allgosts.ru01. ОБЩИЕ ПОЛОЖЕНИЯ. ТЕРМИНОЛОГИЯ. СТАНДАРТИЗАЦИЯ. ДОКУМЕНТАЦИЯ01.040. Словари

ГОСТ Р 53110-2008 Система обеспечения информационной безопасности сети связи общего пользования. Общие положения

Обозначение:
ГОСТ Р 53110-2008
Наименование:
Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
Статус:
Действует
Дата введения:
01.10.2009
Дата отмены:
-
Заменен на:
-
Код ОКС:
01.040.01

Текст ГОСТ Р 53110-2008 Система обеспечения информационной безопасности сети связи общего пользования. Общие положения

ФЕДЕРАЛЬНОЕАГЕНТСТВО
ПОТЕХНИЧЕСКОМУРЕГУЛИРОВАНИЮИМЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

российской

ФЕДЕРАЦИИ

ГОСТР

53110-

2008

СИСТЕМАОБЕСПЕЧЕНИЯИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИСЕТИСВЯЗИ ОБЩЕГОПОЛЬЗОВАНИЯ

Общиеположения

Москва

Стандартинформ

2009

Предисловие

ЦелиипринципыстандартизациивРоссийскойФедерацииустановленыФедеральнымзакономот 27 декабря 2002 г. № 184-ФЗ «Отехническомрегулировании», аправилаприменениянациональных стандартовРоссийскойФедерации-ГОСТР 1.0-2004«СтандартизациявРоссийскойФедерации. Основныеположения»

Сведенияостандарте

1 РАЗРАБОТАНЗакрытымакционернымобществом«КомпанияТрансТелеКом» (ЗАО«Компания ТТК»), Открытымакционернымобществом«МежрегиональныйТранзитТелеком» (ОАО«МТТ»), Федеральнымгосударственнымунитарнымпредприятием«Центральныйнаучно-исследовательскийинститутсвязи» (ФГУП«ЦНИИС»), Федеральнымгосударственнымучреждением«Государственный научно-исследовательскийиспытательныйинститутпроблемтехническойзащитыинформацииФедеральнойслужбыпотехническомуиэкспортномуконтролюРоссии» (ФГУ«ГНИИИПТЗИФСТЭКРоссии»)

2 ВНЕСЕНУправлениемтехническогорегулированияистандартизацииФедеральногоагентства потехническомурегулированиюиметрологии

3 УТВЕРЖДЕНИВВЕДЕНВДЕЙСТВИЕПриказомФедеральногоагентствапотехническому регулированиюиметрологииот 18 декабря 2008 г. № 528-ст

4 ВВЕДЕНВПЕРВЫЕ

Информацияобизмененияхкнастоящемустандартупубликуетсявежегодноиздаваемом информационномуказателе«Национальныестандарты», атекстизмененийипоправок-вежемесячноиздаваемыхинформационныхуказателях«Национальныестандарты». Вслучаепересмотра (замены) илиотменынастоящегостандартасоответствующееуведомлениебудетопубликовано вежемесячноиздаваемоминформационномуказателе«Национальныестандарты». Соответствующаяинформация, уведомлениеитекстыразмещаютсятакжевинформационнойсистемеобщего пользования-наофициальномсайтеФедеральногоагентствапотехническомурегулированиюи метрологиивсетиИнтернет

Содержание

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Сокращения

5 Цели и задачи обеспечения информационной безопасности

6 Взаимосвязь системы обеспечения информационной безопасности и системы менеджмента информационной безопасности

7 Жизненный цикл системы обеспечения информационной безопасности и его взаимосвязь с жизненным циклом сети связи

8 Направления обеспечения информационной безопасности

9 Подтверждение соответствия сетей электросвязи требованиям информационной безопасности

10 Архитектура системы обеспечения информационной безопасности

11 Система обеспечения информационной безопасности как технологическая система сети связи общего пользования

12 Документы, регулирующие обеспечение информационной безопасности в организации связи

13 Служба информационной безопасности

Библиография

НАЦИОНАЛЬНЫЙСТАНДАРТРОССИЙСКОЙФЕДЕРАЦИИ

СИСТЕМАОБЕСПЕЧЕНИЯИНФОРМАЦИОННОЙБЕЗОПАСНОСТИСЕТИСВЯЗИ ОБЩЕГОПОЛЬЗОВАНИЯ

Общиеположения

Information security of the public communications network providing system. General principles

Датавведения- 2009-10-01

1 Область применения

Настоящийстандартопределяетправовые, организационныеитехническиенаправленияобеспеченияинформационнойбезопасностисетейэлектросвязи, входящихвсоставсетисвязиобщегопользования.

Настоящийстандартраспространяетположенияпообеспечениюбезопасностисетейэлектросвязи, установленныеГОСТР 52448, насистемуобеспеченияинформационнойбезопасностисетисвязи общегопользования, определяяеекаккомплексвзаимодействующихсистемобеспеченияинформационнойбезопасностисетейэлектросвязи, входящихвсоставсетисвязиобщегопользования.

ПоложениянастоящегостандартаподлежатприменениюрасположенныминатерриторииРоссийскойФедерацииорганизациями, предприятиямиидругимисубъектамихозяйственнойдеятельности независимоотихорганизационно-правовойформыиформысобственности, имеющимилицензии федеральногоорганаисполнительнойвласти, уполномоченноговобластисвязи, напредоставление услугсвязи.

Положениянастоящегостандартатакжераспространяютсянавыделенныеитехнологические сетисвязиприихприсоединенииксетисвязиобщегопользования.

Настоящийстандартустанавливаетобщийподходк:

- формированиюипроведениюворганизациисвязиединойполитикиинформационнойбезопасностисетейэлектросвязи;

- принятиюуправленческихрешенийповнедрениюпрактическихмер, реализующихорганизационныеифункциональныетребованиябезопасности;

- координациидеятельностиструктурныхподразделенийорганизациисвязиприпроведении работпопроектированию, построению, реконструкциииэксплуатациисетиэлектросвязиссоблюдениемтребованийбезопасности, определяемыхфедеральнымиорганамиисполнительнойвласти, уполномоченнымивобластяхсвязи, обеспечениябезопасностиитехническойзащитыинформации.

Настоящийстандартнеконкретизирует:

- номенклатуруиспользуемыхмеханизмовобеспечениябезопасностиисредствзащиты;

- требованияпоорганизацииохранысооруженийилинийсвязи;

- обеспечениесохранностиифизическойцелостностисредствсвязи;

- защитуотстихийныхбедствийисбоеввсистемеэнергоснабжения;

- мерыпообеспечениюличнойбезопасностисотрудниковорганизациисвязиипользователей услугамисвязи.

Настоящийстандартнеисключаетвозможностиобъединенияпроцессовосуществленияфизическойбезопасностиифункционированиясистемыобеспеченияинформационнойбезопасностиорганизациисвязивединуюструктуру.

2 Нормативные ссылки

Внастоящемстандартеиспользованынормативныессылкинаследующиестандарты:

ГОСТРИСО/МЭК 17799-2006 Информационнаятехнология. Практическиеправилауправленияинформационнойбезопасностью

ГОСТРИСО/МЭК 27001-2006Информационнаятехнология. Методыисредстваобеспечения безопасности. Системыменеджментаинформационнойбезопасности. Требования

ГОСТР 52448-2005Защитаинформации. Обеспечениебезопасностисетейэлектросвязи. Общиеположения

ГОСТР 53109-2008Системаобеспеченияинформационнойбезопасностисетисвязиобщего пользования. Паспорторганизациисвязипоинформационнойбезопасности

Примечание-Припользованиинастоящимстандартомцелесообразнопроверитьдействиессылочныхстандартоввинформационнойсистемеобщегопользования-наофициальномсайтеФедерального агентствапотехническомурегулированиюиметрологиивсетиИнтернетилипоежегодноиздаваемомуинформационномууказателю«Национальныестандарты», которыйопубликованпосостояниюна 1 январятекущегогода, и посоответствующимежемесячноиздаваемыминформационнымуказателям, опубликованнымвтекущемгоду. Еслиссылочныйстандартзаменен (изменен), топрипользованиинастоящимстандартомследуетруководствоватьсязаменяющим (измененным) стандартом. Еслиссылочныйстандартотмененбеззамены, тоположение, в которомданассылкананего, применяетсявчасти, незатрагивающейэтуссылку.

3 Термины и определения

Внастоящемстандартепримененыследующиетерминыссоответствующимиопределениями:

3.1 информационнаябезопасностьсетиэлектросвязи:Способностьсетиэлектросвязипротивостоятьпреднамеренныминепреднамереннымдестабилизирующимвоздействиям (угрозамбезопасности) навходящиевсоставсетисредстваилиниисвязивпроцессеприемаипередачи, обработкии храненияинформации, чтоможетпривестикухудшениюкачествауслуг, предоставляемыхсетьюэлектросвязи.

3.2 объектинформационнойбезопасностисетиэлектросвязи:Элементинфокоммуникационнойструктурысетиэлектросвязи (аппаратные, программные, программно-аппаратныесредства, информационныересурсы, услуги, процессы), надкоторымвыполняютсядействия.

3.3 субъектинформационнойбезопасностисетиэлектросвязи:Лицоилиинициируемыеот егоименипроцессыповыполнениюдействийнадобъектамиинформационнойбезопасностисети электросвязи.

3.4 мониторингсобытийинформационнойбезопасностисетиэлектросвязи:Постоянный контрольидействияпонаблюдению, получению, хранению, распознаниюианализуинформации, связаннойссобытиямиинформационнойбезопасности, выявлениюфактов, признаковипричиннарушения установленныхтребованийиобъектов/субъектов, скоторымисвязаныэтинарушения.

3.5 администраторсистемыобеспеченияинформационнойбезопасностисетиэлектросвязи:Субъектинфокоммуникационнойструктурысетиэлектросвязи, ответственныйзавыполнениепроцессовобеспеченияинформационнойбезопасностисетиэлектросвязи.

3.6 системаобеспеченияинформационнойбезопасностисети (сетей) электросвязи:Совокупностьорганизационно-техническойструктурыи (или) исполнителей, задействованныхвобеспечении информационнойбезопасностисети (сетей) электросвязиииспользуемыхимимеханизмовобеспечениябезопасности (средствзащиты), взаимодействующаясорганамиуправлениясетью (сетями) связи, функционированиекоторойосуществляетсяпонормам, правиламиобязательнымтребованиям, установленнымфедеральнымиорганамиисполнительнойвласти, уполномоченнымивобластяхсвязи, обеспечениябезопасностиитехническойзащитыинформации.

3.7 службаинформационнойбезопасностиорганизациисвязи:Организационно-техническаяструктураорганизациисвязи, реализующаяполитикуинформационнойбезопасностиорганизации связииосуществляющаяфункционированиесистемыобеспеченияинформационнойбезопасности сети (сетей)электросвязи.

4 Сокращения

Внастоящемстандартепримененыследующиесокращения:

ВН-воздействиенарушителя;

ИБ-информационнаябезопасность;

ИТ-информационнаятехнология;

НПА-нормативноправовойакт;

НСД-несанкционированныйдоступ;

НД-нормативныедокументы;

ОРД-организационно-распорядительныедокументы;

ОС-операционнаясистема;

ПДКпоИБ-постояннодействующаякомиссияпоИБ;

РД-руководящийдокумент;

СВТ-средствовычислительнойтехники;

СКЗИ-средствакриптографическойзащитыинформации;

СМИБ-системаменеджментаинформационнойбезопасности;

СОИБ-системаобеспеченияинформационнойбезопасности;

ССОП-сетьсвязиобщегопользования;

ФОИВ-федеральныйорганисполнительнойвласти;

ЧС-чрезвычайнаяситуация;

ЭМВОС-эталоннаямодельвзаимосвязиоткрытыхсистем.

5 Цели и задачи обеспечения информационной безопасности

5.1 Цели, задачиипринципыобеспеченияИБсети (сетей) электросвязиорганизациисвязидолжнысоответствоватьцелям, задачамиосновнымпринципамобеспечениябезопасностисетейэлектросвязипоГОСТР 52448.

5.2 ДополнительнокзадачампоГОСТР 52448ворганизациисвязидолжнопредусматриваться выполнениеследующихзадач:

- создание, реализация, поддержкафункционирования, осуществлениемониторингаисовершенствованиеСОИБнаосновеиспользованияпроцессногоподходакуправлениюИБ;

- анализрисковИБ, определениеспособовобработкирисковимероприятийпоихснижению;

- обеспечениеизолированностисредствсвязи, участвующихвуправлениисетямиэлектросвязи, отвнешнихсетейирабочихстанций, обслуживающегосетьперсонала;

- обеспечениеконтролируемогодоступаобслуживающегоперсоналаксистемеуправлениясетямиэлектросвязи;

- обеспечениецентрализованнойаутентификацииобслуживающегосетиперсоналаприихдоступексредствамсвязи;

- паспортизацияорганизацийсвязипотребованиямкИБ.

Примечание-ОператоромсвязимогутбытьуточненыцелиизадачиобеспеченияИБсетейэлектросвязивзависимостиотвыполняемыхорганизациейсвязифункцийиееделовыхцелей, ноформулировкацелейи задачдолжнабытьнезависимаотспособовихреализации.

5.3 СОИБдолжнасоздаватьсяоператорамисвязивкаждойорганизациисвязидляосуществлениямероприятийидействийпоснижениюпотенциальногоущербаотреализацииугрозбезопасностидо приемлемогоуровнязасчетустраненияуязвимостейвсетяхисредствахсвязиилисущественного затрудненияиспользованияэтихуязвимостейнарушителямибезопасности.

ОбластьюдействияСОИБявляютсясредства, сооруженияилиниисвязи, атакжеобслуживающий ихперсоналорганизациисвязи. СОИБсети (сетей) электросвязидолжнаосуществлятьреализацию политикиИБоператорасвязи.

6 Взаимосвязь системы обеспечения информационной безопасности и системы менеджмента информационной безопасности

6.1 ОбеспечениеИБявляетсянепрерывнымпроцессом, осуществляемымСОИБивзаимоувязывающимправовую, организационнуюитехническуюдеятельность, проводимуюподнепосредственным управляющимвоздействиемруководящегосоставаорганизациисвязи, направленнуюнаподдержание функционированиясетейэлектросвязивусловияхвоздействияугрозбезопасности.

МероприятияидействияпообеспечениюИБдолжныосуществлятьсяврамкахпримененияпроцессноймодели, определеннойвГОСТРИСО/МЭК 27001, путемреализациипроцессовуправления. Функцией, объединяющейпроцессы, обеспечения, управленияименеджмента, являетсяруководствоИБ.

6.1.1 РуководствоИБ-этодеятельностьпоустановлениюиподдержаниюструктурыуправленияипроцессов, обеспечивающихгарантиютого, чтополитикаИБворганизациисвязинаправленана достижениеделовыхцелейорганизацииисовместимасдействующимифедеральнымизаконамиРФи нормативнымиправовымиактамиФОИВ, уполномоченнымивобластяхсвязи, обеспечениябезопасностиитехническойзащитыинформации.

РуководствоИБопределяетконкретныероли, обязанностииответственностьруководящего составаорганизациисвязивобластиобеспеченияИБипредоставляетслужбеИБ, возглавляющей СОИБ, полномочияпоуправлениюпроцессамиСМИБ, таккаквсоответствиис [1] -процесс«обеспечение»предполагаетопределение«сил»и«средств», выполняющихфункциибезопасности (служб безопасности), накоторыеворганизациисвязивозлагаетсявыполнениемероприятийиосуществление деятельностипоуправлениюиобеспечениюИБ. Взаимосвязьпроцессовруководства, обеспечения, управленияименеджментапоказананарисунке 1.

Рисунок 1 -Взаимосвязьпроцессовруководства, менеджмента, управленияиобеспечения

6.1.2 Управление-этосовокупностьцеленаправленныхдействий, включающихвсебяоценку ситуацииисостоянияобъектовуправления (например, оценкуиуправлениерисками), выборуправляющихвоздействийиихреализацию (планированиеивнедрениемеробеспечениябезопасности).

Мероприятияидействия, реализующиепроцессуправления, должныбытькоррелированныс действиями, выполняемымиприменеджментеИБ, инедолжныповторятьдругдруга.

6.1.3 МенеджментИБ-эточастьобщейсистемыменеджментаорганизациисвязи, основанная науправлениирискамиорганизациисвязиприсоздании, реализации, функционировании, мониторинге исовершенствованииСОИБ.

СОИБдляСМИБявляетсяорганизационнойструктуройиинструментариемповнедрениюиподдержаниюпроцессовСМИБвстадияхжизненногоцикласетейсвязи.

6.2 ОсновнымипроцессамиСМИБ, показанныминарисунке 1 иопределяющимифункционированиеСОИБ, являются:

- управлениерисками;

- внутреннийаудит;

- управлениеинцидентами;

- управлениеизменениями.

6.2.1 Управлениерисками

Врезультатевыполненияпроцесса«управлениерисками»определяетсяструктураСОИБиуточняетсясоставееподсистем.

«Управлениерисками»позволяетустановитьбалансмеждуэксплуатационнымирасходамииэкономическимизатратаминамерыобеспечениябезопасностиидостигнутьболееэффективноговыполненияделовыхцелейорганизациисвязи, защитысетейэлектросвязиипередаваемойпосредствомних информации.

Общийподходкпроцессу«управлениярисками»приведенвподразделах 5.5-5.13 ГОСТР 52448.

Подуправлениемрискамипонимаетсяоценкаиуменьшениерисков, которыемогутвоздействоватьнасетиэлектросвязи.

Процессоценкирисков, являющийсяопределяющимв«управлениирисками»иисходнымипредпосылкамивкоторомвыступаютданные, полученныеприразработкеперечняугрозиуязвимостейдля конкретнойсетиэлектросвязи, показаннарисунке 2.

Рисунок 2 -Процессоценкириска

Процессоценкирисковсостоитизследующихэтапов:

а) инвентаризацияикатегорированиересурсовсетисвязи:

1) инвентаризацияпредполагаетсоставлениеперечнявсехресурсов (активов), требующих защиты (информационные, программные, аппаратныеисервисные);

2) категорированиезаключаетсявприсвоениикаждомуресурсукачественногоиликоличественногопараметраегозначимостис точкизренияеговлияниянаобщеефункционированиесетисвязи;

б) идентификацияосновныхугроз;

в) идентификацияуязвимостей.

Примечание-Процессыидентификацииуязвимостейиугрозобычноосуществляютсяодновременно ислужатосновойдляуточненияперечняугрозиуязвимостей;

г) анализвозможныхвоздействийугрозприреализацииуязвимостейвресурсахсети, вычисление вероятностиэтихвоздействийирискапричиненияущербасети, анализсуществующихмеробеспечениябезопасности;

д) определениедополнительных (рекомендуемых) меробеспечениябезопасности, способных противодействоватьвозможнымвоздействиям;

е) документированиеполученныхрезультатов.

Предлагаетсяиспользоватькачественныйподходканализурисков, основанныйнаоценкевлиянияугрозиуязвимостейнаосновныекритерииИБсетиэлектросвязи (конфиденциальность, целостность, доступностьиподотчетность). Анализмеробеспечениябезопасностиивычисление количественногозначениярискаотносятсякосновномупроцессуоценкирискаирассматриваютсяв отдельнойметодике.

6.2.2 Внутренний аудит

«Внутреннийаудит»предназначендляполученияобъективныхсвидетельствсоответствия действийучастниковпроцессаобеспеченияИБтребованиямСМИБ. Врезультате«внутреннегоаудита»могутбытьвыявленынедостаткиСОИБ, связанныеснесоответствиямиреализациипредъявленных кСОИБтребований, ошибкамиприэксплуатацииСОИБ, отсутствиемнеобходимыхресурсовит.д.

Сведенияовыявленныхнедостаткахдолжныучитыватьсявпроцессе«управленияизменениями».

6.2.3 Управление инцидентами

«Управлениеинцидентами»предназначенодлясвоевременногоивсестороннегореагирования наинцидентыИБ. Реализацияпроцесса«управлениеинцидентами»должнагарантировать, чтоинцидентыИБбудуткорректнообрабатываться, аинформацияособытияхИБиуязвимостях, связанныхс ресурсамисетиэлектросвязи, - доводитьсядосведенияуполномоченныхлицвпорядке, позволяющемвовремяпредприниматькорректирующиедействия.

Сведенияовыявленныхнедостатках, способствующихпоявлениюинцидентовИБ, должныучитыватьсявпроцессе«управленияизменениями».

6.2.4 Управления изменениями

«Управленияизменениями»предназначенодлявыработкикорректирующихдействий, направленныхнаустранениепричинвыявленныхнесоответствийдляпредотвращенияихповторноговозникновенияиликорректирующихдействий, связанныхспредложениямипосовершенствованиюСОИБ. Полученныесведенияовыявленныхнедостаткахвпроцессе«управленияинцидентами»и«внутреннемаудите»иинформация, полученнаяврезультатереализациипроцесса«управлениярисками», являютсяисходнымиданнымидлявыработкиобобщенныхпредложенийпосовершенствованиюфункционированияСОИБ.

7 Жизненный цикл системы обеспечения информационной безопасности и его взаимосвязь с жизненным циклом сети связи

7.1 Жизненныйциклсетисвязиявляетсяполнымпроцессомразвития, реализацииивыводаиз эксплуатациисетейсвязичерезпроцессыихпроектирования, построения, реконструкциииэксплуатации.

Операторомсвязимогутбытьпримененыразличныеметодикидляопределениямероприятийи действийпообеспечениюИБвпроцессежизненногоцикласетисвязи, нокаждаясостоитизрядаопределенныхцикловилифаз, выполнениекоторыхрекомендуется.

7.2 ДляосуществленияпостоянногоикорректногоуправленияпроцессамименеджментаИБ, СОИБдолжнавзаимодействоватьссистемойуправлениясетьюсвязиижизненныйциклСОИБдолжен бытькоррелированс жизненнымцикломсетисвязииэтапамипроцессноймоделиСМИБ, определеннымивГОСТРИСО/МЭК 27001.

7.3 НастоящийстандартустанавливаетдляжизненногоциклаСОИБследующиестадии:

- созданиеСОИБ;

- реализацияСОИБ;

- функционированиеСОИБ;

- мониторингсоответствияСОИБ;

- совершенствованиеСОИБ.

ВзаимосвязьстадийжизненногоцикласетисвязииСОИБсэтапамипроцессноймоделиСМИБ приведенанарисунке 3.

Рисунок 3 -ВзаимосвязьстадийжизненныхцикловсетисвязииСОИБсэтапамипроцессноймоделиСМИБ

7.3.1 Стадия«созданиесистемыобеспеченияинформационнойбезопасности»

Припроектированиисетисвязивразрабатываемомсистемномпроекте [2] вотдельномразделе должныбытьописаныпотребностиИБ, вчастности:

- осуществленапредварительнаяклассификацияпредполагаемыхкиспользованиюсетевыхэлементовиихкатегорированиесточкизренияихзначимостиввопросахобеспеченияИБ;

- определенпредварительныйпереченьугрозиуязвимостейструктурныхэлементовсетисвязи;

- проведенапредварительнаяоценкарисковинаееосновеопределенытребованиякИБиразработанпереченьмеробеспеченияИБ, реализациякоторыхдолжнаопределятьиспользованиеконкретныхмеханизмовобеспечениябезопасности (средствзащиты);

- определенапредварительнаяструктураСОИБ, составподсистемиосуществляемыепроцессы еефункционирования, ихвзаимосвязьспроцессамиуправлениясетьюидругимирешаемымисетью задачами.

7.3.2 Стадия «реализация системы обеспечения информационной безопасности»

Припостроениисетисвязидолжныбыть:

- реализованырезультатыпредварительнойоценкирисков, выраженныевконструировании, разработке, закупкеивнедрениинеобходимыхсредствобеспеченияИБисредствзащиты;

- сформированафункциональнаяструктураподсистемСОИБ;

- подготовленынеобходимыедляэксплуатацииСОИБдокументы;

- привозможностидолжнабытьпредварительноопределенаэффективностьвыбранныхмер обеспечениябезопасности.

7.3.3 Стадия «функционирование системы обеспечения информационной безопасности»

ВпроцессеэксплуатациисетисвязиобеспечениеИБдолжнобытьинтегрировановпроцессы управлениясетьюсвязи. Приэксплуатациисетисвязидолжнывыполнятьсяпроцессыуправленияинцидентами, внутреннегоаудита, управленияизменениямиидругиепроцессы, определенныевСМИБ. Реализацияданныхпроцессовпозволитсвоевременнопровестинеобходимоеиобоснованное совершенствованиеСОИБ.

7.3.4 Стадия «мониторинг соответствия системы обеспечения информационной безопасности»

Приэксплуатациисетисвязииеереконструкции (модернизации) должныпроводитьсяследующие процессы:

- тестированиекомпонентов, свойствифункцииИБсетисвязи;

- внутреннийаудит;

- управлениерисками (вполномобъеме);

- обработкаинцидентовиуправлениеизменениями.

НовыеилиизмененныекомпонентыИБдолжнытестироватьсяотдельностем, чтобыподтвердить, чтоонифункционируютдолжнымобразом, адалеевоперационномокружениидляподтверждения, что ихинтеграциявсетьсвязиненарушиткачествоуслугсвязии/илифункцийбезопасности. ПорезультатампроцессамониторингадолжныбытьвнесеныобоснованныеизменениявСОИБ.

7.3.5 Стадия «совершенствование системы обеспечения информационной безопасности»

Стадия«совершенствованиеСОИБ» (процессуправлениеизменениями) предусматриваетпроведениекорректирующихипредупреждающихдействий, направленныхнаустранениепричинвыявленныхнесоответствийприосуществлениипроцессовуправлениярисками, инцидентамиивнутреннего аудита.

Применениекорректирующихипредупреждающихдействий, наосновеоценкирисков, обуславливаетсявозможностьювнесенияваппаратныеипрограммныесредствановыхуязвимостейприих модернизации (модификации).

Примечание-Припрекращениифункционированиясетисвязи (фазаснятиясэксплуатации), перед утилизацией, передачейаппаратныхсредствилисдачивремонтвсеинформационныеивычислительныересурсы, особеннобазыданных, таблицымаршрутизации (ит.д.), должныбытьпроверенынаотсутствиевнихостаточнойинформации.

8 Направления обеспечения информационной безопасности

8.1 Правовоенаправлениеобеспеченияинформационнойбезопасности

8.1.1 ПравовоенаправлениеобеспеченияИБпредусматриваетсозданиеиподдержаниефункционированияСОИБворганизациисвязинаосновереализацииобщеобязательныхправовыхнормпоИБ, осуществляемыхвсоответствиисположениями:

- федеральныхзаконовРФ;

- указовираспоряженийПрезидентаРФ;

- постановленийираспоряженийПравительстваРФ;

- нормативныхправовыхактов (приказов, распоряжений) ФОИВ, уполномоченныхвобластяхсвязи, обеспечениябезопасностиитехническойзащитыинформации.

8.1.2 ПравовоенаправлениеобеспеченияИБосновываетсянаконцептуальныхправовыхосновахИБ, определяемых:

- основныминаправлениямигосударственнойполитикивобластиИБ;

- основнымиправамииобязанностямигосударства, ФОИВ, субъектовРоссийскойФедерации, организацийсвязиигражданвобластиИБ;

- основнымиправиламиипроцедурамиобязательнойсертификациисредствзащитыинформациииправиламиаттестацииобъектовинформатизациипотребованиямтехническойзащитыконфиденциальнойинформации;

- основнымиправиламиипроцедурамилицензированиядеятельностивобластяхсохранения государственнойтайныитехническойзащитыконфиденциальнойинформации;

- видамииформамиответственностиорганизацийсвязиигражданзанарушениеправовыхинормативныхтребованийпоИБ.

8.1.3 ПравовоенаправлениеобеспеченияИБворганизациисвязиреализуетсячерезсистему внутреннихдокументоворганизациисвязи, классификациякоторыхприведенавразделе 12.

8.2 Организационноенаправлениеобеспеченияинформационнойбезопасности

ОрганизационноенаправлениеобеспеченияИБвключаетвсебя:

- регламентациювзаимоотношениясубъектовИБнанормативно-правовойоснове;

- разработкуивыполнениепрограммобученияиповышениякомпетентностисотрудниковорганизациисвязиввопросахИБ;

- реализациюмероприятийпообеспечениюИБ;

- выполнениеорганизационныхтребованийбезопасности.

8.2.1 РегламентациявзаимоотношенийсубъектовИБпредполагает:

а) определениевдолжностныхинструкцияхобязанностейиролейсотрудниковорганизациисвязиповопросамвыполнениятребованийИБ. Рольворганизациисвязипредставляетзаранееопределеннуюсовокупностьправил, устанавливающихдопустимоевзаимодействиемеждусубъектамии объектамиворганизациисвязи.

Примечание-Ксубъектамотносятсялицаизчисларуководстваорганизациисвязи, еесотрудники, пользователиуслугамисвязиилиинициируемыеотихименипроцессыповыполнениюдействийнадобъектами;

б) установлениемерответственностисотрудниковорганизациисвязизанарушениеИБ;

в) определениеограниченийвдеятельностисотрудниковорганизациисвязииконечныхпользователей, определяемыхфакторамиобеспеченияИБидругимиусловиями.

8.2.2 ПрограммаобучениясотрудниковорганизациисвязивопросамИБпредназначаетсядля персонала, имеющеговсвоихфункциональныхобязанностяхположения, касающиесявыполнениятребованийИБ, ипредполагаетнеобходимостьспециальногообучениядляэтойкатегориисотрудников.

ГлубинаэтогообучениязависитотстепениважностиИБдляорганизацииидолжнаварьироваться согласнотребованиямбезопасностиквыполняемойработе. ПрограммаобучениясотрудниковИБдолжнабытьразработанатак, чтобыохватитьвсепотребностивмерахбезопасности, относящихсяксетям электросвязи. Вслучаенеобходимостиможетбытьиспользованообучениенауровнеспециальных курсов.

Ворганизациисвязидолженбытьсоставленсписоксотрудников, длякоторыхнеобходимоспециальноеобучениеИБисписокдолжностей, накоторыхдолжныиспользоватьсясотрудники, получившие специализированноеобучениенакурсахилиимеющиевысшееобразованиевобластиИБ.

НеобходимостьспециальногообученияИБдолжнабытьопределенадлятекущихизапланированныхзадач, проектовит.д. КаждыйновыйпроектсоспециальнымитребованиямикИБдолженсопровождатьсясоответствующейпрограммойобучения, разработаннойдоначалапроекта.

8.2.3 ПрограммаповышениякомпетентностисотрудниковорганизациисвязиввопросахИБотноситсяккаждомусотрудникуорганизацииидолжнагарантировать, чтоперсоналимеетдостаточныйуровеньзнанийобосновахобеспеченияИБ.

8.2.4 РеализациямероприятийпообеспечениюИБдолжнапредусматривать:

а) регулированиефункционированияслужбыИБ (см. раздел 13);

б) изданиеприказовираспоряженийпообеспечениюИБ, основнымиизкоторыхявляются:

1) осозданииПДКпоИБ;

2) оназначениикомиссиипокатегорированию, классификациииаттестацииобъектовсвязии информационныхсистемпотребованиямкИБ;

3) одопускесотрудниковкработесосредствамисвязи;

4) оназначенииадминистратораИБилиц, ответственныхзаобеспечениеИБвподразделенияхорганизациисвязи;

в) ограничениедоступактехническому, программномуиаппаратно-программномуоборудованию, кроссам, распределительнымщитам, незащищеннымлиниямиканаламсвязидляпредупреждениянесанкционированногодоступакним;

г) осуществлениефизическойиинженерно-техническойзащитыобъектоворганизациисвязи;

д) планированиедействийпоуправлениюинцидентамиИБ;

е) планированиедействийвЧС;

ж) включениевдолжностныеинструкциисотрудниковорганизациисвязиобязательстваонеразглашенииисохранностисведенийограниченногодоступа;

и) оборудованиеслужебныхпомещенийсейфами, шкафамидляхранениябумажных, магнитных носителейинформацииидр.

8.2.5 Выполнениеорганизационныхтребованийбезопасности, предполагает:

- определениеивнедрениеорганизационныхмеробеспечениябезопасности;

- выполнениеорганизационныхмер, осуществляемоечерезпроцедуры, определяющиемероприятияипорядокдействийпоихосуществлению, описаниекоторыхнеявляетсяоднозначнымивнастоящемстандартенерассматривается;

- контрольвыполненияорганизационныхмербезопасности.

8.3 Техническоенаправлениеобеспеченияинформационнойбезопасности

ТехническоенаправлениеобеспеченияИБвключаетвсебямероприятияидействияпо:

а) выполнениюфункциональныхтребованийбезопасности, путем:

1) определенияфункциональныхмербезопасности;

2) внедрения, осуществленияэксплуатациииконтролязатехническимобслуживаниеммеханизмовобеспечениябезопасностиисредствзащиты, реализующихмерыобеспечениябезопасности;

б) реализацииразрешительнойсистемыдопускаобслуживающегоперсоналакработам, документамиинформацииуправлениясредствамисвязи;

в) разграничениюдоступаобслуживающегоперсоналакинформационнымресурсам, программнымсредствамобработки (передачи) изащитыинформациивподсистемахразличногоуровняи назначения;

г) учетуактивов, регистрациидействийпользователейиобслуживающегоперсонала, контролю занесанкционированнымдоступомидействиямипользователей, обслуживающегоперсоналаипостороннихлиц;

д) предотвращениюатакивнедрениявсредствасвязииавтоматизированныесистемыпрограмм-вирусовипрограммныхзакладок;

е) применениюСКЗИ (принеобходимости) длязащитыобрабатываемойинформации.

Примечание-ВнастоящемстандартенерассматриваетсяпорядокиспользованияСКЗИ, которыйрегламентируетсяФОИВ, уполномоченнымвобластиобеспечениябезопасности;

ж) надежномухранениюносителейинформации, ключей (ключевойдокументации) иихобращению, исключающемухищение, подменуиуничтожение;

и) резервированиютехническихсредств, базданныхиносителейинформации;

к) оборудованиюинформационныхсистем, средствсвязииСВТустройствамизащитыотсбоев электропитанияипомехвлинияхсвязи;

л) постоянномуобновлениютехническихипрограммныхсредствзащитыотнесанкционированногодоступаксредствамсвязииантивирусныхсредстввсоответствиисменяющейсяокружающейобстановкой.

9 Подтверждение соответствия сетей электросвязи требованиям информационной безопасности

9.1 Подтверждениесоответствиясетейэлектросвязи (аттестация) требованиямИБноситдобровольныйхарактер.

9.1.1 Добровольноеподтверждениесоответствияосуществляетсяпоинициативеоператорасвязивформедобровольнойсертификации.

9.1.2 ДобровольноеподтверждениесоответствияможетосуществлятьсядляустановлениясоответствиясетиэлектросвязитребованиямкИБнациональнымстандартам, стандартаморганизаций, сводамправил, системамдобровольнойсертификации.

9.2 Подтверждениесоответствияпредусматриваеткомплекснуюпроверку (аттестационные испытания) сетиэлектросвязииобеспечивающейееинфраструктуры-СОИБположениямнастоящегостандарта, вреальныхусловияхэксплуатации.

Приаттестациисетиэлектросвязиподтверждаетсяеесоответствиетребованиямбезопасности, в томчислеспособностьсетипо:

- защитеотНСДкнейипередаваемойпосредствомнееинформации;

- противодействиювлияниявредоносныхпрограммнасредствасвязииинформатизации;

- обнаружениюипротиводействиюатакамнасредствасвязииинформатизации;

- содержаниюохраняемыхиконтролируемыхзон.

Примечание-КонкретныетребованиябезопасностисетейэлектросвязимогутбытьизложенывНПА ФОИВ, уполномоченноговобластисвязи.

9.3 Проверкасоответствиясетиэлектросвязитребованиямбезопасностидолжнаосуществлятьсяспециализированнымисертификационнымицентрамиилилабораториямипометодикам, разработаннымвсистемедобровольнойсертификацииИБсетейэлектросвязи.

10 Архитектура системы обеспечения информационной безопасности

10.1 Основныеположения

СОИБявляетсянеотъемлемойчастьюлюбойсетисвязи, иееархитектуранезависитоттехнологий, используемыхприпостроениисетисвязи. СОИБявляетсяпредупредительнойсистемойвотличие отответноймодели, осуществляющейобработкусобытияпослеегопроисхождения. ПроцессыСОИБ должныработатьдотогокакслучитсянепредвиденныйинцидентбезопасности.

АрхитектураСОИБССОПдолжнабытьмногоуровневойивключатьвсебяследующиефункциональныеструктурныеэлементы: уровниИБ, подсистемыИБ, службыобеспеченияИБразличныхорганизаций (операторов) связи, координируемыецентральныморганомСОИБССОП, которыйможетбыть образованФОИВ, уполномоченнымвобластисвязи.

10.2 Уровни системы обеспечения информационной безопасности

АрхитектураСОИБможетсодержатьследующиеуровниИБ, описаниекоторыхприведеновразделе 8 ГОСТР 52448:

- управлениеИБ;

- организационно-административный;

- безопасностьинфокоммуникационнойструктуры;

- безопасностьуслуг;

- сетеваябезопасность;

- физическаябезопасность.

Операторсвязивцеляхобеспечениясвоейдеятельностиидостиженияделовыхцелейможет уточнятьданныеархитектурныекомпоненты, вчастности, описанныеуровниСОИБмогутбытьобъединенывтриукрупненныхуровня:

- организационный;

- организационно-технический;

- технический.

10.3 Подсистемы системы обеспечения информационной безопасности

РазделениеСОИБнаподсистемыноситусловныйхарактерипредназначенодляобъединения характерныхмероприятийидействийпообеспечениюИБвединуюархитектурнуюкомпоненту. Вобщем случаевсоставСОИБмогутвходитьследующиефункциональныеподсистемы:

- аутентификациииавторизации;

- контролядоступаизащитыотНСД;

- регистрациисобытийИБиаудита;

- управления;

- резервирования.

10.3.1 Подсистема«аутентификациииавторизации»

Подсистема«аутентификациииавторизации»предназначаетсядляцентрализованнойаутентификациииавторизациидоступасубъектовкпрограммно-аппаратнымсредствамсвязиисистемеуправления.

Основнымифункциямиподсистемы«аутентификациииавторизации»являются:

- предоставлениеобслуживающемуперсоналусистемисетейсвязивозможностииспользования одной (илинескольких) учетнойзаписиипароляпридоступексредствамсвязиисерверамсистемы управлениясиспользованиеммеханизмоввнешнейаутентификациииавторизации;

- централизованноехранениебазыданныхпользователейиихавторизационнойинформациис использованиеммеханизмоввнешнейаутентификациииавторизации.

Подсистема«аутентификациииавторизации»можетбытьреализованавстроеннымимеханизмамиаутентификациииавторизациисредствсвязииинформатизациииявляетсяоднимиззвеньевполучениядоступаксредствамсвязи, реализующемуследующиелогическиепроцессы:

- идентификациюпользователя, когдаопределяетсяимяучетнойзаписиилилогин;

- аутентификацию-проверкуподлинноститого, чтопредъявительимениучетнойзаписиявляетсялицом, чьюучетнуюзаписьонпредъявилвпроцессеидентификации;

- авторизацию-процесснаделенияправамидоступакоборудованию.

Вподсистеме«аутентификациииавторизации»допускаетсяприменениеаутентификацииразных уровнейсложности:

а) однофакторнойаутентификациисиспользованием:

1) пароля,

2) пароляоднократногодействия;

б) двухфакторнойаутентификациисиспользованием:

1) токенов,

2) смарткарт,

3) криптокарт,

4) сертификатов;

в) трехфакторнойаутентификациисиспользованиембиометрическихметодов.

10.3.2 Подсистема«контролядоступаизащитыотНСД»

Подсистема«контролядоступаизащитыотНСД»предназначенадля:

- разделенияпередаваемоготрафикапользователейисистемыуправления;

- обеспеченияцелостностимаршрутнойинформациииинформацииотекущемвремени;

- защитыуправляющеготрафикаикомпонентовСОИБ;

- разграничениядоступаксистемеуправлениясетью (сетями) электросвязи.

Подсистема«контролядоступаизащитыотНСД»реализуетсяпосредствомсредствсегментированиясети, межсетевогоэкранирования, организациикриптографическихтуннелейиантивирусного контроля.

10.3.3 Подсистема«регистрациисобытийИБиаудита»

Подсистема«регистрациисобытийИБиаудита»предназначенадля:

- мониторингасетевойактивностииоповещенияособытиях, связанныхсИБнасетевомуровне;

- мониторингаактивностисистемногоуровня (уровеньОС) иоповещенияособытиях, связанныхс ИБнасистемномуровне;

- консолидацииинформацииобактивностисетевогоисистемногоуровнянацентрализованную консольуправления;

- веденияжурналоваудитасобытийИБ;

- регистрациидействийперсонала, управляющегосредствамисвязиикомпонентамиСОИБ;

- автоматизированногоконтролязащищенностиобъектовИБсети (сетей) электросвязиикомпонентовСОИБсцельювыявленияуязвимостей;

- формированияотчетовпорезультатаманализазащищенностиирекомендацийпоустранению выявленныхуязвимостей;

- автоматизированногоанализажурналоваудита.

Подсистема«регистрациисобытийИБиаудита»реализуетсясиспользованиеммеханизмованализажурналовсобытий, анализазащищенностииобнаружения/предотвращениявторжений.

10.3.4 Подсистема«управленияСОИБ»

Подсистема«управленияСОИБ»предназначенадля:

- организациибезопасногоудаленногодоступаксистемеуправлениясетью (сетями) электросвязи;

- осуществленияцентрализованногоуправленияимониторингакомпонентамиСОИБ;

- организациибезопасногоудаленногодоступаксредствамсвязидляуправлениявслучаеотказов, следствиемкоторыхявляетсяневозможностьуправленияоборудованиемпоосновнойсхемечерез технологическуюсеть;

- контролявыполнениятребованийНД.

Подсистема«управленияСОИБ»должнаповозможностииспользоватьштатныесредствауправленияимониторингакомпонентовСОИБ.

10.3.5 Подсистема«резервирования»

Подсистема«резервирования»предназначаетсядля:

- дублированияосновныхкомпонентовСОИБ;

- резервногокопированияинформацииСОИБисистемыуправлениясетьюэлектросвязи.

Подсистема«резервирования»СОИБдолжнаобеспечиватьбесперебойнуюработумеханизмов обеспечениябезопасностиинадежноесохранениефайловрегистрациисобытийИБ.

Подсистема«резервирования»реализуется:

- засчетвстроенныхмеханизмовобеспечениянадежностисредствобеспеченияИБ;

- наоснованиирекомендацийпоставщиковмеханизмовобеспечениябезопасности (средств защиты);

- средствамирезервногокопированияинформации.

10.4 Механизмыобеспечениябезопасностиисредствазащиты

10.4.1 Выполнениефункций, определенныхдлякаждойподсистемыСОИБ, осуществляетсяс использованиемконкретныхмеханизмовобеспечениябезопасностиисредствзащиты, реализующих функциональныемерыобеспечениябезопасности, определенныетребованиямибезопасностисетей электросвязи.

10.4.2 Посвоемуназначениюихарактеристикаммеханизмыобеспечениябезопасностиисредствазащитыусловнообъединяютсявклассы, ориентировочныйпереченькоторыхсобозначениемих использованиявподсистемахСОИБприведенвтаблице 1.

Таблица 1 -Переченьклассовмеханизмовобеспечениябезопасности, средствзащитыиихиспользованиев подсистемахСОИБ

Наименование классов механизмов обеспечения безопасности и средств защиты

Подсистемы СОИБ

Аутентификации и авторизации

Контроля доступа и защиты от НСД

Регистрации событий ИБ и аудита

Управления

Резервиро-
вания

1 Межсетевого экранирования и сегментирования сетей

+

2 Защиты от НСД

+

3 Криптографической защиты информации (СКЗИ)

+

+

4 Контроля доступа

+

5 Аутентификации

+

6 Обнаружения/предотвращения вторжений

+

7 Резервного копирования и архивирования

+

8 Централизованного управления ИБ

+

9 Аудита и мониторинга событий ИБ

+

10 Контроля деятельности сотрудников в Интернет

+

11 Анализа содержимого почтовых сообщений

+

12 Контроля защищенности

+

13 Защиты от спама

+

14 Защиты от атак класса «отказ в обслуживании»

+

15 Контроля целостности

+

16 Антивирусной защиты

+

17 Защиты от утечки по техническим каналам

+

11 Система обеспечения информационной безопасности как технологическая система сети связи общего пользования

11.1 СОИБявляетсятехнологическойсистемойССОПнарядусдругимитехнологическимисистемами (сигнализации, тактовойсетевойсинхронизации, управленияиадминистративно-биллинговой). ВзаимодействиеСОИБсэтимисистемамиприведенонарисунке 4.

11.2 ОсновнымифункциямиСОИБкактехнологическойсистемыССОПявляются:

- внедрениеиконтрольвыполнениятребованийнормативнойправовойбазывобластиобеспеченияИБССОП;

- созданиеусловийдляреализацииправгражданиобщественныхобъединенийнадеятельность всфереинформационногообмена;

- определениеиподдержаниебалансамеждупотребностьюграждан, обществаигосударствав свободномобменеинформациейинеобходимымиограниченияминараспространениеинформации;

- оценкасостоянияИБССОП, выявлениеисточниковвнутреннихивнешнихугрозбезопасности, определениеприоритетныхнаправленийпредотвращения, отраженияинейтрализацииэтихугроз.

Рисунок 4 -ВзаимосвязьСОИБстехнологическимисистемамиССОП

11.3 ОднойиззадачСОИБявляетсяобеспечениебезопасноститехнологическихсистеми, преждевсего, системыуправлениясетью (сетями) электросвязи, длячегоСОИБдолжна:

- предусматриватьнадежнуюзащитувсехтиповинфокоммуникационныхресурсовсети (сетей) электросвязи;

- учитыватьспецификуновыхИТиинтеграциютехнологийбезопасностимеждуИТисетевыми элементами;

- использоватьцентрализованноеуправлениевсемимеханизмамиобеспечениябезопасности (средствамизащиты) изединогоцентра;

- обеспечиватьИБмерами, соответствующимистепенивозможногонанесенияпотенциального ущербавслучаеВН;

- использоватьвсоставеСОИБтолькосертифицированныемеханизмыобеспечениябезопасности (средствазащиты).

11.4 ВзаимосвязимеждуСОИБидругимитехнологическимисистемамиССОП, приведенныена рисунке 4, подразумеваютналичиевкаждойтехнологическойсистемеССОПэлементовподсистем обеспеченияИБ. Основнымифункциямиданныхподсистемдолжныбыть:

а) использованиесистемраспределенногомониторингаианализаобщеканальнойсигнализации № 7 в«системесигнализации»;

б) недопущениенесанкционированноговмешательствавработу«системытактовойсетевойсинхронизации»;

в) обеспечениеизолированностиизащищенности«системыуправления»отвнешнихсетейсвязи иосуществлениеконтролянаддействиямивсети (сетях).

ОсновнойцельюобеспеченияИБвусловияхВНнасетевыересурсы«системыуправления»являетсясохранениеследующихосновныхкритериевИБ:

- конфиденциальностьинформацииуправления,

- целостностьинформацииуправления,

- доступностьинформацииуправления,

- подотчетностьучастников (субъектов) управления;

г) всистеме«административно-биллинговой»:

- обеспечениебезопасностиперсональныхданных, сведенийобабонентахипредоставляемых имуслугахсвязи,

- разработкаполитикиборьбысмошенничествомкаксосторонывнешнихзлоумышленников, так исосторонысобственногоперсонала,

- развертываниенасетисвязисистемыобнаружениямошенничества, направленнойназащиту доходовоператораимониторингнезапланированныхпотерь,

- мониторингдеятельностиисобытий, связанныхсосчетамиклиентовисоплатамисчетов.

12 Документы, регулирующие обеспечение информационной безопасности в организации связи

12.1 Документы, регулирующиеобеспечениеИБворганизациисвязи, представляютсобойобъединеннуюцелевойнаправленностьюупорядоченнуюсовокупностьтребований, правил, процедури инструкцийнабумажныхносителяхивэлектронномвиде, определяющихиограничивающихфункциональностьобъектовидеятельностьсубъектов, принимающихучастиевобеспеченииИБ.

12.2 Настоящийстандартнеопределяетконкретногоперечнядокументов, разрабатываемыхв организациисвязи. Составдокументовопределяетсяисходяизделовыхцелейорганизации, используемыхтехнологийиоборудования, структурыиобъемапредоставляемыхуслугсвязи. Настоящийстандартпредлагаеттолькоцелевуюнаправленностьразрабатываемыхдокументов.

12.3 Документы, регулирующиеИБворганизациисвязи, разрабатываютсясучетомположений общеобязательныхправовыхнормпоИБ (см. 8.1.1) ипосвоемуфункциональномуназначениюподразделяютсянаследующиеосновныеклассы:

- организационно-распорядительные;

- нормативно-технические;

- информационные.

Каждыйизприведенныхклассовдокументов, взависимостиотхарактераинаправленностиизложенияматериалов, подразделяетсянаразличныевидыдокументов.

12.4 ОРДопределяютирегламентируютдеятельностьпопланированиюиосуществлениюпроцессовобеспеченияИБворганизациисвязи.

Похарактерурегламентируемыхвопросов (решаемыхзадач) ОРДподразделяютна:

- организационныедокументы;

- распорядительныедокументы;

- документыподтверждениясоответствия.

12.4.1 ОрганизационныедокументыявляютсяосновополагающимидокументамивобластиобеспеченияИБ, онипредставляют:

- детализациюположенийитребованийправовыхдокументов;

- системувзглядовиединыйпорядокобеспеченияИБворганизациисвязи;

- функциональностьслужбыИБиеевзаимосвязьсдругимиструктурнымиподразделениямиорганизациисвязи;

- долговременныезадачи, права, обязанностиимерыответственностивобластиобеспеченияИБ.

Косновным, рекомендуемым, организационнымдокументампоИБотносятся:

- политикаИБ (концепцияИБ);

- паспорторганизациисвязипоИБ;

- планобеспеченияИБорганизациисвязи;

- положения;

- инструкции.

12.4.1.1 ПолитикаИБявляетсядолговременнымдокументомипредставляетдокументированную системувзглядов, определяющихцелиинаправлениядеятельностисубъектоввобластиобеспеченияИБ.

Документ, представляющийполитикуИБорганизациисвязи, долженвключатьвсебяобщиеположения, соответствующиетребованиям, изложеннымвГОСТРИСО/МЭК 17799.

12.4.1.2 НарядусполитикойИБворганизациисвязиможетбытьразработанаконцепцияИБ. ВданномслучаевконцепцииИБизлагаютсявопросы, ненашедшиераскрытиявполитикеИБ, иперспективысовершенствованияСОИБ, например, связанныесвнедрениемнасетяхэлектросвязиновых технологийирасширенияспектрапредоставляемыхпользователямуслугсвязи.

12.4.1.3 ПаспорторганизациисвязипоИБразрабатываетсявсоответствиисГОСТР 53109.

12.4.1.4 ПланобеспеченияИБорганизациисвязипредставляетежегодноформируемыйкоординационныйдокумент, определяющийдействия, требуемыедляреализациимероприятийпообеспечениюИБвсоответствиисполитикойИБорганизациисвязи.

ВпланеобеспеченияИБорганизациисвязидолжнопланироватьсяобеспечениевсехсистем, находящихсянаэксплуатацииворганизации. Приналичиивыделенныхсистемилисистем, требующих повышенногоуровнябезопасностивозможнаразработкаотдельныхплановобеспеченияИБдлятаких систем.

12.4.1.5 КромеосновногопланаИБворганизациисвязимогутразрабатыватьсяпланыпореализацииконкретныхмероприятийобеспеченияИБ.

Примеры

1 Планреагированиянаинцидентыбезопасности.

2 ПландействийвЧС.

3 Планисхемаобеспеченияохраныорганизациисвязи.

12.4.1.6 Положения-документы, содержащиеорганизационныеуказанияпоосуществлению конкретныхнаправленийдеятельностипообеспечениюИБ.

Примеры

1 ПоложениеослужбеИБ.

2 ПоложениеоПДКпоИБ.

12.4.1.7Инструкции - документы, содержащиеуказанияиправила, устанавливающиепорядоки способвыполненияилиосуществленияопределенныхдействий.

Примеры

1 Инструкцияпообеспечениюантивируснойзащиты.

2 ИнструкцияадминистраторуИБ.

12.4.2 Распорядительныедокументы-документытекущегоуправления, которыеиздаютсяво исполнениеиливдополнениекорганизационнымдокументамиустанавливаютнаправления, методы (способы, приемы) организацииработпообеспечениюИБвзависимостиотвозникающихконкретных задачуправленияиизменяющихсяусловийокружающейсреды.

ОсновнымивидамираспорядительныхдокументовпоИБявляютсяприказы, программы, перечни, решения, распоряжения, указания.

12.4.3 Кдокументам, подтверждающимсоответствиепродукции, работиуслугвобластиИБ, относятся:

а) документывышестоящихрегулирующихорганов:

1) лицензиинаправопроведенияработсосведениями, составляющимигосударственную тайну;

2) лицензиинаправоосуществленияработвобластитехническойзащитыинформации;

3) лицензиинаправоосуществленияработвобластикриптографическойзащитыинформации;

4) сертификатысоответствиясредствЗИ;

б) внутренниедокументыорганизациисвязи.

Пример-АкткатегорированиясетиэлектросвязипотребованиямИБ.

12.5 НДустанавливаютединыетребования, нормыиправилаобеспеченияИБ, обязательныедля исполнениявпределахустановленнойприихвведениисферыдействияиобластираспространения.

12.6 ОсновнымивидамиНДявляются:

- документысистемыстандартизацииРоссийскойФедерации;

- РДФОИВ, уполномоченноговобластитехническойзащитыинформации;

- методики, методическиеуказания, нормыидр. документы, разработанныеФОИВ, уполномоченнымивобластяхсвязи, обеспечениябезопасностиитехническойзащитыинформации;

- документыорганизациисвязи, развивающиетребованиявышестоящихрегулирующихорганови положениявнутреннихОРДорганизациисвязи.

12.7 Косновным, разрабатываемымворганизациисвязиНД, относятся:

- стандартыорганизациисвязи;

- модельугрозинарушителяИБсетиэлектросвязи;

- руководства, процедуры, порядки, правила, рекомендации, перечни.

12.8 Информационныедокументыслужатдляинформационнойподдержкирешенияпроцессов обеспеченияиосуществленияИБ.

Поформепредставленияинформационныедокументымогутбытьследующихвидов:

- справочныедокументы (справочныепособия, исходныеданныедляанализаактивоворганизациисвязи, угроз, уязвимостейидр.);

- отчетнаянаучно-техническаядокументация;

- научнаяиучебнаялитература;

- документыделопроизводства (акты, бланки, базыданных, донесения, журналыучетаидр.).

12.9 НДиинформационныедокументы, разрабатываемыеворганизациисвязи, должныбыть согласованысруководителямизаинтересованныхподразделенийорганизациисвязииутверждены/подписаныруководителемслужбыИБорганизациисвязи.

12.10 ДокументацияпообеспечениюИБворганизациисвязидолжнапериодическипересматриватьсяиобновлятьсяпорезультатамоценкирисков, внешнегоивнутреннегоаудитаИБ, атакжевсвязи сизменениямиделовыхцелейивнедренияновыхтехнологийиуслугсвязи.

13 Служба информационной безопасности

13.1 СозданиеСОИБсети (сетей) электросвязидолжнопредусматриватьформированиеворганизациисвязиорганизационно-штатнойструктуры (служба, отдел, подразделение, администраторИБ), далее-службаИБорганизациисвязи, осуществляющейнепосредственноевыполнениемероприятий идействийпообеспечениюИБсетиэлектросвязи. ПереченьосновныхвыполняемыхслужбойИБмероприятийприведенвподразделе 8.4 ГОСТР 52448.

13.2 Организационно-правовойстатусслужбыИБопределяется:

- достаточнойчисленностьюслужбыИБдлявыполнениявсехфункций, определяемыхнастоящимстандартом;

- подчиненностьюслужбыИБлицу, несущемуперсональнуюответственностьзаобеспечениеИБ ворганизациисвязи;

- отсутствиемуперсоналаслужбыдругихобязанностей, несвязанныхсобеспечениемИБсети связи;

- профессиональнойподготовкойсотрудниковслужбыИБвобластиИБ, подтвержденнойдипломамиисертификатами;

- правомдоступасотрудниковслужбыИБвовсепомещения, гдеустановленысредствасвязии информационныесистемыорганизациииправомпрекращенияобработкиинформацииприналичии непосредственнойугрозыдляобрабатываемойинформации;

- предоставлениемправаруководителюслужбыИБзапрещатьвключениевчислодействующих новыхэлементовсредствсвязи, еслионинеотвечаюттребованиямИБ, чтоможетпривестиксерьезным последствиямвслучаереализацииугрозИБ;

- обеспечениемусловийдляфункционированияслужбыИБ, необходимыхдлявыполнениясвоих функций.

13.3 Длярешениязадач, возложенныхнаслужбуИБ, еесотрудникидолжныиметьследующие права:

- определятьнеобходимостьиразрабатыватьдокументы, касающиесявопросовобеспечения ИБ, включаядокументы, регламентирующиедеятельностьсотрудниковдругихподразделенийорганизации;

- получатьинформациюотсотрудниковдругихподразделенийорганизацииповопросампримененияиэксплуатациисредствсвязииинформационныхсистем;

- контролироватьдеятельностьсотрудниковдругихподразделенийорганизацииповопросам обеспеченияИБ.

13.4 СтруктурнослужбаИБможетиметьследующийсостав:

- начальникслужбыИБ;

- подразделениеразвитияСОИБ (реализуетпроцессыуправлениярискамииуправлениеизменениями, внедрениясредствобеспеченияИБ, участвуетвпроцессеуправлениеинцидентами);

- подразделениеэксплуатации (реализуетпроцессэксплуатациисредствобеспеченияИБ, управлениеинцидентами, участвуетвпроцессеуправленияизменениями);

- подразделениеаудита (реализуетпроцессвнутреннегоаудита, участвуетвпроцессеуправленияизменениями).

13.5 ВсоставподразделенийслужбыИБдолжнывходить:

а) специалисты, способныеадминистрировать:

1) средствазащитыотНСД (выбор, установка, настройка, сопровождение, снятиесредств защиты, просмотржурналоврегистрациисобытий, оперативныйконтрользаработойпользователейи реагированиенасобытияНСДидр.),

2) СКЗИ (выбор, учет, выдача, установка, настройка, сопровождение, снятиеСКЗИ, генерация ираспределениеключей, обучениепользователейправилампримененияидр.),

3) средствасетевойбезопасностиибазыданных;

б) аналитики, способныеучаствовать:

1) в написании и экспертизе технической документации на сети связи (раздел системного проекта сети связи по ИБ),

2) в разработке технических требований по вопросам обеспечения ИБ,

3) в выборе методов и средств обеспечения ИБ (средств защиты),

4) в испытаниях новых прикладных программ с целью проверки выполнения требований по обеспечению ИБ и др.;

в) специалистывобластизащищенныхсетейсвязиибезопасностиэлектронныхАТСидр.

Библиография

[1] ФедеральныйзаконРоссийскойФедерации№ 2446-1 от 5.03.92 «Обезопасности»

[2] ФедеральныйзаконРоссийскойФедерации№126-ФЗот 7.07.2003 «Освязи»

Ключевыеслова:сетьэлектросвязи, операторсвязи, организациясвязи, информационнаябезопасность, системаобеспеченияинформационнойбезопасности