ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ГОСТР

ИСО/МЭК 27033-3— 2014

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Безопасность сетей Часть 3 Эталонные сетевые сценарии Угрозы, методы проектирования и вопросы управления

ISO/IEC 27033-3:2010 Information technology — Security techniques — Network security — Part 3: Reference networking scenarios —

Threats, design techniques and control issues (IDT)

Издание официальное

Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Информационноаналитический вычислительный центр» (ООО «ИАВЦ») и Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 09 сентября 2014 г. № 1029-ст

4    Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27033-3:2010 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления» (ISO/IEC 27033-3:2010 «Information technology — Security techniques — Network security — Part 3: Reference networking scenarios — Threats, design techniques and control issues»)

При применении настоящего стандарта рекомендуется использовать вместо ссылочных меэду-народных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА.

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

ОСтандартинформ, 2014

В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен. тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р ИСО/МЭК 27033-3—2014

Содержание

1    Область применения.....................................................................................................................................1

2    Нормативные ссылки.....................................................................................................................................1

3    Термины и определения...............................................................................................................................2

4    Обозначения и сокращения..........................................................................................................................2

5    Структура........................................................................................................................................................2

6    Обзор..............................................................................................................................................................4

7    Услуги доступа к Интернету для сотрудников.............................................................................................6

7.1    Исходные данные...................................................................................................................................6

7.2 Угрозы безопасности..................................................................................................................................7

7.3 Методы проектирования безопасности и мер и средств контроля и управления............................8

8    Услуги бизнес-бизнес....................................................................................................................................9

8.1    Исходные данные...................................................................................................................................9

8.2    Угрозы безопасности............................................................................................................................10

8.3    Методы проектирования безопасности и меры и средства контроля и управления.....................11

9    Услуги бизнес-клиент ..................................................................................................................................11

9.1    Исходные данные.................................................................................................................................11

9.2    Угрозы безопасности............................................................................................................................12

9.3    Методы проектирования безопасности и меры и средства контроля и управления.....................13

10    Расширенное применение услуг для совместного использования.......................................................14

10.1    Исходные данные...............................................................................................................................14

10.2    Угрозы безопасности..........................................................................................................................14

10.3    Методы проектирования безопасности и меры и средства контроля и управления...................15

11    Сегментация сети......................................................................................................................................16

11.1    Исходные данные...............................................................................................................................16

11.2    Угрозы безопасности..........................................................................................................................16

11.3    Методы проектирования безопасности и меры и средства контроля и управления...................17

12    Сетевая поддержка работы на дому или в малых предприятиях.........................................................17

12.1    Исходные данные...............................................................................................................................17

12.2    Угрозы безопасности..........................................................................................................................17

12.3    Методы проектирования безопасности и меры и средства контроля и управления...................19

13    Мобильная связь........................................................................................................................................19

13.1    Исходные данные...............................................................................................................................19

13.2    Угрозы безопасности.........................................................................................................................20

13.3    Методы проектирования безопасности и меры и средства контроля и управления...................20

14    Сетевая поддержка мобильных пользователей.....................................................................................22

14.1    Исходные данные...............................................................................................................................22

14.2    Угрозы безопасности..........................................................................................................................22

14.3    Методы проектирования безопасности и меры и средства контроля и управления...................23

15    Услуги аутсорсинга....................................................................................................................................23

15.1    Исходные данные...............................................................................................................................23

15.2    Угрозы безопасности..........................................................................................................................24

15.3    Методы проектирования безопасности и меры и средства контроля и управления...................25

Приложение А (справочное) Пример политики использования объединенной сети..............................26

Приложение В (справочное) Каталог угроз.................................................................................................30

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам Российской Федерации.........................................................34

III

Введение

ИСО/МЭК 27033-3 был подготовлен совместным Техническим комитетом ИСО/МЭК СТК 1, «Информационная технология», Подкомитетом ПК 27. «Методы и средства обеспечения безопасности ИТ».

ИСО/МЭК 27033 состоит из следующих частей, под общим наименованием «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей»:

-    Часть 1: Обзор и концепции:

-    Часть 2: Рекомендации по проектированию и реализации безопасности сети;

-    Часть 3: Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления.

Следующие части находятся в процессе подготовки:

-    Часть 4: Обеспечение безопасности межсетевых соединений с применением шлюзов безопасности. Угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления;

-    Часть 5: Обеспечение безопасности виртуальных частных сетей. Угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления.

Могут быть выпущены очередные части стандарта для охвата таких тем. как: локальные вычислительные сети, глобальные сети, беспроводные и радиосети, широкополосные сети, сети телефонной связи, сети IP-конвергенции (данные, голос, видео), архитектуры веб-хоста, архитектуры электронной почты Интернета (в том числе исходящий онлайновый доступ к Интернету и входящий доступ из Интернета) и отсортированный доступ к сторонним организациям.

IV

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Безопасность сетей Часть 3

Эталонные сетевые сценарии Угрозы, методы проектирования и вопросы управления

Information technology. Security techniques. Network security.

Part 3. Reference networking scenarios. Threats, design techniques and control issues

Дата введения — 2015—11—01

1    Область применения

В настоящем стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями. Для каждого сценария в ней представлены подробные руководства по угрозам безопасности, методам проектирования безопасности и мерам и средствам контроля и управления, требуемым для уменьшения связанных рисков.

Информация, содержащаяся в настоящем стандарте, предназначена для использования при пересмотре технической архитектуры/вариантов проектирования безопасности, а также при выборе и документировании предпочтительной технической архитектуры/проектирования безопасности и связанных с ними мер и средств контроля и управления, в соответствии с ИСО/МЭК 27033-2.

Выбор конкретной информации (наряду с информацией, взятой из ИСО/МЭК 27033-4 — ИСО/МЭК 27033-6) будет зависеть от анализа характеристик сетевой среды, т. е. конкретного сценария сети(ей) и «технического решения» вопросов, имеющих к этому отношение.

В целом, настоящая часть ИСО/МЭК 27033 будет способствовать всестороннему определению и реализации безопасности для сетевой среды любой организации.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных документов используют только указанное издание. Для недатированных документов используют самое последнее издание ссылочного документа (с учетом всех его изменений).

ИСО/МЭК27000 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000. Information technology - Security techniques - Information security management systems - Overview and vocabulary)

ИСО/МЭК 27033-1 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции (ISO/IEC 27033-1, Information technology - Security techniques - Network security - Pari 1: Overview and concepts)

Издание официальное

3    Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000 и ИСО/МЭК 27033-1. а также следующие термины с соответствующими определениями:

3.1    вредоносная программа (malware, malicious software): Категория программы, разработанной со злым умыслом, содержащей функции и возможности, которые потенциально могут прямо или косвенно причинить вред пользователю и (или) компьютерной системе пользователя.

Примечание - См ИСО/МЭК27032

3.2    непрозрачность (opacity): Защита от выделения информации, которая может быть получена посредством наблюдения за сетевой деятельностью, такой как адреса конечных точек обмена голосовым трафиком по сети Интернет.

Примечание - Непрозрачность касается необходимости защиты операций с информацией в дополнение к защите самой информации

3.3    аутсорсинг (outsourcing): Приобретение покупателем услуг для выполнения деятельности, требуемой для поддержки функций бизнеса покупателя.

3.4    социальная инженерия (social engineering): Действие по манипулированию людьми в совершении действий или разглашении конфиденциальной информации.

4    Обозначения и сокращения

В настоящем стандарте применены следующие сокращения и условные обозначения:

ААА — аутентификация, санкционирование и учет (authentication, authorization and accounting);

DHCP — протокол динамического конфигурирования хоста (dynamic host configuration protocol);

DNS — служба доменных имен (domain name service);

DNSSEC — расширение безопасности службы доменных имен (DNS Security extensions);

DoS — отказ в обслуживании (denial of service);

FTP — протокол передачи файлов (file transfer protocol);

IDS — система обнаружения вторжений (intrusion detection system);

IP — Интернет-протокол (Internet protocol);

IPSec — протокол безопасности Интернет-протокола (IP security protocol):

OAM&P — эксплуатация, администрирование, техническое обслуживание и обеспечение (operations. administration, maintenance & provisioning);

PDA — персональное информационное устройство (personal data assistant);

QoS — качество обслуживания (quality of service);

SIP — протокол инициации сеанса (session initiation protocol);

SMTP — простой протокол передачи почтовых сообщений (simple mail transfer protocol);

SNMP — простой протокол сетевого управления (simple network management protocol);

SSL — протокол безопасных соединений (протокол шифрования и аутентификации) (secure socket layer (encryption and authentication protocol));

VoIP — передача голоса no Интернет-протоколу (voice over Internet Protocol);

VPN — виртуальная частная сеть (virtual private network);

BOC — взаимодействие открытых систем (open systems interconnection — OSI);

ТфОП — телефонная коммутируемая сеть общего пользования (public switched telephone network — PSTN).

5    Структура

Структура настоящего стандарта состоит из:

-    краткого обзора подхода к решению проблемы безопасности для каждого типового сценария, перечисленного в настоящем стандарте (раздел 6);

-    раздел для каждого базового сценария (разделы 7 - 15). в котором описываются:

-    угрозы для базового сценария;

Хост - Любое устройство, подключенное к сети и использующее протоколы TCP/IP

ГОСТ Р ИСО/МЭК 27033-3—2014

-    представление мер и средств контроля и управления безопасности и методы, основанные на подходе, изложенном в разделе 6.

Сценарии в настоящем документе упорядочены в представленную ниже структуру, цель которой заключается в оценивании данного сценария в зависимости от:

-    типа доступа пользователя, является ли пользователь работающим внутри предприятия, или пользователем является сотрудник, который получает доступ к корпоративным ресурсам извне, или пользователь является клиентом, поставщиком или деловым партнером;

-    типа доступности информационных ресурсов, открытые, ограниченные или внешние ресурсы.

Таким образом, структура помогает представить согласованную систему и делает добавление новых сценариев управляемым, а также обосновывает необходимость различных сценариев, представленных в настоящем стандарте.

Таблица 1 — Структура упорядочения сетевых сценариев

Пользователи внутренние сотрудники, работающие вне предприятия внешние Доступность информационных ресурсов открытые - услуги доступа к Интернету для сотрудников - услуги бизнес-клиент - услуги бизнес-бизнес ограниченные - расширенное применение услуг для совместного использования - мобильная связь - расширенное применение услуг дпя совместного использования - услуги бизнес-бизнес - сетевая поддержка мобильных пользователей - услуги бизнес-бизнес - сегментация сети - услуги бизнес-клиент - сетевая поддержка работы на дому или в малых предприятиях внешние - услуги аутсорсинга - услуги аутсорсинга

Таким образом, порядок, в котором сценарии перечислены в настоящем стандарте, является следующим:

-    услуги доступа к Интернету для сотрудников (раздел 7);

-    услуги бизнес-бизнес (раздел 8);

-    услуги бизнес-клиент (раздел 9);

-    расширенное применение услуг для совместного использования (раздел 10);

-    сегментация сети (раздел 11);

-    сетевая поддержка работы на дому или в малых предприятиях (раздел 12):

-    мобильная связь (раздел 13);

-    сетевая поддержка мобильных пользователей (раздел 14);

-    услуги аутсорсинга (раздел 15).

3

6 Обзор

Руководства, представленные в настоящем стандарте для каждого из определенных типовых сетевых сценариев, основаны на нижеперечисленных подходах:

-    проверка вводной информации и рамок сценария;

-    описание угроз, соответствующих сценарию;

-    проведение анализа риска относительно обнаруженных уязвимостей;

-    анализ влияния на бизнес рассматриваемых уязвимостей;

-    определение рекомендаций по реализации обеспечения безопасности сети.

В целях решения вопросов безопасности любой сети, желательным является систематическое и всеобъемлющее оценивание. Сложность подобного анализа зависит от характера и размера сети в области действия. Тем не менее, последовательная методика очень важна для менеджмента безопасности. особенно в связи с развивающимся характером технологий.

Первым рассмотрением при оценке безопасности является определение активов, нуждающихся в защите. Они могут быть в значительной степени категоризированы на активы инфраструктуры, услуг или приложений. Предприятие может выбрать и определить свои собственные категории, но такое различие важно, поскольку подверженность угрозам и атакам является уникальной для каждой категории или типа активов. Например, если маршрутизатор относится к категории активов инфраструктуры. а передача голоса по IP рассматривается как услуга конечного пользователя, то атака «отказ в обслуживании» (DoS) в каждом случае потребует различного рассмотрения. В частности, маршрутизатор нуждается в защите от лавинного распространения фиктивных пакетов на физический порт маршрутизатора, которые могут помешать или воспрепятствовать прохождению легитимного трафика. Аналогично, услуга передачи голоса по IP (VoIP) нуждается в защите информации учетной записи абонента/услуги от удаления или повреждения, исходя из условия, что доступ к услуге для законного пользователя не был предотвращен

Безопасность сети также предполагает защиту различных деятельностей, поддерживаемых в сети, таких как, управленческая деятельность, а также сигналы управления/оповещения. и данные (резидентные и передаваемые) конечных пользователей. Например, управление GUI может быть предметом раскрытия в результате несанкционированного доступа (простой для отгадывания пароль и идентификатор администратора). Управление трафиком само является предметом искажения в результате ложных команд ОА&М с ложными IP адресами операционных систем, или раскрытия путем пассивного прослушивания сети или прерывания в результате атаки лавинного распространения пакетов.

Такой подход к определению активов и деятельностей делает возможным модульное и систематическое рассмотрение угроз. Каждый типовой сетевой сценарий исследуется в отношении известного набора угроз для выяснения того, какие угрозы являются применимыми. В приложении В приведен перечень известных отраслевых угроз. Хотя этот перечень не следует рассматривать как исчерпывающий. он служит отправной точкой для любого анализа. Как только выводится профиль угрозы сети, анализируются уязвимости, чтобы определить, каким образом угрозы могут быть реализованы в контексте конкретного рассматриваемого актива. Такой анализ поможет определить, какие ограничения отсутствуют, и какие контрмеры требуется применить для достижения целей защиты. Контрмеры снизят вероятность того, что угроза будет успешной и (или) ослабят ее воздействие. При анализе риска исследуется риск, соответствующий обнаруженным уязвимостям. Анализ влияния на бизнес заключается в принятии решения о том. какие меры принимать по каждой уязвимости: меры по исправлению. принятию риска или переносу риска.

Проектирование контрмер и реализация мер и средств контроля и управления, защищающих слабые места активов от угроз, является частью любой методики оценки безопасности. В соответствии с требованиями стандартов серии ИСО/МЭК 27000 отбор и реализация соответствующих мер и средств контроля и управления имеет решающее значение для защиты активов/информации. Стандарт требует сохранения конфиденциальности, целостности и доступности информации, и дополнительно он затрагивает и другие свойства, такие как подлинность, неотказуемость и достоверность.

¹¹ GUI (Graphical User Interface) - Графический интерфейс пользователя ОА&М (operations, administration and management) - Пакет прикладных программ по эксплуатации, администрированию и управлению сети

ГОСТ Р ИСО/МЭК 27033-3—2014

Ниже перечислены свойства безопасности, которые используются в настоящем стандарте для совершенствования сдерживающих мер и контрмер объективным способом. Уточнения, касающиеся каждого свойства безопасности (в дополнение к конфиденциальности, целостности и доступности), описываются ниже:

-    конфиденциальность связана с защитой данных от несанкционированного раскрытия;

-    целостность связана с сохранением правильности или точности данных и защитой от несанкционированного изменения, удаления, создания и тиражирования;

-    доступность связана с обеспечением уверенности в том. что не существует отказа в санкционированном доступе к элементам сети, хранимой информации, информационным потокам, услугам и приложениям;

-    управление доступом обеспечивает, с помощью аутентификации и авторизации, управление доступом к сетевым устройствам и услугам, а также обеспечивает уверенность в том. что только уполномоченному персоналу или устройствам разрешен доступ к элементам сети, хранимой информации, информационным потокам, услугам и приложениям. Например, при использовании IPTV одна из известных рекомендаций по безопасности — отключение интерфейса отладки на абонентском комплекте приставки — получена исходя из рассмотрения свойств элемента управления доступом. Анапиз конфиденциальности, целостности или доступности не приведет к каким-либо другим рекомендациям;

-    аутентификация связана с подтверждением ипи доказательством заявленной идентичности пользователя или взаимодействующих сторон при использовании управления доступом для авторизации. а также она обеспечивает уверенность в том, что сущность не пытается имитировать или несанкционированно воспроизводить предыдущее сообщение. Например, человек может получить доступ к системе управления сетью, но потребуется осуществить аутентификацию дпя обновпения записей абонентских успуг. Таким образом, возможность осуществления деятельности по управпению сетью не может быть обеспечена посредством простого рассмотрения конфиденциальности, целостности. доступности или управления доступом.

Примечание -В управлении доступом, основанном на ролях, авторизация осуществляется в отношении пользователя, назначенного на роль Также в процессе управления доступом до предоставления доступа проверяется роль, назначенная пользователю Кроме того, по спискам управления доступом доступ предоставляется всем, кто удовлетворяет политике, таким образом, если вы удовлетворяете требованиям политики, вы имеете право доступа В этом случае функции аутентификации и авторизации являются несущественными;

-    безопасность связи и безопасность передачи информации касается обеспечения уверенности в том. что информация только перемещается между авторизованными конечными точками без перенаправления и перехватов;

-    неотказуемость связана с поддержанием контрольных записей с тем. чтобы не могло быть отказано в информации об исходных данных, причинах события ипи действия. Определение авторизованного лица, которое осуществило несанкционированное действие с защищенными данными, не связано с конфиденциальностью, целостностью, доступностью данных;

-    непрозрачность связана с защитой информации, которая может быть получена из наблюдений за сетевой активностью. Непрозрачность признает необходимость защиты действий в дополнение к информации Защита информации решается путем обеспечения конфиденциальности. Защита телефонного разговора между лицом А и лицом Б защищает их конфиденциальность. Защита того факта, что лицо А и лицо Б вели телефонный разговор, обеспечивает уверенность в непрозрачности.

Для всех сценариев, описанных в настоящем стандарте, вышеуказанные свойства безопасности рассматриваются как часть методики проектирования безопасности и фазы контроля. В таблице 2 приведены примеры механизмов обеспечения безопасности сети, которые могут быть реализованы для обеспечения свойств безопасности, выбранных для уменьшения потенциального риска.

‘ IPTV (Internet Protocol Television) - Передача цифрового телевизионного сигнала по протоколу IP

5

Таблица 2 — Примеры методов обеспечения безопасности сети

Рассмотрения безопасности Механизмы!методы обеспечения безопасности Управление доступом Система пропусков (идентификационных карточек), списки управления доступом (ACL — Access Control List), разделение обязанностей Аутентификация Несложная регистрация входа в систему/пароль. цифровые сертификаты, цифровые подписи, TLS1* версии 12. SSO , CHAP3*. Доступность Избыточность и резервное копирование, межсетевые экраны, IDS/IPS41 (для блокирования атаки DoS), непрерывность бизнеса, сетевой менеджмент и менеджмент услуг с SLAs 1 Безопасность связи IPSec/L2TP*", частные линии связи, обособленные сети Конфиденциальность Шифрование (3DES'1. AES8’). списки управления доступом, права доступа к файлам. Целостность IPSec HMACs*1 (например, SHA'-256), циклический избыточный контроль, антивирусное программное средство Неотказуемость Регистрация событий, управление доступом, основанное на ролях, и цифровые подписи Непрозрачность Шифрование IP-заголовков (например, VPN с режимом туннелирования IP-Sec. NAT'1: (для IP версии 4)

В настоящей части стандарта ИСО/МЭК 27033. все рассмотренное выше является неотъемлемой частью проектирования и реализации, обсуждаемых в контексте каждого типового сетевого сценария. Как правило, для удовлетворения своих целей бизнеса организация выбирает меры и средства контроля и управления, соответствующие ИСО/МЭК 27002. а также рекомендации настоящей части стандарта ИСО/МЭК 27033, предназначенные для обеспечения анализа сетевого уровня, необходимого для реализации выбранных мер и средств контроля и управления.

7 Услуги доступа к Интернету для сотрудников

7.1 Исходные данные

Организации, которые должны предоставлять услуги доступа к Интернету для своих сотрудников. должны продумать этот сценарий, чтобы обеспечить уверенность в том. что осуществляется доступ с четко определенными и санкционированными целями, а не общий открытый доступ. Организации должны быть обеспокоены вопросами управления доступом, чтобы избежать потери пропускной способности сети и способности к реагированию, а также привлечения к правовой ответственности сотрудников, имеющих неконтролируемый доступ к услугам Интернета.

^II    TLS (Transport Layer Security) - Протокол безопасности транспортного уровня ' SSO (Single Sign On) - Технология единого входа (в систему]

CHAP (Challenge Handshake Authentication Protocol) - Протокол взаимной аутентификации ⁴ IPS (Intrusion Prevention System) - Система предотвращения вторжения SLA (Service Level Agreement) - Соглашение об уровне услуг ^в1 L2TP (Layer 2 Tunneling Protocol) - Протокол туннелирования второго уровня 3DES (Tnple Data Encryption Standard) - Протокол тройного шифрования * AES (Advanced Encryption Standard) - Улучшенный протокол шифрования

^Л НМАС (Hash-based Message Authentication Code) - Механизм, использующий криптографические хеш-функции в сочетании с секретным ключом

^{1 1} SHA (Secure Hash Algorithm) - Алгоритм аутентификации и проверки целостности информации

^III    NAT (Network Address Translation) - Протокол преобразования сетевых адресов

6