Принципы обеспечения безопасности сети электросвязи в условиях воздействия нарушителя

Обеспечение безопасности СЭС в условиях воздействия нарушителя должно осуществляться с учетом следующих основных принципов:

1) Комплексности использования всей совокупности нормативных правовых актов, организационных и режимных мер, программных, аппаратных и программно-аппаратных методов защиты, обеспечивающих безопасное функционирование СЭС.

2) Защищенности сбалансированных интересов пользователей, операторов связи и органов государственного управления.

Интересы пользователей состоят в доверии к сети и предлагаемым услугам связи, в том числе доступности услуг (особенно экстренного обслуживания) в случае катастроф, включая террористические акты.

Интересы операторов связи заключаются в выполнении ими своих обязательств перед пользователями услугами связи и защите от посягательств на свои финансовые и деловые интересы.

Интересы органов государственного управления определяются необходимостью предъявления требований к безопасности СЭС, обеспечения соблюдения операторами связи предъявляемых им требований к безопасности, добросовестной конкуренции и защиты персональных данных пользователей.

3) Управляемости методами, действиями и процедурами по обеспечению безопасности СЭС и контролю качества процессов передачи информации в условиях возможных воздействий нарушителя на инфокоммуникационную структуру сетей в соответствии с функциями системы управления сетью.

4) Непрерывности совершенствования методов, действий и процедур по обеспечению безопасности СЭС с учетом достигнутого отечественного и зарубежного опыта в условиях возможных воздействий нарушителя и изменения методов и средств этих воздействий.

5) Совместимости аппаратно-программных средств и технологий, применяемых в системах обеспечения безопасности.

Контрольные вопросы и задания

1. Является ли открытой сеть электросвязи, в которой отсутствуют полная доступность ко всем ее информационным ресурсам и имеется контроль их использования.

2. Устойчивость функционирования сети электросвязи обеспечивает ее безопасность или наоборот?

3. Какими факторами может устанавливаться при идентификации предел количества угроз безопасности сети электросвязи?

4. Является ли несанкционированный доступ сам по себе угрозой или же методом осуществления угрозы?

5. Разработайте модель угроз безопасности для корпоративной сети телефонной связи вуза.

6. Разработайте модель нарушителя безопасности для корпоративной сети телефонной связи вуза.

7. Верно ли и почему утверждение, что «воздействия нарушителя, в основном, направлены на ухудшение качественных характеристик сети электросвязи»?

8. Конфиденциальность инфокоммуникационной структуры сети электросвязи, целостность информации и услуг связи, доступность информации и услуг связи, подотчетность действий в сети – это критерии или характеристики безопасности сети электросвязи?

9. От чего больше зависит безопасность сети электросвязи в условиях воздействия нарушителя: от совместимости аппаратно-программных средств и технологий, применяемых в системах обеспечения безопасности, или от совместимости основных функциональных аппаратно-программных средств и технологий электросвязи?

9 Общие требования к безопасности сетей электросвязи

На всех этапах проектирования, строительства, реконструкции, развития и эксплуатации СЭС и сооружений связи к ним должны предъявляться требования по обеспечению их безопасного функционирования, сопоставимые с возможными воздействиями нарушителя на инфокоммуникационную структуру СЭС и ожидаемым ущербом от данных воздействий.

Требования к безопасности СЭС устанавливают федеральные органы исполнительной власти в области связи на основании законодательства в области связи и защиты информации, с учетом рекомендаций международных организаций по стандартизации, а также предложений отечественных саморегулируемых организаций в области электросвязи и лучшей практики отечественных операторов связи.

Требования по обеспечению безопасности конкретной СЭС должны формулироваться с учетом:

– целей, функций и задач, решаемых оператором связи;

– условий использования СЭС в общей системе связи государства;

– специфики используемой технологии передачи информации;

– потенциальных угроз безопасности и возможных воздействий нарушителя;

– реальных проектных и эксплуатационных ресурсов и существующих ограничений на функционирование СЭС;

– требований и условий взаимодействия с другими СЭС.

Предоставление и использование услуг и механизмов обеспечения безопасности может быть довольно дорогим относительно потерь при нарушении безопасности СЭС. Поэтому должно анализироваться соотношение между стоимостью мер по обеспечению безопасности и возможными финансовыми последствиями нарушения безопасности, при этом важно определить конкретные требования к безопасности в соответствии с услугами, подлежащими защите.

Требования по обеспечению безопасности СЭС включают:

– организационные требования безопасности (ОТБ);

– технические требования безопасности (ТТБ);

– функциональные требования безопасности (ФТБ);

– требования доверия к безопасности (ТДБ).

ОТБ содержат общие организационные, административные положения и процедуры по осуществлению мероприятий политики безопасности оператором связи.

ТТБ определяют требования к электропитанию, заземлению, к конструкции средств связи, к линейно-кабельным сооружениям связи, к прокладке линий связи и др., влияющие на обеспечение безопасности и устойчивости функционирования СЭС.

ФТБ и ТДБ содержат требования, которые для сетей и средств связи излагаются в профилях защиты и заданиях по безопасности и должны реализовываться на всех этапах жизненного цикла СЭС[1].

Контрольные вопросы

1. Чем отличаются административные положения и процедуры по осуществлению мероприятий политики безопасности оператором связи от организационных?

2. Требования к безопасности сетей электросвязи устанавливают федеральные органы исполнительной власти в области связи или федеральные органы исполнительной власти в области безопасности, технической защиты информации и противодействия техническим разведкам?

3. Что является основным критерием масштаба системы мер обеспечения безопасности сетей электросвязи?