Настоящий национальный стандарт предоставляет дополнительные рекомендации по реализации и менеджменту информационной безопасности в телекоммуникационных организациях на основе ИСО/МЭК 27002 (Свод норм и правил менеджмента информационной безопасности). Помимо целей безопасности, мер и средств контроля и управления, описанных в ИСО/МЭК 27002, телекоммуникационные организации должны принимать во внимание следующие аспекты безопасности:
1) конфиденциальность. Информация, имеющая отношение к телекоммуникационным организациям, должна быть защищена от несанкционированного раскрытия.
Это означает неразглашение сведений о наличии, содержании, источнике, адреса назначения, а также даты и времени переданной информации.
Для телекоммуникационных организаций крайне важно обеспечить уверенность в том, что неразглашение информации о коммуникациях не нарушалось. Лица, нанимаемые на работу телекоммуникационными организациями, должны поддерживать конфиденциальность любой информации о других лицах, которая могла стать им известна в ходе выполнения их служебных обязанностей.
Примечание - В некоторых странах термин "тайна сообщений" используется в контексте "неразглашения информации о соединениях";
2) целостность. Установка и использование телекоммуникационных средств должны находиться под контролем, обеспечивающим уверенность в подлинности, точности и полноте информации, переданной, отправленной или полученной с помощью проводной связи, радиосвязи или любыми другими способами;
3) доступность. При необходимости должен обеспечиваться только санкционированный доступ к телекоммуникационной информации, оборудованию и среде, которые используются для предоставления услуг связи, обеспечиваемых с помощью проводной связи, радиосвязи или любыми другими способами. В качестве расширения доступности телекоммуникационные организации должны отдавать приоритет важнейшим коммуникациям в случае чрезвычайной ситуации, а также соблюдать нормативные требования.
Менеджмент информационной безопасности в телекоммуникационных организациях необходим независимо от используемого метода, например, применения проводных, беспроводных или широкополосных технологий. Если менеджмент информационной безопасности не реализован надлежащим образом, уровень риска телекоммуникаций в отношении конфиденциальности, целостности и доступности может возрасти.
Телекоммуникационные организации предназначены для предоставления телекоммуникационных услуг, с выполнением роли посредника по передаче информации с помощью оборудования, используемого для установления соединений. Поэтому следует учитывать, что доступ к средствам обработки информации и их использование в телекоммуникационной организации осуществляется не только ее собственными служащими и подрядчиками, но также различными пользователями вне организации.
Для предоставления телекоммуникационных услуг телекоммуникационным организациям с целью обеспечения взаимодействия необходимо либо коллективное использовании своих телекоммуникационных услуг и оборудования, либо телекоммуникационные услуги и оборудование других телекоммуникационных организаций. Соответственно, менеджмент информационной безопасности в телекоммуникационных организациях является взаимозависимым и может включать любую или все сферы сетевой инфраструктуры, услуг, прикладных программ и других средств.
Независимо от масштаба операций, зоны обслуживания или видов услуг телекоммуникационные организации должны реализовывать соответствующие меры и средства контроля и управления для обеспечения конфиденциальности, целостности, доступности и любых других свойств безопасности телекоммуникаций.
Аудитория
Данный национальный стандарт предоставляет телекоммуникационным организациям и лицам, отвечающим за информационную безопасность, наряду с поставщиками средств защиты, аудиторами, поставщиками телекоммуникационных терминалов и используемыми контент-провайдерами, общий набор основных целей управления безопасностью на основе ИСО/МЭК 27002, а также характерные для телекоммуникационного сектора меры и средства контроля и управления, рекомендации по менеджменту информационной безопасности, предусматривающие выбор и реализацию таких мер и средств контроля и управления.