ГОСТ Р 53110-2008
Группа Т00
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТИ СВЯЗИ ОБЩЕГО ПОЛЬЗОВАНИЯ
Общие положения
Information security of the public communications network providing system. General principles
ОКС 01.040.01
Дата введения 2009-10-01
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
Сведения о стандарте
1 РАЗРАБОТАН Закрытым акционерным обществом "Компания ТрансТелеКом" (ЗАО "Компания ТТК"), Открытым акционерным обществом "Межрегиональный ТранзитТелеком" (ОАО "МТТ"), Федеральным государственным унитарным предприятием "Центральный научно-исследовательский институт связи" (ФГУП "ЦНИИС"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России")
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 528-ст
4 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Настоящий стандарт определяет правовые, организационные и технические направления обеспечения информационной безопасности сетей электросвязи, входящих в состав сети связи общего пользования.
Настоящий стандарт распространяет положения по обеспечению безопасности сетей электросвязи, установленные ГОСТ Р 52448, на систему обеспечения информационной безопасности сети связи общего пользования, определяя ее как комплекс взаимодействующих систем обеспечения информационной безопасности сетей электросвязи, входящих в состав сети связи общего пользования.
Положения настоящего стандарта подлежат применению расположенными на территории Российской Федерации организациями, предприятиями и другими субъектами хозяйственной деятельности независимо от их организационно-правовой формы и формы собственности, имеющими лицензии федерального органа исполнительной власти, уполномоченного в области связи, на предоставление услуг связи.
Положения настоящего стандарта также распространяются на выделенные и технологические сети связи при их присоединении к сети связи общего пользования.
Настоящий стандарт устанавливает общий подход к:
- формированию и проведению в организации связи единой политики информационной безопасности сетей электросвязи;
- принятию управленческих решений по внедрению практических мер, реализующих организационные и функциональные требования безопасности;
- координации деятельности структурных подразделений организации связи при проведении работ по проектированию, построению, реконструкции и эксплуатации сети электросвязи с соблюдением требований безопасности, определяемых федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации.
Настоящий стандарт не конкретизирует:
- номенклатуру используемых механизмов обеспечения безопасности и средств защиты;
- требования по организации охраны сооружений и линий связи;
- обеспечение сохранности и физической целостности средств связи;
- защиту от стихийных бедствий и сбоев в системе энергоснабжения;
- меры по обеспечению личной безопасности сотрудников организации связи и пользователей услугами связи.
Настоящий стандарт не исключает возможности объединения процессов осуществления физической безопасности и функционирования системы обеспечения информационной безопасности организации связи в единую структуру.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО/МЭК 17799-2006* Информационная технология. Практические правила управления информационной безопасностью
_________________
* Вероятно ошибка оригинала. Следует читать ГОСТ Р ИСО/МЭК 17799-2005. - Примечание изготовителя базы данных.
ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения
ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 информационная безопасность сети электросвязи: Способность сети электросвязи противостоять преднамеренным и непреднамеренным дестабилизирующим воздействиям (угрозам безопасности) на входящие в состав сети средства и линии связи в процессе приема и передачи, обработки и хранения информации, что может привести к ухудшению качества услуг, предоставляемых сетью электросвязи.
3.2 объект информационной безопасности сети электросвязи: Элемент инфокоммуникационной структуры сети электросвязи (аппаратные, программные, программно-аппаратные средства, информационные ресурсы, услуги, процессы), над которым выполняются действия.
3.3 субъект информационной безопасности сети электросвязи: Лицо или инициируемые от его имени процессы по выполнению действий над объектами информационной безопасности сети электросвязи.
3.4 мониторинг событий информационной безопасности сети электросвязи: Постоянный контроль и действия по наблюдению, получению, хранению, распознанию и анализу информации, связанной с событиями информационной безопасности, выявлению фактов, признаков и причин нарушения установленных требований и объектов/субъектов, с которыми связаны эти нарушения.
3.5 администратор системы обеспечения информационной безопасности сети электросвязи: Субъект инфокоммуникационной структуры сети электросвязи, ответственный за выполнение процессов обеспечения информационной безопасности сети электросвязи.
3.6 система обеспечения информационной безопасности сети (сетей) электросвязи: Совокупность организационно-технической структуры и(или) исполнителей, задействованных в обеспечении информационной безопасности сети (сетей) электросвязи и используемых ими механизмов обеспечения безопасности (средств защиты), взаимодействующая с органами управления сетью (сетями) связи, функционирование которой осуществляется по нормам, правилам и обязательным требованиям, установленным федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации.
3.7 служба информационной безопасности организации связи: Организационно-техническая структура организации связи, реализующая политику информационной безопасности организации связи и осуществляющая функционирование системы обеспечения информационной безопасности сети (сетей) электросвязи.
В настоящем стандарте применены следующие сокращения:
ВН | - воздействие нарушителя; | |||
ИБ | - информационная безопасность; | |||
ИТ | - информационная технология; | |||
НПА | - нормативно-правовой акт; | |||
НСД | - несанкционированный доступ; | |||
НД | - нормативные документы; | |||
ОРД | - организационно-распорядительные документы; | |||
ОС | - операционная система; | |||
ПДК по ИБ | - постоянно действующая комиссия по ИБ; | |||
РД | - руководящий документ; | |||
СВТ | - средство вычислительной техники; | |||
СКЗИ | - средства криптографической защиты информации; | |||
СМИБ | - система менеджмента информационной безопасности; | |||
СОИБ | - система обеспечения информационной безопасности; | |||
ССОП | - сеть связи общего пользования; | |||
ФОИВ | - федеральный орган исполнительной власти; | |||
ЧС | - чрезвычайная ситуация; | |||
ЭМ ВОС | - эталонная модель взаимосвязи открытых систем. |
5.1 Цели, задачи и принципы обеспечения ИБ сети (сетей) электросвязи организации связи должны соответствовать целям, задачам и основным принципам обеспечения безопасности сетей электросвязи по ГОСТ Р 52448.
5.2 Дополнительно к задачам по ГОСТ Р 52448 в организации связи должно предусматриваться выполнение следующих задач:
- создание, реализация, поддержка функционирования, осуществление мониторинга и совершенствование СОИБ на основе использования процессного подхода к управлению ИБ;
- анализ рисков ИБ, определение способов обработки рисков и мероприятий по их снижению;
- обеспечение изолированности средств связи, участвующих в управлении сетями электросвязи, от внешних сетей и рабочих станций, обслуживающего сеть персонала;
- обеспечение контролируемого доступа обслуживающего персонала к системе управления сетями электросвязи;
- обеспечение централизованной аутентификации обслуживающего сети персонала при их доступе к средствам связи;
- паспортизация организаций связи по требованиям к ИБ.
Примечание - Оператором связи могут быть уточнены цели и задачи обеспечения ИБ сетей электросвязи в зависимости от выполняемых организацией связи функций и ее деловых целей, но формулировка целей и задач должна быть независима от способов их реализации.
5.3 СОИБ должна создаваться операторами связи в каждой организации связи для осуществления мероприятий и действий по снижению потенциального ущерба от реализации угроз безопасности до приемлемого уровня за счет устранения уязвимостей в сетях и средствах связи или существенного затруднения использования этих уязвимостей нарушителями безопасности.
Областью действия СОИБ являются средства, сооружения и линии связи, а также обслуживающий их персонал организации связи. СОИБ сети (сетей) электросвязи должна осуществлять реализацию политики ИБ оператора связи.
6.1 Обеспечение ИБ является непрерывным процессом, осуществляемым СОИБ и взаимоувязывающим правовую, организационную и техническую деятельность, проводимую под непосредственным управляющим воздействием руководящего состава организации связи, направленную на поддержание функционирования сетей электросвязи в условиях воздействия угроз безопасности.
Мероприятия и действия по обеспечению ИБ должны осуществляться в рамках применения процессной модели, определенной в ГОСТ Р ИСО/МЭК 27001, путем реализации процессов управления. Функцией, объединяющей процессы обеспечения, управления и менеджмента, является руководство ИБ.