ПНСТ301-2018/ИСО/МЭК 24767-1:2008
ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙФЕДЕРАЦИИ
Информационные технологии
БЕЗОПАСНОСТЬ ДОМАШНЕЙ СЕТИ
Часть 1
Требования безопасности
Information technology. Home network security. Part 1.Security requirements
ОКС 35.110, 35.200,35.240.99
Срокдействия с 2019-02-01
до2020-02-01
Предисловие
Предисловие
1ПОДГОТОВЛЕН Федеральным государственным бюджетным образовательнымучреждением высшего образования "Российский экономическийуниверситет им.Г.В.Плеханова" (ФГБОУ ВО "РЭУ им.Г.В.Плеханова") наоснове собственного перевода на русский язык англоязычной версиимеждународного стандарта, указанного в пункте 4
2ВНЕСЕН Техническим комитетом по стандартизации ТК 22"Информационные технологии"
3УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства потехническому регулированию и метрологии от 4 сентября 2018 г. N38-пнст
4Настоящий стандарт идентичен международному стандарту ИСО/МЭК24767-1:2008* "Информационные технологии. Безопасность домашнейсети. Часть 1. Требования безопасности" (ISO/IEC 24767-1:2008,"Information technology - Home network security - Part 1: Securityrequirements", IDT)
________________
*Доступ к международным и зарубежным документам, упомянутым здесь идалее по тексту, можно получить, перейдя по ссылке на сайт . - Примечаниеизготовителя базы данных.
Правила применениянастоящего стандарта и проведения его мониторинга установлены вГОСТ Р 1.16-2011 (разделы 5 и6).
Федеральное агентствопо техническому регулированию и метрологии собирает сведения опрактическом применении настоящего стандарта. Данные сведения, атакже замечания и предложения по содержанию стандарта можнонаправить не позднее чем за 4 мес до истечения срокаего действия разработчику настоящего стандарта по адресу: 117997Москва, Стремянный переулок, д.36, ФГБОУ ВО "РЭУим.Г.В.Плеханова" и в Федеральное агентство потехническому регулированию и метрологии по адресу: 109074Москва, Китайгородский проезд, д.7, стр.1.
В случае отменынастоящего стандарта соответствующая информация будет опубликованав ежемесячном информационном указателе "Национальные стандарты" итакже будет размещена на официальном сайте Федерального агентствапо техническому регулированию и метрологии в сети Интернет(www.gost.ru)
Введение
ИСО (Международнаяорганизация по стандартизации) и МЭК (Международнаяэлектротехническая комиссия) образуют специализированную системувсемирной стандартизации. Государственные органы, являющиесячленами ИСО или МЭК, участвуют в разработке международныхстандартов посредством технических комитетов. Участие в разработкестандарта в конкретной области может принять любой заинтересованныйорган, являющийся членом ИСО или МЭК. Другие международныеорганизации, правительственные и неправительственные,контактирующие с ИСО и МЭК, также принимают участие в работе.
Вобласти информационных технологий ИСО и МЭК учредили Объединенныйтехнический комитет ИСО/МЭК СТК 1. Проекты международныхстандартов, подготовленные Объединенным техническим комитетом,рассылаются национальным комитетам на голосование. Публикация вкачестве международного стандарта требует утверждения не менее чем75% национальных комитетов, участвующих в голосовании.
Официальные решения илисоглашения МЭК и ИСО по техническим вопросам выражают, насколькоэто возможно, международное согласованное мнение по относящимся кделу вопросам, так как каждый технический комитет имеетпредставителей от всех заинтересованных национальных комитетов -членов МЭК и ИСО.
Публикации МЭК, ИСО иИСО/МЭК имеют форму рекомендаций для международного использования ипринимаются национальными комитетами - членами МЭК и ИСО именно втаком понимании. Несмотря на все приложенные усилия для обеспеченияточности технического содержания публикаций МЭК, ИСО и ИСО/МЭК, МЭКили ИСО не несут ответственности за то, каким образом онииспользуются или за их неправильную трактовку конечнымпользователем.
Вцелях обеспечения международной унификации (единой системы)национальные комитеты МЭК и ИСО обязуются обеспечить максимальнуюпрозрачность применения международных стандартов МЭК, ИСО иИСО/МЭК, насколько это позволяют государственные и региональныеусловия данной страны. Любое расхождение между публикациями ИСО/МЭКи соответствующими национальными или региональными стандартамидолжно быть четко обозначено в последних.
ИСО и МЭК непредусматривают процедуры маркировки и не несут ответственности залюбое оборудование, заявленное на соответствие одному из стандартовИСО/МЭК.
Все пользователи должныудостовериться в использовании последнего издания настоящейпубликации.
МЭК или ИСО, ихруководство, сотрудники, служащие или представители, включаяотдельных экспертов и членов их технических комитетов, а такжечлены национальных комитетов МЭК или ИСО не несут ответственностиза несчастные случаи, материальный ущерб или иной нанесенный ущерб,прямой или косвенный, или за затраты (включая судебные издержки),понесенные в связи с публикацией или вследствие использованиянастоящей публикации ИСО/МЭК или другой публикации МЭК, ИСО илиИСО/МЭК.
Особого внимания требуетнормативная документация, цитируемая в настоящей публикации.Использование ссылочных документов необходимо для правильногоприменения настоящей публикации.
Обращается внимание нато, что некоторые элементы настоящего международного стандартамогут быть объектом патентных прав. ИСО и МЭК не несутответственности за определение какого-либо или всех таких патентныхправ.
Международный стандартИСО/МЭК 24767-1 был разработан Подкомитетом 25 "Взаимосвязьоборудования информационных технологий" Объединенного техническогокомитета ИСО/МЭК 1 "Информационные технологии".
Перечень всех имеющихся внастоящее время частей серии ISO/МЭК 24767 под общим названием"Информационные технологии. Безопасность домашней сети" представленна сайте МЭК.
1Область применения
Настоящий стандартопределяет требования к защите домашней сети от внутренних иливнешних угроз. Стандарт служит основанием для разработки систембезопасности, защищающих внутреннюю среду от различных угроз.
Требования безопасностирассматриваются в настоящем стандарте относительно неформально.Несмотря на то, что многие вопросы, рассмотренные в настоящемстандарте, служат руководством по разработке систем безопасностикак внутренней сети, так и сети Интернет, они носят характернеофициальных требований.
Квнутренней (домашней) сети подключены различные устройства (см.рисунок 1). Устройства "сети бытовых приборов", "развлекательныеаудио-/видео-" устройства и устройства для работы с"информационными приложениями" имеют различные функции и рабочиехарактеристики. Настоящий стандарт содержит средства для анализарисков по каждому подключенному к сети устройству и определениятребований безопасности для каждого устройства.
2Термины, определения и сокращения
2.1Термины и определения
Внастоящем стандарте применены следующие термины и определения:
2.1.1 бытоваяэлектроника (brown goods): Аудио-/видеоустройства, которые восновном используются в развлекательных целях, например телевизорили DVD-рекордер.
2.1.2конфиденциальность (confidentiality): Свойство,обеспечивающее недоступность и неразглашение информациинеуполномоченным лицам, организациям или процессам.
2.1.3 аутентификацияданных (data authentication): Служба, используемая дляобеспечения корректной верификации заявленного источникаданных.
2.1.4 целостностьданных (data integrity): Свойство, подтверждающее, что данныене были изменены или уничтожены неразрешенным образом.
2.1.5 аутентификацияпользователя (user authentication): Сервис для обеспечениякорректной проверки идентификационной информации, представленнойучастником коммуникации, при том что служба авторизацииобеспечивает доступ идентифицированного и авторизованногопользователя к конкретному устройству или приложению домашнейсети.
2.1.6 бытоваятехника (white goods): Устройства, применяемые в повседневномобиходе, например кондиционер, холодильник и т.д.
2.2Сокращения
Внастоящем стандарте использованы следующие сокращения:
Аудио/видео - | аудиоустройства/визуальныеустройства; |
CD - | (Compact Disc)компакт-диск; |
DDoS - | (Distributed Denial ofService) распределенная атака типа "отказ в обслуживании"; |
DoS - | (Denial of Service) отказ вобслуживании; |
DRM - | (Digital Rights Management)управление цифровыми правами; |
DTV - | (Digital TeleVision) цифровоетелевидение; |
DVD - | (Digital Versatile Disc)компакт-диск / формата DVD; |
ESM - | (Externally Supported Multiplehomes HES) домашняя электронная система на несколько домов,управляемая третьей стороной; |
ESS - | (Externally Supported Singlehome HES) домашняя электронная система на один дом, управляемаятретьей стороной; |
HES - | (Home Electronic System)домашняя электронная система; |
ICT - | (Information and CommunicationTechnology) информационно-коммуникационные технологии (ИКТ); |
IP - | (Internet Protocol)интернет-протокол; |
IPSec - | (IP Security protocol)протокол безопасности интернет-протокола; |
IPv4 - | (Internet Protocol version 4)интернет-протокол, версия 4; |
IPv6 - | (Internet Protocol version 6)интернет-протокол, версия 6; |
IT - | (Information Technology)информационные технологии (ИТ); |
MPEG - | (Moving Picture Expert Group)стандартный способ упаковки полнометражных видеозаписей; |
OSS - | (Owner supported single homeHES) домашняя электронная система на один дом, управляемаявладельцем; |
PPC - | (Pocket Personal Computer)карманный персональный компьютер (КПК); |
PC - | (Personal Computer)персональный компьютер (ПК); |
TCP - | (Transmission ControlProtocol) протокол управления передачей; |
TLS - | (Transport Layer Security)протокол безопасности транспортного уровня; |
URL - | (Uniform Resource Locator)система унифицированных адресов ресурсов; |
VCR - | (Video Cassette Recorder)кассетный видеомагнитофон; |
VoIP - | (Voice over Internet Protocol)голосовая связь по интернет-протоколу. |
3Соответствие
Внастоящем стандарте содержатся методические указания без каких-либотребований соответствия.
4Требования безопасности внутренних домашних электронных систем исетей
4.1Общие положения
Сбыстрым развитием Интернета и связанных с ним сетевых технологийпоявилась возможность установки связи между компьютерами в офисах идомах с внешним миром, что обеспечивает доступ ко множествуресурсов. Сегодня технологии, которые стали основой этого успеха,достигли наших домов и обеспечивают возможность подключенияприборов так же, как и персональных компьютеров. Таким образом, онине только позволяют пользователям отслеживать и контролировать своибытовые приборы, находясь как внутри, так и вне дома, но исоздавать новые сервисы и возможности, например удаленноеуправление бытовой техникой и ее обслуживание. Это означает, чтообычная компьютерная среда дома преобразуется во внутреннююдомашнюю сеть, объединяющую множество устройств, безопасностькоторых также будет необходимо обеспечить.
Необходимо, чтобы жильцы,пользователи и владельцы как дома, так и системы, доверяли домашнейэлектронной системе. Цель безопасности домашней электронной системы- обеспечение доверия к системе. Поскольку многие компонентыдомашней электронной системы находятся в работе непрерывно, 24 часав день, и автоматически обмениваются информацией с внешним миром,информационная безопасность необходима для обеспеченияконфиденциальности, целостности и доступности данных и системы.Надлежащим образом реализованное решение по безопасностиподразумевает, например, что доступ к системе и сохраненным,поступающим и исходящим данным получают только авторизованныепользователи и процессы, и что пользоваться системой и вносить внее изменения могут только авторизованные пользователи.
Требования безопасностидля сети HES могут быть описаны несколькими способами. Этотстандарт ограничен ИТ-безопасностью сети HES. Тем не менее,безопасность информационных технологий должна выходить за рамкисамой системы, поскольку дом должен функционировать, хотя и сограниченными возможностями, в случае отказа ИТ-системы.Интеллектуальные функции, которые обычно поддерживаются сетью HES,могут выполняться также при разрыве связей системы. В таких случаяхможно понять, что существуют требования безопасности, которые немогут быть частью самой системы, но при этом система не должназапрещать реализацию резервных решений.
Существует ряд лиц,заинтересованных в вопросах безопасности. Домашней электроннойсистеме должны доверять не только жители и владельцы, но ипровайдеры услуг и контента. Последние должны быть уверены, чтопредлагаемые ими услуги и контент используются только разрешеннымспособом. Однако одной из основ безопасности системы является то,что отвечать за нее должен конкретный администратор службыбезопасности. Очевидно, что такая ответственность должна бытьвозложена на жителей (владельцев системы). Не имеет значения,занимается ли этим администратор лично или отдает на аутсорсинг. Влюбом случае ответственность несет администратор системыбезопасности. Вопрос доверия провайдеров услуг и контента кдомашней электронной системе и их уверенности в том, чтопользователи применяют их услуги и контент надлежащим образом,определяется договорными обязательствами между сторонами. Вдоговоре, например, могут быть перечислены функции, компоненты илипроцессы, которые должна поддерживать домашняя электроннаясистема.
Архитектура домашнейэлектронной системы различна для разных видов домов. Для любоймодели может существовать свой определенный набор требованийбезопасности. Ниже приведено описание трех различных моделейдомашних электронных систем с различными наборами требованийбезопасности.
Очевидно, что некоторыетребования безопасности более важны, чем остальные. Таким образом,понятно, что поддержка некоторых мер противодействия будетопциональной. Кроме того, меры противодействия могут различаться покачеству и стоимости. Также для управления и поддержания таких мерпротиводействия могут потребоваться различные навыки. В данномстандарте сделана попытка разъяснить мотивы перечисленныхтребований безопасности и тем самым позволить разработчикамдомашней электронной системы определить, какие функции безопасностидолжна поддерживать конкретная домашняя система, а также, с учетомтребований по качеству и усилий по обеспечению управления иобслуживания, какой механизм следует выбрать для таких функций.
Требования безопасностивнутренней сети зависят от определения безопасности и "дома", атакже от того, что понимается под "сетью" в этом доме. Если сеть -это просто канал, соединяющий отдельный ПК с принтером иликабельным модемом, то для обеспечения безопасности домашней сетидостаточно обеспечить безопасность этого канала и оборудования,которое он соединяет.
Однако если в доменаходятся десятки, если не сотни, объединенных в сеть устройств,при этом некоторые из них относятся к домохозяйству в целом, анекоторые принадлежат находящимся в доме людям, понадобитсяпредусмотреть более сложные меры безопасности.
4.2Безопасность домашней электронной системы
4.2.1 Определениедомашней электронной системы и безопасности системы
Домашнюю электроннуюсистему и сеть можно определить как набор элементов, которыеобрабатывают, передают и хранят информацию, а также управляют ею,обеспечивая связь и интеграцию множества компьютерных устройств, атакже устройств управления, контроля и связи, находящихся вдоме.
Кроме того, домашниеэлектронные системы и сети обеспечивают взаимосвязь развлекательныхи информационных устройств, а также приборов связи и безопасности,и имеющейся в доме бытовой техники. Такие устройства и приборыбудут обмениваться информацией, ими можно управлять иконтролировать их, находясь в доме, либо удаленно. Соответственно,для всех внутренних домашних сетей потребуются определенныемеханизмы безопасности, защищающие их повседневную работу.
Безопасность сети иинформации можно понимать как способность сети или информационнойсистемы на определенном уровне противостоять случайным событиям илизлонамеренным действиям. Такие события или действия могут поставитьпод угрозу доступность, аутентичность, подлинность иконфиденциальность сохраненных или переданных данных, а такжесвязанных с ними сервисов, предлагаемых через такие сети исистемы.
Инциденты информационнойбезопасности можно объединить в следующие группы:
-электронное сообщение может быть перехвачено, данные могут бытьскопированы или изменены. Это может стать причиной ущерба,причиненного как путем нарушения права личности наконфиденциальность, так и путем злоупотребления перехваченнымиданными;
-несанкционированный доступ к компьютеру и внутренним компьютернымсетям обычно выполняется со злым умыслом на копирование, изменениеили уничтожение данных и может распространяться на автоматическоеоборудование и системы, находящиеся в доме;
-вредоносные атаки в сети Интернет стали вполне обычным явлением, ав будущем более уязвимой может также стать телефонная сеть;
-вредоносное программное обеспечение, такое как вирусы, можетвыводить из строя компьютеры, удалять или изменять данные, либоперепрограммировать бытовую технику. Некоторые атаки вирусов быливесьма разрушительными и дорогостоящими;
-искажение информации о физических или юридических лицах может статьпричиной значительного ущерба, например клиенты могут скачатьвредоносное программное обеспечение с веб-сайта, маскирующегося поддоверенный источник, могут быть расторгнуты контракты, аконфиденциальная информация может быть направлена ненадлежащимполучателям;
-многие инциденты информационной безопасности связаны снепредусмотренными и непреднамеренными событиями, напримерстихийными бедствиями (наводнениями, штормами и землетрясениями),отказами аппаратного или программного обеспечения, а также счеловеческим фактором.
