Базовый уровень информационной безопасности операторов

Обеспечение базового уровня
безопасности для операторов
связи, подключаемых к СЦУ
ССОП
Начальник ИЦ ДЭС Ю. Загубин
[email protected]
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
ВЫВОДЫ из научно-исследовательской работы по теме «Разработка
предложений к проекту нормативного правового акта, устанавливающего
требования к системам управления сетями связи операторов связи, их
взаимодействию с центрами управления сетями связи специального
назначения и друг с другом, и предложений по организации управления сетями
связи в условиях чрезвычайных ситуаций с использованием возможностей
территориальных органов Роскомнадзора». Работа выполнена АДЭ в 2011 году
и принята комиссией Минкомсвязи России.
 Целесообразно выпустить приказ Минкомсвязи России «Требования к
базовому уровню информационной безопасности оператора связи»,
представленные в данном отчете.

Целесообразно ввести в ПП РФ №161 от 28.03.2005 «Об утверждении
Правил присоединения сетей электросвязи и их взаимодействия»
требование по выполнению базового уровня информационной
безопасности операторами связи.
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.

В целях выполнения поставленной на расширенном заседании Коллегии
Минкомсвязи России 11 мая 2011 г. задачи повышения качества оказываемых
потребителям инфокоммуникационных услуг, на базе АДЭ при поддержке
Россвязи создана отраслевая добровольная система подтверждения соответствия
- система добровольной сертификации «Связь – Эффективность».
Система добровольной сертификации «Связь - Эффективность» 9 августа
2011 года зарегистрирована в Федеральном агентстве по техническому
регулированию и метрологии за Рег. Номером РОСС RU.M 821.04ФБГО
Правила функционирования Системы добровольной сертификации «Связь Эффективность» и Порядок применения Знака соответствия Системы
разработаны и зарегистрированы в Госреестре в соответствии с требованиями
закона РФ «О техническом регулировании» и с учетом ряда процедур
подтверждения соответствия, установленными в директиве ЕС.
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
Цели и задачи создания Системы
Система добровольной сертификации «Связь - Эффективность» создана для организации и
проведения работ по сертификации инфокоммуникационных услуг, включая услуги связи,
средств связи, систем менеджмента качества (СМК) и систем управления информационной
безопасностью.
Сертификация инфокоммуникационных услуг, средств связи, систем менеджмента качества и
систем управления информационной безопасностью проводится в целях:
- обеспечения технологической независимости Российской Федерации в отрасли ИКТ;
- противодействия использованию потенциала ИКТ в целях угрозы жизнедеятельности
граждан, бизнеса и органов государственной власти;
- содействия интеграции отечественной отрасли ИКТ в глобальную инфокоммуникационную
инфраструктуру;
- стимулирования развития и внедрения новых технологий в ИКТ на инновационной основе;
- расширения справедливой конкуренции на рынке ИКТ, являющемся одним из основных
механизмов модернизации российской экономики;
- стимулирования технологического обновления и модернизации компаний, работающих в
сфере ИКТ;
- стимулирования перехода на решения, соответствующие международным и отечественным
стандартам для обеспечения совместимости и продвижения инноваций в сфере ИКТ;
- содействия обеспечению информационной безопасности сетей и инфокоммуникационных
услуг;
- обеспечения совместимости инфокоммуникационного оборудования различных
производителей;
- стимулирования операторов связи к повышению качества предоставляемых
инфокоммуникационных услуг;
- создания уверенности у потребителей в стабильности технических параметров средств связи
и предоставляемых инфокоммуникационных услуг.
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
Цели и задачи создания Системы ( продолжение)
Работы по сертификации проводятся по нормативным документам, описывающим требования
к проектированию, разработке, изготовлению, испытаниям и обслуживанию средств связи и
требований к качеству предоставления инфокоммуникационных услуг.
- стимулирования перехода на решения, соответствующие международным и отечественным
стандартам для обеспечения совместимости и продвижения инноваций в сфере ИКТ;
- содействия обеспечению информационной безопасности сетей и инфокоммуникационных
услуг;
- обеспечения совместимости инфокоммуникационного оборудования различных
производителей;
- стимулирования операторов связи к повышению качества предоставляемых
инфокоммуникационных услуг;
- создания уверенности у потребителей в стабильности технических параметров средств связи
и предоставляемых инфокоммуникационных услуг.
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
В 28.09.2007 года Международный Союз Электросвязи МСЭ-Т принял
рекомендацию ITU-T X.800-X.849 series – Supplement on security baseline
for network operators «Базовый уровень информационной безопасности
операторов связи», которая была разработана по инициативе
администрации связи России. Базовый уровень разрабатывался рабочей
группой Ассоциации Документальной Электросвязи при участии
российских операторов связи (Межрегиональный ТранзитТелеком (МТТ),
Ростелеком, Синтерра, Мобильные ТелеСистемы (МТС), МГТС, СевероЗападный Телеком, Вымпелком, Уралсвязьинформ и др.), а также
Региональное Содружество в области Связи (РСС) и Европейская
ассоциация сетевых операторов (ETNO).
Документ выпущен в качестве дополнения к серии Рекомендаций Х.800Х.849.
На основе указанного документа в рамках СДС «Связь– Эффективность»
был разработан и утвержден нормативный документ
Базовый уровень информационной безопасности
операторов связи
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
Более подробно смотрите материалы на
сайтах Системы
связь-эффективность.рф
svyaz-effektivnost.ru
Кроме того на сайте Россвязи
http://rossvyaz.ru/activity/correlation/cert_vol
Ведется реестр выданных
сертификатов
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
Что дает подтверждение соответствия по требованиям
базового уровня информационной безопасности
операторам связи?
позволяет оператору связи оценить
уровень своей информационной
безопасности;
 обеспечивает более безопасное
взаимодействие с другими операторами
связи с целью противодействия угрозам
информационной безопасности;
 повышает уровень доверия при
присоединении операторов;

Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
Что дает подтверждение соответствия по требованиям
базового уровня информационной безопасности
операторам связи?
 демонстрирует способность оператора
связи предоставлять услуги связи,
отвечающие установленным
требованиям;
 показывает готовность компании
противостоять угрозам информационной
безопасности.
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
Требования к базовому уровню информационной
безопасности операторов связи

Требования включают три раздела:

функциональность;

политики безопасности;
 взаимодействие.
Плюс методику проверки требований
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
Выводы
1.
2.
3.
4.
5.
Выполнение требований базового уровня позволяет говорить о
готовности и способности оператора связи цивилизованно
взаимодействовать с другими операторами.
Проверка на соответствие требованиям базового уровня позволяет
оценить состояние информационной безопасности оператора связи
при его взаимодействии с другими операторами. Базовый уровень
устанавливает уровень доверия операторов связи при их
взаимодействии.
При предоставлении услуг пользователям базовый уровень может
определять уровень безопасности, обеспечиваемый при выполнении
требований.
Базовый уровень может стать средством баланса интересов
операторов, пользователей и государства при предоставлении
качественных услуг связи и присоединении операторов к сети связи
общего пользования России.
Базовый уровень может и должен стать важным элементом при
решении вопроса о подключении операторов связи к СЦУ ССОП.
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.
Спасибо за внимание!
[email protected]
Обеспечение доверия и безопасности использования ИКТ
22-23 марта 2012 г.