Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»


ГОСТ Р 52448-2005

Группа Т00

     
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СЕТЕЙ ЭЛЕКТРОСВЯЗИ

Общие положения

Information protection. Providing the security of networks telecommunications. General provisions



ОКС 01.040.01

Дата введения 2007-01-01

     

Предисловие

1 РАЗРАБОТАН Государственным научно-исследовательским испытательным институтом проблем технической защиты информации Федеральной службы по техническому и экспортному контролю (ГНИИИ ПТЗИ ФСТЭК России), Техническим комитетом по стандартизации ТК 362 "Защита информации"

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. N 449-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Декабрь 2018 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

     1 Область применения


Настоящий стандарт предназначен для применения расположенными на территории Российской Федерации организациями, предприятиями и другими субъектами хозяйственной деятельности независимо от их организационно-правовой формы и формы собственности, которые связаны с созданием и эксплуатацией сетей электросвязи, являющимися составными компонентами сети связи общего пользования единой сети электросвязи Российской Федерации. Основными функциями сетей электросвязи являются прием, обработка, хранение, передача и предоставление требуемой информации пользователям и органам государственного управления для ее последующего применения. Сети электросвязи предназначены для оказания услуг связи любому пользователю путем предоставления открытых информационных ресурсов и информации, не содержащей сведений, составляющих государственную тайну, или информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации.

Настоящий стандарт определяет терминологию, цели, задачи, принципы и основные положения обеспечения безопасности сетей электросвязи.

Положениями настоящего стандарта рекомендуется руководствоваться при:

- развитии и совершенствовании правового, организационного, экономического и научно-технического обеспечения безопасности сетей электросвязи;

- разработке проектов, программ, нормативных документов и методических рекомендаций по обеспечению безопасности сетей электросвязи и контролю их состояния;

- формировании и реализации политики безопасности операторами связи.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 15408-2 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения


В настоящем стандарте применены следующие термины с соответствующими определениями:

Примечание - Взаимосвязь основных понятий и процессов обеспечения безопасности сетей электросвязи показана на примере "Модель безопасности сети электросвязи" (приложение А).

3.1 безопасность сети электросвязи: Способность сети электросвязи противодействовать определенному множеству угроз, преднамеренных или непреднамеренных дестабилизирующих воздействий на входящие в состав сети средства, линии связи и технологические процессы (протоколы), что может привести к ухудшению качества услуг, предоставляемых сетью электросвязи.

3.2 дестабилизирующее воздействие: Действие, источником которого является физический или технологический процесс внутреннего или внешнего по отношению к сети электросвязи характера, приводящее к выходу из строя элементов сети.

3.3 инфокоммуникационная структура сети электросвязи: Совокупность информационных ресурсов и инфраструктуры сети электросвязи.

3.4 инфраструктура сети электросвязи: Совокупность средств связи, линий связи, сооружений связи, технологических систем связи, технологий и организационных структур, обеспечивающих информационное взаимодействие компонентов сети электросвязи.

3.5 информационные ресурсы сети электросвязи: Совокупность хранимых (используемых для обеспечения процессов функционирования сети электросвязи), обрабатываемых и передаваемых данных, содержащих информацию пользователей и/или системы управления сетью электросвязи.

3.6 устойчивость функционирования сети электросвязи: Способность сети электросвязи выполнять свои функции при выходе из строя части элементов сети в результате дестабилизирующих воздействий.

3.7 меры обеспечения безопасности: Набор функций, определяющих возможности механизмов обеспечения безопасности сети электросвязи по непосредственной или косвенной реализации требований к безопасности.

3.8 механизм обеспечения безопасности сети электросвязи: Взаимоувязанная совокупность организационных, аппаратных, программных и программно-аппаратных средств, способов, методов, правил и процедур, используемых для реализации требований к безопасности сети электросвязи.

3.9 нарушитель безопасности (нарушитель) сети электросвязи: Физическое или юридическое лицо, преступная группа, процесс или событие, производящие преднамеренные или непреднамеренные воздействия на инфокоммуникационную структуру сети электросвязи, приводящие к нежелательным последствиям для интересов пользователей услугами связи, операторов связи и/или органов государственного управления.

3.10 риск нарушения безопасности сети электросвязи: Вероятность причинения ущерба сети электросвязи или ее компонентам вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости в сети электросвязи.

3.11 система обеспечения безопасности ССОП: Совокупность служб безопасности операторов сетей электросвязи ССОП и используемых ими механизмов обеспечения безопасности, взаимодействующая с органами управления сетями электросвязи, организация и функционирование которой осуществляется по нормам, правилам и обязательным требованиям, установленным в области связи.

3.12 служба безопасности сети электросвязи: Организационно-техническая структура оператора сети электросвязи, реализующая политику безопасности оператора связи и обеспечивающая функционирование системы обеспечения безопасности ССОП.

3.13 угроза безопасности сети электросвязи: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нанесения ущерба сети электросвязи или ее компонентам.

3.14 уязвимость сети электросвязи: Недостаток или слабое место в средстве связи, технологическом процессе (протоколе) обработки/передачи информации, мероприятиях и механизмах обеспечения безопасности сети электросвязи, позволяющие нарушителю совершать действия, приводящие к успешной реализации угрозы безопасности.

3.15 политика безопасности оператора связи: Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи.

3.16 сеть связи: Технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи.

Примечание - Определение приведено в соответствии с Федеральным законом "О связи" [1].

3.17 электросвязь: Любые излучения, передача или прием знаков, сигналов, голосовой информации, письменного текста, изображений, звуков или сообщений любого рода по радиосистеме, проводной, оптической и другим электромагнитным системам.

Примечание - Определение приведено в соответствии с Федеральным законом "О связи" [1].

     4 Сокращения


В настоящем стандарте используются следующие сокращения:

ИТ - информационная технология;

ВН - воздействие нарушителя;

СОБ - система обеспечения безопасности;

ССОП - сеть связи общего пользования;

НСД - несанкционированный доступ;

ОТБ - организационные требования безопасности;

ТТБ - технические требования безопасности;

ФТБ - функциональные требования безопасности;

ТДБ - требования доверия к безопасности;

НСВ - несанкционированные воздействия.

     5 Основные положения по обеспечению безопасности сетей электросвязи

5.1 Сети электросвязи являются средой переноса сообщений любого рода в виде электрических сигналов. Сообщения содержат информацию пользователя, которая может быть открытой, закодированной, зашифрованной или скремблированной (что для сети электросвязи является неопределяющим), и служебную информацию (например, адрес получателя). Сеть электросвязи должна обеспечить целостность передаваемых сообщений и своевременность их доставки адресату.

Открытость сетей электросвязи не должна означать полную доступность ко всем ее информационным ресурсам и отсутствие контроля их использования. В сети электросвязи должна быть обеспечена защита собственной, служебной информации, предназначенной для управления работой сети или служб сети.

К информационным ресурсам сетей электросвязи, требующим защиты со стороны оператора связи, могут быть отнесены:

- сведения об абонентах базы данных;

- информация управления;

- данные, содержащие информацию пользователей (обеспечение доступности и целостности);

- программное обеспечение систем управления сетями электросвязи;

- сведения о прохождении, параметрах, загрузке (использовании) линий связи магистральных сетей;

- обобщенные сведения о местах дислокации узлов связи и установленном сетевом оборудовании;

- сведения, раскрывающие структуру используемых механизмов обеспечения безопасности сети электросвязи.

5.2 Необходимость рассмотрения проблем обеспечения безопасности сетей электросвязи обусловлена:

- динамикой развития сетей электросвязи и их интеграцией с глобальными сетями связи, в том числе с Интернет;

- совершенствованием применяемых ИТ;

- ростом числа пользователей услугами связи и расширением спектра предоставления услуг связи;

- увеличением объемов хранимой и передаваемой информации;

- территориальной рассредоточенностью сложных информационно-телекоммуникационных структур;

- недостаточностью в сетях электросвязи необходимых механизмов обеспечения безопасности.

Эти проблемы существенно повышают уязвимость сетей, способствуют появлению новых угроз безопасности и определяют необходимость комплексного решения задач по обеспечению безопасности сетей электросвязи путем:

- организации эффективного, безопасного управления и взаимодействия сетей;

- поддержания гарантированных качественных характеристик процессов обработки информации в сетях электросвязи (качества обслуживания) в условиях возможных ВН на инфокоммуникационную структуру сетей электросвязи;

- создания в сетях электросвязи надежных и защищенных каналов по пропуску определенных категорий трафика, из совокупности которого могут быть извлечены сведения, способные нанести ущерб безопасности Российской Федерации;