Biztonsági Szabvány útmutató A Távközlés Számára

A Hétpecsét Biztonsági Egyesület márciusi, 60. összejövetelén ismertette Móricz Pál ügyvezető igazgató (Szenzor Gazdaságmérnöki Kft.) az ISO 2700-as szabványcsalád távközlési szervezeteknek szóló infobiztonsági útmutatóját.

Az ISO 27000 szabványcsalád elemeinek ismertetésében ez az útmutató (nem leíró) szabvány volt az utolsó fejezet.

A vonatkozó szabvány címe: ISO/IEC 27011:2008 (ITU-T Recommendation X.1051)

Information technology – Security techniques – Information security management guidelines for telecommunication organizations based on ISO/IEC 27002

Információtechnológia – Biztonságtechnikák – Információbiztonság menedzsment útmutató telekommunikációs szervezetek számára az ISO/IEC 27002 alapján

A szabvány alkalmazási területe:

Útmutató telekommunikációs szervezeteknél ISMS bevezetés támogatására

Bevezetés

A távközlés nagyon sok információt kezel, nagyon sok, speciális biztonsági kérdés merül fel, ezért a korábban tárgyaltakon túl, további biztonsági jellemzőkkel kell számolni, ezek:

Bizalmasság: kiterjed az átvitt információ létére, tartalmára, forrására, elosztására, dátumára, idejére is.

A távközlésben nem csak az ügyfél, ill. a szolgáltató saját bizalmassági kérdéseiről van szó. Nem csak a tartalom védendő, melyet hordoz a telekommunikáció, hanem maga a kommunikáció ténye, a kommunikáló feleket érintő adatok (kivel, mikor, hogyan működtem együtt) kinek).

Sértetlenség: info-hitelesség, pontosság, teljesség, függetlenül az átvitel módjától

Az információ a feladótól sértetlenül jusson el a címzetthez, egy meghatározott kommunikációs csatornán, legyen az vezetékes, vezeték nélküli (beleértve a műholdas átvitelt is).

Rendelkezésre állás: hitelesített hozzáféréssel, létfontosságú kommunikáció vészhelyzetben, törvényi megfelelés.

A jogosult számára kell biztosítani a rendelkezésre állást. Vannak kritikus kommunikációs elvárások, amelyek prioritást élveznek. Pl. a mentőket akkor is tudjam hívni, ha nem fizettem be az előfizetési díjat.

A követelmények, kockázatok, kontrollok az alkalmazott technológiától függenek

Gyakran kapcsolódó szolgáltatásokkal kell számolni – megszokott a több szereplős együttműködés. Pl. egy felhő szolgáltatónál más az üzemeltetője a hardver elemeknek, esetleg más adja a telephelyet, más adja az internetet és más a szolgáltatást, s ezek egy csomagban jelennek meg, ami speciális követelményeket támaszt.

A területre vonatkozó fogalmak:

Kollokáció (pl. egyik telefon szolgáltató betelepül egy másiknak a szolgáltatói környezetébe), kommunikációs központ, kommunikáció titkosság, személyes infó, hívásfontosság, telekommunikációs piac, szervezet, szolgáltatás, szolgáltatás megrendelő, szolgáltatás felhasználó, telekommunikációs alkalmazás, eszköz, feljegyzés, telekommunikációs eszköz helyiség, végberendezés

Az alkalmazott rövidítések:

ADSL, ASP, CATV, CERT, Ddos, DoS, ISAC, ISMS, NGN, NMS, OAM&P, PIN, PSTN, SÍP, SLA, SOA, UPS, URL, VoIP

Áttekintés

A szabvány felépítése megegyezik a 27002-es szabvány felállásával (5-15 számú fejezetek és bontásuk)

„27002 kontroll alkalmazandó" vagy

kontroll, bevezetési útmutató, telekom útmutató, egyéb infó, telekom egyéb infó

A szokásos meghatározások az ISMS telekommunikációs üzletágban is:

cél

biztonság szempontok

védendő vagyonelemek

ISM kialakítás (követelmények, kockázatfelmérés, kontroll kiválasztás, bevezetés esetén a kritikus sikertényezők)

Példák telekom kiegészítésre

A titoktartási nyilatkozat tartalma speciális távközlési szempontokat vesz figyelembe, ami függ a szervezeten belül funkciótól (6.1.5). Pl., a rendszergazdának más titoktartási nyilatkozat van, mint más felhasználónak, pl. egy adat-gazdának, aki bizonyos területekért felelős.

Vevői és 3. fél (szállító) esetén is megállapodások szólnak a szolgáltatásokról, elérhetőségről/ hozzáférésről, határokról, specifikációról (6.2.2 és 6.2.3). Tudni kell, hogy mi a szolgáltatás, amelyet a szolgáltató nyújt, az milyen hozzáféréseket, eléréseket engedélyez egyik és másik számára, milyen a felelősség-megosztás, stb.

Információs vagyonelem lehet pl. a hívásinfó, a vevő-infó, a hívástartalom, a számlázás-infó, ill. az internet, bérelt vonal, ADSL, tartalom szolg., adatközpont, ASP, stb. (7.1.1) Ezeket mind számba kell venni, akár szolgáltatásként, akár fizikai megvalósítási eszközként.

Mit logoljunk, gazdaságos keretek között; fel kell mérnünk, mire érdemes odafigyelni, lista készül az audit log-elemekre, lehetnek megőrzési és törlési követelmények (10.10.1)

Érzékeny alkalmazást 3 generációig kell megőrizni, érzékeny rendszeren alkalmazás-, és operációs rendszer váltáskor mindig teljes lefedettségű tesztet kell végrehajtani (12.4.1)

Az SLA sértés, nagyságától függetlenül incidensnek számít, kell eljárás az eszkalációra, kezelésre (13.2.1)

Folytonossági esemény bérelt területi elhelyezés esetén területi veszély miatti kiürítés (14.1.2), pl. bérelt irodaházban bombariadó esetén kiürítéskor folytonossági incidensnek számít.

„A" melléklet: + kontrollok

A.9.1.7/8 Komm. központ, telekom eszköz helyiség védelme külön kezelendő, elkülönülő egység esetén biztonsága önállóan kezelendő

A.9.3.1/2/3 Harmadik fél által felügyelt biztonság (berendezés, helyszín, összekapcsolási szolgáltatás) pl. amikor a távközlés-szolgáltatók saját fogadó állomásukat saját felügyeletük alatt tartják és betelepítik a szerver-szobába az internet fogadó egységet, ilyenkor más felügyelete alatt van az eszközünk. Ez egy önálló, második szintű kontroll csoportot jelent a szabványban.

A.10.6.3 Telekom szolgáltatás-biztonság menedzsment

A.10.6.4/5 Válasz a SPAM-re, DoS/DDoS válasz

A.11.4.8. Hálózat-hozzáférésnél a telekom vállalkozó azonosítása és hitelesítése. Biztosítani kell, hogy a felhasználó azonosítani tudja, milyen szolgáltatóval áll kapcsolatban.

A.15.1.7 Kommunikáció titkossága; jogilag mit lehet titkosítani, ill. milyen jogszabály írja elő, hogy kinek kell esetleg kibonthatóvá tenni az én titkosításomat nemzetbiztonsági törvények szerint.

A.15.1.8 A létfontosságú kommunikáció minden körülmények közötti biztosítása

A.15.1.9 Vészhelyzeti intézkedések jogszerű ellátása, jogszabályok szerint

„B" melléklet: további bevezetési útmutató

Kibertámadások elleni hálózatbiztonsági eljárások:

hálózati eszközök védelme

forrás-megszemélyesítés elleni eljárás

a szolgáltatás-felhasználó figyelmének felhívása

Hálózatbiztonsági eljárások hálózat túlterhelésre

hálózat-túlterhelés észlelése, a korlátozás mechanizmusai

további információgyűjtés (mi lehet a túlterhelés oka)

ideiglenes teljesítmény-növelési eljárás

létfontosságú kommunikáció-azonosítás és annak elsőbbsége