ГОСТ Р ИСО/МЭК 27011-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002

     4.2 Системы менеджмента информационной безопасности в телекоммуникационном бизнесе

4.2.1 Цель

Информация, как и другие активы организации, является важным фактором для бизнеса организации. Информация может быть напечатана или записана на бумаге, сохранена в электронном виде, отправлена по почте, передана в электронном виде, показана в фильме или высказана в беседах. Независимо от формы или функциональности информации или средств, используемых для обмена информацией или ее хранения, информация всегда требует соответствующей защиты.

Организации и их информационные системы и сети сталкиваются с угрозами безопасности, исходящими из широкого спектра источников, включая мошенничество с использованием компьютера, шпионаж, вредительство, вандализм, утечку информации, землетрясение, пожар или затопление. Эти угрозы безопасности могут возникать внутри или вне телекоммуникационных организаций, причиняя ущерб организации.

При нарушении информационной безопасности, например, в результате несанкционированного доступа к системе обработки информации, организация может понести ущерб. Поэтому для организации необходимо обеспечивать информационную безопасность, постоянно совершенствуя свою систему менеджмента информационной безопасности (СМИБ) в соответствии с ИСО/МЭК 27001.

Эффективная информационная безопасность достигается посредством реализации соответствующей совокупности мер и средств контроля и управления, основанной на тех мерах, что описаны в данном национальном стандарте. Эти меры и средства контроля и управления необходимо устанавливать, реализовывать, подвергать мониторингу, проверять и совершенствовать в телекоммуникационных средствах, услугах и прикладных программах. Успешное развертывание мер и средств контроля и управления безопасностью создаст лучшую возможность достижения соответствия целям безопасности и для успешного бизнеса организации.

Телекоммуникационные организации, чьи средства используются различными пользователями для обработки такой информации, как персональные данные, конфиденциальные данные и бизнес-данные, должны обращаться с этой информацией с большой/должной заботой и применять соответствующий уровень защиты.

В заключение следует сказать, что телекоммуникационным организациям необходимо создать и непрерывно совершенствовать общую СМИБ, что обеспечит уверенность в поддержке соответствующих мер и средств контроля и управления безопасностью.

4.2.2 Вопросы безопасности в телекоммуникациях

Требования к общей структуре безопасности в телекоммуникациях проистекают из разных источников:

a) клиенты/абоненты, нуждающиеся в доверии к сетям и предоставляемым услугам, включая доступность услуг (особенно экстренных служб) в случае серьезных катастроф;

b) органы государственной власти, требующие обеспечения безопасности в соответствии с директивами, нормами и законами для обеспечения уверенности в доступности услуг, в честной конкуренции и в защите персональной информации;

c) сетевые операторы и поставщики услуг, нуждающиеся в обеспечении безопасности для защиты своих практических интересов и интересов бизнеса, а также для выполнения своих обязательств перед клиентами и обществом.

Кроме того, телекоммуникационные организации должны учитывать следующие инциденты, связанные с окружающей средой и безопасностью эксплуатации:

a) телекоммуникационные услуги в большой степени зависят от различных взаимосвязанных средств связи, таких как маршрутизаторы, коммутаторы, серверы доменных имен, ретрансляторы систем передачи и системы сетевого менеджмента (NMS). Соответственно, проблемы безопасности телекоммуникаций могут возникать в различном оборудовании/средствах и быстро распространяться через сеть на другое оборудование/средства;

b) в дополнение к телекоммуникационным средствам к серьезным нарушениям безопасности могут приводить также уязвимости сетевых протоколов и топологии сети. В частности конвергенция проводных и беспроводных сетей в сетях следующего поколения (NGN) может создавать существенные проблемы при разработке функционально совместимых протоколов;

c) основное беспокойство телекоммуникационных организаций вызывает возможность компрометации безопасности, ведущая к простою сети, который может быть очень дорогостоящим с точки зрения отношений с клиентами, упущенной выгоды и расходов на восстановление. Умышленные атаки, нацеленные на доступность национальной телекоммуникационной инфраструктуры, могут рассматриваться как проблема национальной безопасности;

d) системы и сети управления телекоммуникациями уязвимы для проникновений хакеров. Обычной мотивацией таких проникновений является хищение телекоммуникационных услуг. Такое хищение может быть спроектировано различными способами, такими как активирование диагностических функций, манипулирование учетными записями, изменение предоставления баз данных и перехват вызовов абонентов;

e) организации, предоставляющие услуги связи, помимо внешних проникновений озабочены компрометацией безопасности из внутренних источников, таких как, например, изменения конфигураций и баз данных сетевого менеджмента со стороны неуполномоченного персонала. Они могут быть случайными или намеренными.

С целью обеспечения защиты информационных активов в телекоммуникационной сфере, берущих начало из разных источников в разной телекоммуникационной среде, необходимы рекомендации по безопасности для телекоммуникаций, чтобы поддерживать реализацию менеджмента информационной безопасности в телекоммуникационных организациях.

Эти рекомендации по безопасности должны применяться к:

a) телекоммуникационным организациям, стремящимся к преимуществу в бизнесе в результате реализации СМИБ;

b) телекоммуникационным организациям, стремящимся к достижению уверенности в том, что требования информационной безопасности заинтересованных сторон (например их поставщиков, клиентов, регулятивных органов) будут выполнены;

c) пользователям и поставщикам продуктов и услуг, связанных с обеспечением информационной безопасности, для телекоммуникационной индустрии;

d) внутренним или внешним по отношению к телекоммуникационным организациям лицам, которые проводят оценку и аудит СМИБ на предмет ее соответствия требованиям ИСО/МЭК 27001;

e) внутренним или внешним по отношению к телекоммуникационным организациям лицам, которые проводят консультации или тренинг по СМИБ.

4.2.3 Информационные активы, требующие защиты

Организации для создания менеджмента информационной безопасности необходимо уточнить и идентифицировать все активы организации. Уточнение атрибутов и значимости активов позволяет реализовать соответствующие меры и средства контроля и управления.

Информация об активах, которые необходимо защищать в телекоммуникационных организациях, может быть найдена в 7.1.1 "Инвентаризация активов".