Вопрос 37: Рекомендация
ITU-T X.1051. Разр. и тех. обсл.
сист.: треб к без. сист.электросвязи, без. в прилож.,
крипт. средства упр.
Цель: гарантировать,
что средства обеспечения безопасности встроены в системы электросвязи.
Требования к бизнесу электросвязи для новых систем или для усовершенствования
существующих систем должны определять требования к средствам управления.
Требования к безопасности и средства управления должны отражать ценность для бизнеса участвующих массивов информации и потенциальный ущерб бизнесу, который может быть причинен в случае отказа или отсутствия безопасности.
Системные требования к информационной безопасности и процессы реализации безопасности должны объединяться на ранних этапах проектирования информационной системы.
Структура анализа требований к безопасности и определения
средств управления, их удовлетворяющих, основывается на определении риска и
управлении риском.
Цель: предотвратить
потери, несанкционированное изменение или неправильное использование данных в
прикладных системах.
Следует проверять правильность входных данных приложений,
чтобы гарантировать их правильность и уместность.
Проверки должны применяться к вводу деловых транзакций,
постоянных данных (например, имен и адресов клиентов, кредитных лимитов,
справочных номеров клиентов) и таблиц параметров (например, ставка платы за
разговор, курс обмена валюты, ставки налогов).
Выходные данные приложений должны проверяться на правильность, чтобы гарантировать, что обработка накопленной информации ведется правильно и соответствует обстоятельствам.
Проверка правильности выходных данных должна охватывать:
– проверки правдоподобности с целью определения обоснованности выходных данных;
– предоставление достаточной информации для читателя или для последующей системы обработки, чтобы определять правильность, полноту, точность и классификацию этой информации;
–
процедуры ответа на проверку правильности
выходных данных.
Цель: защитить
конфиденциальность, аутентичность или целостность информации.
Организация электросвязи должна разработать политику
применения ею криптографических средств контроля для защиты ее информации.
При разработке политики должны
рассматриваться следующие вопросы:
– подход системы управления к использованию криптографических средств контроля во всей организации электросвязи;
– подход к управлению ключами, включая методы защиты криптографических ключей и восстановления зашифрованной информации в случае потери, компрометации или повреждения ключей;
– роли и ответственность за реализацию криптографической политики;
– как должен определяться подходящий уровень криптографической защиты;
–
влияние применения зашифрованной информации на
средства контроля, использующие методы сканирования содержимого (например,
обнаружение вируса во время связи).
Шифрование должно применяться для защиты конфиденциальности
конфиденциальной или критичной информации.
Следует установить необходимый уровень защиты, основываясь
на определении риска и учитывая тип и качество используемого алгоритма
шифрования, а также длины применяемых криптографических ключей. При реализации
криптографической политики следует учитывать нормы и национальные ограничения,
которые могут повлиять на применение криптографических методов в различных
частях света и на пропуск трансграничных потоков зашифрованной информации.
Кроме того, следует провести рассмотрение руководящих документов, которые
применяются к экспорту и импорту криптографической технологии.
Управление ключами должно применяться для обеспечения
использования криптографических методов в электросвязи.
Все ключи должны быть защищены от изменений и разрушений, а секретные и личные ключи нуждаются в защите от несанкционированного раскрытия. Для защиты оборудования, используемого для генерирования, хранения и архивирования ключей, должна быть использована физическая защита.
Содержимое соглашений об уровне обслуживания или договоров с
внешними поставщиками криптографических услуг, например, с органом
сертификации, должно охватывать вопросы ответственности и надежности служб, а
также время ответа при предоставлении услуг.