СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ Общие положения
Предисловие Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря Сведения о стандарте 1 РАЗРАБОТАН Закрытым акционерным обществом «Компания ТрансТелеКом» (ЗАО «Компания ТТК»), Открытым акционерным обществом «Межрегиональный ТранзитТелеком» (ОАО «МТТ»), Федеральным государственным унитарным предприятием «Центральный научно-исследовательский институт связи» (ФГУП «ЦНИИС»), Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России») 2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии 3
УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому
регулированию и метрологии от 18 декабря 4 ВВЕДЕН ВПЕРВЫЕ Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет СодержаниеНАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Дата введения - 2009-10-01 1 Область примененияНастоящий стандарт определяет правовые, организационные и технические направления обеспечения информационной безопасности сетей электросвязи, входящих в состав сети связи общего пользования. Настоящий стандарт распространяет положения по обеспечению безопасности сетей электросвязи, установленные ГОСТ Р 52448, на систему обеспечения информационной безопасности сети связи общего пользования, определяя ее как комплекс взаимодействующих систем обеспечения информационной безопасности сетей электросвязи, входящих в состав сети связи общего пользования. Положения настоящего стандарта подлежат применению расположенными на территории Российской Федерации организациями, предприятиями и другими субъектами хозяйственной деятельности независимо от их организационно-правовой формы и формы собственности, имеющими лицензии федерального органа исполнительной власти, уполномоченного в области связи, на предоставление услуг связи. Положения настоящего стандарта также распространяются на выделенные и технологические сети связи при их присоединении к сети связи общего пользования. Настоящий стандарт устанавливает общий подход к: - формированию и проведению в организации связи единой политики информационной безопасности сетей электросвязи; - принятию управленческих решений по внедрению практических мер, реализующих организационные и функциональные требования безопасности; - координации деятельности структурных подразделений организации связи при проведении работ по проектированию, построению, реконструкции и эксплуатации сети электросвязи с соблюдением требований безопасности, определяемых федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации. Настоящий стандарт не конкретизирует: - номенклатуру используемых механизмов обеспечения безопасности и средств защиты; - требования по организации охраны сооружений и линий связи; - обеспечение сохранности и физической целостности средств связи; - защиту от стихийных бедствий и сбоев в системе энергоснабжения; - меры по обеспечению личной безопасности сотрудников организации связи и пользователей услугами связи. Настоящий стандарт не исключает возможности объединения процессов осуществления физической безопасности и функционирования системы обеспечения информационной безопасности организации связи в единую структуру. 2 Нормативные ссылкиВ настоящем стандарте использованы нормативные ссылки на следующие стандарты: ГОСТ Р ИСО/МЭК 17799-2006 Информационная технология. Практические правила управления информационной безопасностью ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку. 3 Термины и определенияВ настоящем стандарте применены следующие термины с соответствующими определениями: 3.1 информационная безопасность сети электросвязи: Способность сети электросвязи противостоять преднамеренным и непреднамеренным дестабилизирующим воздействиям (угрозам безопасности) на входящие в состав сети средства и линии связи в процессе приема и передачи, обработки и хранения информации, что может привести к ухудшению качества услуг, предоставляемых сетью электросвязи. 3.2 объект информационной безопасности сети электросвязи: Элемент инфокоммуникационной структуры сети электросвязи (аппаратные, программные, программно-аппаратные средства, информационные ресурсы, услуги, процессы), над которым выполняются действия. 3.3 субъект информационной безопасности сети электросвязи: Лицо или инициируемые от его имени процессы по выполнению действий над объектами информационной безопасности сети электросвязи. 3.4 мониторинг событий информационной безопасности сети электросвязи: Постоянный контроль и действия по наблюдению, получению, хранению, распознанию и анализу информации, связанной с событиями информационной безопасности, выявлению фактов, признаков и причин нарушения установленных требований и объектов/субъектов, с которыми связаны эти нарушения. 3.5 администратор системы обеспечения информационной безопасности сети электросвязи: Субъект инфокоммуникационной структуры сети электросвязи, ответственный за выполнение процессов обеспечения информационной безопасности сети электросвязи. 3.6 система обеспечения информационной безопасности сети (сетей) электросвязи: Совокупность организационно-технической структуры и (или) исполнителей, задействованных в обеспечении информационной безопасности сети (сетей) электросвязи и используемых ими механизмов обеспечения безопасности (средств защиты), взаимодействующая с органами управления сетью (сетями) связи, функционирование которой осуществляется по нормам, правилам и обязательным требованиям, установленным федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации. 3.7 служба информационной безопасности организации связи: Организационно-техническая структура организации связи, реализующая политику информационной безопасности организации связи и осуществляющая функционирование системы обеспечения информационной безопасности сети (сетей)электросвязи. 4 СокращенияВ настоящем стандарте применены следующие сокращения: ВН - воздействие нарушителя; ИБ - информационная безопасность; ИТ - информационная технология; НПА - нормативно правовой акт; НСД - несанкционированный доступ; НД - нормативные документы; ОРД - организационно-распорядительные документы; ОС - операционная система; ПДК по ИБ - постоянно действующая комиссия по ИБ; РД - руководящий документ; СВТ - средство вычислительной техники; СКЗИ - средства криптографической защиты информации; СМИБ - система менеджмента информационной безопасности; СОИБ - система обеспечения информационной безопасности; ССОП - сеть связи общего пользования; ФОИВ - федеральный орган исполнительной власти; ЧС - чрезвычайная ситуация; ЭМ ВОС - эталонная модель взаимосвязи открытых систем. 5 Цели и задачи обеспечения информационной безопасности5.1 Цели, задачи и принципы обеспечения ИБ сети (сетей) электросвязи организации связи должны соответствовать целям, задачам и основным принципам обеспечения безопасности сетей электросвязи по ГОСТ Р 52448. 5.2 Дополнительно к задачам по ГОСТ Р 52448 в организации связи должно предусматриваться выполнение следующих задач: - создание, реализация, поддержка функционирования, осуществление мониторинга и совершенствование СОИБ на основе использования процессного подхода к управлению ИБ; - анализ рисков ИБ, определение способов обработки рисков и мероприятий по их снижению; - обеспечение изолированности средств связи, участвующих в управлении сетями электросвязи, от внешних сетей и рабочих станций, обслуживающего сеть персонала; - обеспечение контролируемого доступа обслуживающего персонала к системе управления сетями электросвязи; - обеспечение централизованной аутентификации обслуживающего сети персонала при их доступе к средствам связи; - паспортизация организаций связи по требованиям к ИБ. Примечание - Оператором связи могут быть уточнены цели и задачи обеспечения ИБ сетей электросвязи в зависимости от выполняемых организацией связи функций и ее деловых целей, но формулировка целей и задач должна быть независима от способов их реализации. 5.3 СОИБ должна создаваться операторами связи в каждой организации связи для осуществления мероприятий и действий по снижению потенциального ущерба от реализации угроз безопасности до приемлемого уровня за счет устранения уязвимостей в сетях и средствах связи или существенного затруднения использования этих уязвимостей нарушителями безопасности. Областью действия СОИБ являются средства, сооружения и линии связи, а также обслуживающий их персонал организации связи. СОИБ сети (сетей) электросвязи должна осуществлять реализацию политики ИБ оператора связи. 6 Взаимосвязь системы обеспечения информационной безопасности и системы менеджмента информационной безопасности6.1 Обеспечение ИБ является непрерывным процессом, осуществляемым СОИБ и взаимоувязывающим правовую, организационную и техническую деятельность, проводимую под непосредственным управляющим воздействием руководящего состава организации связи, направленную на поддержание функционирования сетей электросвязи в условиях воздействия угроз безопасности. Мероприятия и действия по обеспечению ИБ должны осуществляться в рамках применения процессной модели, определенной в ГОСТ Р ИСО/МЭК 27001, путем реализации процессов управления. Функцией, объединяющей процессы, обеспечения, управления и менеджмента, является руководство ИБ. 6.1.1 Руководство ИБ - это деятельность по установлению и поддержанию структуры управления и процессов, обеспечивающих гарантию того, что политика ИБ в организации связи направлена на достижение деловых целей организации и совместима с действующими федеральными законами РФ и нормативными правовыми актами ФОИВ, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации. Руководство ИБ определяет конкретные роли, обязанности и ответственность руководящего состава организации связи в области обеспечения ИБ и предоставляет службе ИБ, возглавляющей СОИБ, полномочия по управлению процессами СМИБ, так как в соответствии с [1] - процесс «обеспечение» предполагает определение «сил» и «средств», выполняющих функции безопасности (служб безопасности), на которые в организации связи возлагается выполнение мероприятий и осуществление деятельности по управлению и обеспечению ИБ. Взаимосвязь процессов руководства, обеспечения, управления и менеджмента показана на рисунке 1.
Рисунок 1 - Взаимосвязь процессов руководства, менеджмента, управления и обеспечения 6.1.2 Управление - это совокупность целенаправленных действий, включающих в себя оценку ситуации и состояния объектов управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование и внедрение мер обеспечения безопасности). Мероприятия и действия, реализующие процесс управления, должны быть коррелированны с действиями, выполняемыми при менеджменте ИБ, и не должны повторять друг друга. 6.1.3 Менеджмент ИБ - это часть общей системы менеджмента организации связи, основанная на управлении рисками организации связи при создании, реализации, функционировании, мониторинге и совершенствовании СОИБ. СОИБ для СМИБ является организационной структурой и инструментарием по внедрению и поддержанию процессов СМИБ в стадиях жизненного цикла сетей связи. 6.2 Основными процессами СМИБ, показанными на рисунке 1 и определяющими функционирование СОИБ, являются: - управление рисками; - внутренний аудит; - управление инцидентами; - управление изменениями. 6.2.1 Управление рисками В результате выполнения процесса «управление рисками» определяется структура СОИБ и уточняется состав ее подсистем. «Управление рисками» позволяет установить баланс между эксплуатационными расходами и экономическими затратами на меры обеспечения безопасности и достигнуть более эффективного выполнения деловых целей организации связи, защиты сетей электросвязи и передаваемой посредством них информации. Общий подход к процессу «управления рисками» приведен в подразделах 5.5-5.13 ГОСТ Р 52448. Под управлением рисками понимается оценка и уменьшение рисков, которые могут воздействовать на сети электросвязи. Процесс оценки рисков, являющийся определяющим в «управлении рисками» и исходными предпосылками в котором выступают данные, полученные при разработке перечня угроз и уязвимостей для конкретной сети электросвязи, показан на рисунке 2.
Рисунок 2 - Процесс оценки риска Процесс оценки рисков состоит из следующих этапов: а) инвентаризация и категорирование ресурсов сети связи: 1) инвентаризация предполагает составление перечня всех ресурсов (активов), требующих защиты (информационные, программные, аппаратные и сервисные); 2) категорирование заключается в присвоении каждому ресурсу качественного или количественного параметра его значимости с точки зрения его влияния на общее функционирование сети связи; б) идентификация основных угроз; в) идентификация уязвимостей. Примечание - Процессы идентификации уязвимостей и угроз обычно осуществляются одновременно и служат основой для уточнения перечня угроз и уязвимостей; г) анализ возможных воздействий угроз при реализации уязвимостей в ресурсах сети, вычисление вероятности этих воздействий и риска причинения ущерба сети, анализ существующих мер обеспечения безопасности; д) определение дополнительных (рекомендуемых) мер обеспечения безопасности, способных противодействовать возможным воздействиям; е) документирование полученных результатов. Предлагается использовать качественный подход к анализу рисков, основанный на оценке влияния угроз и уязвимостей на основные критерии ИБ сети электросвязи (конфиденциальность, целостность, доступность и подотчетность). Анализ мер обеспечения безопасности и вычисление количественного значения риска относятся к основному процессу оценки риска и рассматриваются в отдельной методике. 6.2.2 Внутренний аудит «Внутренний аудит» предназначен для получения объективных свидетельств соответствия действий участников процесса обеспечения ИБ требованиям СМИБ. В результате «внутреннего аудита» могут быть выявлены недостатки СОИБ, связанные с несоответствиями реализации предъявленных к СОИБ требований, ошибками при эксплуатации СОИБ, отсутствием необходимых ресурсов и т.д. Сведения о выявленных недостатках должны учитываться в процессе «управления изменениями». 6.2.3 Управление инцидентами «Управление инцидентами» предназначено для своевременного и всестороннего реагирования на инциденты ИБ. Реализация процесса «управление инцидентами» должна гарантировать, что инциденты ИБ будут корректно обрабатываться, а информация о событиях ИБ и уязвимостях, связанных с ресурсами сети электросвязи, - доводиться до сведения уполномоченных лиц в порядке, позволяющем вовремя предпринимать корректирующие действия. Сведения о выявленных недостатках, способствующих появлению инцидентов ИБ, должны учитываться в процессе «управления изменениями». 6.2.4 Управления изменениями «Управления изменениями» предназначено для выработки корректирующих действий, направленных на устранение причин выявленных несоответствий для предотвращения их повторного возникновения или корректирующих действий, связанных с предложениями по совершенствованию СОИБ. Полученные сведения о выявленных недостатках в процессе «управления инцидентами» и «внутреннем аудите» и информация, полученная в результате реализации процесса «управления рисками», являются исходными данными для выработки обобщенных предложений по совершенствованию функционирования СОИБ. 7 Жизненный цикл системы обеспечения информационной безопасности и его взаимосвязь с жизненным циклом сети связи7.1 Жизненный цикл сети связи является полным процессом развития, реализации и вывода из эксплуатации сетей связи через процессы их проектирования, построения, реконструкции и эксплуатации. Оператором связи могут быть применены различные методики для определения мероприятий и действий по обеспечению ИБ в процессе жизненного цикла сети связи, но каждая состоит из ряда определенных циклов или фаз, выполнение которых рекомендуется. 7.2 Для осуществления постоянного и корректного управления процессами менеджмента ИБ, СОИБ должна взаимодействовать с системой управления сетью связи и жизненный цикл СОИБ должен быть коррелирован с жизненным циклом сети связи и этапами процессной модели СМИБ, определенными в ГОСТ Р ИСО/МЭК 27001. 7.3 Настоящий стандарт устанавливает для жизненного цикла СОИБ следующие стадии: - создание СОИБ; - реализация СОИБ; - функционирование СОИБ; - мониторинг соответствия СОИБ; - совершенствование СОИБ. Взаимосвязь стадий жизненного цикла сети связи и СОИБ с этапами процессной модели СМИБ приведена на рисунке 3.
Рисунок 3 - Взаимосвязь стадий жизненных циклов сети связи и СОИБ с этапами процессной модели СМИБ 7.3.1 Стадия «создание системы обеспечения информационной безопасности» При проектировании сети связи в разрабатываемом системном проекте [2] в отдельном разделе должны быть описаны потребности ИБ, в частности: - осуществлена предварительная классификация предполагаемых к использованию сетевых элементов и их категорирование с точки зрения их значимости в вопросах обеспечения ИБ; - определен предварительный перечень угроз и уязвимостей структурных элементов сети связи; - проведена предварительная оценка рисков и на ее основе определены требования к ИБ и разработан перечень мер обеспечения ИБ, реализация которых должна определять использование конкретных механизмов обеспечения безопасности (средств защиты); - определена предварительная структура СОИБ, состав подсистем и осуществляемые процессы ее функционирования, их взаимосвязь с процессами управления сетью и другими решаемыми сетью задачами. 7.3.2 Стадия «реализация системы обеспечения информационной безопасности» При построении сети связи должны быть: - реализованы результаты предварительной оценки рисков, выраженные в конструировании, разработке, закупке и внедрении необходимых средств обеспечения ИБ и средств защиты; - сформирована функциональная структура подсистем СОИБ; - подготовлены необходимые для эксплуатации СОИБ документы; - при возможности должна быть предварительно определена эффективность выбранных мер обеспечения безопасности. 7.3.3 Стадия «функционирование системы обеспечения информационной безопасности» В процессе эксплуатации сети связи обеспечение ИБ должно быть интегрировано в процессы управления сетью связи. При эксплуатации сети связи должны выполняться процессы управления инцидентами, внутреннего аудита, управления изменениями и другие процессы, определенные в СМИБ. Реализация данных процессов позволит своевременно провести необходимое и обоснованное совершенствование СОИБ. 7.3.4 Стадия «мониторинг соответствия системы обеспечения информационной безопасности» При эксплуатации сети связи и ее реконструкции (модернизации) должны проводиться следующие процессы: - тестирование компонентов, свойств и функции ИБ сети связи; - внутренний аудит; - управление рисками (в полном объеме); - обработка инцидентов и управление изменениями. Новые или измененные компоненты ИБ должны тестироваться отдельно с тем, чтобы подтвердить, что они функционируют должным образом, а далее в операционном окружении для подтверждения, что их интеграция в сеть связи не нарушит качество услуг связи и/или функций безопасности. По результатам процесса мониторинга должны быть внесены обоснованные изменения в СОИБ. 7.3.5 Стадия «совершенствование системы обеспечения информационной безопасности» Стадия «совершенствование СОИБ» (процесс управление изменениями) предусматривает проведение корректирующих и предупреждающих действий, направленных на устранение причин выявленных несоответствий при осуществлении процессов управления рисками, инцидентами и внутреннего аудита. Применение корректирующих и предупреждающих действий, на основе оценки рисков, обуславливается возможностью внесения в аппаратные и программные средства новых уязвимостей при их модернизации (модификации). Примечание - При прекращении функционирования сети связи (фаза снятия с эксплуатации), перед утилизацией, передачей аппаратных средств или сдачи в ремонт все информационные и вычислительные ресурсы, особенно базы данных, таблицы маршрутизации (и т.д.), должны быть проверены на отсутствие в них остаточной информации. 8 Направления обеспечения информационной безопасности8.1 Правовое направление обеспечения информационной безопасности 8.1.1 Правовое направление обеспечения ИБ предусматривает создание и поддержание функционирования СОИБ в организации связи на основе реализации общеобязательных правовых норм по ИБ, осуществляемых в соответствии с положениями: - федеральных законов РФ; - указов и распоряжений Президента РФ; - постановлений и распоряжений Правительства РФ; - нормативных правовых актов (приказов, распоряжений) ФОИВ, уполномоченных в областях связи, обеспечения безопасности и технической защиты информации. 8.1.2 Правовое направление обеспечения ИБ основывается на концептуальных правовых основах ИБ, определяемых: - основными направлениями государственной политики в области ИБ; - основными правами и обязанностями государства, ФОИВ, субъектов Российской Федерации, организаций связи и граждан в области ИБ; - основными правилами и процедурами обязательной сертификации средств защиты информации и правилами аттестации объектов информатизации по требованиям технической защиты конфиденциальной информации; - основными правилами и процедурами лицензирования деятельности в областях сохранения государственной тайны и технической защиты конфиденциальной информации; - видами и формами ответственности организаций связи и граждан за нарушение правовых и нормативных требований по ИБ. 8.1.3 Правовое направление обеспечения ИБ в организации связи реализуется через систему внутренних документов организации связи, классификация которых приведена в разделе 12. 8.2 Организационное направление обеспечения информационной безопасности Организационное направление обеспечения ИБ включает в себя: - регламентацию взаимоотношения субъектов ИБ на нормативно-правовой основе; - разработку и выполнение программ обучения и повышения компетентности сотрудников организации связи в вопросах ИБ; - реализацию мероприятий по обеспечению ИБ; - выполнение организационных требований безопасности. 8.2.1 Регламентация взаимоотношений субъектов ИБ предполагает: а) определение в должностных инструкциях обязанностей и ролей сотрудников организации связи по вопросам выполнения требований ИБ. Роль в организации связи представляет заранее определенную совокупность правил, устанавливающих допустимое взаимодействие между субъектами и объектами в организации связи. Примечание - К субъектам относятся лица из числа руководства организации связи, ее сотрудники, пользователи услугами связи или инициируемые от их имени процессы по выполнению действий над объектами; б) установление мер ответственности сотрудников организации связи за нарушение ИБ; в) определение ограничений в деятельности сотрудников организации связи и конечных пользователей, определяемых факторами обеспечения ИБ и другими условиями. 8.2.2 Программа обучения сотрудников организации связи вопросам ИБ предназначается для персонала, имеющего в своих функциональных обязанностях положения, касающиеся выполнения требований ИБ, и предполагает необходимость специального обучения для этой категории сотрудников. Глубина этого обучения зависит от степени важности ИБ для организации и должна варьироваться согласно требованиям безопасности к выполняемой работе. Программа обучения сотрудников ИБ должна быть разработана так, чтобы охватить все потребности в мерах безопасности, относящихся к сетям электросвязи. В случае необходимости может быть использовано обучение на уровне специальных курсов. В организации связи должен быть составлен список сотрудников, для которых необходимо специальное обучение ИБ и список должностей, на которых должны использоваться сотрудники, получившие специализированное обучение на курсах или имеющие высшее образование в области ИБ. Необходимость специального обучения ИБ должна быть определена для текущих и запланированных задач, проектов и т.д. Каждый новый проект со специальными требованиями к ИБ должен сопровождаться соответствующей программой обучения, разработанной до начала проекта. 8.2.3 Программа повышения компетентности сотрудников организации связи в вопросах ИБ относится к каждому сотруднику организации и должна гарантировать, что персонал имеет достаточный уровень знаний об основах обеспечения ИБ. 8.2.4 Реализация мероприятий по обеспечению ИБ должна предусматривать: а) регулирование функционирования службы ИБ (см. раздел 13); б) издание приказов и распоряжений по обеспечению ИБ, основными из которых являются: 1) о создании ПДК по ИБ; 2) о назначении комиссии по категорированию, классификации и аттестации объектов связи и информационных систем по требованиям к ИБ; 3) о допуске сотрудников к работе со средствами связи; 4) о назначении администратора ИБ и лиц, ответственных за обеспечение ИБ в подразделениях организации связи; в) ограничение доступа к техническому, программному и аппаратно-программному оборудованию, кроссам, распределительным щитам, незащищенным линиям и каналам связи для предупреждения несанкционированного доступа к ним; г) осуществление физической и инженерно-технической защиты объектов организации связи; д) планирование действий по управлению инцидентами ИБ; е) планирование действий в ЧС; ж) включение в должностные инструкции сотрудников организации связи обязательства о неразглашении и сохранности сведений ограниченного доступа; и) оборудование служебных помещений сейфами, шкафами для хранения бумажных, магнитных носителей информации и др. 8.2.5 Выполнение организационных требований безопасности, предполагает: - определение и внедрение организационных мер обеспечения безопасности; - выполнение организационных мер, осуществляемое через процедуры, определяющие мероприятия и порядок действий по их осуществлению, описание которых не является однозначным и в настоящем стандарте не рассматривается; - контроль выполнения организационных мер безопасности. 8.3 Техническое направление обеспечения информационной безопасности Техническое направление обеспечения ИБ включает в себя мероприятия и действия по: а) выполнению функциональных требований безопасности, путем: 1) определения функциональных мер безопасности; 2) внедрения, осуществления эксплуатации и контроля за техническим обслуживанием механизмов обеспечения безопасности и средств защиты, реализующих меры обеспечения безопасности; б) реализации разрешительной системы допуска обслуживающего персонала к работам, документам и информации управления средствами связи; в) разграничению доступа обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации в подсистемах различного уровня и назначения; г) учету активов, регистрации действий пользователей и обслуживающего персонала, контролю за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц; д) предотвращению атак и внедрения в средства связи и автоматизированные системы программ-вирусов и программных закладок; е) применению СКЗИ (при необходимости) для защиты обрабатываемой информации. Примечание - В настоящем стандарте не рассматривается порядок использования СКЗИ, который регламентируется ФОИВ, уполномоченным в области обеспечения безопасности; ж) надежному хранению носителей информации, ключей (ключевой документации) и их обращению, исключающему хищение, подмену и уничтожение; и) резервированию технических средств, баз данных и носителей информации; к) оборудованию информационных систем, средств связи и СВТ устройствами защиты от сбоев электропитания и помех в линиях связи; л) постоянному обновлению технических и программных средств защиты от несанкционированного доступа к средствам связи и антивирусных средств в соответствии с меняющейся окружающей обстановкой. 9 Подтверждение соответствия сетей электросвязи требованиям информационной безопасности9.1 Подтверждение соответствия сетей электросвязи (аттестация) требованиям ИБ носит добровольный характер. 9.1.1 Добровольное подтверждение соответствия осуществляется по инициативе оператора связи в форме добровольной сертификации. 9.1.2 Добровольное подтверждение соответствия может осуществляться для установления соответствия сети электросвязи требованиям к ИБ национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации. 9.2 Подтверждение соответствия предусматривает комплексную проверку (аттестационные испытания) сети электросвязи и обеспечивающей ее инфраструктуры - СОИБ положениям настоящего стандарта, в реальных условиях эксплуатации. При аттестации сети электросвязи подтверждается ее соответствие требованиям безопасности, в том числе способность сети по: - защите от НСД к ней и передаваемой посредством нее информации; - противодействию влияния вредоносных программ на средства связи и информатизации; - обнаружению и противодействию атакам на средства связи и информатизации; - содержанию охраняемых и контролируемых зон. Примечание - Конкретные требования безопасности сетей электросвязи могут быть изложены в НПА ФОИВ, уполномоченного в области связи. 9.3 Проверка соответствия сети электросвязи требованиям безопасности должна осуществляться специализированными сертификационными центрами или лабораториями по методикам, разработанным в системе добровольной сертификации ИБ сетей электросвязи. 10 Архитектура системы обеспечения информационной безопасности10.1 Основные положения СОИБ является неотъемлемой частью любой сети связи, и ее архитектура не зависит от технологий, используемых при построении сети связи. СОИБ является предупредительной системой в отличие от ответной модели, осуществляющей обработку события после его происхождения. Процессы СОИБ должны работать до того как случится непредвиденный инцидент безопасности. Архитектура СОИБ ССОП должна быть многоуровневой и включать в себя следующие функциональные структурные элементы: уровни ИБ, подсистемы ИБ, службы обеспечения ИБ различных организаций (операторов) связи, координируемые центральным органом СОИБ ССОП, который может быть образован ФОИВ, уполномоченным в области связи. 10.2 Уровни системы обеспечения информационной безопасности Архитектура СОИБ может содержать следующие уровни ИБ, описание которых приведено в разделе 8 ГОСТ Р 52448: - управление ИБ; - организационно-административный; - безопасность инфокоммуникационной структуры; - безопасность услуг; - сетевая безопасность; - физическая безопасность. Оператор связи в целях обеспечения своей деятельности и достижения деловых целей может уточнять данные архитектурные компоненты, в частности, описанные уровни СОИБ могут быть объединены в три укрупненных уровня: - организационный; - организационно-технический; - технический. 10.3 Подсистемы системы обеспечения информационной безопасности Разделение СОИБ на подсистемы носит условный характер и предназначено для объединения характерных мероприятий и действий по обеспечению ИБ в единую архитектурную компоненту. В общем случае в состав СОИБ могут входить следующие функциональные подсистемы: - аутентификации и авторизации; - контроля доступа и защиты от НСД; - регистрации событий ИБ и аудита; - управления; - резервирования. 10.3.1 Подсистема «аутентификации и авторизации» Подсистема «аутентификации и авторизации» предназначается для централизованной аутентификации и авторизации доступа субъектов к программно-аппаратным средствам связи и системе управления. Основными функциями подсистемы «аутентификации и авторизации» являются: - предоставление обслуживающему персоналу систем и сетей связи возможности использования одной (или нескольких) учетной записи и пароля при доступе к средствам связи и серверам системы управления с использованием механизмов внешней аутентификации и авторизации; - централизованное хранение базы данных пользователей и их авторизационной информации с использованием механизмов внешней аутентификации и авторизации. Подсистема «аутентификации и авторизации» может быть реализована встроенными механизмами аутентификации и авторизации средств связи и информатизации и является одним из звеньев получения доступа к средствам связи, реализующему следующие логические процессы: - идентификацию пользователя, когда определяется имя учетной записи или логин; - аутентификацию - проверку подлинности того, что предъявитель имени учетной записи является лицом, чью учетную запись он предъявил в процессе идентификации; - авторизацию - процесс наделения правами доступа к оборудованию. В подсистеме «аутентификации и авторизации» допускается применение аутентификации разных уровней сложности: а) однофакторной аутентификации с использованием: 1) пароля, 2) пароля однократного действия; б) двухфакторной аутентификации с использованием: 1) токенов, 2) смарткарт, 3) криптокарт, 4) сертификатов; в) трехфакторной аутентификации с использованием биометрических методов. 10.3.2 Подсистема «контроля доступа и защиты от НСД» Подсистема «контроля доступа и защиты от НСД» предназначена для: - разделения передаваемого трафика пользователей и системы управления; - обеспечения целостности маршрутной информации и информации о текущем времени; - защиты управляющего трафика и компонентов СОИБ; - разграничения доступа к системе управления сетью (сетями) электросвязи. Подсистема «контроля доступа и защиты от НСД» реализуется посредством средств сегментирования сети, межсетевого экранирования, организации криптографических туннелей и антивирусного контроля. 10.3.3 Подсистема «регистрации событий ИБ и аудита» Подсистема «регистрации событий ИБ и аудита» предназначена для: - мониторинга сетевой активности и оповещения о событиях, связанных с ИБ на сетевом уровне; - мониторинга активности системного уровня (уровень ОС) и оповещения о событиях, связанных с ИБ на системном уровне; - консолидации информации об активности сетевого и системного уровня на централизованную консоль управления; - ведения журналов аудита событий ИБ; - регистрации действий персонала, управляющего средствами связи и компонентами СОИБ; - автоматизированного контроля защищенности объектов ИБ сети (сетей) электросвязи и компонентов СОИБ с целью выявления уязвимостей; - формирования отчетов по результатам анализа защищенности и рекомендаций по устранению выявленных уязвимостей; - автоматизированного анализа журналов аудита. Подсистема «регистрации событий ИБ и аудита» реализуется с использованием механизмов анализа журналов событий, анализа защищенности и обнаружения/предотвращения вторжений. 10.3.4 Подсистема «управления СОИБ» Подсистема «управления СОИБ» предназначена для: - организации безопасного удаленного доступа к системе управления сетью (сетями) электросвязи; - осуществления централизованного управления и мониторинга компонентами СОИБ; - организации безопасного удаленного доступа к средствам связи для управления в случае отказов, следствием которых является невозможность управления оборудованием по основной схеме через технологическую сеть; - контроля выполнения требований НД. Подсистема «управления СОИБ» должна по возможности использовать штатные средства управления и мониторинга компонентов СОИБ. 10.3.5 Подсистема «резервирования» Подсистема «резервирования» предназначается для: - дублирования основных компонентов СОИБ; - резервного копирования информации СОИБ и системы управления сетью электросвязи. Подсистема «резервирования» СОИБ должна обеспечивать бесперебойную работу механизмов обеспечения безопасности и надежное сохранение файлов регистрации событий ИБ. Подсистема «резервирования» реализуется: - за счет встроенных механизмов обеспечения надежности средств обеспечения ИБ; - на основании рекомендаций поставщиков механизмов обеспечения безопасности (средств защиты); - средствами резервного копирования информации. 10.4 Механизмы обеспечения безопасности и средства защиты 10.4.1 Выполнение функций, определенных для каждой подсистемы СОИБ, осуществляется с использованием конкретных механизмов обеспечения безопасности и средств защиты, реализующих функциональные меры обеспечения безопасности, определенные требованиями безопасности сетей электросвязи. 10.4.2 По своему назначению и характеристикам механизмы обеспечения безопасности и средства защиты условно объединяются в классы, ориентировочный перечень которых с обозначением их использования в подсистемах СОИБ приведен в таблице 1. Таблица 1 - Перечень классов механизмов обеспечения безопасности, средств защиты и их использование в подсистемах СОИБ
11 Система обеспечения информационной безопасности как технологическая система сети связи общего пользования11.1 СОИБ является технологической системой ССОП наряду с другими технологическими системами (сигнализации, тактовой сетевой синхронизации, управления и административно-биллинговой). Взаимодействие СОИБ с этими системами приведено на рисунке 4. 11.2 Основными функциями СОИБ как технологической системы ССОП являются: - внедрение и контроль выполнения требований нормативной правовой базы в области обеспечения ИБ ССОП; - создание условий для реализации прав граждан и общественных объединений на деятельность в сфере информационного обмена; - определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации; - оценка состояния ИБ ССОП, выявление источников внутренних и внешних угроз безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз.
Рисунок 4 - Взаимосвязь СОИБ с технологическими системами ССОП 11.3 Одной из задач СОИБ является обеспечение безопасности технологических систем и, прежде всего, системы управления сетью (сетями) электросвязи, для чего СОИБ должна: - предусматривать надежную защиту всех типов инфокоммуникационных ресурсов сети (сетей) электросвязи; - учитывать специфику новых ИТ и интеграцию технологий безопасности между ИТ и сетевыми элементами; - использовать централизованное управление всеми механизмами обеспечения безопасности (средствами защиты) из единого центра; - обеспечивать ИБ мерами, соответствующими степени возможного нанесения потенциального ущерба в случае ВН; - использовать в составе СОИБ только сертифицированные механизмы обеспечения безопасности (средства защиты). 11.4 Взаимосвязи между СОИБ и другими технологическими системами ССОП, приведенные на рисунке 4, подразумевают наличие в каждой технологической системе ССОП элементов подсистем обеспечения ИБ. Основными функциями данных подсистем должны быть: а) использование систем распределенного мониторинга и анализа общеканальной сигнализации № 7 в «системе сигнализации»; б) недопущение несанкционированного вмешательства в работу «системы тактовой сетевой синхронизации»; в) обеспечение изолированности и защищенности «системы управления» от внешних сетей связи и осуществление контроля над действиями в сети (сетях). Основной целью обеспечения ИБ в условиях ВН на сетевые ресурсы «системы управления» является сохранение следующих основных критериев ИБ: - конфиденциальность информации управления, - целостность информации управления, - доступность информации управления, - подотчетность участников (субъектов) управления; г) в системе «административно-биллинговой»: - обеспечение безопасности персональных данных, сведений об абонентах и предоставляемых им услугах связи, - разработка политики борьбы с мошенничеством как со стороны внешних злоумышленников, так и со стороны собственного персонала, - развертывание на сети связи системы обнаружения мошенничества, направленной на защиту доходов оператора и мониторинг незапланированных потерь, - мониторинг деятельности и событий, связанных со счетами клиентов и с оплатами счетов. 12 Документы, регулирующие обеспечение информационной безопасности в организации связи12.1 Документы, регулирующие обеспечение ИБ в организации связи, представляют собой объединенную целевой направленностью упорядоченную совокупность требований, правил, процедур и инструкций на бумажных носителях и в электронном виде, определяющих и ограничивающих функциональность объектов и деятельность субъектов, принимающих участие в обеспечении ИБ. 12.2 Настоящий стандарт не определяет конкретного перечня документов, разрабатываемых в организации связи. Состав документов определяется исходя из деловых целей организации, используемых технологий и оборудования, структуры и объема предоставляемых услуг связи. Настоящий стандарт предлагает только целевую направленность разрабатываемых документов. 12.3 Документы, регулирующие ИБ в организации связи, разрабатываются с учетом положений общеобязательных правовых норм по ИБ (см. 8.1.1) и по своему функциональному назначению подразделяются на следующие основные классы: - организационно-распорядительные; - нормативно-технические; - информационные. Каждый из приведенных классов документов, в зависимости от характера и направленности изложения материалов, подразделяется на различные виды документов. 12.4 ОРД определяют и регламентируют деятельность по планированию и осуществлению процессов обеспечения ИБ в организации связи. По характеру регламентируемых вопросов (решаемых задач) ОРД подразделяют на: - организационные документы; - распорядительные документы; - документы подтверждения соответствия. 12.4.1 Организационные документы являются основополагающими документами в области обеспечения ИБ, они представляют: - детализацию положений и требований правовых документов; - систему взглядов и единый порядок обеспечения ИБ в организации связи; - функциональность службы ИБ и ее взаимосвязь с другими структурными подразделениями организации связи; - долговременные задачи, права, обязанности и меры ответственности в области обеспечения ИБ. К основным, рекомендуемым, организационным документам по ИБ относятся: - политика ИБ (концепция ИБ); - паспорт организации связи по ИБ; - план обеспечения ИБ организации связи; - положения; - инструкции. 12.4.1.1 Политика ИБ является долговременным документом и представляет документированную систему взглядов, определяющих цели и направления деятельности субъектов в области обеспечения ИБ. Документ, представляющий политику ИБ организации связи, должен включать в себя общие положения, соответствующие требованиям, изложенным в ГОСТ Р ИСО/МЭК 17799. 12.4.1.2 Наряду с политикой ИБ в организации связи может быть разработана концепция ИБ. В данном случае в концепции ИБ излагаются вопросы, не нашедшие раскрытия в политике ИБ, и перспективы совершенствования СОИБ, например, связанные с внедрением на сетях электросвязи новых технологий и расширения спектра предоставляемых пользователям услуг связи. 12.4.1.3 Паспорт организации связи по ИБ разрабатывается в соответствии с ГОСТ Р 53109. 12.4.1.4 План обеспечения ИБ организации связи представляет ежегодно формируемый координационный документ, определяющий действия, требуемые для реализации мероприятий по обеспечению ИБ в соответствии с политикой ИБ организации связи. В плане обеспечения ИБ организации связи должно планироваться обеспечение всех систем, находящихся на эксплуатации в организации. При наличии выделенных систем или систем, требующих повышенного уровня безопасности возможна разработка отдельных планов обеспечения ИБ для таких систем. 12.4.1.5 Кроме основного плана ИБ в организации связи могут разрабатываться планы по реализации конкретных мероприятий обеспечения ИБ. Примеры 1 План реагирования на инциденты безопасности. 2 План действий в ЧС. 3 План и схема обеспечения охраны организации связи. 12.4.1.6 Положения - документы, содержащие организационные указания по осуществлению конкретных направлений деятельности по обеспечению ИБ. Примеры 1 Положение о службе ИБ. 2 Положение о ПДК по ИБ. 12.4.1.7 Инструкции - документы, содержащие указания и правила, устанавливающие порядок и способ выполнения или осуществления определенных действий. Примеры 1 Инструкция по обеспечению антивирусной защиты. 2 Инструкция администратору ИБ. 12.4.2 Распорядительные документы - документы текущего управления, которые издаются во исполнение или в дополнение к организационным документам и устанавливают направления, методы (способы, приемы) организации работ по обеспечению ИБ в зависимости от возникающих конкретных задач управления и изменяющихся условий окружающей среды. Основными видами распорядительных документов по ИБ являются приказы, программы, перечни, решения, распоряжения, указания. 12.4.3 К документам, подтверждающим соответствие продукции, работ и услуг в области ИБ, относятся: а) документы вышестоящих регулирующих органов: 1) лицензии на право проведения работ со сведениями, составляющими государственную тайну; 2) лицензии на право осуществления работ в области технической защиты информации; 3) лицензии на право осуществления работ в области криптографической защиты информации; 4) сертификаты соответствия средств ЗИ; б) внутренние документы организации связи. Пример - Акт категорирования сети электросвязи по требованиям ИБ. 12.5 НД устанавливают единые требования, нормы и правила обеспечения ИБ, обязательные для исполнения в пределах установленной при их введении сферы действия и области распространения. 12.6 Основными видами НД являются: - документы системы стандартизации Российской Федерации; - РД ФОИВ, уполномоченного в области технической защиты информации; - методики, методические указания, нормы и др. документы, разработанные ФОИВ, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации; - документы организации связи, развивающие требования вышестоящих регулирующих органов и положения внутренних ОРД организации связи. 12.7 К основным, разрабатываемым в организации связи НД, относятся: - стандарты организации связи; - модель угроз и нарушителя ИБ сети электросвязи; - руководства, процедуры, порядки, правила, рекомендации, перечни. 12.8 Информационные документы служат для информационной поддержки решения процессов обеспечения и осуществления ИБ. По форме представления информационные документы могут быть следующих видов: - справочные документы (справочные пособия, исходные данные для анализа активов организации связи, угроз, уязвимостей и др.); - отчетная научно-техническая документация; - научная и учебная литература; - документы делопроизводства (акты, бланки, базы данных, донесения, журналы учета и др.). 12.9 НД и информационные документы, разрабатываемые в организации связи, должны быть согласованы с руководителями заинтересованных подразделений организации связи и утверждены/подписаны руководителем службы ИБ организации связи. 12.10 Документация по обеспечению ИБ в организации связи должна периодически пересматриваться и обновляться по результатам оценки рисков, внешнего и внутреннего аудита ИБ, а также в связи с изменениями деловых целей и внедрения новых технологий и услуг связи. 13 Служба информационной безопасности13.1 Создание СОИБ сети (сетей) электросвязи должно предусматривать формирование в организации связи организационно-штатной структуры (служба, отдел, подразделение, администратор ИБ), далее - служба ИБ организации связи, осуществляющей непосредственное выполнение мероприятий и действий по обеспечению ИБ сети электросвязи. Перечень основных выполняемых службой ИБ мероприятий приведен в подразделе 8.4 ГОСТ Р 52448. 13.2 Организационно-правовой статус службы ИБ определяется: - достаточной численностью службы ИБ для выполнения всех функций, определяемых настоящим стандартом; - подчиненностью службы ИБ лицу, несущему персональную ответственность за обеспечение ИБ в организации связи; - отсутствием у персонала службы других обязанностей, не связанных с обеспечением ИБ сети связи; - профессиональной подготовкой сотрудников службы ИБ в области ИБ, подтвержденной дипломами и сертификатами; - правом доступа сотрудников службы ИБ во все помещения, где установлены средства связи и информационные системы организации и правом прекращения обработки информации при наличии непосредственной угрозы для обрабатываемой информации; - предоставлением права руководителю службы ИБ запрещать включение в число действующих новых элементов средств связи, если они не отвечают требованиям ИБ, что может привести к серьезным последствиям в случае реализации угроз ИБ; - обеспечением условий для функционирования службы ИБ, необходимых для выполнения своих функций. 13.3 Для решения задач, возложенных на службу ИБ, ее сотрудники должны иметь следующие права: - определять необходимость и разрабатывать документы, касающиеся вопросов обеспечения ИБ, включая документы, регламентирующие деятельность сотрудников других подразделений организации; - получать информацию от сотрудников других подразделений организации по вопросам применения и эксплуатации средств связи и информационных систем; - контролировать деятельность сотрудников других подразделений организации по вопросам обеспечения ИБ. 13.4 Структурно служба ИБ может иметь следующий состав: - начальник службы ИБ; - подразделение развития СОИБ (реализует процессы управления рисками и управление изменениями, внедрения средств обеспечения ИБ, участвует в процессе управление инцидентами); - подразделение эксплуатации (реализует процесс эксплуатации средств обеспечения ИБ, управление инцидентами, участвует в процессе управления изменениями); - подразделение аудита (реализует процесс внутреннего аудита, участвует в процессе управления изменениями). 13.5 В состав подразделений службы ИБ должны входить: а) специалисты, способные администрировать: 1) средства защиты от НСД (выбор, установка, настройка, сопровождение, снятие средств защиты, просмотр журналов регистрации событий, оперативный контроль за работой пользователей и реагирование на события НСД и др.), 2) СКЗИ (выбор, учет, выдача, установка, настройка, сопровождение, снятие СКЗИ, генерация и распределение ключей, обучение пользователей правилам применения и др.), 3) средства сетевой безопасности и базы данных; б) аналитики, способные участвовать: 1) в написании и экспертизе технической документации на сети связи (раздел системного проекта сети связи по ИБ), 2) в разработке технических требований по вопросам обеспечения ИБ, 3) в выборе методов и средств обеспечения ИБ (средств защиты), 4) в испытаниях новых прикладных программ с целью проверки выполнения требований по обеспечению ИБ и др.; в) специалисты в области защищенных сетей связи и безопасности электронных АТС и др. Библиография[1] Федеральный закон Российской Федерации № 2446-1 от 5.03.92 «О безопасности» [2] Федеральный закон Российской Федерации № 126-ФЗ от 7.07.2003 «О связи»
Ключевые слова: сеть электросвязи, оператор связи, организация связи, информационная безопасность, система обеспечения информационной безопасности
|