1. Тенденции бизнеса в TELCO. Что в России ?
2. Основные проблемы в ИБ.
3. Основные тренды в решении проблем, связанных с ИБ.
Защита данных – защита бизнеса
Новые направления в развитии ИБ в телекоммуникационной отрасли
2
Convergence
Новые направления в развитии ИБ в телекоммуникационной отрасли
3
THREATS
Единая Политика информационной
безопасности
Этап развития компаний на данный момент характеризуется
возрастающей ролью информационной сферы, представляющей
собой:
совокупность информации,
информационной инфраструктуры,
субъектов, осуществляющих сбор, формирование, распространение
и использование информации,
системы регулирования возникающих при этом взаимоотношений.
Безопасность ведения бизнеса существенным образом зависит от
обеспечения информационной безопасности.
Новые направления в развитии ИБ в телекоммуникационной отрасли
4
Обеспечение информационной безопасности
Обеспечение информационной безопасности (ИБ) является непрерывным
процессом, осуществляемым системой обеспечения информационной
безопасности (СОИБ) и взаимоувязывающим
 правовую,
 организационную
 техническую
деятельность, проводимую
под непосредственным управляющим
воздействием руководства Компании, направленную на поддержание
функционирования компании в условиях воздействия угроз безопасности.
Новые направления в развитии ИБ в телекоммуникационной отрасли
5
Эволюционные этапы
Успех интегрируемых компаний в защите и управлении собственной
информацией как стратегическим активом зависит от инфраструктуры,
процесса, людей и корпоративной культуры, в идеале работающих
согласовано.
Зрелость компаний по каждому из этих измерений может быть четко
представлена в модели эволюции информации, охватывающей пять
эволюционных этапов:
 операционный уровень;
 консолидированный уровень;
 интеграционный уровень;
 оптимизационный уровень;
 инновационный уровень.
Новые направления в развитии ИБ в телекоммуникационной отрасли
6
ПРИМЕР 4-го уровня
На 4-м уровне модели эволюции информации, который характеризует ее
как гибкое и адаптируемое предприятие, оптимизированное для
достижения максимальной эффективности и постоянно подстраивается
под изменяющиеся рынки.
Доступ к актуальной информации воспринимается как нечто данное.
Рост потока конфиденциальной и «чувствительной» информации
является
одновременно
и
конкурентным
преимуществом,
и
потенциальной уязвимостью (если поток информации по какой-либо
причине прервется).
Распространяя внутрикорпоративную информацию через публичные
сети и привлекая партнеров в корпоративную сеть, компании обязаны
придавать большее значение мерам по обеспечению безопасности,
отказоустойчивости сети и целостности данных
Новые направления в развитии ИБ в телекоммуникационной отрасли
7
ЦЕЛИ
Основной
целью
ИБ
является
достижение
устойчивого
функционирования бизнеса и успешного выполнения миссии и ключевых
целей интегрируемых компаний, в условиях рисков, способных привести
к нарушению конфиденциальности, целостности, доступности или
подотчетности.
Единая
Политика
информационной
безопасности
является
высокоуровневым документом в области обеспечения информационной
безопасности.
Основной целью Политики является определение основных принципов
обеспечения информационной безопасности, а также основных
направлений защиты информации при работе подразделений,
ответственных за ИБ.
Дополнительной целью Политики является гармонизация документов в
рамках интеграционного процесса.
Новые направления в развитии ИБ в телекоммуникационной отрасли
8
ЗАДАЧИ
Основные задачи Единой Политики информационной безопасности
 Создание
непрерывного
процесса
обеспечения
информационной
безопасности в компаниях;
 Определение основных задач подразделений, отвечающих за обеспечение
информационной безопасности;
 Выделение основных направлений в обеспечении информационной
безопасности; Определение роли и места подразделений по защите
информации в структурах компаний;
 Описание роли всех подразделений компаний при обеспечении
информационной безопасности;
 Рекомендации
подразделениям
по
защите
информации
по
взаимодействию с внешними организациями в части развития мер
информационной безопасности.
Новые направления в развитии ИБ в телекоммуникационной отрасли
9
ТРЕБОВАНИЯ
Требования
Политики
деятельности компаний.
распространяется
на
все
процессы
Политика определяет место процесса обеспечения ИБ в Карте
процессов многоуровневой модели бизнес-процессов управления
производством (eTOM) в рамках Риск - менеджмента.
Необходимо отметить, что любая информация – является активом, а
защита информации является важным процессом.
Новые направления в развитии ИБ в телекоммуникационной отрасли
10
Основные принципы СУИБ (1/3)
 «Приверженность руководства».
 «Внедрение и поддержка СУИБ собственными руками».
 Вовлечение в процесс обеспечения ИБ всех сотрудников
организации, имеющих дело с информационными ресурсами и
системами.
 Непрерывность обеспечения ИБ.
 Вся информация должна быть классифицирована: например,
коммерческая тайна, служебная информация, персональные данные,
открытая информация и т.п.,
 Все ресурсы и информационные системы должны быть
классифицированы,
 «Есть ресурс – должен быть контроль доступа субъектов к нему;
нет контроля доступа – не должно быть ресурса».
Новые направления в развитии ИБ в телекоммуникационной отрасли
11
Основные принципы СУИБ (2/3)
У
каждой
информационной
системы
должен
быть
ответственный владелец ресурса, определяющий уровень
доступа к информации, а также администратор системы,
управляющий доступом и администратор безопасности,
контролирующий доступ.
Экономическая эффективность ИБ:
 технологии по защите информации и обеспечении ИБ
ресурсов для каждого из классификации должны быть
однотипными;
 функции владельцев и администраторов на различные
информационные системы
могут быть объединены для
минимизации расходов на обслуживание ИБ.
Новые направления в развитии ИБ в телекоммуникационной отрасли
12
Основные принципы СУИБ (3/3)





Проверка на соответствие уровню ИБ всех информационных систем
и бизнес-процессов Компании.
Системы защиты должны управляться (контролироваться)
подразделением, отвечающим за ИБ.
Все эксплуатируемые, модернизируемые и внедряемые системы
должны проходить проверку на соответствие требованиям ИБ.
Все бизнес-процессы, услуги и сервисы компании должны проходить
оценку с точки зрения реализации рисков ИБ.
Ответственность.
Новые направления в развитии ИБ в телекоммуникационной отрасли
13
Пример
В целях обеспечения сохранения инвестиций в информационную
безопасность, унификации
работ по выполнению требований
Федеральных законов и подзаконных нормативно-правовых актов,
оптимизации затрат на построение системы защиты при интеграции
компаний разрабатываются следующие документы:
1.«Программа по выполнению законодательства по ПДн и ИБ». Состав
мероприятий может быть скорректирован с учетом особенностей
бизнес-процессов, информационных систем и процессов обработки
конфиденциальной информации в компаниях.
2.«Системы обеспечения информационной безопасности и защиты, а
также функциональные требования к ним».
Новые направления в развитии ИБ в телекоммуникационной отрасли
14
Системы обеспечения информационной
безопасности и защиты персональных данных
Назначение документа
Настоящий документ устанавливает перечень и основные требования к
системам обеспечения информационной безопасности и защиты
персональных данных в, включая рекомендованный выбор технических
решений.
Документ разработан с учетом результатов проведения первоочередных
работ по защите персональных данных в информационных системах
персональных данных и с учетом рекомендаций Головной компании по
унификации средств защиты информации.
Цель документа
Данный документ направлен на формирование унифицированного
подхода к обеспечению информационной безопасности с компаниями,
входящими в Группу компаний , и применяемым в этой области
техническим решениям.
Новые направления в развитии ИБ в телекоммуникационной отрасли
15
Системы обеспечения информационной
безопасности и защиты персональных данных
Назначение документа
Настоящий документ устанавливает перечень и основные требования к
системам обеспечения информационной безопасности и защиты
персональных данных в, включая рекомендованный выбор технических
решений.
Документ разработан с учетом результатов проведения первоочередных
работ по защите персональных данных в информационных системах
персональных данных и с учетом рекомендаций Головной компании по
унификации средств защиты информации.
Цель документа
Данный документ направлен на формирование унифицированного
подхода к обеспечению информационной безопасности с компаниями,
входящими в Группу компаний , и применяемым в этой области
техническим решениям.
Новые направления в развитии ИБ в телекоммуникационной отрасли
16
THREATS
Международные стандарты и
рекомендации по информационной
безопасности для операторов связи
Рекомендации Международного союза электросвязи
МСЭ-Т Е.408 «Требования к безопасности сетей электросвязи»;
МСЭ-Т Х.800 «Архитектура защиты для взаимосвязи открытых систем»;
МСЭ-Т X.805 «Архитектура безопасности для систем, обеспечивающих
связь между оконечными устройствами»;
семейство МСЭ-Т Х.8ХХ;
МСЭ X.1051.
Стандарты международной организации по стандартизации:
Стандарт ISO/IEC 27011:2008 Information technology -- Security techniques Information security management guidelines for telecommunications organizations
based on ISO/IEC 27002.
Национальные стандарты:
Британский стандарт NICC ND 1643 V1.1.1 (2009-09) «Minimum security
standards for interconnecting communications providers».
Новые направления в развитии ИБ в телекоммуникационной отрасли
17
THREATS
Крупнейшие международные операторы
связи, сертифицированные по
требованиям ISO 27001:2005
Новые направления в развитии ИБ в телекоммуникационной отрасли
18
А как в Отечестве?)
Федеральные законы РФ:
 № 126 от 07.07.2003 «О связи»;
 № 152 от 27.07.2006 «О персональных данных»;
Постановление Правительства РФ:
 № 418 от 02.06.2008 «О Министерстве связи и массовых коммуникаций
Российской Федерации».
Приказы Министерства связи и массовых коммуникаций РФ:
 № 2 от 12.01.09 «Об утверждении Правил применения оборудования
автоматизированных систем управления и мониторинга сетей электросвязи»;
 №1 от 09.01.2008 «Об утверждении требований по защите сетей связи от
несанкционированного доступа к ним и передаваемой посредством их
информации»;
 №73
от
02.07.2007
«Об
утверждении
Правил
применения
автоматизированных систем расчетов».
ГОСТ:
 Р524482005 «Защита информации. Обеспечение безопасности сетей
электросвязи. Общие положения»;
 Р 53110-2008 «Система обеспечения информационной безопасности сети
связи общего пользования. Часть 1. Общие положения».
Новые направления в развитии ИБ в телекоммуникационной отрасли
19
THREATS
Предпосылки для самоорганизации в
отрасли и создания стандарта по ИБ
Накоплен опыт совместной работы в таких организациях как:
Ассоциация документальной электросвязи;
Инфокоммуникационный союз;
РСПП.
Приобретен положительный опыт организации совместно финансируемых работ
по тематике обеспечения информационной безопасности:
НИР «Тритон»;
Разработка ГОСТ Р 53110-2008 «Система обеспечения информационной
безопасности сети связи общего пользования. Часть 1. Общие положения».
Операторы
успешно
координируют
свою
деятельность
в
рамках
совершенствования законодательной базы РФ (ФЗ «О связи», ФЗ «О персональных
данных»).
Накопленный
операторами связи опыт по обеспечению информационной
безопасности является инновационным капиталом отрасли.
Новые направления в развитии ИБ в телекоммуникационной отрасли
20
THREATS
Цель и задачи стандартизации в отрасли
связи глазами операторов
Цель
Повышение уровня доверия между операторам связи, государством и
потребителями услуг связи.
Задачи:
установление единых в отношении всех операторов связи подходов для
обеспечения информационной безопасности информационных систем и
сетей связи операторов связи;
разработка и установление «отраслевых» подходов к защите ПДн;
предоставление операторам связи доступа к лучшим международным
практикам обеспечения ИБ адаптированным в соответствии с требованиями
регуляторов и опытом, накопленным операторами связи РФ в области ИБ;
предоставление операторам связи единых методик по управлению
рисками, инцидентами, по оценке результативности систем менеджмента
информационной безопасности
Новые направления в развитии ИБ в телекоммуникационной отрасли
21
THREATS
Преимущества стандартизации в области
информационной безопасности для
отрасли связи
внедрение стандарта внесет значительный вклад в инновационное развитие
отрасли;
использование стандарта операторами связи значительно повысит уровень
защищенности информационных систем, в том числе информационных систем
персональных данных (за исключением информационных систем критически
важных объектов), информационно-телекоммуникационных сетей и других сетей
связи;
позволит операторам оптимизировать затраты на обеспечение
информационной безопасности;
обеспечит приоритет отечественных требований по информационной
безопасности на телекоммуникационном рынке РФ;
повысит авторитет российских операторов на международном уровне.
Новые направления в развитии ИБ в телекоммуникационной отрасли
22
THREATS
Основные принципы разработки
стандарта в области информационной
безопасности для отрасли связи
смещение акцента в области стандартизации от требований наличия
механизмов обеспечения информационной безопасности к процессному подходу
обеспечения информационной безопасности;
обязательность для всех участников рынка услуг связи;
баланс интересов операторов связи и потребителей услуг связи;
универсальность требований, возможность предъявления идентичных
требований к операторам различных услуг связи;
многовариантность реализации требований;
возможность объективной проверки выполнения требований;
экономическая оправданность реализации требований.
Новые направления в развитии ИБ в телекоммуникационной отрасли
23
Департамент информационной
безопасности
24