Вы находитесь в разделе Типовых решений систем безопасности
Безопасность сетей связи общего пользования
- Можно сказать, что с решением первой из обозначенных вами проблем - проблемы защиты объектов сетей связи - несколько лет назад параллельно решалась и вторая: защита информации. защиту сетей связи общего пользования обеспечивало государство, и происходило это в основном путем принятия различных организационно-технических мер, например, ограничением доступа к объектам связи, в том числе и с использованием такого тривиального способа, как опечатывание линейно-кабельных сооружений и кроссовых устройств. Особое внимание было обращено к вопросам защиты информации в области государственного управления, обороны страны, безопасности государства и охраны правопорядка. Для решения этой задачи, в том числе и на базе сетей связи общего пользования создавались специальные сети, в которых защита информации осуществлялась комплексно, обеспечивалась целостность, конфиденциальность и доступность информации с использованием криптографических средств и других мер по защите информации от утечки по побочным каналам, излучений и наводок. В области защиты вышеуказанной информации имелась и соответствующая нормативнаябаза. - Как Вы могли бы охарактеризовать ситуацию, которая сложилась на на данный моментшний день? - На на данный моментшний день ситуация в корне изменилась как в организационном, так и в технологическом плане. Заметно возросло значение информации во всех сферах общественной жизни, что, естественно, привело к тому, что увеличились объемы ее передачи по телекоммуникационным сетям и требования по качеству ее доставки, в том числе и по обеспечению ее защиты. Появилась и соответствующая нормативная правовая база - такие федеральные законы, как: "Об информации, информатизации и защите информации", "Об электронной цифровой подписи", "О связи". С одной стороны, как вы знаете, на данный момент операторы сетей общего пользования-это коммерческие компании. С другой стороны, в связи с дальнейшей интеллектуализацией сетей связи существенно увеличилось количество уязвимостей в этих сетях - уязвимостей, через которые можно дезорганизовать функционирование сетей связи. Возросла вероятность вывода этих сетей из строя. Из первого понятно, что передача функции защиты от несанкционированного доступа объектов, входящих в состав сетей связи, непосредственно владельцам сетей связи вполне обоснована. И очевидно, что владельцы должны обеспечивать также и защиту информации, передаваемой по этим сетям. Как первое, так и второе положение были включены в новый Федеральный закон "О связи". Я говорю о статьях 7, 12 и 46. - Расскажите, пожалуйста, подробнее об этих статьях. - Приоритетной задачей, которая решалась при разработке этих статей, была задача обеспечения защиты конституционных прав граждан на тайну телефонных переговоров, телеграфных и иных сообщений, передаваемых по сетям электросвязи, и обеспечения устойчивости и безопасности функционирования сетей связи общего пользования. Статья 7 обязывает операторов связи обеспечивать защиту "средств связи и сооружений связи от несанкционированного доступа к ним", а 12-я дает право федеральному органу исполнительной власти и обязывает его устанавливать требования "...к организационно-техническому обеспечению устойчивого функционирования сетей связи, в том числе в чрезвычайных ситуациях, защиты сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации". Статья 46 обязывает операторов связи руководствоваться при строительстве и эксплуатации сетей связи нормативными правовыми актами федерального органа исполнительной власти в области связи, и осуществлять построение сетей связи с учетом требований обеспечения устойчивости и безопасности их функционирования. - Какие шаги делает министерство в первую очередь для воплощения в жизнь положений нового закона, в частности статьи 12? - В 2003 году мы уже провели ряд НИОКР, но большая часть работы осталась незавершенной из-за отсутствия необходимого финансирования. Ясно, что, как и любой закон, Закон "О связи" вводит правовые нормы, для реализации которых необходимы понятные и прозрачные для всех правила и механизмы реализации. Сейчас все наши усилия направлены на разработку необходимых требований к сетям и средствам связи. Их поэтапная реализация обеспечит устойчивость и безопасность функционирования сетей связи общего пользования. Приоритетной работой в этом направлении является завершение разработки и утверждение Концепции обеспечения информационной безопасности сетей связи общего пользования. должен подчеркнуть, что в этом документе введено понятие "базовый уровень защищенности сетей связи". Это чрезвычайно важно, потому что, опираясь на это понятие, мы сможем, с одной стороны, предъявить операторам выполнимые требования, а с другой - обеспечить некий единый для сверхуровень безопасности. Естественно, операторы по своему желанию могут применять более мощные средства защиты. Но вот ниже этого базового уровня опускаться крайне не желательно будет никому. В основе формирования требований, определяющих базовый уровень защищенности, будет лежать анализ уязвимостей сетей связи общего пользования и разработка необходимых: как организационных, так и технических мер, обеспечивающих повышение их защищенности. - Вы не могли бы привести какие-то конкретные примеры. -Да, например, одно из наиболее уязвимых мест телефонной сети связи общего пользования - это общий канал сигнализации. Если не принимать соответствующих мер по его защите, есть вероятность вмешательства через него в цикл установления соединений. В результате этого можно существенно снизить качественные характеристики сети по передаче информации или просто-напросто вывести ее из строя. Это напрямую относится и к телефонным сетям общего пользования, и к интеллектуальным сетям связи, и сетям связи сотовых операторов. Казалось бы, вот она уязвимость: обнаружил - устраняй: но на практике все не так просто. До недавнего времени сети связи общего пользования оснащались средствами связи, не наделенные возможностями обеспечения информационной безопасности; кроме того, не выдвигалось и соответствующих требований. - А кто будет участвовать в указанных НИОКР? - К выполнению этих работ подключаются отраслевые институты ЦНИИС, ЛОНИИС, НИИР, ВНИИПВТИ, имеющие соответствующие лицензии на выполнение таких работ, и определенный опыт и знание этой проблемы. Скажем, ЦНИИС знает сеть. Это системный институт, который при решении данной проблемы должен грамотно поставить задачу, а, например, ВНИИПВТИ может разработать конкретные механизмы обеспечения информационной безопасности, в соответствии с которыми могут быть подготовленные соответствующие нормативные документы, определяющие требования к сетям связи. Естественно, эта работа будет вестись во взаимодействии с ФСБ России и Гостехкомиссией России, имеющими огромный опыт деятельности в этой области. - А что касается операторов связи? - При разработке требований мы, естественно, будем привлекать и самих операторов. Мы не можем предлагать им что-то нереализуемое, что может оказаться для них тяжким с экономической точки зрения бременем. все - таки понятно, что задача должна решаться поэтапно и требования должны вводиться постепенно. Необходимо обратить ваше внимание на то, что к разработке Концепции по обеспечению информационной безопасности сетей связи общего пользования и программе работ по ее реализации привлечена "Ассоциация документальной электросвязи", в которой свыше 130 членов, в том числе операторов связи ЕСЭ России. - Что Вы понимаете под обеспечением безопасности сетей общего пользования? - В целях реализации положений Федерального закона "О связи" в части защиты сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации необходимо четко определиться: что же мы понимаем в этом контексте под защитой информации? Обеспечить защиту информации в части ее конфиденциальности и целостности с требуемым уровнем безопасности возможно только с применением криптографических средств, размещаемых у пользователя, и других организационо-технических мер, направленных на защиту информации от утечки по побочным каналам излучения и наводок на другие цепи, выходящие за пределы контролируемой зоны. Было бы неразумно обеспечить высокий уровень защиты информации в части ее конфиденциальности и целостности для всех пользователей сетей связи. Эта задача должна решаться индивидуально для каждого пользователя, естественно, за дополнительную плату. Основная задача, которую должны решать сети общего пользования в новых условиях, - обеспечить защиту информации в части ее доступности. значит сеть должна с требуемым качеством обеспечить транспортировку информации в заданный адрес. задача защиты информации в сетях связи в основном трансформируется в решение задачи обеспечения устойчивости функционирования сети в условиях информационных воздействий (выше говорилось, что в цикле "интеллектуализации" сетей связи снижается уровень их защищенности от "разрушающих информационных воздействий"). При этом должен, естественно, применяться комплекс мер по защите информации, принадлежащей сети связи (информации управления), и информации персонального характера (адрес абонента, сведения об оказанных ему услугах и т.д.), ставшей известной оператору связи в силу его деятельности. Думаю, что основному числу пользователей сетей связи общего пользования не хотелось бы, чтобы эти данные были доступны третьим лицам. В этом случае должна решаться задача по обеспечению целостности, конфиденциальности и доступности этой информации. Это и есть информационная безопасность сети связи общего пользования. Сюда входит и комплекс традиционных организационно-технических мер, направленных на исключение несанкционированного доступа к сооружениям и линиям связи. - Есть какие-то запланированные сроки проведения НИОКР? - Каких-то определенных сроков пока не намечено. Сроки проведения и конкретные направления НИОКР должныбыть определены в программе работ по реализации Концепции обеспечения информационной безопасности сетей связи общего пользования, работа над которой идет сейчас. При этом необходимо осознавать, что сроки и качество работы напрямую зависят от объемов финансирования: больше финансирование, меньше сроки, и наоборот. А.Н. Першов, Читайте далее: Наше дело Новейшие тенденции в области обеспечения безопасности О готовности органов управления лесным хозяйством, сил и средств МПР России к пожароопасному сезону Безопасность сетей связи общего пользования Проблемы обеспечения пожарной безопасности в Российской Федерации Противодействие терроризму: новый этап правовых и общественных отношений Решение задач федерального уровня Вопросы национальной безопасности в условиях информационного общества
|