Безопасность сетей связи общего пользования

- Александр Николаевич, расскажите, пожалуйста, как до недавнего времени решались вопросы предотвращения несанкционированного доступа к объектам и защиты информации в сетях связи общего пользования?

- Можно сказать, что с решением первой из обозначенных вами проблем - проблемы защиты объектов сетей связи - несколько лет назад параллельно решалась и вторая: защита информации. Тогда защиту сетей связи общего пользования обеспечивало государство, и происходило это в основном путем принятия различных организационно-технических мер, например, ограничением доступа к объектам связи, в том числе и с использованием такого тривиального способа, как опечатывание линейно-кабельных сооружений и кроссовых устройств. Особое внимание было обращено к вопросам защиты информации в области государственного управления, обороны страны, безопасности государства и охраны правопорядка. Для решения этой задачи, в том числе и на базе сетей связи общего пользования создавались специальные сети, в которых защита информации осуществлялась комплексно, обеспечивалась целостность, конфиденциальность и доступность информации с использованием криптографических средств и других мер по защите информации от утечки по побочным каналам, излучений и наводок. В области защиты вышеуказанной информации имелась и соответствующая нормативная база.

- Как Вы могли бы охарактеризовать ситуацию, которая сложилась на сегодняшний день?

- На сегодняшний день ситуация в корне изменилась как в организационном, так и в технологическом плане. Заметно возросло значение информации во всех сферах общественной жизни, что, естественно, привело к тому, что увеличились объемы ее передачи по телекоммуникационным сетям и требования по качеству ее доставки, в том числе и по обеспечению ее защиты.

Появилась и соответствующая нормативная правовая база - такие федеральные законы, как: "Об информации, информатизации и защите информации", "Об электронной цифровой подписи", "О связи".

С одной стороны, как вы знаете, сегодня операторы сетей общего пользования-это коммерческие компании. С другой стороны, в связи с дальнейшей интеллектуализацией сетей связи существенно увеличилось количество уязвимостей в этих сетях - уязвимостей, через которые можно дезорганизовать функционирование сетей связи. Возросла вероятность вывода этих сетей из строя. Из первого понятно, что передача функции защиты от несанкционированного доступа объектов, входящих в состав сетей связи, непосредственно владельцам сетей связи вполне обоснована. И очевидно, что владельцы должны обеспечивать также и защиту информации, передаваемой по этим сетям. Как первое, так и второе положение были включены в новый Федеральный закон "О связи". Я говорю о статьях 7, 12 и 46.

- Расскажите, пожалуйста, подробнее об этих статьях.

- Приоритетной задачей, которая решалась при разработке этих статей, была задача обеспечения защиты конституционных прав граждан на тайну телефонных переговоров, телеграфных и иных сообщений, передаваемых по сетям электросвязи, а также обеспечения устойчивости и безопасности функционирования сетей связи общего пользования. Статья 7 обязывает операторов связи обеспечивать защиту "средств связи и сооружений связи от несанкционированного доступа к ним", а 12-я дает право федеральному органу исполнительной власти и обязывает его устанавливать требования "...к организационно-техническому обеспечению устойчивого функционирования сетей связи, в том числе в чрезвычайных ситуациях, защиты сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации". Статья 46 обязывает операторов связи руководствоваться при строительстве и эксплуатации сетей связи нормативными правовыми актами федерального органа исполнительной власти в области связи, а также осуществлять построение сетей связи с учетом требований обеспечения устойчивости и безопасности их функционирования.

- Какие шаги делает министерство в первую очередь для воплощения в жизнь положений нового закона, в частности статьи 12?

- В 2003 году мы уже провели ряд НИОКР, но большая часть работы осталась незавершенной из-за отсутствия необходимого финансирования. Ясно, что, как и любой закон, Закон "О связи" вводит правовые нормы, для реализации которых необходимы понятные и прозрачные для всех правила и механизмы реализации. Сейчас все наши усилия направлены на разработку необходимых требований к сетям и средствам связи. Их поэтапная реализация обеспечит устойчивость и безопасность функционирования сетей связи общего пользования. Приоритетной работой в этом направлении является завершение разработки и утверждение Концепции обеспечения информационной безопасности сетей связи общего пользования.

Хочу подчеркнуть, что в этом документе введено понятие "базовый уровень защищенности сетей связи". Это чрезвычайно важно, потому что, опираясь на это понятие, мы сможем, с одной стороны, предъявить операторам выполнимые требования, а с другой - обеспечить некий единый для сверхуровень безопасности. Естественно, операторы по своему желанию могут применять более мощные средства защиты. Но вот ниже этого базового уровня опускаться нельзя будет никому.

В основе формирования требований, определяющих базовый уровень защищенности, будет лежать анализ уязвимостей сетей связи общего пользования и разработка необходимых: как организационных, так и технических мер, обеспечивающих повышение их защищенности.

- Вы не могли бы привести какие-то конкретные примеры.

-Да, например, одно из наиболее уязвимых мест телефонной сети связи общего пользования - это общий канал сигнализации. Если не принимать соответствующих мер по его защите, существует вероятность вмешательства через него в процесс установления соединений. В результате этого можно существенно снизить качественные характеристики сети по передаче информации или просто-напросто вывести ее из строя. Это напрямую относится и к телефонным сетям общего пользования, и к интеллектуальным сетям связи, и сетям связи сотовых операторов. Казалось бы, вот она уязвимость: обнаружил - устраняй: однако на практике все не так просто. До недавнего времени сети связи общего пользования оснащались средствами связи, не наделенные возможностями обеспечения информационной безопасности; кроме того, не выдвигалось и соответствующих требований.

- А кто будет участвовать в указанных НИОКР?

- К выполнению этих работ подключаются отраслевые институты ЦНИИС, ЛОНИИС, НИИР, ВНИИПВТИ, имеющие соответствующие лицензии на выполнение таких работ, а также определенный опыт и знание этой проблемы. Скажем, ЦНИИС знает сеть. Это системный институт, который при решении данной проблемы должен грамотно поставить задачу, а, например, ВНИИПВТИ может разработать конкретные механизмы обеспечения информационной безопасности, в соответствии с которыми могут быть подготовленные соответствующие нормативные документы, определяющие требования к сетям связи. Естественно, эта работа будет вестись во взаимодействии с ФСБ России и Гостехкомиссией России, имеющими огромный опыт деятельности в этой области.

- А что касается операторов связи?

- При разработке требований мы, естественно, будем привлекать и самих операторов. Мы не можем предлагать им что-то нереализуемое, что может оказаться для них тяжким с экономической точки зрения бременем. Ведь понятно, что задача должна решаться поэтапно и требования должны вводиться постепенно. Необходимо обратить ваше внимание на то, что к разработке Концепции по обеспечению информационной безопасности сетей связи общего пользования и программе работ по ее реализации привлечена "Ассоциация документальной электросвязи", в которой свыше 130 членов, в том числе операторов связи ЕСЭ России.

- Что Вы понимаете под обеспечением безопасности сетей общего пользования?

- В целях реализации положений Федерального закона "О связи" в части защиты сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации необходимо четко определиться: что же мы понимаем в этом контексте под защитой информации? Обеспечить защиту информации в части ее конфиденциальности и целостности с требуемым уровнем безопасности возможно только с применением криптографических средств, размещаемых у пользователя, а также других организационо-технических мер, направленных на защиту информации от утечки по побочным каналам излучения и наводок на другие цепи, выходящие за пределы контролируемой зоны.

Было бы неразумно обеспечить высокий уровень защиты информации в части ее конфиденциальности и целостности для всех пользователей сетей связи. Эта задача должна решаться индивидуально для каждого пользователя, естественно, за дополнительную плату. Основная задача, которую должны решать сети общего пользования в новых условиях, - обеспечить защиту информации в части ее доступности. То есть сеть должна с требуемым качеством обеспечить транспортировку информации в заданный адрес. Таким образом, задача защиты информации в сетях связи в основном трансформируется в решение задачи обеспечения устойчивости функционирования сети в условиях информационных воздействий (выше говорилось, что в процессе "интеллектуализации" сетей связи снижается уровень их защищенности от "разрушающих информационных воздействий").

При этом должен, естественно, применяться комплекс мер по защите информации, принадлежащей сети связи (информации управления), а также информации персонального характера (адрес абонента, сведения об оказанных ему услугах и т.д.), ставшей известной оператору связи в силу его деятельности. Думаю, что основному числу пользователей сетей связи общего пользования не хотелось бы, чтобы эти данные были доступны третьим лицам. В этом случае должна решаться задача по обеспечению целостности, конфиденциальности и доступности этой информации. Это и есть информационная безопасность сети связи общего пользования. Сюда входит и комплекс традиционных организационно-технических мер, направленных на исключение несанкционированного доступа к сооружениям и линиям связи.

- Есть какие-то запланированные сроки проведения НИОКР?

- Каких-то определенных сроков пока не намечено. Сроки проведения и конкретные направления НИОКР должны быть определены в программе работ по реализации Концепции обеспечения информационной безопасности сетей связи общего пользования, работа над которой идет сейчас. При этом необходимо осознавать, что сроки и качество работы напрямую зависят от объемов финансирования: больше финансирование, меньше сроки, и наоборот.

А.Н. Першов,
заместитель начальника Управления общего регулирования и развития федеральной электросвязи и обеспечения деятельности ГКЭС Минсвязи России