- Правова система ipLex360
- Законодавство
- Наказ
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
Зареєстровано в Міністерстві
юстиції України
31 грудня 2021 р.
за № 1706/37328
Про затвердження Технічних вимог до мереж мобільного зв’язку України і технічних засобів електронних комунікацій щодо моніторингу та фільтрації сигнального трафіку
( Заголовок із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
( Із змінами, внесеними згідно з Наказами Адміністрації Державної служби
спеціального зв'язку та захисту інформації
№ 782 від 31.12.2021
№ 443 від 25.05.2023 )
Відповідно до
статті 6 Закону України "Про електронні комунікації", пункту 4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого
постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, на виконання доручення Першого віце-прем’єр-міністра України - Міністра економічного розвитку і торгівлі України від 15 листопада 2017 року № 45158/1/1-17 до листа заступника Секретаря Ради національної безпеки і оборони України від 10 листопада 2017 року № 2030/16-06/2-17, для запобігання несанкціонованому втручанню в роботу та/або використанню електронних комунікаційних мереж НАКАЗУЮ:
1. Затвердити Технічні вимоги домереж мобільного зв’язкуУкраїни ітехнічних засобів електронних комунікаційщодо моніторингу та фільтрації сигнального трафіку, що додаються.
( Пункт 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
2. Департаменту розвитку електронних комунікацій Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
Голова Служби
полковник |
Ю. Щиголь |
ПОГОДЖЕНО:
Голова Національної комісії, що здійснює
державне регулювання у сфері зв’язку
та інформатизації
Голова Державної регуляторної служби України
Перший заступник Міністра цифрової
трансформації України |
О.. Животовський
О. Кучер
О. Вискуб |
ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв’язку
та захисту інформації України
17 грудня 2021 року № 744
Зареєстровано в Міністерстві
юстиції України
31 грудня 2021 р.
за № 1706/37328
ТЕХНІЧНІ ВИМОГИ
до мереж мобільного зв’язку України і технічних засобів електронних комунікацій щодо моніторингу та фільтрації сигнального трафіку
( Заголовок із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
( У тексті цих Технічних вимог слова "мережа рухомого (мобільного) зв’язку", "система рухомого (мобільного) зв’язку", "абонент рухомого (мобільного) зв’язку", "рухомий (мобільний) зв’язок", "технічний засіб телекомунікацій", "кінцеве обладнання" в усіх відмінках і числах замінено словами "мережа мобільного зв’язку", "система мобільного зв’язку", "абонент мобільного зв’язку", "мобільний зв’язок", "технічний засіб електронних комунікацій", "кінцеве (термінальне) обладнання" у відповідних відмінках і числах; слова "оператори цих мереж", "оператори телекомунікацій", "оператори" в усіх відмінках замінено словами "постачальники електронних комунікаційних мереж" у відповідних відмінках із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
I. Загальні положення
( Пункт 1 розділу I виключено на підставі Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
1. Дія цих Технічних вимог поширюється на мережі мобільного зв’язку України та на технічні засоби електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, зокрема повідомлень системи спільноканальної сигналізації № 7 та команд протоколу "Diameter", з метою підвищення безпеки електронних комунікаційних мереж, а також для запобігання несанкціонованому втручанню в роботу та/або використанню електронних комунікаційних мереж.
( Пункт 1 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
2. Ці Технічні вимоги застосовують суб’єкти господарювання, які здійснюють проєктування, побудову, реконструкцію, розвиток та експлуатацію мереж мобільного зв’язку, а також орган державного нагляду (контролю) у сфері електронних комунікацій.
( Пункт 2 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
II. Терміни та визначення понять
1. У цих Технічних вимогах застосовуються такі терміни та визначення понять:
агент протоколу "Diameter" - вузол протоколу "Diameter", що забезпечує ретрансляцію, проксі, перенаправлення або передавання;
візитний регістр місцезнаходження (VLR) - база даних мережі мобільного зв’язку, призначена для запису та зберігання інформації з метою забезпечення надання електронних комунікаційних послуг абоненту, кінцеве (термінальне) обладнання якого перебуває в межах зони дії певного центру комутації мобільного зв’язку;
( Абзац третій пункту 1 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
власний абонент телекомунікаційної мережі - абонент, для якого ця електронна комунікаційна мережа є домашньою;
( Абзац четвертий пункту 1 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
домашній регістр місцезнаходження (HLR) - база даних мережі мобільного зв’язку, призначена для запису та зберігання інформації про власних абонентів цієї мережі;
домашня мережа (home network) - мережа мобільного зв’язку, в якій мобільний код країни (MCC) та код мережі мобільного зв’язку (MNC) збігаються з МСС та MNC міжнародного ідентифікатора абонента мобільного зв’язку (IMSI);
сигнальний трафік - сукупність інформаційних сигналів службової інформації, що передаються електронною комунікаційною мережею за визначений інтервал часу;
( Абзац сьомий пункту 1 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
SMSмаршрутизатор - технічний засіб електронних комунікацій, що здійснює доставку вхідних коротких повідомлень (SM) власним абонентам мережі;
фільтрація - функція виявлення та блокування недопустимої сигнальної інформації.
( Пункт 2 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
3. У цих Технічних вимогах вживаються такі скорочення та позначення:
СКС-7 - система спільноканальної сигналізації № 7;
3GPP - проєкт партнерства третього покоління (3rd Generation Partnership Project);
AVP - пара атрибут-значення (Attribute Value Pair);
CAMEL - персоналізовані застосунки для мереж мобільного зв’язку з розширеною логікою (Customised Applications for Mobile networks Enhanced Logic);
CAP - підсистема використання CAMEL (CAMEL Application Part);
DEA - крайовий агент протоколу "Diameter" (Diameter Edge Agent);
DoS attack - відмова в обслуговуванні (Denial Service);
DRA - агент маршрутизації протоколу "Diameter" (Diameter Routing Agent);
GSM - глобальна система мобільного зв’язку (Global System for Mobile Communications);
GSMA - Асоціація GSM (GSM Association);
GT - глобальний заголовок (Global Title);
HLR - домашній регістр місцезнаходження (Home Location Register);
ID - ідентифікатор (Identity);
IP - інтернет-протокол (Internet Protocol);
IMSI - міжнародний ідентифікатор абонента мобільного зв’язку (International Mobile Subscriber Identity);
ISDN - цифрова мережа з інтеграцією послуг (Integrated Services Digital Network);
LTE - довгостроковий розвиток (Long Term Evolution);
MAP - підсистема використання мобільного зв’язку (Mobile Application Part);
MCC - мобільний код країни (Mobile Country Code);
MNC - код мережі мобільного зв’язку (Mobile Network Code);
MSC - центр комутації мобільного зв’язку (Mobile Switching Centre);
MSISDN - ISDN-номер абонента мобільного зв’язку (Mobile Subscriber ISDN Number);
SCCP - підсистема управління з’єднанням сигналізації (Signalling Connection Control Part);
SCTP - протокол передавання з керуванням потоком (Stream Control Transmission Protocol);
SendRoutingInfo_for_SM - надсилання інформації маршрутування для SM;
SGSN - обслуговуючий вузол підтримки GPRS (Serving GPRS Support Node);
SM - коротке повідомлення (Short Message);
SMS - послуга коротких повідомлень (Short Message Service);
SMS Home Routing - домашнє маршрутування SMS;
SMS TCAP Handshake - підтвердження SMS TCAP;
STP - транзитний пункт сигналізації (Signalling Transfer Point);
TCAP - підсистема використання можливостей транзакцій (Transaction Capabilities Application Part);
TCAPsec - безпека користувачів TCAP - набір протоколів безпеки шлюзів безпеки СКС7 (TCAP user security - the SS7 security gateway security protocol suite);
UMTS - універсальна система мобільного зв’язку (Universal Mobile Telecommunications System);
VLR - візитний регістр місцезнаходження (Visitor Location Register).
III. Технічні вимоги до мереж мобільного зв’язку України щодо запобігання несанкціонованому втручанню в роботу та/або використанню електронних комунікаційних мереж
( Заголовок із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
1. Для запобігання несанкціонованому втручанню в роботу та/або використанню електронних комунікаційних мереж необхідно застосовувати моніторинг і фільтрацію сигнального трафіку міжмережевого обміну.
( Пункт 1 розділу III із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
2. Моніторинг і фільтрація сигнального трафіку повинні виконуватися у вузлах, які отримують міжмережевий сигнальний трафік, зокрема:
системах виявлення та запобігання вторгненням (за наявності);
транзитних та шлюзових вузлах обробки сигналізації (STP та шлюзові STP);
вузлах, які надсилають/отримують міжмережевий трафік (MSC, SGSN, HLR, VLR тощо);
SMS-маршрутизаторі;
мережевих системах моніторингу;
інших елементах мережі, які отримують міжмережевий сигнальний трафік.
3. Для забезпечення можливості аналізу, встановлення походження (джерела) підозрілої/шкідливої активності та планування заходів реагування на виявлені атаки необхідно накопичувати та зберігати сигнальний трафік міжмережевого обміну за останні 7 діб.
4. Для запобігання несанкціонованому втручанню в роботу електронних комунікаційних мереж з використанням SMS застосовується "SMS Home Routing" згідно з прийнятим консорціумом 3GPP документом 3GPP TR 23.840 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Study into routeing of MT-SMs via the HPLMN.
( Абзац перший пункту 4 розділу III із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
"SMS Home Routing" передбачає модифікацію оброблення вхідних SM таким чином, щоб доставкою SM до кінцевого (термінального) обладнання абонента керувала його домашня мережа.
Усі вхідні запити "SendRoutingInfo_for_SM" MAP, які стосуються кінцевого (термінального) обладнання власних абонентів електронної комунікаційної мережі, перенаправляються для оброблення до SMSмаршрутизатора. У відповідь SMSмаршрутизатор надсилає підтвердження "sendRoutingInfo_for_SM ack", вказавши адресу SMSмаршрутизатора замість адреси MSC/VLR, та спеціально згенероване (замість реального) значення IMSI. Таким чином, стороні, яка надіслала запит, не повідомляється реальне місцезнаходження кінцевого (термінального) обладнання абонента та його IMSI.
( Абзац третій пункту 4 розділу III із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
Після отримання SM SMSмаршрутизатор пересилає його до MSC/VLR, у зоні дії якого знаходиться кінцеве (термінальне) обладнання абонента.
Для запобігання обходу "SMS Home Routing" повинні застосуватися такі механізми:
усі вхідні запити "SendRoutingInfo_for_SM" MAP, які стосуються кінцевого (термінального) обладнання власних абонентів електронної комунікаційної мережі, повинні бути перенаправлені для оброблення до SMSмаршрутизатора, а всі "SendRoutingInfo_for_SM", в яких адресою призначення у GT SCCP вказано HLR, повинні бути заблоковані;
( Абзац шостий пункту 4 розділу III із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
усі прямі вхідні SM (MT_Forward_SM MAP), які стосуються кінцевого (термінального) обладнання власних абонентів електронної комунікаційної мережі, повинні бути перенаправлені до SMSмаршрутизатора. Після впровадження "SMS Home Routing" вхідні повідомлення, в яких адресою призначення у GT SCCP вказано MSC/VLR, повинні бути заблоковані, оскільки адресою призначення у GT SCCP повинен бути SMSмарш-рутизатор;
( Абзац сьомий пункту 4 розділу III із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
вхідні SM, призначені для кінцевого (термінального) обладнання абонентів інших електронних комунікаційних мереж, що знаходяться у роумінгу, не повинні блокуватися.
( Абзац восьмий пункту 4 розділу III із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
IV. Загальні технічні вимоги до технічних засобів електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку
1. Технічний засіб електронних комунікацій, що здійснює моніторинг і фільтрацію сигнального трафіку, повинен відповідати таким технічним вимогам:
мати змогу відстежувати весь сигнальний трафік, який необхідно моніторити та фільтрувати;
бути типовим елементом електронної комунікаційної мережі та забезпечувати надійне передавання та обробку трафіку;
( Абзац третій пункту 1 розділу IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
враховувати всі існуючі маршрути сигнального трафіку міжмережевого обміну;
виявляти підозрілу/шкідливу активність та перешкоджати несанкціонованому втручанню в роботу та/або використанню електронних комунікаційних мереж під час міжмережевого обміну сигнальним трафіком;
( Абзац п’ятий пункту 1 розділу IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
виконувати поглиблений аналіз стека протоколів, які використовуються у мережі мобільного зв’язку, тобто аналіз визначених параметрів повідомлень (команд) протоколу.
2. Технічний засіб електронних комунікацій, що здійснює моніторинг і фільтрацію сигнального трафіку, не повинен:
створювати технічний ризик для електронної комунікаційної мережі або для її безпеки (не повинен призводити до технічних збоїв у роботі електронної комунікаційної мережі, переривання надання електронних комунікаційних послуг, не бути вразливим до несанкціонованого втручання в роботу та/або використання електронних комунікаційних мереж тощо). Надійність передавання трафіку повинна бути збережена. Безпека технічного засобу електронних комунікацій, що здійснює моніторинг та фільтрацію сигнального трафіку, повинна бути перевірена в установленому порядку;
( Абзац другий пункту 3 розділу IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
впливати на дозволений трафік;
впливати на роботу технічних засобів, необхідних для забезпечення проведення оперативно-розшукових заходів.
3. Технічні засоби електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, повинні мати можливість накопичувати та зберігати статистичні дані для отримання інформації про якість роботи мережі, аналізу проблем, виявлення та аналізу підозрілої/шкідливої активності, для можливості з’ясування причин і походження підозрілого міжмережевого сигнального трафіку та пошуку можливих нових атак.
У разі виявлення несанкціонованого втручання в роботу та/або використання електронної комунікаційної мережі повинна бути забезпечена можливість зберігання пов’язаного з подією трафіку до 30 діб. Також для узагальнення даних про такі події має формуватися файл з інформацією про час та вид події, ініціатора (джерело) несанкціонованого втручання, про ідентифікатори абонентів, які були ціллю атаки/інциденту.
( Абзац другий пункту 3 розділу IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
V. Технічні вимоги до технічних засобів електронних комунікацій, що здійснюють моніторинг і фільтрацію сигнального трафіку, щодо повідомлень СКС7
1. Моніторинг і фільтрація повідомлень СКС7 технічними засобами електронних комунікацій виконуються відповідно до категорій, визначених згідно з прийнятими GSMA документами: GSMA PRD FS.11 SS7 Interconnect Security Monitoring and Firewall Guidelines (далі - FS.11) та GSMA PRD IR.82 SS7 Security Network Implementation Guidelines.
2. Категорія 1 містить усі повідомлення СКС7, які отримуються тільки в межах однієї мережі. Повідомлення СКС7 категорії 1, отримані у точках взаємоз’єднання з іншими мережами та призначені вузлам всередині мережі, повинні блокуватися, якщо інше не передбачено угодами між постачальниками електронних комунікаційних мереж про взаємодію електронних комунікаційних мереж.
( Абзац перший пункту 2 розділу V із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
Ідентифікація повідомлень СКС7 категорії 1 проводиться лише на основі типу повідомлення (за значенням поля "OperationCode" (код операції) для повідомлень MAP та CAP).
Перелік повідомлень СКС7 категорії 1 наведено у FS. 11.
3. Категорія 2 складається з повідомлень СКС7, що стосуються кінцевого (термінального) обладнання абонента, який знаходиться у роумінгу, та надходять з його домашньої мережі. Такі повідомлення, отримані у точках взаємоз’єднання з іншими електронними комунікаційними мережами, не повинні призначатися кінцевому (термінальному) обладнанню власного абонента електронної комунікаційної мережі.
( Абзац перший пункту 3 розділу V із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації
№ 443 від 25.05.2023 )
Перейти до повного тексту