Please enable JavaScript.
Coggle requires JavaScript to display documents.
ГОСТ Р 53110-2008 Система обеспечения информационной безопасности сети…
ГОСТ Р 53110-2008 Система обеспечения информационной безопасности сети связи общего пользования
Настоящий стандарт устанавливает общий подход к:
формированию и проведению в организации связи единой политики информационной безопасности сетей электросвязи;
принятию управленческих решений по внедрению практических мер, реализующих организационные и функциональные требования безопасности;
координации деятельности структурных подразделений организации связи при проведении работ по проектированию, построению, реконструкции и эксплуатации сети электросвязи с соблюдением требований безопасности, определяемых федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации.
Должно предусматриваться выполнение следующих задач:
создание, реализация, поддержка функционирования, осуществление мониторинга и совершенствование СОИБ на основе использования процессного подхода к управлению ИБ;
анализ рисков ИБ, определение способов обработки рисков и мероприятий по их снижению;
обеспечение изолированности средств связи, участвующих в управлении сетями электросвязи, от внешних сетей и рабочих станций, обслуживающего сеть персонала;
обеспечение контролируемого доступа обслуживающего персонала к системе управления сетями электросвязи;
обеспечение централизованной аутентификации обслуживающего сети персонала при их доступе к средствам связи;
паспортизация организаций связи по требованиям к ИБ.
Основными процессами СМИБ, определяющими функционирование СОИБ, являются:
управление рисками;
внутренний аудит;
управление инцидентами;
управление изменениями.
Процесс оценки рисков состоит из следующих этапов:
инвентаризация и категорирование ресурсов сети связи:
инвентаризация предполагает составление перечня всех ресурсов (активов), требующих защиты (информационные, программные, аппаратные и сервисные);
категорирование заключается в присвоении каждому ресурсу качественного или количественного параметра его значимости с точки зрения его влияния на общее функционирование сети связи;
идентификация основных угроз;
идентификация уязвимостей.
анализ возможных воздействий угроз при реализации уязвимостей в ресурсах сети, вычисление вероятности этих воздействий и риска причинения ущерба сети, анализ существующих мер обеспечения безопасности;
определение дополнительных (рекомендуемых) мер обеспечения безопасности, способных противодействовать возможным воздействиям;
документирование полученных результатов.
Настоящий стандарт устанавливает для жизненного цикла СОИБ следующие стадии:
создание СОИБ;
реализация СОИБ;
функционирование СОИБ;
мониторинг соответствия СОИБ;
совершенствование СОИБ.
Реализация мероприятий по обеспечению ИБ должна предусматривать:
регулирование функционирования службы ИБ
издание приказов и распоряжений по обеспечению ИБ
ограничение доступа к техническому, программному и аппаратно-программному оборудованию, кроссам, распределительным щитам, незащищенным линиям и каналам связи для предупреждения несанкционированного доступа к ним;
осуществление физической и инженерно-технической защиты объектов организации связи;
планирование действий по управлению инцидентами ИБ;
планирование действий в ЧС;
включение в должностные инструкции сотрудников организации связи обязательства о неразглашении и сохранности сведений ограниченного доступа;
оборудование служебных помещений сейфами, шкафами для хранения бумажных, магнитных носителей информации и др.
Архитектура СОИБ может содержать следующие уровни ИБ
управление ИБ;
организационно-административный;
безопасность инфокоммуникационной структуры;
безопасность услуг;
сетевая безопасность;
физическая безопасность.