Home » Articole » Articole » Afaceri » Comunicatii » Procesele de asigurarea calității în comunicațiile 5G

Procesele de asigurarea calității în comunicațiile 5G

postat în: Comunicatii, 5G 0

Operatorul poate folosi ca suport pentru decizia sa de cumpărare rezultatele evaluărilor conformității securității care fac parte din Metodologia de asigurare a securității (Security Assurance Methodology, SECAM), așa cum este definită de Specificația tehnică 3GPP33.916 (81).

Procesul SECAM oferă planul pentru orice schemă de asigurare a securității, cum ar fi certificarea produsului și acreditarea furnizorilor și acoperă următoarele sarcini:

  • Conformitatea procesului de asigurare a procesului de dezvoltare a produselor din rețeaua furnizorului și a ciclului de viață al produsului de rețea (evaluarea dacă metoda utilizată pentru dezvoltarea produselor este conformă cu cerințele de asigurare a procesului de gestionare a ciclului de viață a produsului de rețea de dezvoltare a produselor din rețeaua furnizorului).
  • Testarea conformității securității (evaluarea dacă cerințele de securitate solicitate sunt corect implementate într-un produs de rețea). Aceasta include testarea vulnerabilităților (rularea unui set de instrumente FOSS/COTS pe interfețele externe ale produsului de rețea).

Rezultatul final al evaluării SECAM este:

  • Un raport de evaluare care demonstrează conformitatea produsului de rețea cu specificațiile de asigurare a securității 3GPP;
  • Dovezi care să demonstreze laboratorului de testare că produsele vânzătorului acreditat și procesele ciclului de viață de dezvoltare au fost respectate pentru produsul de rețea;
  • Dovezi că actorii care îndeplinesc sarcinile de evaluare sunt acreditați de Organismul de Acreditare SECAM.

Operatorul examinează rapoartele de evaluare împreună cu dovezile că actorii care îndeplinesc sarcinile de evaluare au fost acreditați de Organismul de Acreditare SECAM.

Notă: deși actorii și distribuția sarcinilor și responsabilităților între actori pot varia în diferite scheme de asigurare, procesele generale și succesiunea sarcinilor vor rămâne în general neschimbate, cu condiția ca criteriile de imparțialitate și competență ale actorilor care îndeplinesc sarcini de evaluare să fie menținute. Activitățile de asigurare a securității sunt prezentate mai jos.

Activități de asigurarea calității (securității)  (Activități de asigurarea calității (securității))

Descrierea activităților de asigurare a securității este prezentată mai jos.

  • Activitate – Descriere
  • Acreditare – Recunoașterea oficială de către un organism de acreditare a faptului că un organism de evaluare a conformității este imparțial și competent să efectueze teste specifice sau tipuri de evaluări.
    Organismul de acreditare definește cerințele și procesele pentru:

    • acreditarea proceselor de dezvoltare a produselor din rețea de furnizori și de management al ciclului de viață al produselor din rețea;
    • acreditarea laboratorului de testare (deținut de furnizor sau terță parte) și
    • soluționarea disputelor.
  • Procesul de dezvoltare a produsului – Cerințele de asigurare a proceselor de dezvoltare a produselor din rețea și de gestionare a ciclului de viață al produselor din rețea, precum și activitățile de evaluare aferente generice pentru toate clasele de produse din rețea sunt definite de Organismul de Acreditare. În schema SECAM, cerințele sunt definite în cerințele de asigurare a securității NESAS, dar diferite scheme de evaluare a conformității pot defini criterii diferite.
    Managementul ciclului de viață constă în stabilirea disciplinei și controlului în actualizările produsului de rețea în timpul dezvoltării și întreținerii acestuia. Controalele de gestionare a ciclului de viață sunt importante în timpul îmbunătățirii normale a produsului de rețea, precum și pentru remedierea vulnerabilităților/defecțiunilor de securitate (documentație utilizată pentru a urmări vulnerabilitatea/defectul de securitate, procedura de remediere în legătură cu acțiunile corective pentru fiecare vulnerabilitate/defecțiune de securitate identificată…).
    Evaluarea proceselor de dezvoltare a produsului de rețea și de management al ciclului de viață a produsului de rețea acoperă procesele de inginerie ale unui furnizor și nu se aplică neapărat doar unui singur produs de rețea. Aceasta înseamnă că rezultatele unei evaluări se pot aplica mai multor produse de rețea. Furnizorii își pot trimite procesele de dezvoltare a produselor de rețea generice și de gestionare a ciclului de viață al produselor de rețea sau un subset al acestora pentru audit și acreditare.
  • Testarea conformității securității – Etapa procesului de evaluare utilizată pentru a descrie activitățile de verificare a conformității unui produs de rețea cu specificațiile de asigurare a securității (SCAS) aplicabile.
  • Testare de vulnerabilitate – Procesul de rulare a instrumentelor de securitate împotriva unui produs de rețea.
    Testarea vulnerabilităților este definită prin utilizarea instrumentelor de testare a securității software liber și deschis (FOSS) și comerciale disponibile (COTS) pe interfețele externe ale produsului de rețea, precum și procedurile manuale de testare pentru scenarii specifice de atac.
  • Decizia de achiziție a operatorului – Operatorul examinează produsul de rețea, testarea conformității securității, inclusiv rapoartele de analiză a testelor de vulnerabilitate, autodeclarația precum și dovezile opționale de acreditare de la Organismul de Acreditare SECAM pentru actorii care efectuează sarcina de evaluare și decide dacă rezultatele sunt suficiente conform politicilor sale interne. În special, operatorul poate efectua un eșantion de testare a conformității securității și a testelor de vulnerabilitate, pe baza procedurilor de testare livrate.
  • Audit – În cadrul unui audit, procesele vor fi evaluate și se va verifica aplicarea lor asupra activităților de dezvoltare în practică. Se va acorda o acreditare, dacă sunt îndeplinite cerințele.
    Procesele de acreditare constau în:

    • evaluarea abilităților laboratoarelor de testare ale vânzătorului sau ale unor terțe părți în efectuarea unei evaluări a conformității cu cerințele de asigurare a securității pentru o anumită clasă de produse de rețea sau o gamă de clase și
    • evaluarea conformității cu metodologia de testare (pentru laboratoarele de testare a conformității securității și de testare a vulnerabilităților).
  • Monitorizarea – Organismul de Acreditare monitorizează diferite tipuri de actori acreditați în cadrul schemei:
    • Dezvoltarea furnizorilor și procesele ciclului de viață al produselor, care se așteaptă să respecte cerințele de Asigurare a Securității și
    • Laboratoare de testare (pentru testarea conformității securității și testarea vulnerabilităților), care se așteaptă să respecte cu Metodologia de testare și cerințele de competențe.
  • Standardizare – Problemele de securitate 5G sunt abordate în activitatea întreprinsă de organismele de standardizare, în special în cadrul grupului de lucru privind aspectele privind serviciile și sistemele 3 (SA3) din proiectul de parteneriat de generație a treia (3GPP). Alte organisme de standardizare relevante includ ETSI și GSMA.
    Dezvoltarea standardelor evoluează continuu specificațiile de securitate, ținând cont de cercetările în curs privind amenințările și vulnerabilitățile de securitate.
  • Dezvăluire responsabilă – Dezvăluirea vulnerabilităților de securitate este un proces bine stabilit care permite părților interesate, cum ar fi cercetătorii în securitate, să raporteze detalii despre vulnerabilitățile de securitate din produse și servicii.
    Programele de divulgare a vulnerabilităților, cum ar fi programul GSMA Coordinated Vulnerability Disclosure (CVD) oferă un cadru care stabilește așteptări clare pentru angajamentul constructiv al tuturor părților pentru a remedia sau a atenua vulnerabilitățile notificate. (82) Rezultatele proceselor de dezvăluire a vulnerabilităților reprezintă o contribuție importantă pentru munca de standardizare, deoarece cerințele de securitate evoluează pentru a răspunde vulnerabilităților identificate.

Note

  • (81) 3GPP TR 33.916 V16.0.0(2020-07) Technical Report 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Assurance Methodology (SCAS) for 3GPP network products (Release 16), https://www.3gpp.org/ftp/Specs/archive/33_series/33.501/33501-g40.zip, accesat octombrie 2020.
  • (82) GSM Association FS.23-GSMA Coordinated Vulnerability Disclosure Program, Version 3.016 July 2020, https://www.gsma.com/security/wp-content/uploads/2020/07/FS.23-v3.0.pdf , accesat septembrie 2020

Sursa: Enisa Threat Landscape for 5G Network – Threat assessment for the fifth generation of mobile telecommunications networks (5G), November 2019. © European Union Agency for Cybersecurity (ENISA), 2019. Traducere și adaptare independente de Nicolae Sfetcu

© 2021 MultiMedia Publishing, Rețele de comunicații 5G, Volumul 1

Acronime și abrevieri utilizate în comunicațiile 5G: https://www.telework.ro/ro/acronime-si-abrevieri-utilizate-in-comunicatiile-5g/

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *