БЕЗОПАСНЫЙ БИЗНЕС ОПЕРАТОРОВ СВЯЗИ

На вопросы корреспондента журнала ТОЧКА ОПОРЫ отвечают Алексей Сова, ведущий специалист департамента маркетинга компании «Информзащита», Александр Шахлевич, ведущий специалист департамента маркетинга компании «Информзащита», Василий Сахаров, директор департамента информационной безопасности ООО «Компании «Демос».

 

Телекоммуникации – особая отрасль, одна из самых чувствительных к надёжной и безопасной работе информационных систем, поскольку предоставляемые услуги практически полностью создаются на основе IT-решений.  Надёжная система информационной безопасности – это обеспечение конкурентных преимуществ, оптимизация  бизнес-процессов и улучшение имиджа компании в целом.

 

Точка опоры:

– Типичная телекоммуникационная компания – это разнесённая сеть, с множеством сервисов и массовым удалённым доступом, сложной гетерогенной структурой и унаследованными приложениями. Как в такой ситуации получить своевременный доступ к ресурсам и не допустить простоя информационной системы?

 


Алексей Сова:

– Для начала необходимо регламентировать процессы управления идентификационными данными (ИД) и доступом и построить ролевую модель, формализующую предоставление прав доступа пользователям к ресурсам информационной системы. Причём ролевая модель должна включать в себя не только рядовых пользователей и их типовые права, но также  и руководителей подразделений, администраторов информационных ресурсов и другие категории привилегированных пользователей. Далее производится автоматизация процессов управления ИД и доступом с использованием промышленных программных продуктов от таких компаний как IBM Tivoli, Oracle, ActivIdentity и других.

 

Системы управления идентификационными данными и доступом – необходимый инструмент эффективной организации управления информационными ресурсами. Их внедрение способствует защите и развитию бизнеса и отвечает требованиям государственных регуляторов по разграничению доступа в критичных информационных системах.

 

Василий Сахаров:

– Не вдаваясь особенно в корректность по семантике сформулированного вопроса, попробуем ответить на него, предварительно структурировав его, исходя из тезиса о «гетерогенности и конвергентности» сетевой инфраструктуры оператора.

 

Как и прежде «телекоммуникационная компания» – это гибкая и универсальная транспортная среда, которая является основой для формирования на ней широкого спектра сервисов, заметная часть которых становится всё более бизнес ориентированной на корпоративного абонента.  Поэтому, говоря о безопасности бизнес-процессинга на ресурсах  оператора связи, следует осознавать какая часть элементов и компонентов, инфраструктурно присущая сетевой среде, может быть естественным образом реплицирована на сервисы, в состав оплаты за которые будут включены услуги обеспечения безопасности.

 

Наиболее естественным нам видится сценарий  предоставления служб аутентификации для корпоративной бизнес-среды, выстраиваемой на базе, например, ШПД или 3G/UMTS. При этом основой для создания подобного сервиса вполне может служить существующая система ААА для защищённого удалённого доступа к ресурсам КИС самого оператора. Примеров тому имеется – МТС, Билайн – 2FA аутентификация (например, OTP) с поднятием VPN, или на базе протоколов и механизмов семейства 802.1X (EAP-SIM/AKA, EAP-TLS). По ряду организационно-технических соображений мы отдаём предпочтение схемам ОТР и EAP-SIM, поскольку они менее отягощены PKI.

 

Итак, доступ к сетевой среде и сервисам на ней – это решение задачи ААА.

Про какой простой идёт речь не совсем понятно. Это задача уже SLA по контракту с абонентом.

 

Точка опоры:

–  Каким образом можно защитить конфиденциальные документы от утечек, если большая часть документов выходит из-под контроля вскоре после создания? Можно ли узнать, где находятся документы, и что с ними происходит уже после того, как файл покинул контролируемый периметр?

 


Алексей Сова:

– Эта проблема весьма актуальна. Регулярно появляются новости о похищенных ноутбуках и утерянных носителях с критичной информацией, да и просто утечках по неосторожности. Обеспечение безопасности и контроль конфиденциальных документов можно обеспечить при помощи продукта Oracle Information Rights Management (Oracle IRM). Система обеспечивает централизованное управление доступом к конфиденциальным документам, где бы они ни находились. При этом безопасность основана на защите самих документов (Information Centric Security) и позволяет контролировать, кто и когда пытался получить доступ к документу, где это происходило,  какие операции совершались.

 


Василий Сахаров:

– Общий спектр задач такого плана имеет вполне детерминированное поименование – DLP, что по контексту означает именно защиту от утечек из КИС. Конечно, посыл «документы выходят из-под контроля вскоре после создания» –  не верен, в принципе, и если это так, то службы ИБ такого предприятия следует расформировать. Наиболее естественным выходом при решении задач в классе DLP нам видится широкое использование шифрования документов, независимо от того, структурированы они (БД) или нет (файловое шифрование). Очевидно, что при этом возникает задача управления ключевым материалом – KMS и компенсации падения производительности, что на сегодняшний день вполне решается  применением устройств класса HSM.

 

Точка опоры:

– Во многих крупных телекоммуникационных компаниях объёмы почтового трафика переваливают ежедневно за 50 Гб. Как обеспечить надёжную защиту электронной почты в условиях усиливающегося информационного обмена?

 

Александр Шахлевич:

– В наше время электронная почта стала основным видом бизнес-коммуникаций. В такой ситуации возникают требования не только применения высокопроизводительных и надёжных систем защиты от внутренних угроз, но и использования самых современных технологий для анализа трафика и защиты информации в хранилищах.

 

У многих ведущих производителей средств защиты информации в той или иной мере присутствуют решения по защите электронной почты, но для самых производительных и требовательных систем мы рекомендуем использовать решение IronPort от компании Cisco. Помимо широкого признания компании Cisco во всём мире (что однозначно говорит о качестве продукции), данное решение является лидером по показателям надёжности и производительности, и это подтверждено ведущими исследовательскими лабораториями – Gartner, Forrester, Yankee Group и др.

 

Василий Сахаров:

– Ответ на этот простой вопрос очевиден, – для деловой конфиденциальной переписки следует использовать протокол S/MIME, реализующий формирование атрибутов подписи и обеспечивавающий механизмы шифрования. При этом следует также обеспечить простановку атрибутов time-stamp по  RFC 3161 почтовых сообщений.

Понятно, что реализация подобных доменов доверительной почтовой переписки возможна на основе cформированной PKI.      

 

Точка опоры:

– При средней мощности 3 Гб\с трафик DDoS-атак становится всё большей проблемой для сетей операторов связи, а репутационные издержки вызывают отток клиентов. Как защититься и выиграть в условиях дефицита новых абонентов?

 

Александр Шахлевич

– DDoS-атаки являются одной из главных проблем любой компании, зависящей от доступности своих ресурсов из сети Интернет. Мощность этих атак растёт в геометрической прогрессии последние несколько лет, и при существующих реалиях бороться с ними на участке последней мили (на стороне абонента) практически невозможно. Решить эту проблему способны операторы телекоммуникационных услуг, обладающие высокопроизводительными каналами связи и сетевым оборудованием.

 

Для обеспечения действительно надёжной защиты от DDoS-атак с возможностью масштабирования и гибкого предоставления услуг мы рекомендуем использовать оборудование компании RioRey, более 5 лет специализирующейся именно на решениях для защиты от DDoS-атак. RioRey предлагает широкий ассортимент устройств для компаний любого размера, а время реагирования и блокирования атаки составляет меньше двух минут. В условиях конкуренции это позволяет увеличить приток клиентов и повысить степень их удовлетворённости.

 

Если раньше абоненты склонялись в сторону того или иного поставщика услуг связи исходя из сравнения тарифов, то теперь их выбор всё чаще обусловлен тем, насколько предоставляемый провайдером пакет услуг соответствует их нуждам. Поэтому сегодня речь идёт о том, что недостаточно просто предоставить абоненту доступ к телекоммуникационной среде. Информационная безопасность является ключевым фактором для операторов связи в процессе перехода на новое поколение сервисов и решений.

 

Очевидно, что поставщики услуг, обеспечивающие безопасность своих сервисов, получают существенное конкурентное преимущество.

 

Василий Сахаров:

– При грамотном администрировании сети практически с любой «мощностью» трафика защита от DoS/DDoS  не является проблемой. Однако в проактивной моде следует использовать на критичных узлах сетевой среды системы класса Event Monitoring, например, RSA enVision.

 

Точка опоры:

– Открытые каналы связи – это брешь в информационной системе организации, которой активно пользуются злоумышленники. Как защитить распределённую сеть оператора связи, в том числе в соответствии с ФЗ-152 и требованиями по защите ПД?

 

Александр Шахлевич:

– Защита каналов связи распределённой сети актуальна не только самому оператору телекоммуникационных услуг, но и его абонентам. Для решения этой задачи следует использовать технологию VPN. Кратко описать технологию VPN можно определением компании Check Point: «VPN – это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия».

 

Технология VPN отвечает основополагающим критериям сохранности информации: целостность, конфиденциальность, авторизованный доступ. При правильном выборе VPN обеспечивается масштабирование, то есть использование VPN не создаст проблем роста и поможет сохранить сделанные инвестиции в случае расширения бизнеса. Для защиты каналов связи с помощью виртуальных частных сетей мы рекомендуем использовать продукты мировых лидеров в этой области – Check Point, Cisco, Fortinet, за долгие годы присутствия на рынке доказавшие свои преимущества и надёжность.

 

Кроме того, спецификой бизнеса телекоммуникационных компаний является сбор огромных баз с персональными данными абонентов, которые хранятся в информационной сети оператора. Утечка такой информации приведёт к серьёзному удару по имиджу, оттоку текущих и снижению притока новых абонентов. Также в случае такой утечки у регулирующих органов может возникнуть вопрос о выполнении требований закона «О персональных данных» и других регулирующих деятельность операторов нормативно-правовых актов и стандартов. В этом случае необходимо использовать сертифицированные ФСБ средства криптографической защиты информации, флагманом среди которых является программно-аппаратный комплекс «Континент» производства компании «Код Безопасности».

 

Василий Сахаров:

– Интернет-провайдеры исходно работают на «открытых каналах связи», и защита сети оператора связи на сегодняшний день вполне может строиться с использованием опыта ISP.  Например, «ДЕМОС» за свою 21- летнюю историю не был ни разу «прохачен»! Приходите, покажем, расскажем, научим! Также готовы поведать нюансы и особенности выполнения технических требований (ФСБ и ФСТЭК) непротиворечиво относительно  ФЗ-152.

 

Спецкор Людмила ЗАРУБИНСКАЯ

 

Компания «Информзащита»

127018, Москва, а/я 55

тел./факс: +7 (495) 980 2345

e-mail: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра." ' + path + '\'' + prefix + ':' + addy51060 + '\'>'+addy_text51060+'<\/a>'; //-->

www.infosec.ru

 

ООО «Компания «Демос»

115035, Москва,

Овчинниковская наб., д. 6, стр.1

тел.: +7 (495) 956 6080

e-mail: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра." ' + path + '\'' + prefix + ':' + addy57599 + '\'>'+addy_text57599+'<\/a>'; //-->

www.demos.ru

№265 Декабрь 2020
тема: энергетика