Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Концепция обеспечения информационной безопасности технологической сети связи, построенной на основе использования услуг связи GSM-операторов
Безкоровайный И.П.
Выпускник группы CISO-03
Школы ИТ-Менеджмента
РАНХиГС при Президенте РФ
В настоящее время в мире активно разрабатываются концепции повышения эффективности работы промышленности и инфраструктуры за счет применения интеллектуальных электронных систем – так называемых «умных сред».
«Умная среда» представляет собой электронную среду, способную получать и использовать информацию об окружающей реальности, а также приспосабливаться к нуждам пользователей для улучшения их взаимодействия с внешней средой» [1].
Ключевыми элементами «умной среды» являются сенсоры (датчики, актуаторы, различные исполнительные устройства) и сетевые технологии, которые объединяют устройства с компьютерными управляющими сетями.
Длительное время сотовые сети не представляли практического интереса в качестве транспорта для телематических систем. Улучшение зоны покрытия, внедрение GPRS и 3G, изменение тарифной политики операторов, которую удалось увязать с бюджетами корпоративных пользователей – все это привело к тому, что передача телематических данных по сотовым сетям стала экономически выгодной, и спрос на подобные услуги в корпоративном сегменте начал быстро расти. Снижение цены модуля передачи данных - на 30% за последние несколько лет - стало еще одним фактором развития рынка. Сегодня использование сетей стандарта GSM, как наиболее развитых и доступных для обеспечения функционирования начальной стадии «умных производств» во всем мире приобретает все более отчетливый характер.
Применить возможности сетей операторов GSM в интересах развития технологических сетей связи крупных корпораций, холдингов и компаний для обеспечения мобильной радиотелефонной связью сотрудников и их доступа в корпоративную систему передачи данных (КСПД), передачи данных в АСУ-ТП от различных М2М устройств – интересная и перспективная задача.
Основной задачей современной ведомственной или корпоративной сети связи является объединение функций передачи данных и технологической связи, включая обычную телефонную и диспетчерскую.
Развернутые на всей территории страны сети операторов сотовой связи могут помочь в решении вопросов «мобилизации» корпоративных сетей, создания на базе их услуг «умной среды» для обеспечения технологических процессов.
Большое количество абонентов радиотелефонной связи и М2М устройств предполагает возможность создания отдельной корпоративной «подсети» подвижной связи, которая должна обеспечивать:
- возможность взаимодействия абонентов всех регионов под единым планом короткой нумерации, независимо от используемой сети (GSM-сети любого оператора, имеющиеся технологические сети цифровой УКВ-радиосвязи, средства спутниковой связи, телефонная корпоративная сеть). Использование различных голосовых сервисов (бригадная связь, запись переговоров, переадресация и т.д.);
- возможность обмена данных между М2М устройствами и различными ведомственными АСУ в КСПД, доступ мобильных абонентов к КСПД;
- единый центр управления сетью, мониторинг состояния каналов;
- единый центр управления и поддержки абонентов.
Рабочее название – сеть подвижной технологической радиосвязи (СПТР).
Экономические и технологические аспекты создания такой корпоративной «подсети» подвижной связи проработаны.
Целью аттестационной работы является разработка концепции системы обеспечения информационной безопасности сети, конкретных мер по ее реализации.
В работе рассмотрены основные документы, регламентирующие информационную безопасность в области электросвязи. Ряд государственных стандартов Российской Федерации, полностью идентичных зарубежным стандартам в области управления информационной безопасностью, содержат прямую поддержку, детальное руководство и интерпретацию полных процессов цикла PDCA (планирование-осуществление-проверка-действие), включают в себя специальные руководящие принципы для системы менеджмента информационной безопасности (СМИБ) и могут быть использованы для проведения оценки соответствия.
В работе приведены основные принципы, по которым должна строиться система обеспечения информационной безопасности сети связи, ее архитектура и подсистемы, входящие в ее состав. Важной особенностью построения системы обеспечения информационной безопасности (СОИБ) сети связи является то, что ее элементы должны входить в состав всех подсистем сети связи (управления, мониторинга, тактовой синхронизации и т.д.). Инфраструктура сети связи – один их главных объектов действия СОИБ. Взаимосвязь жизненных циклов сети связи и ее СОИБ с этапами системы менеджмента информационной безопасности предполагают, что уже на этапе проектирования сети должны быть проработаны не только технические аспекты. Без проработки вопросов правового и организационного обеспечения ИБ уже на этапе проектирования сети связи составить и спроектировать технические меры защиты не представляется возможным.
Очень сложно определить границы разделения ответственности между обеспечением передачи информации и обеспечением ее защиты, функции по управлению сетью и функции по управлением системой защиты сети связи, так как зачастую они реализуются на одних элементах сети. Без проработки этих вопросов на ранних стадиях создания сети связи возможны «перекосы», которые будут способны вызвать или «дыру» в защите сети через делегирование лишних полномочий администраторам, управляющим ее функционированием, или, наоборот, коллапс управления сетью, если все полномочия будут с запасом отданы администратору безопасности. Наверно это одна из самых главных уязвимостей, которая должна приниматься во внимание при оценке рисков в процессе обеспечения менеджмента информационной безопасности.
Значительная часть защитных мер, применяемых на сети для минимализации угроз, относятся к организационному уровню и уровню физической безопасности. Спрогнозировать их действенность на этапе проектирования, а затем реализовать в ходе построения сети - очень важная задача.
Учитывая, что предлагаемая к созданию сеть подвижной технологической связи находится на стыке между ведомственной сетью связи и сетями беспроводной связи, которые, в первую очередь, представлены «операторами большой тройки GSM», можно предположить, что она взаимодействует с достаточно «доверенными средами», ввиду реализованных на них мерах информационной безопасности. Однако полностью исключить несанкционированный доступ к элементам СПТР нарушителя с их использованием не представляется возможным.
Именно поэтому на СПТР предполагается использовать описанные в работе дополнительные меры идентификации и наделения правами доступа абонентов, защиты конфиденциальности и целостности информации, доступности сети. Это ограничения по количеству попыток входа абонентов в систему, дополнительная идентификация на входе в СПТР, возможность использовать сертифицированные средства криптографической защиты информации (СКЗИ) для защиты передаваемой информации, возможность использования технологии CSD (Circuit Switched Data).
Предложено рассмотреть возможность использования в составе СПТР SIEM (Security Information and Event Management) системы и отдельной системы управления учетными записями администраторов, что позволит значительно снизить риски ИБ сети. Окончательное решение вопроса целесообразности их применения, выбор их типа может быть осуществлен конкретно на этапе проектирования СПТР. Исходные данные для такого проектирования будут выдвинуты непосредственно заказчиком. Именно он и должен определить, являются ли те меры обеспечения информационной безопасности сети подвижной технологической радиосвязи, которые заложены в ее «технологический концепт», достаточными или требуется их усиление.
Базовый набор мер защиты, рассмотренный в данной работе, позволит построить сеть связи с высоким уровнем обеспечения ИБ. После создания сети, на этапе ее приемки и тестовых испытаний, необходимо с использованием сканеров уязвимостей и других технических и программно-аппаратных средств проверить адекватность реализованнных на сети мер защиты. При необходимости - дополнить модель угроз и адаптировать под нее дополнительные или компенсирующие меры защиты.
Краткие выводы по работе:
- Рассмотрены основные документы, регулирующие менеджмент информационной безопасности в области электросвязи.
- Рассмотрены основные принципы, по которым должна строиться система обеспечения информационной безопасности сети связи, рекомендации по архитектуре и составу планируемой СОИБ.
- Рассмотрены основные технологические решения, которые будут заложены в основу проектирования сети подвижной технологической радиосвязи.
- Построена предварительная модель угроз для предлагаемой к применению сети подвижной технологической радиосвязи.
- Проанализированы заложенные предполагаемые технические решения построения СПТР с точки зрения обеспечения мер защиты для построенной модели угроз.
- Предложены дополнительные меры для обеспечения защиты СПТР от угроз информационной безопасности.
Концепция создания СОИБ, предложенная в работе, позволит не только обеспечить актуальность ее текущим угрозам, но и проводить непрерывный анализ возникающих в процессе жизненного цикла сети связи рисков ИБ, принимать адекватные меры к их снижению.
1. Cook D., Das S. Smart Environments. Technologies, protocols and applications.–
Hoboken NJ: Wiley-Interscience, 2005.–P. 3
- Войдите на сайт для отправки комментариев