Из ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения

ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения. Information protection. Providing the security of networks telecommunications. General provisions. УДК 001.4:025.4:006.354 ОКС 01.040.01 Т00. Редакция от 04.04.2022.

5.11.3 ГОСТ Р 52448-2005

5.11.3 Действия, не преследующие целей (хулиганство) - действия, не ставящие перед собой цели нанесения вреда конкретному физическому объекту или лицу [из 5.11.3 ГОСТ Р 52448-2005]

    5.12 ГОСТ Р 52448-2005

    5.12 Безопасность сети электросвязи характеризуется основными ее критериями:

    • конфиденциальностью инфокоммуникационной структуры сети электросвязи;
    • целостностью информации и услуг связи;
    • доступностью информации и услуг связи;
    • подотчетностью действий в сети.

    [из 5.12 ГОСТ Р 52448-2005]

      5.12.1 ГОСТ Р 52448-2005

      5.12.1 Под конфиденциальностью инфокоммуникационной структуры сети электросвязи понимают свойство, позволяющее ограничить несанкционированный доступ к инфокоммуникационной структуре сети электросвязи и (или) не раскрывать содержания информационных ресурсов сети неуполномоченным лицам, объектам или процессам.

      Нарушение конфиденциальности - несанкционированное раскрытие информации управления, персональных данных пользователей и др. [из 5.12.1 ГОСТ Р 52448-2005]

        5.12.2 ГОСТ Р 52448-2005

        5.12.2 Под целостностью информации и услуг связи понимают состояние сети электросвязи, при котором обеспечивается неизменность информации и доступность услуг связи для пользователей, независимо от преднамеренного или случайного несанкционированного ВН на инфокоммуникационную структуру сети, в том числе в чрезвычайных ситуациях.

        Нарушение целостности - несанкционированная модификация или разрушение информационных ресурсов и инфраструктуры сети электросвязи [из 5.12.2 ГОСТ Р 52448-2005]

          5.12.3 ГОСТ Р 52448-2005

          5.12.3 Под доступностью информации и услуг понимается способность сети электросвязи обеспечить пользователям согласованные условия доступа к предоставляемым услугам связи и их получение, в том числе в условиях возможных ВН на инфокоммуникационную структуру сети электросвязи.

          Нарушение доступности - нарушение доступа к использованию информации или услуг связи [из 5.12.3 ГОСТ Р 52448-2005]

            5.12.4 ГОСТ Р 52448-2005

            5.12.4 Под подотчетностью понимают свойство, которое обеспечивает однозначное отслеживание действий в сети любого объекта.

            Нарушение подотчетности - отрицание действий в сети (например, участие в совершенном сеансе связи) или подделка (например, создание информации и претензии, которые якобы были получены от другого объекта или посланы другому объекту).

            В таблице 2 показана взаимосвязь основных угроз и критериев безопасности сети электросвязи.

            Таблица 2 - Отображение взаимосвязи основных угроз и критериев безопасности

            Вид угрозы

            Критерии безопасности

            Конфиденциальность

            Целостность

            Доступность

            Подотчетность

            Уничтожение информации и (или) других ресурсов

            -

            +

            +

            +

            Искажение или модификация информации

            -

            +

            -

            +

            Мошенничество

            +

            +

            +

            +

            Кража, утечка, потеря информации и (или) других ресурсов

            +

            +

            +

            -

            Несанкционированный доступ

            +

            +

            +

            +

            Отказ в обслуживании

            -

            -

            +

            -

            Примечание - Знак (+) означает возможное воздействие угрозы на критерий безопасности, знак (-) означает отсутствие угрозы критерию безопасности [из 5.12.4 ГОСТ Р 52448-2005]

              5.13 ГОСТ Р 52448-2005

              5.13 Нарушение конфиденциальности, целостности, доступности или подотчетности при потенциальном воздействии нарушителя может иметь следующие последствия для деятельности оператора связи и состояние инфокоммуникационной структуры сети электросвязи:

              • «низкое» потенциальное воздействие может привести к ограниченному неблагоприятному эффекту;
              • «умеренное» потенциальное воздействие может привести к серьезному неблагоприятному эффекту;
              • «высокое» потенциальное воздействие может привести к тяжелому или катастрофическому неблагоприятному эффекту.

              В соответствии с используемой оператором связи методикой оценки рисков и с учетом вероятности возникновения угрозы и потенциального воздействия нарушителя по реализации данной угрозы должен определяться риск возможного нанесения ущерба сети электросвязи.

              Величина риска может классифицироваться тремя показателями, приведенными в таблице 3.

              Таблица 3 - Описание показателей величины возможного риска

              Уровень значения показателя «величина риска»

              Описание риска

              Незначительный

              Незначительные риски возникают, если атаки нарушителя на критические ресурсы являются маловероятными. Угрозы, причиняющие незначительные риски, не требуют противодействия.
              Риск считается допустимым

              Существенный

              Существенные риски для соответствующих ресурсов представлены угрозами, которые, вероятно, произойдут, даже если их воздействие является менее фатальным. Существенные риски должны быть минимизированы

              Критический

              Критические риски возникают, когда появляется угроза ущерба интересам оператора сети и когда не требуется больших усилий потенциальному нарушителю, чтобы навредить этим интересам.
              Критические риски должны быть минимизированы с самым высоким приоритетом

              [из 5.13 ГОСТ Р 52448-2005]

                5.14.1 ГОСТ Р 52448-2005

                5.14.1 Комплексности использования всей совокупности нормативных правовых актов, организационных и режимных мер, аппаратных, программных и программно-аппаратных методов защиты, обеспечивающих безопасное функционирование сетей электросвязи [из 5.14.1 ГОСТ Р 52448-2005]

                  5.14.2 ГОСТ Р 52448-2005

                  5.14.2 Защищенности сбалансированных интересов пользователей, операторов связи и органов государственного управления.

                  Интересы пользователей состоят в доверии к сети и предлагаемым услугам связи, в том числе доступности услуг (особенно экстренного обслуживания) в случае катастроф, включая террористические акты.

                  Интересы операторов связи заключаются в выполнении ими своих обязательств перед пользователями услугами связи и защите от посягательств на свои финансовые и деловые интересы.

                  Интересы органов государственного управления определяются необходимостью предъявления требований к безопасности сетей электросвязи, обеспечения соблюдения операторами связи предъявляемых им требований к безопасности, добросовестной конкуренции и защиты персональных данных пользователей [из 5.14.2 ГОСТ Р 52448-2005]

                    Страницы

                    Подписка на Из ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения