Текст книги "Информационная безопасность. Национальные стандарты Российской Федерации"

3.2.3. Национальный стандарт ГОСТ Р ИСО/МЭК 27033-3 – эталонные сетевые сценарии

Национальный стандарт Российской Федерации ГОСТ Р ИСО /МЭК 27033-3–2014 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления» введен в действие с 01.11.2015 г. Он идентичен международному стандарту ISO/IEC 27033-3:2010 «Information technology – Security techniques – Network security – Part 3: Reference networking scenarios – Threats, design techniques and control issues».

В стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями. Для каждого сценария представлены подробные руководства по угрозам безопасности, методам проектирования безопасности и мерам и средствам контроля и управления.

Сценарии в стандарте упорядочены в зависимости от:

• типа доступа пользователя (является ли пользователь работающим внутри предприятия (внутренний), или пользователем является сотрудник, который получает доступ к корпоративным ресурсам извне, или пользователь является клиентом, поставщиком или деловым партнером (внешним));

• типа доступности информационных ресурсов (открытые, ограниченные или внешние ресурсы).

В стандарте рассмотрены следующие типовые сетевые сценарии:

• услуги доступа к Интернету для сотрудников;

• услуги «бизнес для бизнеса»;

• услуги «бизнес для клиента»;

• расширенное применение услуг для совместного использования;

• сегментация сети;

• сетевая поддержка работы на дому или в малых предприятиях;

• мобильная связь;

• сетевая поддержка мобильных пользователей;

• услуги аутсорсинга.

Структура упорядочения типовых сетевых сценариев представлена в табл. 3.1.

Таблица 3.1. Структура упорядочения сетевых сценариев

Руководства, представленные в данном стандарте для каждого из определенных типовых сетевых сценариев, основаны на нижеперечисленных подходах:

• проверка вводной информации и рамок сценария;

• описание угроз, соответствующих сценарию;

• проведение анализа риска относительно обнаруженных уязвимостей;

• анализ влияния на бизнес рассматриваемых уязвимостей;

• определение рекомендаций по реализации обеспечения безопасности сети.

Первоочередным при оценке безопасности является определение активов, нуждающихся в защите. Безопасность сети также предполагает защиту различной деятельности, поддерживаемой в сети, такой как управленческая деятельность и получение данных конечных пользователей.

Каждый типовой сетевой сценарий исследуется в отношении известного набора угроз для выяснения того, какие угрозы могут быть применены. В приложении к стандарту приведен перечень известных отраслевых угроз. Этот перечень не следует рассматривать как исчерпывающий, но он может служить отправной точкой для анализа.

ПРИМЕЧАНИЕ

Для определения перечня угроз и выделения актуальных угроз можно использовать банк данных угроз (размещен на сайте ФСТЭК), а также соответствующие методические документы ФСТЭК России.

Затем анализируются уязвимости, чтобы определить, каким образом угрозы могут быть реализованы в контексте конкретного рассматриваемого актива. Такой анализ поможет определить, какие ограничения отсутствуют и какие контрмеры требуется применить для достижения целей защиты.

При проектировании контрмер и реализации мер и средств контроля и управления стандарт требует сохранения не только конфиденциальности, целостности и доступности информации, но дополнительно он затрагивает и другие свойства, такие как подлинность, неотказуемость и достоверность.

Услуги доступа к сети Интернет для сотрудников. Основные угрозы безопасности:

• вирусные атаки и внедрение вредоносных программ;

• утечка информации;

• несанкционированное использование и доступ;

• ответственность за несоблюдение нормативов;

• снижение доступности сети связи, вызванное недостаточной пропускной способностью.

Услуги «бизнес для бизнеса». Основные угрозы безопасности:

• вирусные атаки и внедрение вредоносных программ;

• использование вредоносных программ приводит к проникновению в системы, ведущему к сбоям или несанкционированному доступу к конфиденциальной информации;

• уязвимости веб-браузеров или других веб-приложений могут быть использованы вредоносными программами, что приведет к заражению вирусом и установке троянов;

• атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS) на порталы или расширенные сети услуг «бизнес для бизнеса»;

• инсайдерские атаки с помощью авторизованных партнеров по бизнесу;

• фальсификация информационного наполнения транзакции (сообщения не передаются получателю или данные изменяются в процессе передачи).

Услуги «бизнес для клиента». Основные угрозы безопасности:

• вирусные атаки и внедрение вредоносных программ;

• неавторизованный доступ к серверным базам данных;

• сбор действительных идентификаторов и имен учетных записей пользователей;

• несанкционированный доступ к системам или сетям со злым умыслом, чтобы скопировать, изменить или уничтожить данные;

• незаконная расшифровка содержания, приводящая к нарушению авторских прав и краже содержания;

• атаки «отказ в обслуживании»;

• подделка информационного наполнения транзакции.

Расширенное применение услуг для совместного использования. Основные угрозы безопасности:

• неавторизованный доступ, ведущий к раскрытию конфиденциальной информации;

• злоупотребление совместным использованием инструментальных средств с целью незаконного пользования материалами, охраняемыми авторским правом, получения конфиденциальных данных и навязывания пользователям нежелательной или пропагандистской информации;

• вирусные атаки и внедрение вредоносных программ;

• снижение доступности сети связи;

• перегрузка сети с легитимным трафиком;

• уязвимости эксплуатируемого протокола, применяющегося в услугах для совместного пользования.

Сегментация сети. Основные угрозы безопасности:

• ответственность за несоблюдение законодательства;

• утечка данных;

• нарушение конфиденциальности, например, когда данные заказчика/клиента доступны из стран, из которых они не должны быть доступны;

• нарушение требований конфиденциальности конкретной страны;

• риски, связанные с репутацией, влекущие за собой неудовлетворение ожиданий заказчика/клиента в отношении конфиденциальности или непрозрачности.

Сетевая поддержка работы на дому или в малых предприятиях. Основные угрозы безопасности:

• неавторизованный доступ;

• использование учетных записей гостя и настроек по умолчанию;

• вирусные атаки и введение вредоносных программ;

• несанкционированное разглашение конфиденциальной информации;

• отсутствие шифрования данных, хранящихся в системах и передающихся через домашние сети или сети малого бизнеса;

• злоупотребление возможностями доступа, такими как беспроводной доступ в Интернет через домашние сети или сети малых предприятий;

• недостаточное обучение конечных пользователей передовым практикам осведомленности и соблюдения безопасности;

• недостоверность предположений касательно защиты интранета, так как сетевые шлюзы, используемые при работе на дому или в малых предприятиях, не обеспечивают такой же уровень защиты, как шлюзы, использующиеся для соединения филиалов организации.

Мобильная связь. Основные угрозы безопасности:

• несанкционированный доступ к информации, хранящейся на мобильных устройствах, вследствие слабого управления доступом или недостаточной защиты конфиденциальной информации, недостаточной информированности и неадекватных паролей, слабой конфигурации, хакерских атак с использованием мошеннических устройств, отсутствия осведомленности конечных пользователей о требованиях обеспечения ИБ;

• несанкционированное разглашение местоположения конфиденциальных данных и информации вследствие получения услуг, связанных с определением местоположения, которые могут раскрывать несанкционированным третьим лицам информацию о положении пользователя, что затрагивает неприкосновенность частной жизни, подслушивания, вовлечения неадекватно защищенных третьих лиц в процесс передачи информации, использования открытого текста или недостаточно защищенных протоколов передачи;

• несанкционированная модификация/удаление хранимой информации (включая программное средство) вследствие ввода вредоносных программ, использования уязвимостей в базовой операционной системе;

• спам, приводящий к повышенной плате за обслуживание, возможности фишинговых атак, атакам «отказ в обслуживании»;

• кража или случайная потеря, приводящая к потере важных данных, проблемам конфиденциальности, когда конфиденциальные данные, хранящиеся на устройстве, не защищены должным образом, бесконтрольному резервному копированию данных.

Сетевая поддержка мобильных пользователей. Основные угрозы безопасности:

• несанкционированный доступ из-за неправильного использования технической поддержки мобильных пользователей сети;

• компрометация шлюзов безопасности, используемых на границе сети интранет;

• несанкционированный доступ к данным, хранящимся на устройствах мобильного пользователя;

• снижение доступности сети связи.

Услуги аутсорсинга. Основные угрозы безопасности:

• несанкционированный доступ к другим внутренним системам (когда поставщик получает доступ к внутренним системам для удаленной поддержки и технического обслуживания);

• злоупотребление удаленными портами обслуживания;

• злоупотребление правами администратора;

• несанкционированное раскрытие поставщиком услуг конфиденциальных данных;

• пренебрежение правами интеллектуальной собственности;

• неправильное обращение с носителями информации;

• использование небезопасных методов передачи информации;

• внедрение вредоносных программ;

• недостаточная безопасность при разработке программного средства и процедур выпуска программного средства;

• небезопасная передача файлов и данных;

• небезопасные практики совместного использования режима онлайн;

• ответственность за несоблюдение законодательства;

• отсутствие понимания норм и законов конкретной страны об ответственности, если поставщик услуг находится в другой стране;

• недостаточные правовые требования к конфиденциальности и защите данных, применяемые в стране, где находится поставщик.

Для каждого из указанных выше типовых сценариев после перечисления угроз стандарт рекомендует соответствующие методы проектирования безопасности и меры и средства контроля и управления.

3.3. Стандарты по безопасности сетей электросвязи и сетей связи общего пользования

Проблемам обеспечения безопасности сетей электросвязи и сетей связи общего пользования посвящены следующие национальные стандарты Российской Федерации:

ГОСТ Р 52448–2005 «Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения» введен в действие с 01.01.2007 г.

ГОСТ Р 53109–2008 «Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности» введен в действие с 01.10.2009 г.

ГОСТ Р 53110–2008 «Система обеспечения информационной безопасности. Сети связи общего пользования. Общие положения» введен в действие с 01.10.2009 г.

ГОСТ Р 53111–2008 «Устойчивость функционирования сети связи общего пользования. Требования и методы проверки» введен в действие с 01.10.2009 г.

Национальный стандарт ГОСТ Р 52448–2005 предназначен для применения расположенными на территории Российской Федерации организациями, предприятиями и другими субъектами хозяйственной деятельности независимо от их организационно-правовой формы и формы собственности, которые связаны с созданием и эксплуатацией сетей электросвязи, являющихся составными компонентами сети связи общего пользования единой сети электросвязи Российской Федерации.

Основными функциями сетей электросвязи являются прием, обработка, хранение, передача и предоставление информации пользователям и органам государственного управления для ее последующего применения. Сети электросвязи предназначены для оказания услуг связи любому пользователю путем предоставления открытых информационных ресурсов и информации, не содержащей сведений, составляющих государственную тайну, или информации, доступ к которой ограничен в соответствии с законодательством Российской Федерации.

Стандарт определяет терминологию, цели, задачи, принципы и основные положения обеспечения безопасности сетей электросвязи.

Под электросвязью понимаются любые излучения, передача или прием знаков, сигналов, голосовой информации, письменного текста, изображений, звуков или сообщений любого рода по радиосистеме, проводной, оптической и другим электромагнитным системам.

Под безопасностью сети электросвязи понимается способность сети электросвязи противодействовать определенному множеству угроз, преднамеренных или непреднамеренных, дестабилизирующих воздействий на входящие в состав сети средства, линии связи и технологические процессы (протоколы), что может привести к ухудшению качества услуг, предоставляемых сетью электросвязи.

Сеть связи в стандарте определена как технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи.

К информационным ресурсам сетей электросвязи, требующим защиты со стороны оператора связи, могут быть отнесены:

• сведения об абонентах, базы данных;

• информация управления;

• данные, содержащие информацию пользователей (обеспечение доступности и целостности);

• программное обеспечение систем управления сетями электросвязи;

• сведения о прохождении, параметрах, загрузке (использовании) линий связи магистральных сетей;

• обобщенные сведения о местах дислокации узлов связи и установленном сетевом оборудовании;

• сведения, раскрывающие структуру используемых механизмов обеспечения безопасности сети электросвязи.

Необходимость рассмотрения проблем обеспечения безопасности сетей электросвязи обусловлена:

• динамикой развития сетей электросвязи и их интеграцией с глобальными сетями связи, в том числе с Интернетом;

• совершенствованием применяемых ИТ;

• ростом числа пользователей услугами связи и расширением спектра предоставления услуг связи;

• увеличением объемов хранимой и передаваемой информации;

• территориальной рассредоточенностью сложных информационно-телекоммуникационных структур;

• недостаточностью необходимых механизмов обеспечения безопасности в сетях электросвязи.

Основными задачами обеспечения безопасности сетей электросвязи являются:

• своевременное выявление, оценка и прогнозирование источников угроз безопасности;

• выявление и устранение уязвимостей в средствах связи и сетях электросвязи;

• предотвращение, обнаружение угроз безопасности, пресечение их реализации и своевременная ликвидация последствий возможных воздействий нарушителей, в том числе и террористических действий;

• организация системы пропуска приоритетного трафика по сети электросвязи в случае чрезвычайных ситуаций, организация бесперебойной работы международной аварийной службы;

• совершенствование и стандартизация применяемых мер обеспечения безопасности сетей электросвязи.

На каждой стадии жизненного цикла сетей электросвязи (проектирование, строительство, реконструкция, развитие и эксплуатация) должна осуществляться деятельность по поддержанию управления рисками, основой которой являются процессы идентификации и оценки рисков. Оценка риска при обеспечении безопасности сетей электросвязи должна производиться на основе анализа уязвимостей сетей электросвязи и угроз, способных реализовать эти уязвимости. Источником угроз безопасности сетей электросвязи могут быть субъект, материальный объект или физическое явление.

К основным возможным угрозам безопасности сетей электросвязи могут быть отнесены следующие:

• уничтожение информации и/или других ресурсов;

• искажение или модификация информации;

• мошенничество;

• кража, утечка, потеря информации и/или других ресурсов;

• несанкционированный доступ;

• отказ в обслуживании.

В целях учета всех возможных сфер проявления угроз для каждой конкретной сети электросвязи необходимо разрабатывать модель угроз безопасности.

Нарушителями безопасности сетей электросвязи могут быть:

• террористы и террористические организации;

• конкурирующие организации и структуры;

• спецслужбы иностранных государств и блоков государств;

• криминальные структуры;

• взломщики программных продуктов ИТ, использующихся в системах связи;

• бывшие сотрудники организаций связи;

• недобросовестные сотрудники и партнеры;

• пользователи услугами связи и др.

Безопасность сети электросвязи характеризуется основными ее критериями: конфиденциальностью инфокоммуникационной структуры сети электросвязи, целостностью информации и услуг связи, доступностью информации и услуг связи, подотчетностью действий в сети.

Нарушение этих характеристик может иметь следующие последствия для деятельности оператора связи:

• «низкое» потенциальное воздействие может привести к ограниченному неблагоприятному эффекту;

• «умеренное» потенциальное воздействие может привести к серьезному неблагоприятному эффекту;

• «высокое» потенциальное воздействие может привести к тяжелому или катастрофическому неблагоприятному эффекту.

В соответствии с используемой оператором связи методикой оценки рисков и с учетом вероятности возникновения угрозы и потенциального воздействия нарушителя, реализующего данную угрозу, должен определяться риск возможного нанесения ущерба сети электросвязи: незначительный, существенный, критический.

Требования к безопасности сетей электросвязи устанавливают федеральные органы исполнительной власти в области связи на основании законодательства в области связи и защиты информации, с учетом рекомендаций международных организаций по стандартизации. Требования включают:

• организационные требования безопасности;

• технические требования безопасности;

• функциональные требования безопасности;

• требования доверия к безопасности.

Последние два вида требований определяются в соответствии со стандартами серии ГОСТ Р ИСО/МЭК 15408.

Обеспечение безопасности сетей электросвязи достигается:

• защитой сетей электросвязи от НСД к ним и передаваемой посредством них информации;

• противодействием техническим разведкам;

• противодействием сетевым атакам и вирусам;

• защитой средств связи и сооружений связи от несанкционированных воздействий, включая физическую защиту сооружений и линий связи;

• разграничением доступа пользователей и субъектов инфокоммуникационной структуры сетей электросвязи к информационным ресурсам в соответствии с принятой политикой безопасности оператора связи;

• использованием механизмов обеспечения безопасности;

• физической и инженерно-технической защитой объектов инфокоммуникационной структуры сетей электросвязи;

• использованием организационных методов.

Система обеспечения безопасности сетей электросвязи является элементом системы ИБ Российской Федерации. В общем случае ее архитектура может содержать следующие уровни безопасности:

• уровень управления безопасностью (осуществляется управление безопасностью сетей, координируемое центральным органом);

• организационно-административный уровень (включает службы безопасности организации связи);

• уровень безопасности инфокоммуникационной структуры (содержит механизмы обеспечения безопасности и другие средства, обеспечивающие защиту процесса обработки и передачи информации в сети);

• уровень безопасности услуг (осуществляется контроль качества предоставляемых услуг связи);

• уровень сетевой безопасности (поддержка безопасности сетевых протоколов);

• уровень физической безопасности (физическая охрана помещений, контроль доступа и т. п.).

Национальный стандарт ГОСТ Р 53110–2008 «Система обеспечения информационной безопасности. Сети связи общего пользования. Общие положения» определяет правовые, организационные и технические направления обеспечения ИБ сетей электросвязи, входящих в состав сети связи общего пользования. Он распространяет положения по обеспечению безопасности сетей электросвязи, установленные ГОСТ Р 52448 на систему обеспечения ИБ сети связи общего пользования, определяя ее как комплекс взаимодействующих систем обеспечения информационной безопасности сетей электросвязи, входящих в состав сети связи общего пользования.

Информационная безопасность сети электросвязи в стандарте определена как способность сети электросвязи противостоять преднамеренным и непреднамеренным дестабилизирующим воздействиям (угрозам безопасности) на входящие в состав сети средства и линии связи в процессе приема и передачи, обработки и хранения информации, что может привести к ухудшению качества услуг, предоставляемых сетью электросвязи.

Система обеспечения информационной безопасности сети (сетей) электросвязи определена как совокупность организационно-технической структуры и/или исполнителей, задействованных в обеспечении информационной безопасности сети (сетей) электросвязи и используемых ими механизмов обеспечения безопасности (средств защиты), взаимодействующая с органами управления сетью (сетями) связи, функционирование которой осуществляется по нормам, правилам и обязательным требованиям, установленным федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации.

Стандарт устанавливает общий подход к:

• формированию и проведению в организации связи единой политики информационной безопасности;

• принятию управленческих решений по внедрению практических мер, реализующих организационные и функциональные требования безопасности;

• координации деятельности структурных подразделений организации связи при проведении работ по проектированию, построению, реконструкции и эксплуатации сети с соблюдением требований безопасности, определяемых федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации.

Дополнительно к задачам по обеспечению ИБ, определенных в ГОСТ 52448, в организации связи должно предусматриваться выполнение следующих задач:

• создание, реализация, поддержка функционирования, мониторинг и совершенствование системы обеспечения ИБ на основе использования процессного подхода к управлению ИБ, определенного в ГОСТ Р ИСО/МЭК 27001 по менеджменту ИБ;

• анализ рисков ИБ, определение способов обработки рисков и мероприятий по их снижению;

• обеспечение изолированности средств связи, участвующих в управлении сетями электросвязи, от внешних сетей и рабочих станций, обслуживающего сеть персонала;

• обеспечение контролируемого доступа обслуживающего персонала к системе управления сетями электросвязи;

• обеспечение централизованной аутентификации обслуживающего сети персонала при их доступе к средствам связи;

• паспортизация организаций связи по требованиям к ИБ.

Основными процессами системы менеджмента ИБ, определяющими функционирование системы обеспечения ИБ, являются управление рисками, внутренний аудит, управление инцидентами, управление изменениями.

В стандарте определены и подробно описаны следующие направления обеспечения ИБ: правовое, организационное, техническое.

Создание системы обеспечения ИБ сетей электросвязи должно предусматривать формирование в организации связи организационно-штатной структуры, осуществляющей непосредственное выполнение мероприятий и действий по обеспечению ИБ сети электросвязи.

Для установления соответствия сети электросвязи требованиям ИБ по инициативе оператора связи проводится подтверждение соответствия (аттестация) в форме добровольной сертификации. Аттестация сети электросвязи на соответствие требованиям безопасности должна осуществляться специализированными сертификационными центрами или лабораториями по методикам, разработанным в системе добровольной сертификации ИБ сетей электросвязи.

Национальный стандарт ГОСТ Р 53111–2008 «Устойчивость функционирования сети связи общего пользования. Требования и методы проверки» устанавливает требования к устойчивости функционирования сетей электросвязи, входящих в состав сети связи общего пользования (ССОП), и методы их проверки. Он предназначен для применения расположенными на территории Российской Федерации организациями, предприятиями и другими субъектами хозяйственной деятельности независимо от их организационно-правовой формы и формы собственности, связанными с созданием и эксплуатацией сетей электросвязи, являющихся составными компонентами сети связи общего пользования единой сети электросвязи Российской Федерации.

Под устойчивостью функционирования сети электросвязи в стандарте понимается способность сети электросвязи выполнять свои функции при выходе из строя части элементов сети в результате воздействия дестабилизирующих факторов.

Дестабилизирующий фактор в стандарте трактуется как воздействие на сеть электросвязи, источником которого является физический или технологический процесс внутреннего или внешнего по отношению к сети электросвязи характера, приводящее к выходу из строя элементов сети.

Под внутренними дестабилизирующими факторами по отношению к сети электросвязи понимаются дестабилизирующие факторы, источники воздействия которых находятся внутри сети электросвязи и имеется достаточная информация о характеристиках их воздействий, позволяющая принимать эффективные решения по их локализации и проведению соответствующих профилактических и ремонтно-восстановительных мероприятий на всех этапах.

Наиболее распространенными источниками внутренних дестабилизирующих факторов являются:

• качество электрических контактов;

• старение электрорадиоэлементов (изменение со временем их характеристик);

• нарушение электромагнитной совместимости (нарушение экранирования, заземлений, фильтрации) и, вследствие этого, ухудшение устойчивости оборудования электросвязи к воздействию электромагнитных помех;

• перебои в электроснабжении.

Под внешними дестабилизирующими факторами по отношению к сети электросвязи понимаются такие дестабилизирующие факторы, источники которых расположены вне сети электросвязи. В зависимости от характера воздействия на элементы сети электросвязи в стандарте они делятся на классы:

• механические (сейсмический удар, ударная волна взрыва, баллистический удар);

• электромагнитные (низкочастотное излучение, высокочастотное излучение, сверхвысокочастотное излучение, электромагнитный импульс);

• ионизирующие (альфа-излучение, бета-излучение, гамма-излучение, нейтронное излучение);

• термические (световое излучение взрыва).

Внешние источники по признаку отношения к природе возникновения разделяют на субъективные (искусственные) и объективные (естественные). К источникам локального действия относятся источники дестабилизирующих факторов, действующие в течение небольших интервалов времени и способные привести к нарушению работоспособности одного элемента сети электросвязи. К источникам пространственного действия относятся источники дестабилизирующих факторов, которые могут в течение небольших интервалов времени привести к нарушению работоспособности группы пространственно разнесенных элементов сети электросвязи.

К особым внешним источникам преднамеренного характера относятся такие источники, действие которых не направлено против объектов сети электросвязи, но сеть электросвязи может пострадать от них косвенным образом.

Ущерб, наносимый сети электросвязи воздействием внешних дестабилизирующих факторов, оценивается по соотношению вышедших из строя элементов сети электросвязи к общему числу элементов сети градациями: до 50 % (высокий), 30 % (средний) и 10 % (низкий).

Стандарт содержит перечень требований к устойчивости функционирования сети электросвязи (приложение А), методику оценки соответствия сети электросвязи заданным требованиям обеспечения устойчивости ее функционирования (приложение Б), рекомендации по построению системы восстановления (приложение В).

Национальный стандарт ГОСТ Р 53109–2008 «Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности» устанавливает требования к форме и содержанию паспорта организации связи по информационной безопасности относительно сети (сетей) электросвязи.

Паспорт организации связи по информационной безопасности представляет собой документированное подтверждение реализации общеобязательных правовых норм по информационной безопасности, осуществляемых в соответствии с положениями:

• законов Российской Федерации;

• указов и распоряжений Президента Российской Федерации;

• постановлений и распоряжений Правительства Российской Федерации;

• нормативных правовых актов (приказов, распоряжений) ФОИВ, уполномоченных в областях связи, обеспечения безопасности и технической защиты информации;

• национальных стандартов, стандартов организаций, сводов правил, систем добровольной сертификации в области информационной безопасности сетей электросвязи.

Стандарт определяет форму паспорта и дает рекомендации по его формированию и ведению.

ПРИМЕЧАНИЕ

Кроме рассмотренных выше документов функционирование сетей электросвязи регламентируется базовым Федеральным законом от 07.07.2003 г. № 126-ФЗ «О связи», а также рядом нормативных документов Правительства РФ и федеральных органов исполнительной власти, в частности:

Постановлением от 25.06.2009 г. № 532 «Об утверждении перечня средств связи, подлежащих обязательной сертификации»;

Постановлением от 10.09.2007 г. № 575 «Об утверждении Правил оказания телематических услуг связи»;

Постановлением от 23.01.2006 г. № 32 «Об утверждении Правил оказания услуг связи по передаче данных»;

Постановлением от 21.04.2005 г. № 241 «О мерах по организации оказания универсальных услуг связи»;

Распоряжением от 15.04.2013 г. № 611-р «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации».