Міністерство Російської Федерації по зв’язку та інформатизації. Концепція інформаційної безпеки Мереж зв’язку загального користування Взаємопов’язаної мережі зв’язку Російської Федерації. Міністерство Російської Федерації по зв’язку та інформатизації.

——————————————————————————–

Зміст

Основні терміни та визначення
Перелік скорочень
Введення
1. Проблеми забезпечення інформаційної безпеки ССОП ВСС Росії
2. Стан інформаційної безпеки ССОП ВСС Росії
3.Загрози інформаційної безпеки ССОП ВСС Росії
4.Порушники інформаційної безпеки ССОП ВСС Росії
5. Основні принципи забезпечення інформаційної безпеки ССОП ВСС Росії
6. Загальні вимоги по забезпеченню інформаційної безпеки ССОП ВСС Росії
7. Основні положення галузевої політики забезпечення інформаційної безпеки ССОП ВСС Росії

7.1. Основні напрямки робіт по забезпеченню інформаційної безпеки ССОП ВСС Росії

7.2. Забезпечення інформаційної безпеки ССОП ВСС Росії при сполученні мереж зв’язку

7.3. Здійснення державного нагляду за станом інформаційної безпеки ССОП ВСС Росії

7.4. Основні положення щодо розмежування відповідальності міністерств і відомств за забезпечення інформаційної безпеки ССОП ВСС Росії

7.5. Політика забезпечення інформаційної безпеки систем управління мережами зв’язку загального користування в «Особливий період» та при надзвичайних ситуаціях

7.6. Політика захисту інтересів користувачів
8. Завдання в галузі зв’язку щодо забезпечення інформаційної безпеки ССОП ВСС Росії

8.1. Завдання ФОИВ в галузі зв’язку щодо забезпечення інформаційної безпеки ССОП ВСС Росії

8.2. Завдання операторів зв’язку по забезпеченню інформаційної безпеки ССОП ВСС Росії
9. Система забезпечення інформаційної безпеки ССОП ВСС Росії
10. Фінансування робіт по забезпеченню інформаційної безпеки ССОП ВСС Росії
Висновок
Основні терміни та визначення

Адміністратор [керівний орган] системи забезпечення інформаційної безпеки ССОП — фізична або юридична особа, відповідальна за реалізацію політики забезпечення інформаційної безпеки ССОП.

Архітектура інформаційної безпеки ССОП — сукупність органів, служб, засобів системи забезпечення інформаційної безпеки ССОП, об’єктів інформаційної безпеки ССОП та процесів взаємодії об’єктів інформаційної безпеки ССОП між собою і з підсистемою управління системи забезпечення інформаційної безпеки ССОП.

Базовий рівень забезпечення інформаційної безпеки ССОП — встановлений нормативними документами мінімальний набір вимог інформаційної безпеки, забезпечуваний введеними в систему забезпечення інформаційної безпеки ССОП засобами захисту.

Вплив порушника на ССОП [атака] (ВН) — сукупність дій (операцій) порушника інформаційної безпеки, спрямована на реалізацію загрози інформаційної безпеки ССОП

Доступність (готовність) інформаційної сфери ССОП — здатність ССОП забезпечити користувачам узгоджені умови доступу до послуг, що надаються зв’язку й їх отримання, в тому числі і в умовах можливих дій порушника інформаційної безпеки на інформаційну сферу ССОП.

Захист інформації (ЗІ) — діяльність, спрямована на запобігання витоку інформації, що захищається, несанкціонованих і ненавмисних) впливів на захищає інформацію [ГОСТ З50922-96].

Захищеність інформаційної сфери ССОП — здатність ССОП до запобігання або виявлення та своєчасної ліквідації наслідків впливу порушника інформаційної безпеки на інформаційну сферу ССОП.

Інформаційна безпека ССОП (ІБ)

властивість [здатність] ССОП протистояти можливості реалізації порушником загрози інформаційної безпеки ССОП;
властивість [здатність] ССОП зберігати незмінними характеристики інформаційної безпеки — конфіденційність, цілісність, доступність та підзвітність інформаційної сфери ССОП в умовах можливих дій порушника.
Інформаційна інфраструктура ССОП — сукупність центрів зберігання, обробки і передачі інформації, каналів інформаційного обміну, ліній зв’язку, систем та засобів забезпечення інформаційної безпеки ССОП.

Інформаційно-безпечна [захищена] ССОП — мережа зв’язку загального користування, що забезпечує заданий рівень інформаційної безпеки ССОП по відношенню до заданого безлічі загроз інформаційної безпеки ССОП і заданий набір послуг інформаційної безпеки ССОП.

Інформаційні ресурси ССОП — сукупність збережених (використовуються для забезпечення процесів функціонування), обробляються і передаються даних, що містять інформацію користувачів або системи управління ССОП.

Інформаційна сфера ССОП — сукупність інформаційних ресурсів та інформаційної інфраструктури ССОП.

Інформаційні технології (ІТ) — прийоми, способи і методи застосування обчислювальної техніки, що використовуються при виконанні функцій зберігання, обробки, передачі і використання даних (інформації).

Якість служби інформаційної безпеки ССОП — гарантована сукупність визначених, вимірюваних і регульованих засобами ССОП параметрів запобігання, виявлення і ліквідації наслідки впливу порушника інформаційної безпеки.

Якість обслуговування ССОП в умовах можливих дій порушника — гарантована сукупність вимірюваних і регульованих засобами ССОП якісних характеристик функціонування ССОП, що характеризує заданий (узгоджений) рівень захищеності інформаційний сфери ССОП.

Конфіденційність інформаційної сфери ССОП — здатність ССОП забезпечити збереження підлягає захисту інформації інформаційної сфери ССОП від несанкціонованого ознайомлення.

Механізм забезпечення інформаційної безпеки [захисту] ССОП -апаратно-програмні та організаційні засоби системи забезпечення інформаційної безпеки ССОП, що реалізують, виходячи із заданої політики інформаційної безпеки ССОП, визначені рівні захисту інформаційної сфери ССОП у відповідності з одним із перекривають один одного етапів захисту: запобігання, виявлення і ліквідації наслідки впливу порушника інформаційної безпеки ССОП.

Моніторинг СОИБ ССОП — отримання і аналіз інформації про стан ресурсів системи забезпечення інформаційної безпеки ССОП з допомогою спеціальних засобів контролю в реальному масштабі часу.

Порушник інформаційної безпеки (порушник) — фізична або юридична особа, технічний пристрій або програма, процес або подію, суб’єкт або користувач ССОП, що проводять несанкціоновані або ненавмисні дії (операції) над інформаційною сферою ССОП, здатні привести до втрати однієї або більше характеристик інформаційної безпеки ССОП — конфіденційності, цілісності, доступності та підзвітності інформаційної сфери ССОП.

Забезпечення інформаційної безпеки ССОП — діяльність, спрямована на запобігання витоку інформації, що захищається інформаційної сфери ССОП, несанкціонованих або ненавмисних дій порушника інформаційної безпеки, на виявлення наслідків від не запобігли впливів порушника інформаційної безпеки та на ліквідацію наслідків впливу порушника інформаційної безпеки на інформаційну сферу ССОП.

Політика інформаційної безпеки ССОП — сукупність вимог і правил щодо забезпечення інформаційної безпеки ССОП для об’єкта інформаційної безпеки ССОП, розроблених у цілях протидії порушника інформаційної безпеки щодо реалізації загроз інформаційної безпеки ССОП з урахуванням цінності захищається інформаційної сфери та вартості системи забезпечення інформаційної безпеки ССОП.

Підзвітність інформаційної сфери ССОП — властивість, що дозволяє однозначно визначати дії, здатні призвести до порушень процесу забезпечення інформаційної безпеки, якого-небудь об’єкту в відношенні до іншого об’єкту.

Профіль захисту — незалежна від реалізації сукупність вимог інформаційної безпеки для конкретної категорії засобів (систем) зв’язку, спрямована на протистояння ідентифікованим загроз ІБ в межах певного середовища.

Ризик інформаційної безпеки ССОП — значення ймовірності та величина (характер) можливого збитку користувача, оператора або держави, отриманого порушником внаслідок реалізації загрози інформаційної безпеки ССОП.

Телекомунікаційні технології (ТТ) — методи, способи, протоколи і прийоми застосування засобів зв’язку та обчислювальної техніки, що використовуються для виконання функцій транспортування даних (інформації) між користувачами на великі відстані.
Примітка: При цьому під транспортуванням інформації у відповідності з МСЕ-Т розуміється не тільки функції переносу (передачі) інформації в просторі, але і такі мережеві функції, як моніторинг процесу переносу інформації, аудит і оперативне перемикання каналів і маршрутів, своєчасне відновлення порушеного процесу передачі інформації, управління мережами зв’язку, адміністрування та ін

Загроза інформаційної безпеки ССОП — можливий вплив порушника інформаційної безпеки на інформаційну сферу ССОП, не запобігання, не виявлення і не ліквідація наслідків якого засобами ССОП може призвести до погіршення заданого рівня якості служби або до погіршення заданих якісних характеристик функціонування ССОП і, як наслідок, до заподіяння шкоди державі, користувачеві або оператору зв’язку ССОП.
Примечаниие — результати аналізу наслідків впливу порушника з точки зору ризику інформаційної безпеки ССОП, до якого ці наслідки можуть призвести при їх запобігання, не виявлені і не ліквідації засобами захисту певної ССОП, є основою для складання списку найбільш небезпечних загроз інформаційної безпеки для даної ССОП.

Рівень інформаційної безпеки ССОП — сукупність вимог інформаційної безпеки ССОП, забезпечуваних введеними в ССОП засобами захисту.

Уразливість ССОП — недоліки технології процесу передачі даних і управління, засобів зв’язку, заходів і засобів забезпечення інформаційної безпеки ССОП, що дозволяють порушнику вчиняти дії, що призводять до успішної реалізації загрози інформаційної безпеки ССОП.

Цілісність інформаційної сфери ССОП — здатність ССОП запобігати несанкціоноване зміна інформаційної сфери ССОП або забезпечувати своєчасне відновлення процесу функціонування ССОП, порушеного внаслідок не предотвращенного впливу порушника інформаційної безпеки ССОП на інформаційну сферу ССОП.

Мета забезпечення інформаційної безпеки ССОП — сформульоване намір протистояти заданим загрозам інформаційної безпеки ССОП та/або задовольняти заданої політики інформаційної безпеки ССОП.

Перелік скорочень

ССОП мережа зв’язку загального користування
ВСС Взаємопов’язана мережа зв’язку Російської Федерації
ФОИВ Федеральний орган виконавчої влади Російської Федерації
ІБ-інформаційна безпека
ВН вплив порушника
НСД несанкціонований доступ
СОИБ система забезпечення інформаційної безпеки
Керівний документ РД
ТТ — телекомунікаційні технології
ПЕМІН — побічні електромагнітні випромінювання та наведення

Введення

Концепція інформаційної безпеки мереж зв’язку загального користування Взаємопов’язаної мережі зв’язку Росії (далі Концепція) розроблена Міністерством Російської Федерації по зв’язку та інформатизації, є офіційним документом, в якому визначена система поглядів на забезпечення інформаційної безпеки мереж зв’язку загального користування (ССОП) ВСС Росії.

Необхідність розробки Концепції обумовлена стрімким розвитком засобів впливу на інформаційно-телекомунікаційну інфраструктуру Російської Федерації на тлі відбувається глобалізації інформаційного простору та розширення сфери застосування новітніх інформаційних технологій і процесів.

Концепція розвиває положення Доктрини інформаційної безпеки Російської Федерації в області телекомунікацій.

Розвиток інформаційно-телекомунікаційних систем, інформаційних і телекомунікаційних технологій нерозривно пов’язане з проблемою інформаційної безпеки ССОП ВСС Росії, яка, будучи частиною світової інформаційно-телекомунікаційної системи, стала системоутворюючим чинником життя держави і суспільства, активно впливає на стан політичної, економічної, оборонної та інших складових національної безпеки Російської Федерації, і в ході технічного прогресу цей вплив буде зростати.

У Концепції викладено основні принципи, вимоги і завдання, що випливають з політики забезпечення інформаційної безпеки федерального органу виконавчої влади Російської Федерації (ФОИВ) в галузі зв’язку на ССОП ВСС Росії.

Концепція є основою для розробки комплексу організаційних і технічних заходів по забезпеченню інформаційної безпеки ССОП ВСС Росії, а також нормативних і методичних документів, що забезпечують її реалізацію ФОИВ в галузі зв’язку, і не передбачає підміни функцій державних органів влади Російської Федерації, відповідальних за забезпечення безпеки інформаційних технологій і захист інформації.

Область застосування Концепції поширюється на операторів зв’язку ССОП, незалежно від форм власності та відомчої належності.

Правову основу Концепції становлять: Конституція Російської Федерації; Концепція національної безпеки Російської Федерації; Доктрина інформаційної безпеки Російської Федерації; закони та інші правові та нормативні акти Російської Федерації.

1. Проблема забезпечення інформаційної безпеки ССОП ВСС Росії.

Процес глобалізації інформаційно-телекомунікаційних комплексів, впровадження на ССОП ВСС Росії телекомунікаційних технологій (ТТ), що реалізуються переважно на апаратно-програмних засобах закордонного виробництва, істотно загострили проблему залежності якості процесів транспортування інформації, від можливих навмисних і ненавмисних дій порушника (ВН) на передавані дані користувача, інформацію управління та апаратно-програмні засоби, що забезпечують ці процеси.

Збільшення обсягів збереженої і переданої інформації, територіальна розгалуженість мереж зв’язку призводять до нарощування потенційних можливостей порушника по несанкціонованому доступу до інформаційної сфері ССОП і впливу на процеси її функціонування.

Ускладнення застосовуваних технологій і процесів функціонування ССОП призводить до того, що апаратно-програмні засоби, що використовуються в ССОП, об’єктивно можуть містити ряд помилок і недекларованих можливостей, які можуть бути використані порушниками.

Відсутність у ССОП необхідних засобів захисту в умовах інформаційного протиборства робить ССОП та ВСС Росії в цілому вразливими від можливих ворожих акцій, недобросовісної конкуренції операторів зв’язку, а також кримінальних та інших протиправних дій.

У зв’язку з цим з’явилися принципово нові завдання, пов’язані з необхідністю:

захисту мереж (вузлів мережі і центру керування мережею) від несанкціонованого доступу користувачів до надаються мережею послуг зв’язку;
захисту системи управління ССОП (вузлів мережі і центру керування мережею, у тому числі підсистеми управління інформаційної безпеки від можливості несанкціонованого доступу до процесів управління на різних каналах доступу, із забезпеченням конфіденційності і цілісності інформації управління (команд, повідомлень та інформації маршрутизації), що циркулює в різних каналах зв’язку мережі, в умовах можливих навмисних дій порушника;
забезпечення заданого (гарантованого мережею) якості процесу передачі даних користувача (наприклад, достовірності переданих через мережу даних користувача) в умовах можливих навмисних дій порушника (ВН) на інформаційну сферу ССОП;
забезпечення своєчасного виявлення спроби блокування порушником процесу передачі даних користувача з локалізацією місця ВН і ліквідацією в заданий час наслідки ВН;
захисту інформаційної сфери ССОП від можливості активізації порушником шкідливих програм («закладок», «вірусів» і т. д. за допомогою спеціальних команд, що посилаються їм по різних «легальним» і «нелегальним» каналах доступу (в тому числі і по каналах зв’язку при сполученні з іншими мережами зв’язку, зокрема, з мережею Інтернет).
забезпечення можливості створення в ССОП надійного шляху (тракту) транспортування інформації (даних) для певної групи користувачів, у тому числі в умовах навмисних ВН на інформаційну сферу ССОП.
Забезпечення транспортних функцій ССОП в умовах можливих ВН на її інформаційну сферу пов’язано зі специфічними проблемами, що стосуються, в основному, до організації ефективного управління (на базі моніторингу стану мереж зв’язку) і взаємодією окремих апаратно-програмних засобів зв’язку ССОП, розосереджених на великих відстанях один від одного. Транспортування повідомлень по каналах зв’язку за допомогою засобів зв’язку ССОП (маршрутизаторів, комутаторів, центрів комутації пакетів і т. д.) пов’язана з необхідністю забезпечення основних характеристик якості обслуговування ССОП:

надійності доведення отриманого від відправника повідомлення до отримувача;
продуктивності;
інформаційної безпеки.
Забезпечення гарантованих якісних характеристик процесу передачі даних у ССОП або якості обслуговування ССОП в умовах можливих ВН на інформаційну сферу ССОП і складає основу проблеми забезпечення ІБ ССОП.

Рішення проблеми забезпечення ІБ ССОП пов’язано з необхідністю створення в ССОП системи забезпечення інформаційної безпеки (СОИБ) і повинно бути спрямоване на:

визначення системи поглядів на забезпечення інформаційної безпеки ССОП ВСС Росії в умовах інтеграції інформаційних і телекомунікаційних технологій, а також різних типів мереж і послуг, що надаються користувачам на цих мережах.
формування єдиної державної політики в області забезпечення ІБ при створенні, розвитку, модернізації і експлуатації ССОП;
вироблення підходів до забезпечення ІБ в умовах навмисних і ненавмисних дій порушника;
виявлення вразливостей в ССОП та здійснення комплексу адекватних та економічно обґрунтованих заходів щодо їх зниження, запобігання ВН і ліквідації наслідків цього впливу на інформаційну сферу ССОП;
координацію діяльності органів державної влади Російської Федерації і організацій щодо забезпечення ІБ ССОП;
створення системи державного регулювання в області забезпечення ІБ ССОП (ліцензування, сертифікації та атестації);
обґрунтування економічної доцільності забезпечення ІБ;
знаходження балансу між безпекою мережі і безпекою споживачів;
впровадження управління ризиками і страхування відповідальності операторів ССОП;
створення системи підготовки та перепідготовки кадрів в області забезпечення ІБ ССОП;
розроблення, вдосконалення і стандартизацію методів, способів, алгоритмів і вітчизняних засобів (механізмів) забезпечення ІБ ССОП;
розробку механізмів страхування інформаційних ризиків.
Основними цілями забезпечення ІБ ССОП є підтримка та збереження в умовах ВН на інформаційну сферу ССОП наступних основних характеристик ІБ ССОП:

конфіденційність інформаційної сфери ССОП, в т. ч. і конфіденційності інформації системи управління;
цілісності інформаційної сфери ССОП;
доступність інформаційної сфери ССОП;
підзвітності інформаційної сфери ССОП.
Забезпечення ІБ ССОП повинна досягатися комплексним використанням організаційних, технічних, апаратно-програмних і криптографічних засобів захисту інформаційної сфери ССОП, а також здійснення безперервного контролю за ефективністю реалізованих заходів щодо забезпечення ІБ ССОП.

Забезпечення ІБ ССОП передбачає створення перешкод для можливого несанкціонованого втручання в процес її функціонування.

У цьому сенсі проблема забезпечення ІБ ССОП включає в себе не тільки завдання захисту інформації від несанкціонованого доступу, але і ряд інших завдань, пов’язаних із забезпеченням процесів функціонування ССОП, зокрема, із забезпеченням узгодженого між оператором і користувачем ССОП якості обслуговування в умовах ВН на інформаційну сферу ССОП.

2. Стан інформаційної безпеки ССОП ВСС Росії

В процесі створення і розвитку ССОП ВСС Росії до них не висувалися вимоги щодо забезпечення гарантованого якості процесів функціонування мережі в умовах можливих навмисних інформаційних ВН на її інформаційну сферу.

Тим не менше, певні заходи щодо вирішення низки завдань, що входять у загальну проблему забезпечення ІБ ССОП, приймалися, але були спрямовані, в основному, на захист об’єктів зв’язку від НСД до збереженої і переданої інформації. Рішення зазначених завдань забезпечується існуючою нормативною правовою базою.

Інтенсивне впровадження на ССОП нових телекомунікаційних технологій і поява в них нових вразливостей істотно розширює можливості порушників по впливу на інформаційну сферу ССОП. Разом з тим впровадження нових технологій на ССОП не супроводжується адекватним розвитком:

методологічних засад забезпечення ІБ транспортних функцій ССОП;
нормативної правової бази забезпечення ІБ ССОП;
системи вимог щодо ІБ ССОП;
організаційної структури забезпечення ІБ ССОП;
вітчизняних засобів забезпечення ІБ ССОП;
наукових досліджень в області забезпечення ІБ ССОП;
системи підготовки кадрів.
3. Загрози інформаційної безпеки ССОП ВСС Росії

Загрози ІБ ССОП, як можливі небезпеки погіршення якості обслуговування користувачів в ССОП внаслідок дій порушника на інформаційну сферу ССОП, реалізуються через уразливості ССОП, можливо містяться в інформаційній сфері мережі. Будь-яка успішна атака порушника, спрямована на реалізацію загрози ІБ ССОП, неодмінно буде спиратися на отримані порушником знання про особливості побудови та вразливості ССОП.

Причинами появи вразливостей в ССОП можуть бути:

порушення технології процесу передачі інформації користувача;
порушення технології системи управління ССОП;
впровадження в об’єкти ССОП компонентів, що реалізують не декларовані функції;
впровадження в об’єкти ССОП програм, що порушують їх нормальне функціонування;
незабезпеченість реалізованими механізмами захисту ССОП заданих вимог до процесу забезпечення ІБ ССОП, або пред’явлення до механізмів захисту ССОП непродуманого набору вимог, роблять ССОП незахищеною;
внесення порушником навмисних вразливостей:
при розробці алгоритмів і програм ССОП;
при розробці захищених процедур, протоколів та інтерфейсів взаємодії користувачів, операторів та адміністраторів з апаратно-програмним забезпеченням ССОП;
при реалізації проектних рішень по створенню СОИБ ССОП, що роблять не ефективними реалізовані в СОИБ ССОП механізми захисту;
неадекватного реагування підсистеми управління СОИБ ССОП на інформаційні дії порушника в процесі експлуатації ССОП;
використання не сертифікованих відповідно до вимог безпеки вітчизняних і зарубіжних інформаційних технологій, засобів інформатизації і зв’язку, а також засобів захисту інформації і контролю їх ефективності і т. д.
Згідно з вищесказаним забезпечення інформаційної безпеки функціонування ССОП повинна базуватися на аналізі вразливостей, які можуть бути використані порушником для подолання системи захисту ССОП і, як наслідок, призводять до заподіяння певної шкоди користувачеві, оператору зв’язку або державі.

Проведення аналізу вразливостей ССОП та можливих ВН на інформаційну сферу ССОП дозволить визначити можливі наслідки ВН, які можуть призвести до погіршення якості обслуговування (якості процесу передачі даних користувача в ССОП), аналіз яких, у свою чергу, з точки зору ризику ІБ і можливого збитку до якого ці наслідки ВН можуть привести при їх запобігання, не виявлені і не ліквідації засобами ССОП, дозволить визначити список найбільш небезпечних наслідків ВН (загроз ІБ ССОП), захист від реалізації яких повинна бути забезпечена.

4. Порушники інформаційної безпеки ССОП ВСС Росії

В якості порушника ІБ ССОП можуть виступати фізичні особи та/або структури, дії яких можуть призвести до погіршення якості процесів функціонування ССОП.

ВН на інформаційну сферу ССОП можуть здійснюватися на технологічному та експлуатаційному етапах життєвого циклу ССОП.

На технологічному етапі порушниками можуть бути наукові та інженерно-технічні працівники, які беруть участь у процесі проектування, розробки, встановлення та налаштування програмно-апаратного забезпечення ССОП.

На експлуатаційному етапі порушники можуть бути «зовнішніми» по відношенню до ССОП або «внутрішніми», належать структурі ССОП.

Порушник на експлуатаційному етапі може здійснювати вплив на наступні об’єкти ІБ ССОП: центр управління мережею зв’язку, вузли ССОП (комутатори, маршрутизатори, шлюзи, цифрові автоматичні телефонні станції та ін), канали зв’язку ССОП та повідомлення (пакети, кадри, клітинки та ін), що містять інформацію або інформацію управління.

ВН можуть носити як умисно, так і ненавмисний характер. ВН на об’єкт ІБ можуть здійснюватися:

по зовнішніх лініях зв’язку;
по внутрішніх лініях зв’язку;
з робочих місць систем управління;
за не декларованим каналах доступу.
При цьому можуть використовуватися як штатні засоби мереж зв’язку, так і спеціальні засоби.

ВН на інформаційну сферу ССОП можна представити у вигляді дій, спрямованих на виявлення вразливостей ССОП, впливів, спрямованих на активізацію (використання) наявних вразливостей ССОП і дій, пов’язаних з внесенням вразливостей в ССОП.

На технологічному етапі життєвого циклу ССОП внесення вразливостей в інформаційну сферу ССОП можливе на наступних стадіях:

проектування із здійсненням вибору алгоритмів і технологій зберігання, обробки і передачі інформації, що ускладнюють або унеможливлюють реалізацію вимог ІБ;
вибору засобів захисту, не забезпечують вимоги ІБ ССОП.
На експлуатаційному етапі життєвого цикл ССОП порушник може внести уразливості, пов’язані з:

настройок і використанням програмно-апаратного забезпечення;
помилками розробки та реалізації політики національної безпеки;
помилками у реалізації організаційних методів захисту;
навмисним впровадженням у компоненти апаратно-програмного забезпечення «люків», «закладок» і «вірусів» і ін
Виявлення вразливостей на технологічному та експлуатаційному етапах життєвого циклу ССОП здійснюється порушником шляхом збирання відомостей, що дозволяють йому здійснювати несанкціоновані дії, спрямовані на погіршення характеристик ІБ.

Безпосередня активізація (використання) виявлених вразливостей здійснюється порушником на етапі експлуатації шляхом:

Використання спеціального обладнання зовнішніх або внутрішніх каналах зв’язку ССОП та здійснення з його допомогою:
порушення цілісності передаваних повідомлень, що містять інформацію управління або інформацію користувачів;
порушення конфіденційності інформації управління і параметрів передачі інформації користувачів;
формування команд активізації і використання функцій «закладок» і «вірусів», впроваджених в інформаційну сферу;
формування інформаційного впливу з метою отримання аутентифікаційних параметрів, що забезпечують доступ до інформаційної сфері об’єктів і мереж зв’язку;
несанкціонованої модифікації програмного забезпечення об’єктів і мереж зв’язку та порушення їх працездатності.
Встановлення спеціального обладнання канали мереж зв’язку для використання інформаційних «люків» або не задекларованих можливостей.
Використання кінцевого обладнання користувачів ССОП для отримання НСД до інформаційної сфері об’єктів і мереж зв’язку.
Використання радіоканалів для активізації «закладок» і «вірусів».
Використання робочих місць обслуговуючого персоналу.
5. Основні принципи забезпечення інформаційної безпеки ССОП ВСС Росії

Основою інформаційної безпеки ССОП ВСС Росії є СОИБ ССОП.

При розробці, створенні та експлуатації СОИБ ССОП необхідно керуватися наступними принципами:

Створення СОИБ ССОП, в першу чергу, має передбачати забезпечення базового рівня ІБ ССОП.
Додаткові вимоги ІБ ССОП в інтересах державного управління, оборони та охорони правопорядку в РФ оператор зв’язку забезпечує згідно з рішенням ФОИВ в галузі зв’язку на договірній основі.
Введення додаткових вимог ІБ ССОП в інтересах користувачів ССОП може здійснюватися самим оператором зв’язку у відповідності з вимогами користувачів на договірній основі.
Рівень ІБ ССОП повинен визначатися з урахуванням вимог федеральних органів виконавчої влади і користувачів ССОП.
Розробка СОИБ ССОП повинна здійснюватися на основі нормативних правових актів Російської Федерації і РД ФОИВ в галузі зв’язку.
Регулювання діяльності в області забезпечення ІБ ССОП здійснює ФОИВ в галузі зв’язку у взаємодії з Гостехкомиссией Російської Федерації, а також з ФАПСИ і ФСБ Російської Федерації.
Забезпечення ІБ ССОП повинна досягатися комплексним використанням всієї сукупності нормативних правових, організаційно-режимних, технічних, програмних і криптографічних методів захисту, а також організацією безперервного, всебічного контролю за ефективністю реалізованих заходів захисту.
Пропоновані технічні та програмні засоби захисту повинні відповідати вимогам ІБ, бути реалізовані на сучасному рівні розвитку науки і техніки, науково і технічно обґрунтовані, гарантувати заданий рівень ІБ ССОП.
У складі СОИБ ССОП повинні використовуватися тільки сертифіковані за вимогами ІБ ССОП механізми безпеки і засоби захисту.
Використання у складі ССОП імпортних технічних і програмних засобів зв’язку з урахуванням прийнятих заходів захисту не повинно погіршувати характеристики ІБ ССОП.
Проектування і створення механізмів безпеки та засобів захисту для ССОП в цілому повинно проводитися тільки організаціями, що мають ліцензію на цей вид діяльності.
Проектування СОИБ ССОП повинна здійснюватися, як правило, одночасно з проектуванням ССОП.
Рівні ІБ ССОП, методи, дії, процедури і вартість СОИБ ССОП повинні відповідати ступеню потенційної можливості нанесення шкоди державі, оператору або користувачеві ССОП певними діями порушника ІБ.
Політики безпеки, вимоги ІБ ССОП, процедури контролю якості процесів передачі інформації і їх відновлення в умовах ВН на інформаційну сферу повинні бути розроблені таким чином, щоб вони забезпечили можливість оцінки ступеня забезпечення ІБ ССОП.
Вжиті заходи забезпечення ІБ ССОП не повинні перешкоджати доступу правоохоронних органів у передбачених законодавством Російської Федерації випадках до інформації конкретних користувачів.
Вжиті заходи забезпечення ІБ ССОП повинні забезпечити відсутність шляхів обходу засобів захисту, в тому числі і «таємних входів в об’єкти ССОП.
СОИБ ССОП оператора зв’язку повинна забезпечити взаємодію з СОИБ системи управління ВСС Росії.
Забезпечення ІБ ССОП при взаємодії користувачів однієї або декількох мереж зв’язку повинно здійснюватися операторами зв’язку на основі єдиної технічної політики.
Своєчасне запобігання і ліквідація наслідків ВН повинні забезпечуватися узгодженими діями органів здійснюють координацію при взаємодії СОИБ, операторів зв’язку і користувача ССОП.
Методи, дії та процедури щодо забезпечення ІБ ССОП повинні бути скоординовані з заходами, діями та процедурами системи управління ССОП.
Стан, вимоги та методи забезпечення ІБ ССОП повинні відповідати змінам у періодичній переоцінці методів, засобів ВН, вимог щодо ІБ ССОП, і досягнутого вітчизняного і зарубіжного досвіду забезпечення ІБ ССОП.
У ССОП необхідно забезпечити контроль і облік ефективності СОИБ ССОП, а також вдосконалення критеріїв і методів оцінки ефективності СОИБ ССОП.
У функціонуванні СОИБ ССОП не повинно бути перерв у роботі, викликаних ремонтом засобів захисту, зміною паролів, відключенням електропостачання і т. п.
Доступ персоналу до захищених ресурсів повинен бути розмежований відповідно до виконуваних посадовими інструкціями (політикою ІБ).
6. Загальні вимоги по забезпеченню інформаційної безпеки ССОП ВСС Росії

З метою забезпечення ІБ ССОП, ФОИВ в галузі зв’язку з урахуванням стандартів та рекомендацій міжнародних організацій електрозв’язку розробляє загальні вимоги ІБ (базовий рівень ІБ), які є обов’язковими для всіх операторів ССОП ВСС Росії.

Розробка загальних вимог ІБ ССОП, наприклад, згідно з ГОСТ Р ІСО/МЕК 15408-2002 «Інформаційні технології. Методи забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій», повинна виходити із списку найбільш небезпечних загроз ІБ ССОП, отриманого на основі аналізу вразливостей ССОП (або політики інформаційної безпеки ССОП) і можливих ВН на інформаційну сферу ССОП з точки зору ризику ІБ і можливого збитку (користувача, оператора зв’язку або державі), який може бути нанесений ССОП появою того чи іншого наслідки ВН.

Загальні вимоги повинні включати:

вимоги щодо забезпечення ІБ ССОП;
вимоги при взаємодії ССОП між собою.
Вимоги щодо забезпечення ІБ ССОП повинні включати:

вимоги по забезпеченню взаємодії з користувачами;
вимоги щодо забезпечення інформаційної безпеки процесів функціонування мережі;
вимоги до взаємодії елементів мережі між собою;
вимоги до процесу управління ССОП;
вимоги до процесу моніторингу СОИБ ССОП.
Вимоги щодо забезпечення ІБ при взаємодії ССОП між собою повинні включати:

вимоги до взаємодії систем забезпечення ІБ один з одним;
вимоги щодо захисту інформаційних сфер кожної мережі від впливу