Какво липсва на оператора за защита
"X": Какви стандарти и изисквания за сигурност липсват на телеком оператора?
Павел Антонов, технически консултант, Cisco Systems: Има редица проблеми с информационната сигурност, които само телекомуникационният оператор може да реши: спам, DDoS атаки, измами, фишинг и др. Той има инструменти за това - мрежи, канали за предаване на данни. Интересува ли се от това? Да, тъй като тези проблеми засягат наличността на мрежата, т.е. към бизнеса на оператора.
И в съществуващата регулаторна рамка (например „базова линия“) няма специфичност на оператора. Нещо напомня на ISO 27001, нещо - други стандарти. Спецификата на оператора в приложението за сигурност вероятно се състои в защита срещу заплахи от зловреден код, спам, DDoS атаки. Например в Канада на държавно ниво е приет закон, който изисква телекомуникационните оператори да контролират спама, излъчван от техните мрежи. Резултатът е, че Канада е далеч от най-добрия източник на спам в света.
Иля Трифаленков, директор „Бизнес развитие“, Jet Infosystems: Единственият начин за ефективна борба с проблема със спама е потискането на неговите източници. Но нашият оператор не само няма правно основание да се бори със спама (както и с фишинг, вируси, троянски коне), ако той не е насочен към него (оператора), а към някой от неговите клиенти. Той няма право да прави това. Според законодателството на България подобни действия представляват намеса в информационните потоци, които операторът е длъжен да предава непроменени. И това може би е една от най-големите законодателни проблеми: от една страна, операторът трябва да носи отговорност за неразпространението на спам, а от друга страна, той не трябва да нарушава целостта на предадената информация. Как да комбинирате тезиизисквания?
Дмитрий Соболев, директор на дирекция "Информационна сигурност", ТТК: Има различни стандарти в областта на информационната сигурност. Някои, свързани с гарантиране на собствената сигурност, са необходими на телекомуникационните оператори, за да работят успешно на пазара. Например, ISO 27001 позволява на телеком оператора да създаде ефективна система за управление и да направи системата за информационна сигурност прозрачна както за висшето ръководство на компанията, така и за клиентите.
Но има аспекти на информационната сигурност, които абсолютно не представляват интерес за телекомуникационния оператор от бизнес гледна точка. Това е защитата на личните данни, борбата с DDoS атаките и спама.
Тук възниква ролята на регулатора и държавата. Трябва да се появят разпоредби и стандарти, които да принуждават оператора да спазва обществено полезни изисквания.
Следователно, по отношение на стандартите, от които се нуждаят операторите, това са например ръководствата на FSTEC, FSB, стандарта ISO27001. Появиха се регламенти за защита на личните данни.
Валери Петрунин, директор на отдела за работа с телекомуникационния сектор, Информзащита: Нужни са индустриални стандарти. Ако има общ закон за личните данни, тогава няма да навреди да се разработи индустриален стандарт за защита на личните данни от телеком оператора.
Кое е конкретното? По-специално, има системи за таксуване. Необходим е стандарт за системи за таксуване и други OSS/BSS и техните доставчици трябва да го вземат предвид от самото начало. Иначе за всичко отговаря оператора.
Дмитрий Костров, ръководител на отдела за сигурност, МТТ: Ние, в МТТ, нямаме стандарти. В комуникационния бранш няма такова развитие като в банковия сектор. Това, което всъщност регулира "базовото ниво" - само връзката на операторите, използваме ISO-27001 за таксуване. Затова сме се развилисобствен корпоративен IS стандарт за цялата компания, състоящ се от три части: IS стандарт, одит и одитна методология. Той е одобрен от компанията и е извършен контролен одит. Това е вътрешната работа на компанията в посока информационна сигурност.