1 Новые направления в развитии ИБ в телекоммуникационной отрасли , Москва Дмитрий Костров, Директор по проектам CNEWS Forum 2010

2 Новые направления в развитии ИБ в телекоммуникационной отрасли 1.Тенденции бизнеса в TELCO. Что в России ? 2.Основные проблемы в ИБ. 3.Основные тренды в решении проблем, связанных с ИБ. Вопросы к обсуждению Защита данных – защита бизнеса

3 Convergence Новые направления в развитии ИБ в телекоммуникационной отрасли

4 THREATS Единая Политика информационной безопасности Этап развития компаний на данный момент характеризуется возрастающей ролью информационной сферы, представляющей собой: совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, системы регулирования возникающих при этом взаимоотношений. Безопасность ведения бизнеса существенным образом зависит от обеспечения информационной безопасности. Новые направления в развитии ИБ в телекоммуникационной отрасли

5 Обеспечение информационной безопасности (ИБ) является непрерывным процессом, осуществляемым системой обеспечения информационной безопасности (СОИБ) и взаимоувязывающим правовую, организационную техническую деятельность, проводимую под непосредственным управляющим воздействием руководства Компании, направленную на поддержание функционирования компании в условиях воздействия угроз безопасности. Обеспечение информационной безопасности Новые направления в развитии ИБ в телекоммуникационной отрасли

6 Успех интегрируемых компаний в защите и управлении собственной информацией как стратегическим активом зависит от инфраструктуры, процесса, людей и корпоративной культуры, в идеале работающих согласовано. Зрелость компаний по каждому из этих измерений может быть четко представлена в модели эволюции информации, охватывающей пять эволюционных этапов: операционный уровень; консолидированный уровень; интеграционный уровень; оптимизационный уровень; инновационный уровень. Эволюционные этапы Новые направления в развитии ИБ в телекоммуникационной отрасли

7 На 4-м уровне модели эволюции информации, который характеризует ее как гибкое и адаптируемое предприятие, оптимизированное для достижения максимальной эффективности и постоянно подстраивается под изменяющиеся рынки. Доступ к актуальной информации воспринимается как нечто данное. Рост потока конфиденциальной и «чувствительной» информации является одновременно и конкурентным преимуществом, и потенциальной уязвимостью (если поток информации по какой-либо причине прервется). ПРИМЕР 4-го уровня Новые направления в развитии ИБ в телекоммуникационной отрасли Распространяя внутрикорпоративную информацию через публичные сети и привлекая партнеров в корпоративную сеть, компании обязаны придавать большее значение мерам по обеспечению безопасности, отказоустойчивости сети и целостности данных

8 Основной целью ИБ является достижение устойчивого функционирования бизнеса и успешного выполнения миссии и ключевых целей интегрируемых компаний, в условиях рисков, способных привести к нарушению конфиденциальности, целостности, доступности или подотчетности. Единая Политика информационной безопасности является высокоуровневым документом в области обеспечения информационной безопасности. Основной целью Политики является определение основных принципов обеспечения информационной безопасности, а также основных направлений защиты информации при работе подразделений, ответственных за ИБ. Дополнительной целью Политики является гармонизация документов в рамках интеграционного процесса. ЦЕЛИ Новые направления в развитии ИБ в телекоммуникационной отрасли

9 Основные задачи Единой Политики информационной безопасности Создание непрерывного процесса обеспечения информационной безопасности в компаниях; Определение основных задач подразделений, отвечающих за обеспечение информационной безопасности; Выделение основных направлений в обеспечении информационной безопасности; Определение роли и места подразделений по защите информации в структурах компаний; Описание роли всех подразделений компаний при обеспечении информационной безопасности; Рекомендации подразделениям по защите информации по взаимодействию с внешними организациями в части развития мер информационной безопасности. ЗАДАЧИ Новые направления в развитии ИБ в телекоммуникационной отрасли

10 Требования Политики распространяется на все процессы деятельности компаний. Политика определяет место процесса обеспечения ИБ в Карте процессов многоуровневой модели бизнес-процессов управления производством (eTOM) в рамках Риск - менеджмента. Необходимо отметить, что любая информация – является активом, а защита информации является важным процессом. ТРЕБОВАНИЯ Новые направления в развитии ИБ в телекоммуникационной отрасли

11 «Приверженность руководства». «Внедрение и поддержка СУИБ собственными руками». Вовлечение в процесс обеспечения ИБ всех сотрудников организации, имеющих дело с информационными ресурсами и системами. Непрерывность обеспечения ИБ. Вся информация должна быть классифицирована: например, коммерческая тайна, служебная информация, персональные данные, открытая информация и т.п., Все ресурсы и информационные системы должны быть классифицированы, «Есть ресурс – должен быть контроль доступа субъектов к нему; нет контроля доступа – не должно быть ресурса». Основные принципы СУИБ (1/3) Новые направления в развитии ИБ в телекоммуникационной отрасли

12 У каждой информационной системы должен быть ответственный владелец ресурса, определяющий уровень доступа к информации, а также администратор системы, управляющий доступом и администратор безопасности, контролирующий доступ. Экономическая эффективность ИБ: технологии по защите информации и обеспечении ИБ ресурсов для каждого из классификации должны быть однотипными; функции владельцев и администраторов на различные информационные системы могут быть объединены для минимизации расходов на обслуживание ИБ. Новые направления в развитии ИБ в телекоммуникационной отрасли Основные принципы СУИБ (2/3)

13 Проверка на соответствие уровню ИБ всех информационных систем и бизнес-процессов Компании. Системы защиты должны управляться (контролироваться) подразделением, отвечающим за ИБ. Все эксплуатируемые, модернизируемые и внедряемые системы должны проходить проверку на соответствие требованиям ИБ. Все бизнес-процессы, услуги и сервисы компании должны проходить оценку с точки зрения реализации рисков ИБ. Ответственность. Новые направления в развитии ИБ в телекоммуникационной отрасли Основные принципы СУИБ (3/3)

14 В целях обеспечения сохранения инвестиций в информационную безопасность, унификации работ по выполнению требований Федеральных законов и подзаконных нормативно-правовых актов, оптимизации затрат на построение системы защиты при интеграции компаний разрабатываются следующие документы: 1.«Программа по выполнению законодательства по ПДн и ИБ». Состав мероприятий может быть скорректирован с учетом особенностей бизнес-процессов, информационных систем и процессов обработки конфиденциальной информации в компаниях. 2.«Системы обеспечения информационной безопасности и защиты, а также функциональные требования к ним». Пример Новые направления в развитии ИБ в телекоммуникационной отрасли

15 Системы обеспечения информационной безопасности и защиты персональных данных Назначение документа Настоящий документ устанавливает перечень и основные требования к системам обеспечения информационной безопасности и защиты персональных данных в, включая рекомендованный выбор технических решений. Документ разработан с учетом результатов проведения первоочередных работ по защите персональных данных в информационных системах персональных данных и с учетом рекомендаций Головной компании по унификации средств защиты информации. Цель документа Данный документ направлен на формирование унифицированного подхода к обеспечению информационной безопасности с компаниями, входящими в Группу компаний, и применяемым в этой области техническим решениям. Новые направления в развитии ИБ в телекоммуникационной отрасли

16 Системы обеспечения информационной безопасности и защиты персональных данных Назначение документа Настоящий документ устанавливает перечень и основные требования к системам обеспечения информационной безопасности и защиты персональных данных в, включая рекомендованный выбор технических решений. Документ разработан с учетом результатов проведения первоочередных работ по защите персональных данных в информационных системах персональных данных и с учетом рекомендаций Головной компании по унификации средств защиты информации. Цель документа Данный документ направлен на формирование унифицированного подхода к обеспечению информационной безопасности с компаниями, входящими в Группу компаний, и применяемым в этой области техническим решениям. Новые направления в развитии ИБ в телекоммуникационной отрасли

17 THREATS Международные стандарты и рекомендации по информационной безопасности для операторов связи Рекомендации Международного союза электросвязи МСЭ-Т Е.408 «Требования к безопасности сетей электросвязи»; МСЭ-Т Х.800 «Архитектура защиты для взаимосвязи открытых систем»; МСЭ-Т X.805 «Архитектура безопасности для систем, обеспечивающих связь между оконечными устройствами»; семейство МСЭ-Т Х.8ХХ; МСЭ X Стандарты международной организации по стандартизации: Стандарт ISO/IEC 27011:2008 Information technology -- Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC Национальные стандарты: Британский стандарт NICC ND 1643 V1.1.1 ( ) «Minimum security standards for interconnecting communications providers». Новые направления в развитии ИБ в телекоммуникационной отрасли

18 THREATS Крупнейшие международные операторы связи, сертифицированные по требованиям ISO 27001:2005 Новые направления в развитии ИБ в телекоммуникационной отрасли

19 Федеральные законы РФ: 126 от «О связи»; 152 от «О персональных данных»; Постановление Правительства РФ: 418 от «О Министерстве связи и массовых коммуникаций Российской Федерации». Приказы Министерства связи и массовых коммуникаций РФ: 2 от «Об утверждении Правил применения оборудования автоматизированных систем управления и мониторинга сетей электросвязи»; 1 от «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации»; 73 от «Об утверждении Правил применения автоматизированных систем расчетов». ГОСТ: Р52448­2005 «Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения»; Р «Система обеспечения информационной безопасности сети связи общего пользования. Часть 1. Общие положения». А как в Отечестве?) Новые направления в развитии ИБ в телекоммуникационной отрасли

20 THREATS Предпосылки для самоорганизации в отрасли и создания стандарта по ИБ Накоплен опыт совместной работы в таких организациях как: Ассоциация документальной электросвязи; Инфокоммуникационный союз; РСПП. Приобретен положительный опыт организации совместно финансируемых работ по тематике обеспечения информационной безопасности: НИР «Тритон»; Разработка ГОСТ Р «Система обеспечения информационной безопасности сети связи общего пользования. Часть 1. Общие положения». Операторы успешно координируют свою деятельность в рамках совершенствования законодательной базы РФ (ФЗ «О связи», ФЗ «О персональных данных»). Накопленный операторами связи опыт по обеспечению информационной безопасности является инновационным капиталом отрасли. Новые направления в развитии ИБ в телекоммуникационной отрасли

21 THREATS Цель и задачи стандартизации в отрасли связи глазами операторов Цель Повышение уровня доверия между операторам связи, государством и потребителями услуг связи. Задачи: установление единых в отношении всех операторов связи подходов для обеспечения информационной безопасности информационных систем и сетей связи операторов связи; разработка и установление «отраслевых» подходов к защите ПДн; предоставление операторам связи доступа к лучшим международным практикам обеспечения ИБ адаптированным в соответствии с требованиями регуляторов и опытом, накопленным операторами связи РФ в области ИБ; предоставление операторам связи единых методик по управлению рисками, инцидентами, по оценке результативности систем менеджмента информационной безопасности Новые направления в развитии ИБ в телекоммуникационной отрасли

22 THREATS Преимущества стандартизации в области информационной безопасности для отрасли связи внедрение стандарта внесет значительный вклад в инновационное развитие отрасли; использование стандарта операторами связи значительно повысит уровень защищенности информационных систем, в том числе информационных систем персональных данных (за исключением информационных систем критически важных объектов), информационно-телекоммуникационных сетей и других сетей связи; позволит операторам оптимизировать затраты на обеспечение информационной безопасности; обеспечит приоритет отечественных требований по информационной безопасности на телекоммуникационном рынке РФ; повысит авторитет российских операторов на международном уровне. Новые направления в развитии ИБ в телекоммуникационной отрасли

23 THREATS Основные принципы разработки стандарта в области информационной безопасности для отрасли связи смещение акцента в области стандартизации от требований наличия механизмов обеспечения информационной безопасности к процессному подходу обеспечения информационной безопасности; обязательность для всех участников рынка услуг связи; баланс интересов операторов связи и потребителей услуг связи; универсальность требований, возможность предъявления идентичных требований к операторам различных услуг связи; многовариантность реализации требований; возможность объективной проверки выполнения требований; экономическая оправданность реализации требований. Новые направления в развитии ИБ в телекоммуникационной отрасли

24 Департамент информационной безопасности