В перечень включают средства связи, влияющие на обеспечение ИБ, с определением мест их установки (населенный пункт, комната, этаж, здание) и условий обеспечения (электропитание, заземление, открытые и защищенные коммуникации, в том числе имеющие выход за пределы контролируемой зоны), при этом:
- определяют технические средства и системы, применение которых не обосновано служебной или производственной необходимостью и которые подлежат демонтажу, а также технические средства, не влияющие на уровень обеспечения ИБ;
- определяют технические средства, требующие переоборудования и дополнительной защиты;
- составляют перечень основных средств связи, участвующих в процессе обработки, хранения и передачи информации/данных. Пункт А.3.2.2 паспорта (см. приложение А) должен содержать описательную часть, таблица А.1 паспорта (см. приложение А) - перечень рассматриваемых основных средств связи. Перечень должен соответствовать номенклатуре средств связи, подлежащих сертификации (подтверждению соответствия). В перечне основных средств связи должно быть выделено оборудование, предназначенное для обработки, хранения и передачи информации управления и персональных данных пользователей услугами связи;
- составляют перечень вспомогательных средств связи в соответствии с таблицей А.2 паспорта (см. приложение А), к которым должны относиться средства связи, непосредственно не участвующие в процессе обработки, хранении и передачи информации, но размещенные совместно с основными средствами и системами, участвующими в этом процессе.
Примечание - В таблицах А.1 и А.2 паспорта (см. приложение А) в графе «примечание» должны быть указаны сведения (при наличии) о сертификации, специсследованиях и спецпроверках технических средств.
6.1.6 Уточнение сведений об используемом программном обеспечении
В таблице А.3 паспорта (см. приложение А) приводится перечень используемого ПО (операционные системы, сетевое и прикладное ПО, базы данных и т.д.)
6.1.7 Уточнение сведений об используемых протоколах информационного обмена
В пункте А.3.2.5 паспорта (см. приложение А) должны быть перечислены используемые в сети (сетях) электросвязи протоколы информационного обмена. Протоколы должны быть разграничены по уровням ЭМ ВОС, также необходимо выделить используемые защищенные криптографические протоколы.
6.1.8 Уточнение схем размещения основных средств связи
В пункте А.3.2.6 паспорта (см. приложение А) должны быть приведены схемы размещения основных средств связи на объектах организации связи с привязкой к границам контролируемых зон.
6.2 Пояснительная записка к ситуационному плану организации связи
Пояснительная записка к Ситуационному плану организации связи составляется службой ИБ организации связи и должна содержать развернутое описание представленных в 6.2.1 - 6.2.4 структурных компонентов.
6.2.1 Перечень объектов ИБ инфокоммуникационной структуры сети (сетей) электросвязи
При составлении перечня объектов ИБ инфокоммуникационной структуры сети (сетей) электросвязи необходимо учитывать, что для сетей электросвязи объекты ИБ представляют собой аппаратные и программные средства, входящие в состав сетей, а также информационные ресурсы, ВН на которые может привести к последствиям, связанным с нарушением основных критериев ИБ - конфиденциальности, целостности, доступности и подотчетности.
К основным объектам ИБ сети (сетей) электросвязи могут быть отнесены:
- информационные ресурсы;
- узлы абонентского доступа;
- технические средства обработки, хранения и передачи информации;
- линии электросвязи, ПО;
- базы данных, системы управления базами данных;
- серверы, рабочие станции;
- системы управления сетями электросвязи, системы сигнализации;
- протоколы информационного обмена;
- механизмы обеспечения безопасности (средства защиты).
6.2.2 Перечень основных угроз безопасности сети (сетей) электросвязи
Перечень основных угроз безопасности сети (сетей) электросвязи должен соответствовать приведенному в модели угроз и нарушителя безопасности сети (сетей) электросвязи с ранжированием угроз по вероятности их возникновения.
6.2.3 Перечень уязвимостей объектов ИБ сети (сетей) электросвязи
По результатам инвентаризации элементов инфраструктуры сети (сетей) электросвязи представляется возможным построить информационно-логическую модель, иллюстрирующую технологию обработки, хранения и передачи информации с выделением вероятных точек уязвимости, каждой из которых необходимо дать полную характеристику.
6.2.4 Определение возможных каналов утечки информации и НСД к средствам связи
При определении возможных каналов утечки информации и НСД к средствам связи необходимо учитывать, что ВН на объекты ИБ могут осуществляться по внешним и внутренним линиям связи, с автоматизированных рабочих мест, по недекларированным каналам доступа и т.д.
Транзитные и незадействованные (воздушные, настенные, наружные и заложенные в канализацию) кабели, цепи и провода должны быть рассмотрены на предмет их использования как каналов утечки информации и НСД к средствам связи.
7.1 Ответственным за ведение паспорта организации связи по ИБ назначается администратор ИБ. Корректировку паспорта проводят ежегодно. Изменения структуры сетевых связей вносят немедленно. Корректировку электронных приложений паспорта (карты сети) проводят по мере возникновения изменений, но не реже одного раза в месяц.
7.2 Дополнения и замечания в паспорт могут вноситься по мере развития и совершенствования СОИБ и появления новых данных в разделах документа.
7.3 Паспорт должен храниться у администратора ИБ организации связи. Доступ к электронным приложениям паспорта, кроме администратора ИБ, должен иметь руководитель организации и начальник службы ИБ.
7.4 Сведения ограниченного доступа, содержащие обобщенную информацию о СОИБ организации связи и представленные в форме документа (паспорта), должны иметь соответствующий гриф секретности.
|
Утверждаю Руководитель организации связи ____________________________ «____»_______________200 __ г. Паспорт______________________________ (наименование организации связи) по информационной безопасности Согласовано ______________________ (начальник службы ИБ) «____»_______________200 __ г. Разработал _____________________ ________________________________________________________________________________ (наименование населенного пункта дислокации организации) ________________________________________________________________________________ (год разработки) А.1 Общие сведения об организации связи А.1.1 Наименование организации связи____________________________________________ (полное и сокращенное наименования) А.1.2 Адрес организации связи___________________________________________________ (юридический и фактический адрес организации) А.1.3 Сведения о государственной регистрации_____________________________________ (орган регистрации, регистрационный номер, дата, форма собственности) А.1.4 Контактные реквизиты_____________________________________________________ (телефон, телекс, факс, электронная почта и др.) А.1.5 Основные виды деятельности_______________________________________________ А.1.6 Наличие лицензий на основные виды деятельности ФОИВ в области связи _____________________________ ФСБ России ______________________________________ ФСТЭК России ___________________________________ (лицензии других организаций) ______________________ А.1.7 Категория сети связи по требованиям ИБ (защите от НСД) ______________________ А.2 Ситуационный план организации связи (графическая схема расположения организации связи на местности, контролируемая зона, пункты физического доступа в организацию персонала и автотранспорта, окружающая среда организации с возможными источниками угроз безопасности, структура пожарной и охранной сигнализации, размещение трансформаторной подстанции, аварийное электропитание, с расчетным временем срабатывания, размещение заземлителей и т.п.) ________________________________________________________________________________ ________________________________________________________________________________ А.3 Инфокоммуникационная структура сети (сетей) электросвязи организации связи А.3.1 Информационные ресурсы, требующие защиты - сведения об абонентах, базы данных; - информация управления; - внутренняя информация (топология сети, таблицы маршрутизации, файлы конфигурации телекоммуникационного оборудования); - данные, передаваемые в сети электросвязи и содержащие информацию пользователей; - программное обеспечение системы управления сетью электросвязи; - программное обеспечение средств связи; - данные о прохождении (задержки при прохождении), параметрах, загрузке (использовании), мониторинге каналов связи; - обобщенные сведения о местах дислокации узлов связи и установленном сетевом оборудовании; - проектная и нормативно-техническая документация, представленная в электронном виде); - сведения, раскрывающие структуру используемых механизмов обеспечения безопасности (средств защиты) сети (сетей) электросвязи. А.3.2 Инфраструктура сети (сетей) электросвязи А.3.2.1 Структура сети (сетей) электросвязи А.3.2.2 Основные средства связи, участвующие в процессе хранения, обработки и передачи информации/данных Таблица А.1 - Перечень основных средств связи, входящих в состав сети связи организации связи и влияющих на обеспечение информационной безопасности Тип, наименование основных средств связи Предприятие-изготовитель Учетный номер Место установки Примечание А.3.2.3 Перечень вспомогательных средств связи организации связи Таблица А.2 - Перечень вспомогательных средств связи, оказывающих влияние на обеспечение информационной безопасности Тип, наименование вспомогательных средств связи Учетный номер Место установки Примечание А.3.2.4 Программное обеспечение (используемые операционные системы, сетевое и прикладное программное обеспечение, базы данных) Таблица А.3 - Используемое программное обеспечение Наименование ПО Разработчик Сведения о защите и проверке ПО Место установки Примечание А.3.2.5 Используемые протоколы информационного обмена в сети (сетях) электросвязи, в том числе защищенные криптографические протоколы ________________________________________________________________________________ А.3.2.6 Схема размещения основных средств связи__________________________________ (показывается привязка к границам контролируемых зон) А.4 Схема электропитания и заземления основных средств связи______________________ (показывается привязка к границам контролируемых зон) А.5 Сведения о величине сопротивления заземляющих устройств_____________________ (указываются значение сопротивления и дата измерения) А.6 Перечень основных документов, регулирующих обеспечение информационной безопасности в организации связи___________________________________________________ (конкретный состав и содержание основных документов по обеспечению ИБ организации связи определяется, исходя из специфики организации связи и в соответствии с положениями раздела 12 ГОСТ Р 53110) А.7 Архитектура системы обеспечения информационной безопасности сети (сетей) электросвязи_____________________________________________________________________ (указывается принятая в организации связи архитектура СОИБ, определяющая специфику и взаимосвязь уровней и подсистем с основными процессами функционирования СМИБ (по ГОСТ Р ИСО/МЭК 27001), с системой управления сетью электросвязи и другими технологическими системами А.8 Сведения о подготовке специалистов по вопросам информационной безопасности____ [приводятся сведения об общей подготовке и переподготовке на специализированных курсах специалистов службы ИБ (кто, когда, какое учебное заведение/курсы закончил, продолжительность обучения, специализация, номер свидетельства об обучении] А.9 Структура службы информационной безопасности организации (оператора) связи____ (указываются основные структурные подразделения службы ИБ организации связи, ее подчиненность, основные функции) А.10 Сведения о реализованных механизмах обеспечения безопасности и средствах защиты инфокоммуникационной структуры сети (сетей) электросвязи организации связи Таблица А.4 - Перечень механизмов обеспечения безопасности (средств защиты) Наименование и тип механизма обеспечения ИБ (средства защиты) Производитель Учетный номер Сведения о сертификации Место установки Примечание Примечание - В перечень включаются механизмы обеспечения ИБ и средства защиты сети электросвязи, относящиеся к классам механизмов обеспечения безопасности (средств защиты), определенным в подразделе 10.4 ГОСТ Р 53110. А.11 Основные характеристики физической защиты объектов организации связи________ (должны быть отражены основные организационно-технические вопросы обеспечения физической защиты объектов организации связи, перечислены основные средства, используемые для обеспечения физической безопасности организации связи) А.12 Сведения о подтверждении соответствия сети электросвязи (аттестации) требованиям ИБ__________________________________________________________________ (должен быть указан сертификационный центр или лаборатория, проводившие проверку соответствия, номер и дата акта проверки соответствия сети электросвязи требованиям ИБ) А.13 Сведения о проведении контроля состояния информационной безопасности организации связи Таблица А.5 - Результаты проверки состояния информационной безопасности Дата проведения проверки Наименование организации, проводившей проверку Результаты проверки Примечание Примечания 1 Результаты контрольно-проверочных мероприятий должны оформляться документально в виде актов проверки и данных, вносимых в таблицу. 2 В таблицу вносят проверки, проводимые лицами из числа руководящего состава организации связи, специализированными организациями или представителями ФОИВ, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации). А.14 Лист регистрации изменений________________________________________________ (указываются даты внесения изменений и номера разделов паспорта, подвергшихся изменениям) |
