ГОСТ Р 59162-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 6. Обеспечение информационной безопасности при использовании беспроводных IP-сетей

9.2 Контроль и реализация шифрования

 

Мерой обеспечения ИБ, реализация которой позволит сохранить свойства безопасности информации, такие как конфиденциальность и целостность, является шифрование данных. Шифрование данных, передаваемых через радиоинтерфейсы беспроводных сетей, рекомендуется практически для всех вариантов развертывания. Как правило, стандарты беспроводной связи дают подробное определение типов шифрования для данных пользователей, данных сигнализации/управления, а также, в некоторых случаях, для данных управления устройствами и оборудованием.

При выборе параметров шифрования для используемых беспроводных технологий сотрудник ИБ, руководствуясь соответствующими стандартами безопасности, должен учитывать следующие аспекты:

- какие алгоритмы шифрования данных доступны? Какие алгоритмы шифрования данных реализованы в оборудовании и (или) сети и в устройствах конечных пользователей? Какие из них сертифицированы уполномоченным федеральным органом исполнительной власти?;

- должен ли конечный пользователь иметь возможность выбирать тип шифрования, либо он должен быть жестко задан администратором сети?;

- использование надежного шифрования желательно, но необходимо соотнести его с производительностью сетевого интерфейса, производительностью устройств конечного пользователя и доступной пропускной способностью интерфейса;

- каким образом конечный пользователь проинформирован об уровне шифрования его данных, то есть о безопасности его данных;

- необходимо понимать процедуру управления ключами шифрования. Разворачивается ли инфраструктура открытых ключей? Будет ли беспроводная сеть располагать собственным локальным центром сертификации или будет использоваться открытый и/или корневой центр сертификации? Чем более автоматизирован процесс управления ключами, тем удобнее для пользователей;

- местные законы некоторых юрисдикций определяют разрешенные и запрещенные типы шифрования;

- необходимый тип шифрования может также определяться соглашением об уровне обслуживания (SLA);

- возможность взаимодействия с другими (беспроводными) сетями. Например, если будет происходить переключение устройств конечных пользователей в другую сеть, то будет ли эта сеть поддерживать тот же уровень шифрования, что и исходная сеть?;

- обратная совместимость с различными версиями устройства/оборудования. В некоторых случаях более ранние версии пользовательских устройств могут не поддерживать используемый уровень шифрования.

Стандарты безопасности беспроводной сети могут определять механизм шифрования данных только для каждого транзитного участка или для интерфейса, например, радиоинтерфейса. При изучении вопроса о шифровании данных специалист по ИБ должен провести анализ сквозных потоков данных. В некоторых случаях имеет смысл рассмотреть возможность использования сквозного безопасного туннеля или VPN-соединения.

В дополнение к сквозным потокам данных необходимо учитывать шифрование данных, хранящихся в точках беспроводного доступа и конечных устройствах. Это шифрование, в целом, должно соответствовать передовым рекомендованным практическим методам хранения конфиденциальных данных.

Специалист по ИБ должен быть осведомлен обо всех ставших известными проблемах алгоритмов шифрования. Как правило, такие проблемы становятся общеизвестными в отрасли информационных и коммуникационных технологий. Однако важно, чтобы со всеми поставщиками систем были заключены соглашения о раскрытии уязвимостей, что позволит руководителю по ИБ своевременно получать информацию о проблемах. Это особенно актуально, если уязвимость связана с реализацией алгоритма, а не с его теоретическими характеристиками, поскольку уязвимости подобного типа реже становятся общедоступными.