Министерство Российской Федерации по связи и информатизации. Концепция информационной безопасности Сетей связи общего пользования Взаимоувязанной сети связи Российской Федерации. Министерство Российской Федерации по связи и информатизации.
--------------------------------------------------------------------------------
Содержание
Основные термины и определения
Перечень сокращений
Введение
1. Проблемы обеспечения информационной безопасности ССОП ВСС Роcсии
2. Состояние информационной безопасности ССОП ВСС России
3.Угрозы информационной безопасности ССОП ВСС России
4.Нарушители информационной безопасности ССОП ВСС России
5. Основные принципы обеспечения информационной безопасности ССОП ВСС России
6. Общие требования по обеспечению информационной безопасности ССОП ВСС Роcсии
7. Основные положения отраслевой политики обеспечения информационной безопасности ССОП ВСС России
7.1. Основные направления работ по обеспечению информационной безопасности ССОП ВСС России
7.2. Обеспечение информационной безопасности ССОП ВСС России при сопряжении сетей связи
7.3. Осуществление государственного надзора за состоянием информационной безопасности ССОП ВСС России
7.4. Основные положения по разграничению ответственности министерств и ведомств за обеспечение информационной безопасности ССОП ВСС России
7.5. Политика обеспечения информационной безопасности систем управления сетями связи общего пользования в «Особый период» и при чрезвычайных ситуациях
7.6. Политика защиты интересов пользователей
8. Задачи в области связи по обеспечению информационной безопасности ССОП ВСС России
8.1. Задачи ФОИВ в области связи по обеспечению информационной безопасности ССОП ВСС России
8.2. Задачи операторов связи по обеспечению информационной безопасности ССОП ВСС России
9. Система обеспечения информационной безопасности ССОП ВСС России
10. Финансирование работ по обеспечению информационной безопасности ССОП ВСС России
Заключение
Основные термины и определения
Администратор [руководящий орган] системы обеспечения информационной безопасности ССОП — физическое или юридическое лицо, ответственное за реализацию политики обеспечения информационной безопасности ССОП.
Архитектура информационной безопасности ССОП — совокупность органов, служб, средств системы обеспечения информационной безопасности ССОП, объектов информационной безопасности ССОП и процессов взаимодействия объектов информационной безопасности ССОП между собой и с подсистемой управления системы обеспечения информационной безопасности ССОП.
Базовый уровень обеспечения информационной безопасности ССОП — установленный нормативными документами минимальный набор требований информационной безопасности, обеспечиваемый введенными в систему обеспечения информационной безопасности ССОП средствами защиты.
Воздействие нарушителя на ССОП [атака] (ВН) — совокупность действий (операций) нарушителя информационной безопасности, направленная на реализацию угрозы информационной безопасности ССОП
Доступность (готовность) информационной сферы ССОП — способность ССОП обеспечить пользователям согласованные условия доступа к предоставляемым услугам связи и их получение, в том числе и в условиях возможных воздействий нарушителя информационной безопасности на информационную сферу ССОП.
Защита информации (ЗИ) — деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [ГОСТ З50922-96].
Защищенность информационной сферы ССОП — способность ССОП к предотвращению, либо обнаружению и своевременной ликвидации последствий воздействия нарушителя информационной безопасности на информационную сферу ССОП.
Информационная безопасность ССОП (ИБ)
свойство [способность] ССОП противостоять возможности реализации нарушителем угрозы информационной безопасности ССОП;
свойство [способность] ССОП сохранять неизменными характеристики информационной безопасности — конфиденциальность, целостность, доступность и подотчетность информационной сферы ССОП в условиях возможных воздействий нарушителя.
Информационная инфраструктура ССОП — совокупность центров хранения, обработки и передачи информации, каналов информационного обмена, линий связи, систем и средств обеспечения информационной безопасности ССОП.
Информационно-безопасная [защищенная] ССОП — сеть связи общего пользования, обеспечивающая заданный уровень информационной безопасности ССОП по отношению к заданному множеству угроз информационной безопасности ССОП и заданный набор услуг информационной безопасности ССОП.
Информационные ресурсы ССОП — совокупность хранимых (используемых для обеспечения процессов функционирования), обрабатываемых и передаваемых данных, содержащих информацию пользователей или системы управления ССОП.
Информационная сфера ССОП — совокупность информационных ресурсов и информационной инфраструктуры ССОП.
Информационные технологии (ИТ) — приемы, способы и методы применения вычислительной техники, используемые при выполнении функций хранения, обработки, передачи и использования данных (информации).
Качество службы информационной безопасности ССОП — гарантируемая совокупность определяемых, измеряемых и регулируемых средствами ССОП параметров предотвращения, обнаружения и ликвидации последствия воздействия нарушителя информационной безопасности.
Качество обслуживания ССОП в условиях возможных воздействий нарушителя — гарантируемая совокупность измеряемых и регулируемых средствами ССОП качественных характеристик функционирования ССОП, характеризующая заданный (согласованный) уровень защищенности информационный сферы ССОП.
Конфиденциальность информационной сферы ССОП — способность ССОП обеспечить сохранность подлежащей защите информации информационной сферы ССОП от несанкционированного ознакомления.
Механизм обеспечения информационной безопасности [защиты] ССОП -аппаратно-программные и организационные средства системы обеспечения информационной безопасности ССОП, реализующие, исходя из заданной политики информационной безопасности ССОП, определенные уровни защиты информационной сферы ССОП в соответствии с одним из перекрывающих друг друга этапов защиты: предотвращения, обнаружения и ликвидации последствия воздействия нарушителя информационной безопасности ССОП.
Мониторинг СОИБ ССОП — получение и анализ информации о состоянии ресурсов системы обеспечения информационной безопасности ССОП с помощью специальных средств контроля в реальном масштабе времени.
Нарушитель информационной безопасности (нарушитель) — физическое или юридическое лицо, техническое устройство или программа, процесс или событие, субъект или пользователь ССОП, производящие несанкционированные или непреднамеренные действия (операции) над информационной сферой ССОП, способные привести к потере одной или более характеристик информационной безопасности ССОП — конфиденциальности, целостности, доступности и подотчетности информационной сферы ССОП.
Обеспечение информационной безопасности ССОП — деятельность, направленная на предотвращение утечки защищаемой информации информационной сферы ССОП, несанкционированных или непреднамеренных воздействий нарушителя информационной безопасности, на обнаружение последствий от не предотвращенных воздействий нарушителя информационной безопасности и на ликвидацию последствий воздействия нарушителя информационной безопасности на информационную сферу ССОП.
Политика информационной безопасности ССОП — совокупность требований и правил по обеспечению информационной безопасности ССОП для объекта информационной безопасности ССОП, разработанных в целях противодействия нарушителю информационной безопасности по реализации угроз информационной безопасности ССОП с учетом ценности защищаемой информационной сферы и стоимости системы обеспечения информационной безопасности ССОП.
Подотчетность информационной сферы ССОП — свойство, позволяющее, однозначно определять действия, способные привести к нарушениям процесса обеспечения информационной безопасности, какого-либо объекта в отношении к другому объекту.
Профиль защиты — независимая от реализации совокупность требований информационной безопасности для конкретной категории средств (систем) связи, направленная на противостояние идентифицированным угрозам ИБ в пределах определенной среды.
Риск информационной безопасности ССОП — значение вероятности и величина (характер) возможного ущерба пользователя, оператора связи или государства, полученного вследствие реализации нарушителем угрозы информационной безопасности ССОП.
Телекоммуникационные технологии (ТТ) — методы, способы, протоколы и приемы применения средств связи и вычислительной техники, используемые для выполнения функций транспортирования данных (информации) между пользователями на большие расстояния.
Примечание: При этом под транспортированием информации в соответствии с МСЭ-Т понимается не только функции переноса (передачи) информации в пространстве, но и такие сетевые функции, как мониторинг процесса переноса информации, аудит и оперативное переключение каналов и маршрутов, своевременное восстановление нарушенного процесса передачи информации, управления сетями связи, администрирование и др.
Угроза информационной безопасности ССОП — возможное воздействие нарушителя информационной безопасности на информационную сферу ССОП, не предотвращение, не обнаружение и не ликвидация последствий которого средствами ССОП может привести к ухудшению заданного уровня качества службы или к ухудшению заданных качественных характеристик функционирования ССОП и, как следствие, к нанесению ущерба государству, пользователю или оператору связи ССОП.
Примечанииe — результаты анализа последствий воздействия нарушителя с точки зрения риска информационной безопасности ССОП, к которому эти последствия могут привести при их не предотвращении, не обнаружении и не ликвидации средствами защиты определенной ССОП, являются основой для составления списка наиболее опасных угроз информационной безопасности для данной ССОП.
Уровень информационной безопасности ССОП — совокупность требований информационной безопасности ССОП, обеспечиваемых введенными в ССОП средствами защиты.
Уязвимость ССОП — недостатки технологии процесса передачи данных и управления, средств связи, мер и средств обеспечения информационной безопасности ССОП, позволяющие нарушителю совершать действия, приводящие к успешной реализации угрозы информационной безопасности ССОП.
Целостность информационной сферы ССОП — способность ССОП предотвращать несанкционированное изменение информационной сферы ССОП или обеспечивать своевременное восстановление процесса функционирования ССОП, нарушенного вследствие не предотвращенного воздействия нарушителя информационной безопасности ССОП на информационную сферу ССОП.
Цель обеспечения информационной безопасности ССОП — сформулированное намерение противостоять заданным угрозам информационной безопасности ССОП и/или удовлетворять заданной политике информационной безопасности ССОП.
Перечень сокращений
ССОП сеть связи общего пользования
ВСС Взаимоувязанная сеть связи Российской Федерации
ФОИВ Федеральный орган исполнительной власти Российской Федерации
ИБ информационная безопасность
ВН воздействие нарушителя
НСД несанкционированный доступ
СОИБ система обеспечения информационной безопасности
РД руководящий документ
ТТ — телекоммуникационные технологии
ПЭМИН — побочные электромагнитные излучения и наводки
Введение
Концепция информационной безопасности сетей связи общего пользования Взаимоувязанной сети связи России (далее Концепция), разработанная Министерством Российской Федерации по связи и информатизации, является официальным документом, в котором определена система взглядов на обеспечение информационной безопасности сетей связи общего пользования (ССОП) ВСС России.
Необходимость разработки Концепции обусловлена стремительным развитием средств воздействия на информационно-телекоммуникационную инфраструктуру Российской Федерации на фоне происходящей глобализации информационного пространства и расширения сферы применения новейших информационных технологий и процессов.
Концепция развивает положения Доктрины информационной безопасности Российской Федерации в области телекоммуникаций.
Развитие информационно-телекоммуникационных систем, информационных и телекоммуникационных технологий неразрывно связано с проблемой информационной безопасности ССОП ВСС России, которая, являясь частью мировой информационно-телекоммуникационной системы, стала системообразующим фактором жизни государства и общества, активно влияет на состояние политической, экономической, оборонной и других составляющих национальной безопасности Российской Федерации, и в ходе технического прогресса это влияние будет расти.
В Концепции изложены основные принципы, требования и задачи, вытекающие из политики обеспечения информационной безопасности федерального органа исполнительной власти Российской Федерации (ФОИВ) в области связи на ССОП ВСС России.
Концепция служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности ССОП ВСС России, а также нормативных и методических документов, обеспечивающих ее реализацию ФОИВ в области связи, и не предполагает подмены функций государственных органов власти Российской Федерации, отвечающих за обеспечение безопасности информационных технологий и защиту информации.
Область применения Концепции распространяется на операторов связи ССОП, независимо от форм собственности и ведомственной принадлежности.
Правовую основу Концепции составляют: Конституция Российской Федерации; Концепция национальной безопасности Российской Федерации; Доктрина информационной безопасности Российской Федерации; законы и другие, правовые и нормативные акты Российской Федерации.
1. Проблема обеспечения информационной безопасности ССОП ВСС России.
Процесс глобализации информационно-телекоммуникационных комплексов, внедрение на ССОП ВСС России телекоммуникационных технологий (ТТ), реализуемых преимущественно на аппаратно-программных средствах зарубежного производства, существенно обострили проблему зависимости качества процессов транспортирования информации, от возможных преднамеренных и непреднамеренных воздействий нарушителя (ВН) на передаваемые данные пользователя, информацию управления и аппаратно-программные средства, обеспечивающие эти процессы.
Увеличение объемов хранимой и передаваемой информации, территориальная распределенность сетей связи приводят к наращиванию потенциальных возможностей нарушителя по несанкционированному доступу к информационной сфере ССОП и воздействию на процессы ее функционирования.
Усложнение применяемых технологий и процессов функционирования ССОП приводит к тому, что аппаратно-программные средства, используемые в ССОП, объективно могут содержать ряд ошибок и недекларированных возможностей, которые могут быть использованы нарушителями.
Отсутствие в ССОП необходимых средств защиты в условиях информационного противоборства делает ССОП и ВСС России в целом уязвимыми от возможных враждебных акций, недобросовестной конкуренции операторов связи, а также криминальных и иных противоправных действий.
В связи с этим появились принципиально новые задачи, связанные с необходимостью:
защиты сетей (узлов сети и центра управления сетью) от несанкционированного доступа пользователей к предоставляемым сетью услугам связи;
защиты системы управления ССОП (узлов сети и центра управления сетью) в том числе подсистемы управления информационной безопасности от возможности несанкционированного доступа к процессам управления по различным каналам доступа, с обеспечением конфиденциальности и целостности информации управления (команд, донесений и информации маршрутизации), циркулирующей в различных каналах связи сети, в условиях возможных преднамеренных воздействий нарушителя;
обеспечения заданного (гарантируемого сетью) качества процесса передачи данных пользователя (например, достоверности передаваемых через сеть данных пользователя) в условиях возможных преднамеренных воздействий нарушителя (ВН) на информационную сферу ССОП;
обеспечения своевременного обнаружения попытки блокирования нарушителем процесса передачи данных пользователя с локализацией места ВН и ликвидацией в заданное время последствия ВН;
защиты информационной сферы ССОП от возможности активизации нарушителем вредоносных программ («закладок», «вирусов» и т.д.) с помощью специальных команд, посылаемых им по различным «легальным» и «нелегальным» каналам доступа (в том числе и по каналам связи при сопряжении с другими сетями связи, в частности, с сетью Интернет).
обеспечения возможности создания в ССОП надежного пути (тракта) транспортирования информации (данных) для определенной группы пользователей, в том числе в условиях преднамеренных ВН на информационную сферу ССОП.
Обеспечение транспортных функций ССОП в условиях возможных ВН на ее информационную сферу связано со специфическими проблемами, относящимися, в основном, к организации эффективного управления (на базе мониторинга состояния сетей связи) и взаимодействием отдельных аппаратно-программных средств связи ССОП, рассредоточенных на больших расстояниях друг от друга. Транспортировка сообщений по каналам связи с помощью средств связи ССОП (маршрутизаторов, коммутаторов, центров коммутации пакетов и т.д.) связана с необходимостью обеспечения основных характеристик качества обслуживания ССОП:
надежности доведения полученного от отправителя сообщения до получателя;
производительности;
информационной безопасности.
Обеспечение гарантированных качественных характеристик процесса передачи данных в ССОП или качества обслуживания ССОП в условиях возможных ВН на информационную сферу ССОП и составляет основу проблемы обеспечения ИБ ССОП.
Решение проблемы обеспечения ИБ ССОП связано с необходимостью создания в ССОП системы обеспечения информационной безопасности (СОИБ) и должно быть направлено на:
определение системы взглядов на обеспечение информационной безопасности ССОП ВСС России в условиях интеграции информационных и телекоммуникационных технологий, а также различных типов сетей и услуг, предоставляемых пользователям на этих сетях.
формирование единой государственной политики в области обеспечения ИБ при создании, развитии, модернизации и эксплуатации ССОП;
выработка подходов к обеспечению ИБ в условиях преднамеренных и непреднамеренных воздействий нарушителя;
выявление уязвимостей в ССОП и осуществление комплекса адекватных и экономически обоснованных мер по их снижению, предотвращению ВН и ликвидации последствий этого воздействия на информационную сферу ССОП;
координацию деятельности органов государственной власти Российской Федерации и организаций по обеспечению ИБ ССОП;
создание системы государственного регулирования в области обеспечения ИБ ССОП (лицензирования, сертификации и аттестации);
обоснование экономической целесообразности обеспечения ИБ;
нахождение баланса между безопасностью сети и безопасностью потребителей;
внедрение управления рисками и страхование ответственности операторов ССОП;
создание системы подготовки и переподготовки кадров в области обеспечения ИБ ССОП;
разработку, совершенствование и стандартизацию методов, способов, алгоритмов и отечественных средств (механизмов) обеспечения ИБ ССОП;
разработку механизмов страхования информационных рисков.
Основными целями обеспечения ИБ ССОП является поддержка и сохранение в условиях ВН на информационную сферу ССОП следующих основных характеристик ИБ ССОП:
конфиденциальности информационной сферы ССОП, в т.ч. и конфиденциальности информации системы управления;
целостности информационной сферы ССОП;
доступности информационной сферы ССОП;
подотчетности информационной сферы ССОП.
Обеспечение ИБ ССОП должно достигаться комплексным использованием организационных, технических, аппаратно-программных и криптографических средств защиты информационной сферы ССОП, а также осуществлением непрерывного контроля за эффективностью реализованных мер по обеспечению ИБ ССОП.
Обеспечение ИБ ССОП предполагает создание препятствий для возможного несанкционированного вмешательства в процесс ее функционирования.
В этом смысле проблема обеспечения ИБ ССОП включает в себя не только задачу защиты информации от несанкционированного доступа, но и ряд других задач, связанных с обеспечением процессов функционирования ССОП, в частности, с обеспечением согласованного между оператором и пользователем ССОП качества обслуживания в условиях ВН на информационную сферу ССОП.
2. Состояние информационной безопасности ССОП ВСС России
В процессе создания и развития ССОП ВСС России к ним не предъявлялись требования по обеспечению гарантируемого качества процессов функционирования сети в условиях возможных преднамеренных информационных ВН на ее информационную сферу.
Тем не менее, определенные меры по решению ряда задач, входящих в общую проблему обеспечения ИБ ССОП, принимались, но были направлены, в основном, на защиту объектов связи от НСД к хранимой и передаваемой информации. Решение указанных задач обеспечивается существующей нормативной правовой базой.
Интенсивное внедрение на ССОП новых телекоммуникационных технологий и появление в них новых уязвимостей существенно расширяет возможности нарушителей по воздействию на информационную сферу ССОП. Вместе с тем внедрение новых технологий на ССОП не сопровождается адекватным развитием:
методологических основ обеспечения ИБ транспортных функций ССОП;
нормативной правовой базы обеспечения ИБ ССОП;
системы требований по ИБ ССОП;
организационной структуры обеспечения ИБ ССОП;
отечественных средств обеспечения ИБ ССОП;
научных исследований в области обеспечения ИБ ССОП;
системы подготовки кадров.
3. Угрозы информационной безопасности ССОП ВСС России
Угрозы ИБ ССОП, как возможные опасности ухудшения качества обслуживания пользователей в ССОП вследствие воздействий нарушителя на информационную сферу ССОП, реализуются через уязвимости ССОП, возможно содержащиеся в информационной сфере сети. Любая успешная атака нарушителя, направленная на реализацию угрозы ИБ ССОП, непременно будет опираться на полученные нарушителем знания об особенностях построения и уязвимостях ССОП.
Причинами появления уязвимостей в ССОП могут быть:
нарушение технологии процесса передачи информации пользователя;
нарушение технологии системы управления ССОП;
внедрение в объекты ССОП компонентов, реализующих не декларированные функции;
внедрение в объекты ССОП программ, нарушающих их нормальное функционирование;
необеспеченность реализованными механизмами защиты ССОП заданных требований к процессу обеспечения ИБ ССОП, либо предъявление к механизмам защиты ССОП непродуманного набора требований, делающие ССОП незащищенной;
внесение нарушителем преднамеренных уязвимостей:
при разработке алгоритмов и программ ССОП;
при разработке защищенных процедур, протоколов и интерфейсов взаимодействия пользователей, операторов и администраторов с аппаратно-программным обеспечением ССОП;
при реализации проектных решений по созданию СОИБ ССОП, делающих не эффективными реализованные в СОИБ ССОП механизмы защиты;
неадекватного реагирования подсистемы управления СОИБ ССОП на информационные воздействия нарушителя в процессе эксплуатации ССОП;
использование не сертифицированных в соответствии с требованиями безопасности отечественных и зарубежных информационных технологий, средств информатизации и связи, а также средств защиты информации и контроля их эффективности и т.д.
В соответствии с вышесказанным обеспечение информационной безопасности функционирования ССОП должно базироваться на анализе уязвимостей, которые могут быть использованы нарушителем для преодоления системы защиты ССОП и, как следствие, приводящие к нанесению определенного ущерба пользователю, оператору связи или государству.
Проведение анализа уязвимостей ССОП и возможных ВН на информационную сферу ССОП позволит определить возможные последствия ВН, которые могут привести к ухудшению качества обслуживания (качества процесса передачи данных пользователя в ССОП), анализ которых, в свою очередь, с точки зрения риска ИБ и возможного ущерба к которому эти последствия ВН могут привести при их не предотвращении, не обнаружении и не ликвидации средствами ССОП, позволит определить список наиболее опасных последствий ВН (угроз ИБ ССОП), защита от реализации которых и должна быть обеспечена.
4. Нарушители информационной безопасности ССОП ВСС России
В качестве нарушителя ИБ ССОП могут выступать физические лица и/или структуры, действия которых могут привести к ухудшению качества процессов функционирования ССОП.
ВН на информационную сферу ССОП могут осуществляться на технологическом и эксплуатационном этапах жизненного цикла ССОП.
На технологическом этапе нарушителями могут быть научные и инженерно-технические работники, участвующие в процессе проектирования, разработки, установки и настройки программно-аппаратного обеспечения ССОП.
На эксплуатационном этапе нарушители могут быть «внешними» по отношению к ССОП или «внутренними», принадлежащими структуре ССОП.
Нарушитель на эксплуатационном этапе может осуществлять воздействие на следующие объекты ИБ ССОП: центр управления сетью связи, узлы ССОП (коммутаторы, маршрутизаторы, шлюзы, цифровые автоматизированные телефонные станции и др.), каналы связи ССОП и сообщения (пакеты, кадры, ячейки и др.), содержащие информацию пользователей или информацию управления.
ВН могут носить как преднамеренный, так и непреднамеренный характер. ВН на объект ИБ могут осуществляться:
по внешним линиям связи;
по внутренним линиям связи;
с рабочих мест систем управления;
по не декларируемым каналам доступа.
При этом могут использоваться как штатные средства сетей связи, так и специальные средства.
ВН на информационную сферу ССОП можно представить в виде воздействий, направленных на выявление уязвимостей ССОП, воздействий, направленных на активизацию (использование) имеющихся уязвимостей ССОП и воздействий, связанных с внесением уязвимостей в ССОП.
На технологическом этапе жизненного цикла ССОП внесение уязвимостей в информационную сферу ССОП возможно на следующих стадиях:
проектирования с осуществлением выбора алгоритмов и технологий хранения, обработки и передачи информации, затрудняющих или исключающих реализацию требований ИБ;
выбора средств защиты, не обеспечивающих требования ИБ ССОП.
На эксплуатационном этапе жизненного цикл ССОП нарушитель может внести уязвимости, связанные с:
ошибками настройки и использованием программно-аппаратного обеспечения;
ошибками разработки и реализации политики безопасности;
ошибками в реализации организационных методов защиты;
преднамеренным внедрением в компоненты аппаратно-программного обеспечения «люков», «закладок» и «вирусов» и др.
Выявление уязвимостей на технологическом и эксплуатационном этапах жизненного цикла ССОП осуществляется нарушителем путём сбора сведений, позволяющих ему осуществлять несанкционированные действия, направленные на ухудшение характеристик ИБ.
Непосредственная активизация (использование) выявленных уязвимостей осуществляется нарушителем на этапе эксплуатации путем:
Использования специального оборудования во внешних или внутренних каналах связи ССОП и осуществления с его помощью:
нарушения целостности передаваемых сообщений, содержащих информацию управления или информацию пользователей;
нарушения конфиденциальности информации управления и параметров передачи информации пользователей;
формирования команд активизации и использования функций «закладок» и «вирусов», внедрённых в информационную сферу;
формирования информационного воздействия с целью получения аутентификационных параметров, обеспечивающих доступ к информационной сфере объектов и сетей связи;
несанкционированной модификации программного обеспечения объектов и сетей связи и нарушения их работоспособности.
Установки специального оборудования в каналы сетей связи для использования информационных «люков» или не декларированных возможностей.
Использования оконечного оборудования пользователей ССОП для получения НСД к информационной сфере объектов и сетей связи.
Использования радиоканалов для активизации «закладок» и «вирусов».
Использования рабочих мест обслуживающего персонала.
5. Основные принципы обеспечения информационной безопасности ССОП ВСС России
Основой информационной безопасности ССОП ВСС России является СОИБ ССОП.
При разработке, создании и эксплуатации СОИБ ССОП необходимо руководствоваться следующими принципами:
Создание СОИБ ССОП, в первую очередь, должно предусматривать обеспечение базового уровня ИБ ССОП.
Дополнительные требования ИБ ССОП в интересах государственного управления, обороны и охраны правопорядка в РФ оператор связи обеспечивает в соответствии с решением ФОИВ в области связи на договорной основе.
Введение дополнительных требований ИБ ССОП в интересах пользователей ССОП может осуществляться самим оператором связи в соответствии с требованиями пользователей на договорной основе.
Уровень ИБ ССОП должен определяться с учетом требований федеральных органов исполнительной власти и пользователей ССОП.
Разработка СОИБ ССОП должна осуществляться на основе нормативных правовых актов Российской Федерации и РД ФОИВ в области связи.
Регулирование деятельности в области обеспечения ИБ ССОП осуществляет ФОИВ в области связи во взаимодействии с Гостехкомиссией Российской Федерации, а также с ФАПСИ и ФСБ Российской Федерации.
Обеспечение ИБ ССОП должно достигаться комплексным использованием всей совокупности нормативных правовых, организационно-режимных, технических, программных и криптографических методов защиты, а также организацией непрерывного, всестороннего контроля за эффективностью реализованных мер защиты.
Предлагаемые технические и программные средства защиты должны соответствовать требованиям ИБ, быть реализованы на современном уровне развития науки и техники, научно и технически обоснованы, гарантировать заданный уровень ИБ ССОП.
В составе СОИБ ССОП должны использоваться только сертифицированные по требованиям ИБ ССОП механизмы безопасности и средства защиты.
Использование в составе ССОП импортных технических и программных средств связи с учетом принятых мер защиты не должно ухудшать характеристики ИБ ССОП.
Проектирование и создание механизмов безопасности и средств защиты для ССОП в целом должно проводиться только организациями, имеющими лицензию на этот вид деятельности.
Проектирование СОИБ ССОП должно осуществляться, как правило, одновременно с проектированием ССОП.
Уровни ИБ ССОП, методы, действия, процедуры и стоимость СОИБ ССОП должны соответствовать степени потенциальной возможности нанесения ущерба государству, оператору или пользователю ССОП определенными действиями нарушителя ИБ.
Политики безопасности, требования ИБ ССОП, процедуры контроля качества процессов передачи информации и их восстановление в условиях ВН на информационную сферу должны быть разработаны таким образом, чтобы они обеспечили возможность оценки степени обеспечения ИБ ССОП.
Принятые меры обеспечения ИБ ССОП не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством Российской Федерации случаях к информации конкретных пользователей.
Принятые меры обеспечения ИБ ССОП должны обеспечить отсутствие путей обхода средств защиты, в том числе и «тайных» входов в объекты ССОП.
СОИБ ССОП оператора связи должна обеспечить взаимодействие с СОИБ системы управления ВСС России.
Обеспечение ИБ ССОП при взаимодействии пользователей одной или нескольких сетей связи должно осуществляться операторами связи на основе единой технической политики.
Своевременное предотвращение и ликвидация последствий ВН должны обеспечиваться согласованными действиями органов осуществляющих координацию при взаимодействии СОИБ, операторов связи и пользователя ССОП.
Методы, действия и процедуры по обеспечению ИБ ССОП должны быть скоординированы с мерами, действиями и процедурами системы управления ССОП.
Состояние, требования и методы обеспечения ИБ ССОП должны соответствовать изменениям в периодической переоценке методов, средств ВН, требований по ИБ ССОП, и достигнутого отечественного и зарубежного опыта обеспечения ИБ ССОП.
В ССОП необходимо обеспечить контроль и учет эффективности СОИБ ССОП, а также совершенствование критериев и методов оценки эффективности СОИБ ССОП.
В функционировании СОИБ ССОП не должно быть перерывов в работе, вызванных ремонтом средств защиты, сменой паролей, отключением электроснабжения и т.п.
Доступ персонала к защищенным ресурсам должен быть разграничен в соответствии с выполняемыми должностными инструкциями (политикой ИБ).
6. Общие требования по обеспечению информационной безопасности ССОП ВСС России
С целью обеспечения ИБ ССОП, ФОИВ в области связи с учетом стандартов и рекомендаций международных организаций электросвязи разрабатывает общие требования ИБ (базовый уровень ИБ), являющиеся обязательными для всех операторов ССОП ВСС России.
Разработка общих требований ИБ ССОП, например, в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 «Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий», должна исходить из списка наиболее опасных угроз ИБ ССОП, полученного на основе анализа уязвимостей ССОП (или политики информационной безопасности ССОП) и возможных ВН на информационную сферу ССОП с точки зрения риска ИБ и возможного ущерба (пользователю, оператору связи или государству), который может быть нанесен ССОП появлением того или иного последствия ВН.
Общие требования должны включать:
требования по обеспечению ИБ ССОП;
требования при взаимодействии ССОП между собой.
Требования по обеспечению ИБ ССОП должны включать:
требования по обеспечению взаимодействия с пользователями;
требования по обеспечению информационной безопасности процессов функционирования сети;
требования к взаимодействию элементов сети между собой;
требования к процессу управления ССОП;
требования к процессу мониторинга СОИБ ССОП.
Требования по обеспечению ИБ при взаимодействии ССОП между собой должны включать:
требования к взаимодействию систем обеспечения ИБ друг с другом;
требования по защите информационных сфер каждой сети от воздействия
Комментарии