ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
НАЦИОНАЛЬНЫЙ |
ГОСТ Р |
СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ СЕТИ СВЯЗИ
ОБЩЕГО ПОЛЬЗОВАНИЯ
ПАСПОРТ ОРГАНИЗАЦИИ СВЯЗИ ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Москва Стандартинформ 2009 |
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»
Сведения о стандарте
1 РАЗРАБОТАН Федеральным государственным унитарным предприятием «Центральный научно-исследовательский институт связи» (ФГУП «ЦНИИС»), Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»)
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. № 527-ст
4 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
1 Область применения 2 Нормативные ссылки 3 Термины и определения 4 Сокращения 5 Форма паспорта организации связи по информационной безопасности 6 Формирование исходных данных 7 Рекомендации по ведению паспорта организации связи по информационной безопасности Приложение А (обязательное) Пример формы паспорта организации связи по информационной безопасности Приложение Б (рекомендуемое) Категории сетей электросвязи по защите от НСД, устанавливаемые актом о категорировании (см. приложение В) Приложение В (рекомендуемое) Образец акта о категорировании сети электросвязи по требованиям информационной безопасности (защите от НСД) Приложение Г (справочное) Порядок составления карты сети Библиография |
СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТИ
СВЯЗИ ОБЩЕГО ПОЛЬЗОВАНИЯ
Паспорт организации связи по информационной безопасности
Information security of the public communications network providing system. Passport of the organization communications of information security
Дата введения - 2009-10-01
Настоящий стандарт устанавливает требования к форме и содержанию паспорта организации связи по информационной безопасности относительно сети (сетей) электросвязи.
Паспортизации по требованиям к информационной безопасности подлежат все организации связи, независимо от организационной правовой формы собственности, являющиеся частью производственной инфраструктуры связи Российской Федерации и функционирующие на ее территории как взаимоувязанный производственно-хозяйственный комплекс, предназначенный для оказания услуг связи, предоставляемых с использованием сети связи общего пользования, гражданам, органам государственного управления, обороны страны, безопасности государства и обеспечения правопорядка.
Паспорт организации связи по информационной безопасности представляет собой документированное подтверждение реализации общеобязательных правовых норм по информационной безопасности, осуществляемых в соответствии с положениями:
- законов Российской Федерации;
- указов и распоряжений Президента Российской Федерации;
- постановлений и распоряжений Правительства Российской Федерации;
- нормативных правовых актов (приказов, распоряжений) ФОИВ, уполномоченных в областях связи, обеспечения безопасности и технической защиты информации;
- национальных стандартов, стандартов организаций, сводов правил, систем добровольной сертификации в области информационной безопасности сетей электросвязи.
Проведение паспортизации организаций связи на основе определения, обобщения и представления в документированном виде всех данных, определяющих состояние информационной безопасности инфокоммуникационной структуры сети (сетей) электросвязи, должно существенно повысить эффективность системы обеспечения информационной безопасности, чтобы гарантировать пользователям доступность услуг связи с заданным уровнем качества.
Паспорт организации связи по информационной безопасности должен являться подтверждением способности оператора связи:
- соблюдать права пользователей услугами связи на доступ к информации при обеспечении конституционных прав и свобод человека и гражданина на персональную тайну, тайну связи (тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений);
- противостоять угрозам безопасности.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения
ГОСТ Р 53110-2008 Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
ГОСТ Р 53111-2008 Устойчивость функционирования сети связи общего пользования. Требования и методы проверки
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1
оператор связи: Юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии.
[Закон РФ «О связи», статья 2, пункт 12]
3.2
организация связи: Юридическое лицо или индивидуальный предприниматель, осуществляющие деятельность в области связи в качестве основного вида деятельности.
[Закон РФ «О связи», статья 2, пункт 14]
3.3 политика информационной безопасности оператора связи: Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения информационной безопасности, которыми должен руководствоваться оператор связи.
3.4
сеть связи: Технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи.
[Закон РФ «О связи», статья 2, пункт 24]
3.5
система обеспечения информационной безопасности сети (сетей) электросвязи: Совокупность организационно-технической структуры и(или) исполнителей, задействованных в обеспечении информационной безопасности сети (сетей) электросвязи и используемых ими механизмов обеспечения безопасности (средств защиты), взаимодействующая с органами управления сетью (сетями) связи, функционирование которой осуществляется по нормам, правилам и обязательным требованиям, установленным федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации.
[ГОСТ Р 53110, пункт 3.6]
3.6
служба информационной безопасности организации связи: Организационно-техническая структура организации связи, реализующая политику информационной безопасности организации связи и осуществляющая функционирование системы обеспечения информационной безопасности сети (сетей) электросвязи.
[ГОСТ Р 53110, пункт 3.7]
3.7
системный проект сети связи: Схема построения сети электросвязи с соответствующими такой схеме расчетными значениями (с учетом предъявляемых к сети электросвязи обязательных требований и планируемого объема оказываемых услуг связи) величин, определяющих технические возможности входящих в состав сети электросвязи средств связи, линий передачи и физических цепей, и монтированной емкости.
[Закон РФ «О связи», статья 2, пункт 26]
В настоящем стандарте применены следующие сокращения:
ВН - воздействие нарушителя;
ГИИ - глобальная информационная инфраструктура;
ИБ - информационная безопасность;
ИТ - информационная технология;
НСД - несанкционированный доступ;
ПДК по ИБ - постоянно действующая комиссия по ИБ;
ПО - программное обеспечение;
СМИБ - система менеджмента информационной безопасности;
СОИБ - система обеспечения информационной безопасности;
ФОИВ - федеральный орган исполнительной власти;
ЭМ ВОС - эталонная модель взаимосвязи открытых систем.
Паспорт организации связи по ИБ разрабатывается в соответствии с ГОСТ Р 52448 и его форма и содержание в организациях связи в зависимости от специфики их функционирования могут быть различными. Сведения, включенные в паспорт, должны периодически уточняться и обновляться.
Основой разработки формы и содержания паспорта являются результаты проведенного анализа состояния защищенности инфокоммуникационной структуры сети (сетей) электросвязи организации связи, определения наиболее критичных к ВН объектов ИБ, уязвимостей структурных компонентов сети (сетей), возможных угроз и реализации требований ИБ.
Пример формы паспорта организации связи по ИБ приведен в приложении А.
6.1 Составление паспорта
Составление паспорта осуществляется комиссией1) в составе пяти - семи квалифицированных специалистов связи, ИТ структур и службы ИБ, назначаемой приказом руководителя организации связи. Председателем комиссии назначают заместителя руководителя организации связи (начальника службы ИБ).
___________
1) Роль комиссии по составлению паспорта может выполнять ПДК по ИБ организации связи.
Комиссия, используя системный проект сети связи [1], осуществляет обследование инфокоммуникационной структуры сети (сетей) электросвязи организации связи, которое предполагает проведение мероприятий и действий, перечисленных в 6.1.1 - 6.1.8.
6.1.1 Категорирование сети (сетей) электросвязи
Сети электросвязи для предъявления к ним требований ИБ подразделяют на следующие категории:
- высшая;
- средняя;
- низшая.
В качестве примера в приложении Б приведены категории сетей электросвязи по защите от НСД [2] в зависимости от типов категорий узлов связи.
Категорию сети электросвязи по требованиям ИБ (защите от НСД) устанавливают актом о категорировании сети электросвязи (см. приложение В). Комиссия составляет пояснительную записку к акту, содержащую сведения о мерах обеспечения безопасности, которые реализуют требования ИБ (защиты от НСД), соответствующие установленной категории сети электросвязи.
6.1.2 Проведение анализа условий функционирования организации связи
Анализ условий функционирования организации связи отображают в разделе А.2 паспорта (см. приложения А) «Ситуационный план организации связи».
Ситуационный план организации связи может быть сформирован на основе генерального плана организации и представлен отдельным приложением к паспорту с пояснительной запиской. Примерный состав пояснительной записки к ситуационному плану представлен в 6.2.
6.1.3 Проведение инвентаризации информационных ресурсов
Инвентаризация предполагает описание информационных ресурсов в соответствии с перечнем, приведенным в пункте А.3.1 паспорта (см. приложение А) «Информационные ресурсы, требующие защиты».
6.1.4 Исследование инфраструктуры сети (сетей) электросвязи
В пункте А.3.2.1 паспорта «Структура сети (сетей) электросвязи» (см. приложение А) необходимо указать тип сети (сетей): транзитная(ые), международная(ые), междугородная(ые), зоновая(ые), местная(ые), локальная(ые), выделенная(ые), технологическая(ие), сеть (сети) радиосвязи, специальные и др., а также привести структурную схему сети (сетей) электросвязи с указанием узлов сопряжения с ГИИ, в том числе с сетью Интернет. Необходимо также в паспорте указать защищенные системы и линии связи, в том числе по радиорелейным и спутниковым каналам связи. Сетевая структура организации связи отражается также в «карте сети», порядок составления которой приведен в приложении Г.
6.1.5 Составление перечня средств связи