Профессиональное решение
для специалистов строительной отрасли

     
     ГОСТ Р 53109-2008

Группа Т00

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТИ СВЯЗИ ОБЩЕГО ПОЛЬЗОВАНИЯ

Паспорт организации связи по информационной безопасности

Information security of the public communications network providing system. Passport of the organization communications of information security



ОКС 01.040.01

Дата введения 2009-10-01


Предисловие

1 РАЗРАБОТАН Федеральным государственным унитарным предприятием "Центральный научно-исследовательский институт связи" (ФГУП "ЦНИИС"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России")

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 527-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Декабрь 2018 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

     1 Область применения


Настоящий стандарт устанавливает требования к форме и содержанию паспорта организации связи по информационной безопасности относительно сети (сетей) электросвязи.

Паспортизации по требованиям к информационной безопасности подлежат все организации связи, независимо от организационной правовой формы собственности, являющиеся частью производственной инфраструктуры связи Российской Федерации и функционирующие на ее территории как взаимоувязанный производственно-хозяйственный комплекс, предназначенный для оказания услуг связи, предоставляемых с использованием сети связи общего пользования, гражданам, органам государственного управления, обороны страны, безопасности государства и обеспечения правопорядка.

Паспорт организации связи по информационной безопасности представляет собой документированное подтверждение реализации общеобязательных правовых норм по информационной безопасности, осуществляемых в соответствии с положениями:

- законов Российской Федерации;

- указов и распоряжений Президента Российской Федерации;

- постановлений и распоряжений Правительства Российской Федерации;

- нормативных правовых актов (приказов, распоряжений) ФОИВ, уполномоченных в областях связи, обеспечения безопасности и технической защиты информации;

- национальных стандартов, стандартов организаций, сводов правил, систем добровольной сертификации в области информационной безопасности сетей электросвязи.

Проведение паспортизации организаций связи на основе определения, обобщения и представления в документированном виде всех данных, определяющих состояние информационной безопасности инфокоммуникационной структуры сети (сетей) электросвязи, должно существенно повысить эффективность системы обеспечения информационной безопасности, чтобы гарантировать пользователям доступность услуг связи с заданным уровнем качества.

Паспорт организации связи по информационной безопасности должен являться подтверждением способности оператора связи:

- соблюдать права пользователей услугами связи на доступ к информации при обеспечении конституционных прав и свобод человека и гражданина на персональную тайну, тайну связи (тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений);

- противостоять угрозам безопасности.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р 52448 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения

ГОСТ Р 53110-2008 Система обеспечения информационной безопасности сети связи общего пользования. Общие положения

ГОСТ Р 53111 Устойчивость функционирования сети связи общего пользования. Требования и методы проверки

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения


В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1

оператор связи: Юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии.

[[1], статья 2, пункт 12]     

3.2

организация связи: Юридическое лицо или индивидуальный предприниматель, осуществляющие деятельность в области связи в качестве основного вида деятельности.

[[1], статья 2, пункт 14]

3.3 политика информационной безопасности оператора связи: Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения информационной безопасности, которыми должен руководствоваться оператор связи.

3.4

сеть связи: Технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи.

[[1], статья 2, пункт 24]

3.5

система обеспечения информационной безопасности сети (сетей) электросвязи: Совокупность организационно-технической структуры и (или) исполнителей, задействованных в обеспечении информационной безопасности сети (сетей) электросвязи и используемых ими механизмов обеспечения безопасности (средств защиты), взаимодействующая с органами управления сетью (сетями) связи, функционирование которой осуществляется по нормам, правилам и обязательным требованиям, установленным федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации.

[ГОСТ Р 53110, пункт 3.6]

3.6

служба информационной безопасности организации связи: Организационно-техническая структура организации связи, реализующая политику информационной безопасности организации связи и осуществляющая функционирование системы обеспечения информационной безопасности сети (сетей) электросвязи.

[ГОСТ Р 53110, пункт 3.7]

3.7

системный проект сети связи: Схема построения сети электросвязи с соответствующими такой схеме расчетными значениями (с учетом предъявляемых к сети электросвязи обязательных требований и планируемого объема оказываемых услуг связи) величин, определяющих технические возможности входящих в состав сети электросвязи средств связи, линий передачи и физических цепей, и монтированной емкости.

[[1], статья 2, пункт 26]

     

     4 Сокращения


В настоящем стандарте применены следующие сокращения:

ВН

- воздействие нарушителя;

ГИИ

- глобальная информационная инфраструктура;

ИБ

- информационная безопасность;

ИТ

- информационная технология;

НСД

- несанкционированный доступ;

ПДК по ИБ

- постоянно действующая комиссия по ИБ;

ПО

- программное обеспечение;

СМИБ

- система менеджмента информационной безопасности;

СОИБ

- система обеспечения информационной безопасности;

ФОИВ

- федеральный орган исполнительной власти;

ЭМ ВОС

- эталонная модель взаимосвязи открытых систем.



     5 Форма паспорта организации связи по информационной безопасности

5.1 Паспорт организации связи по ИБ разрабатывается в соответствии с ГОСТ Р 52448 и его форма и содержание в организациях связи в зависимости от специфики их функционирования могут быть различными. Сведения, включенные в паспорт, должны периодически уточняться и обновляться.

5.2 Основой разработки формы и содержания паспорта являются результаты проведенного анализа состояния защищенности инфокоммуникационной структуры сети (сетей) электросвязи организации связи, определения наиболее критичных к ВН объектов ИБ, уязвимостей структурных компонентов сети (сетей), возможных угроз и реализации требований ИБ.

5.3 Пример формы паспорта организации связи по ИБ приведен в приложении А.

     

     6 Формирование исходных данных

6.1 Составление паспорта

Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи, ИТ структур и службы ИБ, назначаемой приказом руководителя организации связи. Председателем комиссии назначают заместителя руководителя организации связи (начальника службы ИБ).

________________

Роль комиссии по составлению паспорта может выполнять ПДК по ИБ организации связи.


Комиссия, используя системный проект сети связи [1], осуществляет обследование инфокоммуникационной структуры сети (сетей) электросвязи организации связи, которое предполагает проведение мероприятий и действий, перечисленных в 6.1.1-6.1.8.

6.1.1 Категорирование сети (сетей) электросвязи

Сети электросвязи для предъявления к ним требований ИБ подразделяют на следующие категории:

- высшая;

- средняя;

- низшая.