ГОСТ Р ИСО/МЭК 27011-2012

Группа Т00

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002

Information technology. Security techniques. Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

ОКС 35.040*

_____________________

* По данным официального сайта Росстандарта ОКС 35.040;

01.040.01, здесь и далее. - Примечание изготовителя базы данных.

Дата введения 2014-01-01

     

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") и обществом с ограниченной ответственностью "Информационный аналитический вычислительный центр" (ООО "ИАВЦ") на основе собственного аутентичного перевода стандарта на русский язык международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2012 г. N 424-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27011:2008* "Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002" (ISO/IEC 27011:2008 "Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002").

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (пункт 3.5)

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

Введение

Настоящий национальный стандарт предоставляет дополнительные рекомендации по реализации и менеджменту информационной безопасности в телекоммуникационных организациях на основе ИСО/МЭК 27002 (Свод норм и правил менеджмента информационной безопасности). Помимо целей безопасности, мер и средств контроля и управления, описанных в ИСО/МЭК 27002, телекоммуникационные организации должны принимать во внимание следующие аспекты безопасности:

1) конфиденциальность. Информация, имеющая отношение к телекоммуникационным организациям, должна быть защищена от несанкционированного раскрытия.

Это означает неразглашение сведений о наличии, содержании, источнике, адреса назначения, а также даты и времени переданной информации.

Для телекоммуникационных организаций крайне важно обеспечить уверенность в том, что неразглашение информации о коммуникациях не нарушалось. Лица, нанимаемые на работу телекоммуникационными организациями, должны поддерживать конфиденциальность любой информации о других лицах, которая могла стать им известна в ходе выполнения их служебных обязанностей.

Примечание - В некоторых странах термин "тайна сообщений" используется в контексте "неразглашения информации о соединениях";

2) целостность. Установка и использование телекоммуникационных средств должны находиться под контролем, обеспечивающим уверенность в подлинности, точности и полноте информации, переданной, отправленной или полученной с помощью проводной связи, радиосвязи или любыми другими способами;

3) доступность. При необходимости должен обеспечиваться только санкционированный доступ к телекоммуникационной информации, оборудованию и среде, которые используются для предоставления услуг связи, обеспечиваемых с помощью проводной связи, радиосвязи или любыми другими способами. В качестве расширения доступности телекоммуникационные организации должны отдавать приоритет важнейшим коммуникациям в случае чрезвычайной ситуации, а также соблюдать нормативные требования.

Менеджмент информационной безопасности в телекоммуникационных организациях необходим независимо от используемого метода, например, применения проводных, беспроводных или широкополосных технологий. Если менеджмент информационной безопасности не реализован надлежащим образом, уровень риска телекоммуникаций в отношении конфиденциальности, целостности и доступности может возрасти.

Телекоммуникационные организации предназначены для предоставления телекоммуникационных услуг, с выполнением роли посредника по передаче информации с помощью оборудования, используемого для установления соединений. Поэтому следует учитывать, что доступ к средствам обработки информации и их использование в телекоммуникационной организации осуществляется не только ее собственными служащими и подрядчиками, но также различными пользователями вне организации.

Для предоставления телекоммуникационных услуг телекоммуникационным организациям с целью обеспечения взаимодействия необходимо либо коллективное использовании своих телекоммуникационных услуг и оборудования, либо телекоммуникационные услуги и оборудование других телекоммуникационных организаций. Соответственно, менеджмент информационной безопасности в телекоммуникационных организациях является взаимозависимым и может включать любую или все сферы сетевой инфраструктуры, услуг, прикладных программ и других средств.

Независимо от масштаба операций, зоны обслуживания или видов услуг телекоммуникационные организации должны реализовывать соответствующие меры и средства контроля и управления для обеспечения конфиденциальности, целостности, доступности и любых других свойств безопасности телекоммуникаций.

Аудитория

Данный национальный стандарт предоставляет телекоммуникационным организациям и лицам, отвечающим за информационную безопасность, наряду с поставщиками средств защиты, аудиторами, поставщиками телекоммуникационных терминалов и используемыми контент-провайдерами, общий набор основных целей управления безопасностью на основе ИСО/МЭК 27002, а также характерные для телекоммуникационного сектора меры и средства контроля и управления, рекомендации по менеджменту информационной безопасности, предусматривающие выбор и реализацию таких мер и средств контроля и управления.

     1 Область применения

Настоящий стандарт определяет рекомендации, поддерживающие реализацию менеджмента информационной безопасности в телекоммуникационных организациях.

Применение данного национального стандарта позволит телекоммуникационным организациям выполнять базовые требования менеджмента информационной безопасности в отношении конфиденциальности, целостности, доступности и любых других аспектов безопасности.

     2 Нормативные ссылки

Настоящий стандарт содержит положения, основанные на рекомендациях действующих стандартов. Однако все рекомендации и стандарты подлежат пересмотру, поэтому перед использованием данного национального стандарта следует изучить последнюю редакцию перечисленных ниже стандартов*. Члены МЭК и ИСО поддерживают каталоги действующих международных стандартов. Бюро стандартизации электросвязи МСЭ (международного союза электросвязи) поддерживает каталог действующих в настоящее время рекомендаций МСЭ-Т.

_______________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.     

ИСО/МЭК 27001:2005 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements)

ИСО/МЭК 27002:2005 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности (ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security management)

     3 Термины, определения и сокращения

     3.1 Термины и определения

Для целей данного национального стандарта применяются термины и определения, приведенные в ИСО/МЭК 27002. Кроме того, применяются следующие термины и определения:

3.1.1 совместное размещение (collocation): Установка телекоммуникационных средств в помещениях других поставщиков телекоммуникационных услуг.

3.1.2 узел связи (communication centre): Сооружение, где размещаются средства для обеспечения телекоммуникационного бизнеса.

3.1.3 важнейшие коммуникации (essential communications): Коммуникации, которые требуются для предупреждения бедствий или оказания помощи, для поддержки транспорта, связи, энергоснабжения или для поддержания общественного порядка.

3.1.4 неразглашение [информации о] соединениях (non-disclosure of communications): Особенности соединений, обслуживаемых лицами, нанятыми на работу телекоммуникационной организацией, не должны разглашаться сведения о наличии, содержании, источнике, адресе назначения, даты и времени переданной информации.

3.1.5 персональная информация (personal information): Информация о лице, которая может быть использована для идентификации этого лица. Конкретная информация, используемая для такой идентификации, определяется национальным законодательством.

3.1.6 приоритетный вызов (priority call): Телекоммуникации, осуществляемые специальными терминалами при чрезвычайных ситуациях, которые требуют приоритетной обработки, ограничивая общественные вызовы. Специальные терминалы могут предоставлять различные услуги (передача голоса по IP-сетям, передача голоса по ТфОП, IP-трафик данных и т.д.) для проводных и беспроводных сетей.

3.1.7 телекоммуникационные прикладные программы (telecommunications applications): Прикладные программы, например электронная почта, к которым получают доступ конечные пользователи и которые базируются на сетевых услугах.

3.1.8 телекоммуникационный бизнес (telecommunications business): Бизнес по предоставлению телекоммуникационных услуг с целью удовлетворения потребностей других лиц.

3.1.9 телекоммуникационная аппаратная (telecommunications equipment room): Часть общей площади, где расположено оборудование для обеспечения телекоммуникационного бизнеса.

3.1.10 телекоммуникационные средства (telecommunications facilities): Устройства, оборудование, провода и кабели, физические сооружения или другое электрооборудование для функционирования телекоммуникаций.

3.1.11 телекоммуникационные организации (telecommunications organizations): Коммерческая организация, предоставляющая телекоммуникационные услуги с целью удовлетворения потребностей других лиц.

3.1.12 телекоммуникационные записи (telecommunications records): Информация, касающаяся участвующих в соединении сторон, исключая содержание, время и длительность состоявшейся телекоммуникации.

3.1.13 телекоммуникационные услуги (telecommunications services): Передача информации с использованием телекоммуникационных средств или иных средств обеспечения передачи между пользователями телекоммуникационных услуг или между клиентами телекоммуникационных услуг.

3.1.14 клиент телекоммуникационных услуг (telecommunications service customer): Лицо или организация, заключившая договор с телекоммуникационными организациями о предлагаемых ими телекоммуникационных услугах.

3.1.15 пользователь телекоммуникационных услуг (telecommunications service user): Лицо или организация, использующие телекоммуникационные услуги.

3.1.16 терминальное оборудование (terminal facilities): Телекоммуникационные средства, которые подключены к одному концу оборудования телекоммуникационной линии связи и часть которого устанавливается в том же помещении (включая площадки, рассматриваемые как помещения) или в том же здании, где установлены любые другие части оборудования телекоммуникационной линии связи.

3.1.17 пользователь (user): Лицо или организация, использующие средства или системы обработки информации, например сотрудник, подрядчик или пользователь третьей стороны.

     3.2 Сокращения

Для целей данного национального стандарта применяются следующие сокращения:

ADSL - асимметричная цифровая абонентская линия (asymmetric digital subscriber line);

ASP - поставщик услуг по аренде прикладных программ (application service provider);

CATV - кабельное телевидение (community antenna TeleVision);

CERT - группа реагирования на компьютерные инциденты (computer emergency response team);

DDoS - распределенный отказ в обслуживании (distributed denial of service);

DNS - служба имен доменов (domain name system);

DoS - отказ в обслуживании (denial of service);

ISAC - центр обмена и анализа информации (information sharing and analysis centre);

NGN - сети следующего поколения (next generation network);

NMS - система сетевого менеджмента (network management system);

OAM&P - эксплуатация, администрирование, обслуживание и предоставление (operations, administration, maintenance and provisioning);

SIP - протокол инициации сессии (session initiation protocol);

SLA - соглашение об уровне услуг (service level agreement);

SOA - положение о применимости (statement of applicability);

URL - унифицированный указатель ресурса (uniform resource locator);

VoIP - передача голоса по IP сетям (voice over internet protocol);