ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
| НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ | ГОСТ Р
53109-
2008 |
СИСТЕМА
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ СЕТИ СВЯЗИ
ОБЩЕГО ПОЛЬЗОВАНИЯ
ПАСПОРТ
ОРГАНИЗАЦИИ СВЯЗИ ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Предисловие
Цели и принципы стандартизации в Российской
Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О
техническом регулировании», а правила применения национальных стандартов
Российской Федерации - ГОСТ
Р 1.0-2004 «Стандартизация в Российской Федерации. Основные
положения»
Сведения
о стандарте
1 РАЗРАБОТАН Федеральным государственным унитарным
предприятием «Центральный научно-исследовательский институт связи» (ФГУП
«ЦНИИС»), Федеральным государственным учреждением «Государственный
научно-исследовательский испытательный институт проблем технической защиты
информации Федеральной службы по техническому и экспортному контролю России»
(ФГУ «ГНИИИ ПТЗИ ФСТЭК России»)
2 ВНЕСЕН Управлением технического регулирования и
стандартизации Федерального агентства по техническому регулированию и
метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом
Федерального агентства по техническому регулированию и метрологии от 18 декабря
2008 г. № 527-ст
4 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту
публикуется в ежегодно издаваемом информационном указателе «Национальные
стандарты», а текст изменений и поправок - в ежемесячно издаваемых
информационных указателях «Национальные стандарты». В случае пересмотра
(замены) или отмены настоящего стандарта соответствующее уведомление будет
опубликовано в ежемесячно издаваемом информационном указателе «Национальные
стандарты». Соответствующая информация, уведомление и тексты размещаются также
в информационной системе общего пользования - на официальном сайте Федерального
агентства по техническому регулированию и метрологии в сети Интернет
Содержание
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Сокращения
5 Форма паспорта организации связи по информационной безопасности
6 Формирование исходных данных
7 Рекомендации по ведению паспорта организации связи по информационной безопасности
Приложение А (обязательное)Пример формы паспорта организации связи по информационной безопасности
Приложение Б (рекомендуемое)Категории сетей электросвязи по защите от НСД, устанавливаемые актом о категорировании (см. приложение В)
Приложение В (рекомендуемое)Образец акта о категорировании сети электросвязи по требованиям информационной безопасности (защите от НСД)
Приложение Г (справочное)Порядок составления карты сети
Библиография
НАЦИОНАЛЬНЫЙ
СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТИ
СВЯЗИ ОБЩЕГО ПОЛЬЗОВАНИЯ
Паспорт организации связи по информационной безопасности
Information security of the public communications
network providing system. Passport of the organization communications of
information security
Датавведения - 2009-10-01
1
Область применения
Настоящий стандарт
устанавливает требования к форме и содержанию паспорта организации связи по
информационной безопасности относительно сети (сетей) электросвязи.
Паспортизации по требованиям к информационной
безопасности подлежат все организации связи, независимо от организационной
правовой формы собственности, являющиеся частью производственной инфраструктуры
связи Российской Федерации и функционирующие на ее территории как
взаимоувязанный производственно-хозяйственный комплекс, предназначенный для
оказания услуг связи, предоставляемых с использованием сети связи общего
пользования, гражданам, органам государственного управления, обороны страны,
безопасности государства и обеспечения правопорядка.
Паспорт организации связи по информационной
безопасности представляет собой документированное подтверждение реализации
общеобязательных правовых норм по информационной безопасности, осуществляемых в
соответствии с положениями:
- законов Российской Федерации;
- указов и распоряжений Президента Российской
Федерации;
- постановлений и распоряжений Правительства
Российской Федерации;
- нормативных правовых актов (приказов,
распоряжений) ФОИВ, уполномоченных в областях связи, обеспечения безопасности и
технической защиты информации;
- национальных стандартов, стандартов организаций,
сводов правил, систем добровольной сертификации в области информационной
безопасности сетей электросвязи.
Проведение паспортизации организаций связи на основе
определения, обобщения и представления в документированном виде всех данных,
определяющих состояние информационной безопасности инфокоммуникационной
структуры сети (сетей) электросвязи, должно существенно повысить эффективность
системы обеспечения информационной безопасности, чтобы гарантировать
пользователям доступность услуг связи с заданным уровнем качества.
Паспорт организации связи по информационной
безопасности должен являться подтверждением способности оператора связи:
- соблюдать права пользователей услугами связи на
доступ к информации при обеспечении конституционных прав и свобод человека и
гражданина на персональную тайну, тайну связи (тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений);
- противостоять угрозам безопасности.
2
Нормативные ссылки
В настоящем
стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ
Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства
обеспечения безопасности. Системы менеджмента информационной безопасности.
Требования
ГОСТ Р 52448-2005 Защита информации. Обеспечение
безопасности сетей электросвязи. Общие положения
ГОСТ
Р 53110-2008 Система обеспечения информационной безопасности сети
связи общего пользования. Общие положения
ГОСТ Р 53111-2008 Устойчивость функционирования сети
связи общего пользования. Требования и методы проверки
Примечание - При пользовании настоящим
стандартом целесообразно проверить действие ссылочных стандартов в
информационной системе общего пользования - на официальном сайте Федерального
агентства по техническому регулированию и метрологии в сети Интернет или по
ежегодно издаваемому информационному указателю «Национальные стандарты»,
который опубликован по состоянию на 1 января текущего года, и по
соответствующим ежемесячно издаваемым информационным указателям, опубликованным
в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании
настоящим стандартом следует руководствоваться заменяющим (измененным)
стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором
дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3
Термины и определения
В настоящем
стандарте применены следующие термины с соответствующими определениями:
3.1
оператор связи: Юридическое
лицо или индивидуальный предприниматель, оказывающие услуги связи на основании
соответствующей лицензии.
[Закон РФ «О связи», статья 2, пункт 12]
3.2
организация связи: Юридическое
лицо или индивидуальный предприниматель, осуществляющие деятельность в области
связи в качестве основного вида деятельности.
[Закон РФ «О связи», статья 2, пункт 14]
3.3 политика информационной
безопасности оператора связи: Совокупность документированных правил,
процедур, практических приемов или руководящих принципов в области обеспечения
информационной безопасности, которыми должен руководствоваться оператор связи.
3.4
сеть связи: Технологическая
система, включающая в себя средства и линии связи и предназначенная для
электросвязи или почтовой связи.
[Закон РФ «О связи», статья 2, пункт 24]
3.5
система обеспечения
информационной безопасности сети (сетей) электросвязи: Совокупность
организационно-технической структуры и(или) исполнителей, задействованных в
обеспечении информационной безопасности сети (сетей) электросвязи и используемых
ими механизмов обеспечения безопасности (средств защиты), взаимодействующая с
органами управления сетью (сетями) связи, функционирование которой
осуществляется по нормам, правилам и обязательным требованиям, установленным
федеральными органами исполнительной власти, уполномоченными в областях связи,
обеспечения безопасности и технической защиты информации.
[ГОСТ Р 53110, пункт 3.6]
3.6
служба информационной
безопасности организации связи: Организационно-техническая
структура организации связи, реализующая политику информационной безопасности
организации связи и осуществляющая функционирование системы обеспечения информационной
безопасности сети (сетей) электросвязи.
[ГОСТ Р 53110, пункт 3.7]
3.7
системный проект сети связи: Схема
построения сети электросвязи с соответствующими такой схеме расчетными
значениями (с учетом предъявляемых к сети электросвязи обязательных требований
и планируемого объема оказываемых услуг связи) величин, определяющих
технические возможности входящих в состав сети электросвязи средств связи,
линий передачи и физических цепей, и монтированной емкости.
[Закон РФ «О связи», статья 2, пункт 26]
4
Сокращения
В настоящем стандарте применены следующие
сокращения:
ВН - воздействие нарушителя;
ГИИ - глобальная информационная
инфраструктура;
ИБ - информационная безопасность;
ИТ - информационная технология;
НСД - несанкционированный доступ;
ПДК по ИБ - постоянно действующая комиссия по ИБ;
ПО - программное обеспечение;
СМИБ - система менеджмента информационной
безопасности;
СОИБ - система обеспечения информационной
безопасности;
ФОИВ - федеральный орган исполнительной власти;
ЭМ ВОС - эталонная модель взаимосвязи открытых
систем.
5
Форма паспорта организации связи по информационной безопасности
Паспорт организации связи по ИБ разрабатывается в соответствии с ГОСТ
Р 52448 и его форма и содержание в организациях связи в зависимости
от специфики их функционирования могут быть различными. Сведения, включенные в
паспорт, должны периодически уточняться и обновляться.
Основой разработки формы и содержания
паспорта являются результаты проведенного анализа состояния защищенности
инфокоммуникационной структуры сети (сетей) электросвязи организации связи,
определения наиболее критичных к ВН объектов ИБ, уязвимостей структурных
компонентов сети (сетей), возможных угроз и реализации требований ИБ.
Пример формы паспорта организации связи
по ИБ приведен в приложении А.
6 Формирование исходных данных
— Все документы — Другие национальные стандарты — 01 Общие положения. Терминология. Стандартизация. Документация — ГОСТ Р 53109-2008 СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТИ СВЯЗИ ОБЩЕГО ПОЛЬЗОВАНИЯ ПАСПОРТ ОРГАНИЗАЦИИ СВЯЗИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В Госдуме заявили о новой мере поддержки для переживших стихийное бедствие
Правительство разработало новый законопроект о ликвидации незаконных свалок
Юрист Локтионова: на даче нельзя выращивать мак снотворный и ипомею трехцветную
Минстрой России: Москва стала самым комфортным для проживания городом России
Городом с самыми дешевыми квартирами в новостройках оказался Воронеж