5. Принципы и требования обеспечения информационной безопасности сети 5G/IMT-2020, основанных на применении российских криптографических алгоритмов и аппаратных средств, в том числе отечественных USIM-карт с доверенным ПО и ключами, российской системы обеспечения и управления ключами отечественного доверенного абонентского и сетевого оборудования и ПО, обеспечивающих устойчивость функционирования разрабатываемого оборудования и доступность разрабатываемой сети связи

Настоящий раздел разработан на основе анализа данных об организации информационного обмена, построении и функционировании системы управления, а также об архитектуре сетей связи 5G/IMT-2020, изложенных в стандартах и спецификациях консорциума 3GPP (TS 33.501, TS 23.401, TS 23.502, TS 33.310), IEFT (RFC 5810, IETF RFC 5440) и ряде других публикаций профильных международных организаций.

Согласно указанным документам сеть связи 5G состоит из следующих основных компонентов:

- абонентского оборудования с USIM-картами,

- сети радиодоступа (RAN), включая сеть backhaul и fronthaul <1>,

--------------------------------

<1> Классическая транспортная сеть мобильной сети связи состоит из двух основных частей: распределительной сети (Backhaul), связывающей базовые станции с функциональными элементами опорной сети, и магистральной сети, обеспечивающей высокоскоростные каналы связи между функциональными элементами опорной сети.

Переход на облачную архитектуру радиодоступа C-RAN выделил в сети Backhaul два новых сегмента: сеть Fronthaul, объединяющей пулы радиомодулей gNB-RU и распределенные модули gNB-DU, а также сети Midhaul, объединяющей пулы распределенных модулей gNB-DU и центральные модули gNB-CU. Таким образом, базовая станция в общем случае может включать модули CU, DU и RU.

- ядра сети (5GC).

На основании имеющихся сведений об архитектуре сети была разработана модель нарушителя для сетей связи 5G/IMT-2020, в которой сформулирован перечень основных угроз информационной безопасности и определены аппаратно-программные объекты защиты, влияющие на конфиденциальность, целостность и доступность информации, обрабатываемой в этих сетях, а именно:

1) оборудование центра изготовления ключей,

2) оборудование изготовления и программирования USIM-карт,

3) USIM-карты (eSIM),

4) средства аутентификации абонентов,

5) ЦОД различного уровня с серверным оборудованием и оркестраторами,

6) SDN контроллеры,

7) коммутаторы,

8) базовые станции с модулями (CU, DU, RU),

9) абонентские устройства (UE).

Обеспечение информационной безопасности сети связи 5G/IMT-2020, согласно принципам, заложенным в действующих спецификациях и рекомендациях, основано на следующих подходах с применением зарубежных криптографических алгоритмов, в том числе:

1) Применение протоколов аутентификации и согласования ключей для взаимной аутентификации абонентского оборудования с сетью 5G (протоколы 5G-AKA и EAP-AKA').

2) Обеспечение абонентским устройством (UE) и базовой станцией (gNB) обязательной поддержки шифрования и контроля целостности абонентского и сигнального RRC трафика от UE до gNB, и обязательной поддержки шифрования и контроля целостности сигнального NAS трафика от UE до функции управления доступом и мобильностью (AMF). Шифрование и контроль целостности осуществляется применением базовых алгоритмов SNOW 3G, AES, ZUC.

3) Использование скрытого идентификатора абонента SUCI и глобального временного уникального идентификатора абонента 5G-GUTI для обеспечения конфиденциальности личности абонента.

4) Применение защиты интерфейсов базовых станций и формирование сетевого домена безопасности.

5) Реализация обеспечения информационной безопасности в общей архитектуре сети, на основе криптографических механизмов, заложенных в сетевых функциях AUSF, SEAF, ARPF, SCMF, SPCF, SIDF.

6) Применение архитектуры "Network slicing", обеспечивающей изоляцию различных слоев сети с определением для каждого из них собственного уровня безопасности.

7) Обеспечение возможности реализации криптографической защиты конечными сервисами (V2X, IoT, IMS, и др.), функционирующими поверх сетей 5G.

8) Поддержка протокола TLS для взаимного защищенного обмена информацией между функциями ядра сети 5G.

9) Применение защиты сигнального и пользовательского трафика между базовой станцией eNb сети 4G-LTE и базовой станцией gNb сети 5G ("Option 3" сценария миграции 4G к 5G).

Анализ перечисленных подходов к обеспечению информационной безопасности показывает, что они основаны на применении иностранных криптографических алгоритмов. Целесообразно, при создании и развитии сетей 5G/IMT-2020 на территории Российской Федерации внедрять механизмы обеспечения информационной безопасности в указанных сетях отечественные криптографические алгоритмы.

Наряду с использованием отечественных криптографических алгоритмов информационная безопасность сетей 5G/IMT-2020 должна гарантироваться применением доверенного программного обеспечения (ПО) и доверенной электронной компонентной базы (ЭКБ).

Учитывая сложность внедрения российских криптоалгоритмов в спецификации международных стандартов, на ранних этапах развития сети 5G в Российской Федерации видится необходимым применение отечественных криптографических решений в ключевых элементах сети: SIM-картах, оборудовании изготовления ключей, оборудовании аутентификации абонентов.

Дальнейшее повышение уровня информационной безопасности должно вестись путем планомерной работы по увеличению доли доверенного ПО и ЭКБ, а также внедрения российских криптоалгоритмов в спецификации международных стандартов.

Помимо этого, для обеспечения безопасности в сетях 5G должны быть реализованы:

- защита от несанкционированного доступа к ключевой и критически важной информации,

- обеспечение устойчивости функционирования, включая противодействие недокументированному функционалу в ПО, недекларированным возможностям ЭКБ, использование доверенного времени и т.д.,

- разграничение сегментов сети с применением межсетевых экранов,

- защита от компьютерных атак, в том числе DDoS-атак, с применением средств обнаружения и предупреждения компьютерных атак,

- защита от проникновения вредоносного ПО, включая средства антивирусной защиты,

- обеспечение технической готовности к защищенному обмену с субъектами ГосСОПКА,

- средства отладки и разработки программно-технических комплексов, обеспечивающие безопасность информации при использовании информационной инфраструктуры 5G/IMG-2020,

- выполнение требований ГОСТ 56939-2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования".

- обеспечение целостности программного обеспечения, настроек и конфигураций,

- обеспечение защиты каналов управления.

Важной составляющей обеспечения информационной безопасности является наличие сформированной нормативной базы, по вопросам обеспечения информационной безопасности в сетях связи 5G. Анализ действующей нормативных документов по указанным вопросам выявил необходимость их доработки в части формирования стандартов и методик обеспечения информационной безопасности сетей 5G в рамках деятельности Федерального агентства по техническому регулированию и метрологии (Росстандарта), серии документов ГОСТ Р 53109, с последующим выборочным закреплением их в нормативной базе отрасли "связь". В число задач, требующих решения по данному направлению, должна быть включена разработка следующих документов:

- типового комплекса организационных мер защиты сетей связи;

- политики обеспечения безопасности сетей связи;

- методик проведения аудита информационной безопасности;

- методик обработки и анализа инцидентов;

- рекомендаций по обеспечению управления персоналом;

- рекомендаций по обеспечению безопасной эксплуатации;

- требований по обеспечению непрерывности функционирования сетей - связи;

- типовых требований по обеспечению физической безопасности;

- типовых политик конфиденциальности;

- типового порядка архивного хранения документированной информации.

Для решения задачи обеспечения информационной безопасности в сетях 5G, с учетом рассмотренных подходов и принципов, необходимо создание линейки средств криптографической защиты информации (СКЗИ) и межсетевых экранов (МЭ) соответствующих классов защиты. Указанные СКЗИ должны разрабатываться и производиться в соответствии с "Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)", утвержденного постановлением Правительства Российской Федерации от 16 апреля 2012 г. N 313, и "Положением о разработке, производстве и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрированного в Минюсте России 3 марта 2005 г. N 6382, а межсетевые экраны в соответствии с действующими требованиями к МЭ."

Требования, предъявляемые к отечественному оборудованию, предназначенному для защиты оборудования сети пятого поколения приведены ниже.

--------------------------------

<2> Должны удовлетворять требованиям, утвержденным Постановлением Правительства РФ от 17 июля 2015 года N 719, в части требований к интегральным схемам не ниже второго уровня.

Примечание: предлагаемый класс защищенности определяется согласно рекомендациям Р 1323565.1.012-2017 "Информационная технология. Криптографическая защита информации, Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации".

Для обеспечения последовательного внедрения отечественных решений по обеспечению информационной безопасности сетей 5G в Российской Федерации предлагается следующий план мероприятий.

На первом этапе необходимо обеспечить разработку оборудования центра изготовления ключей, USIM-карт, оборудования для изготовления USIM-карт и программирования, средств аутентификации абонентов, которые обеспечат возможностью формирования ключевой информации с соблюдением требований информационной безопасности, а также формирование сессионных ключей для процедур аутентификации абонентов.

На втором этапе предполагается внедрить отечественные криптоалгоритмы в функции шифрования и контроля целостности абонентских данных и сигнальных сообщений, путем включения их в профильные спецификации ассоциации 3GPP, для обеспечения возможности их взаимоувязанной реализации всеми производителями сетевых узлов и абонентских устройств. Успешное массовое внедрение поддержки новых криптографических алгоритмов в наиболее актуальных сегментах сети 5G невозможно без включения таких алгоритмов в профильные спецификации ассоциации 3GPP.

На втором и третьем этапе предполагается поэтапная разработка отечественных программных и программно-аппаратных решений и их внедрение. Данный подход позволит по мере доступности отечественной ЭКБ реализовать критически важные функции обеспечения безопасности компонентов аутентификации и данных пользователя.

На третьем этапе предполагается создание и внедрение отечественного программного обеспечения всех основных сетевых функций ядра сети с целью снижения рисков реализации недекларированных возможностей программного обеспечения.

На четвертом этапе мероприятий, завершить создание отечественных реализаций аппаратных и программных платформ виртуализации и управления инфраструктурой сети. Наличие отечественной платформы виртуализации и управления инфраструктурой позволит гарантировать отсутствие недекларированных возможностей, как на программном, так и аппаратном уровне.

На пятом этапе, разработать доверенные абонентские устройства и создать доверенное ПО центрального модуля базовой станции (gNB-CU).

На шестом этапе, осуществить миграцию компонент сети 5G с импортных серверов общего пользования, на сервера общего пользования российской разработки, на базе доверенной ЭКБ, по мере их готовности.