7 Основные мероприятия по обеспечению безопасности сетей электросвязи ГОСТ Р 52448-2005

7.1 Обеспечение безопасности сети электросвязи является обязанностью ее владельца. Ответственность владельца сети электросвязи за обеспечение ее безопасности не прекращается при делегировании им своих полномочий по данным функциям отдельным лицам (поставщикам услуг, администраторам, третьим лицам и т. д.).

Мероприятия по обеспечению безопасности сети электросвязи, проводимые оператором связи, не должны ухудшать качественных характеристик сети и снижать оперативность обработки информации.

Реализация обязательных требований к безопасности, установленных федеральными органами исполнительной власти в области связи, осуществляется силами и средствами владельца сети электросвязи с привлечением при необходимости специализированных организаций, имеющих лицензии на данный вид деятельности.

Дополнительные (повышенные) требования к безопасности (например, шифрование трафика пользователя) могут осуществляться оператором связи на договорной основе с пользователем.

Вопросы непосредственного обеспечения безопасности при присоединении одной сети электросвязи к другой и условия выполнения обязательных требований к безопасности, установленные федеральными органами исполнительной власти в области связи, при взаимодействии этих сетей оговариваются в заключаемых операторами связи договорах о присоединении сетей электросвязи.

При присоединении к сетям электросвязи иностранных государств и взаимодействии с глобальными информационно-телекоммуникационными сетями, в том числе и Интернет, обеспечение безопасности должно основываться на соблюдении международных правовых актов, регламентирующих безопасный пропуск трансграничного трафика. При этом должна быть обеспечена защита инфокомму-никационной структуры сетей электросвязи от НСД со стороны взаимодействующих сетей и гарантированное качество обслуживания в условиях возможных ВН трансграничного характера [из 7.1 ГОСТ Р 52448-2005]

7.2 Обеспечение безопасности сетей электросвязи достигается:

  1. защитой сетей электросвязи от НСД к ним и передаваемой посредством их информации;
  2. противодействием техническим разведкам;
  3. противодействием сетевым атакам и вирусам;
  4. защитой средств связи и сооружений связи от НСВ, включая физическую защиту сооружений и линий связи;
  5. разграничением доступа пользователей и субъектов инфокоммуникационной структуры сетей электросвязи к информационным ресурсам в соответствии с принятой политикой безопасности оператора связи;
  6. использованием механизмов обеспечения безопасности;
  7. физической и инженерно-технической защитой объектов инфокоммуникационной структуры сетей электросвязи;
  8. использованием организационных методов, включающих:
    1. разработку и реализацию политики безопасности оператором связи;
    2. организацию контроля состояния безопасности сети электросвязи;
    3. определение порядка действий в чрезвычайных ситуациях и в условиях чрезвычайного положения;
    4. определения порядка реагирования на инциденты безопасности;
    5. разработку программ повышения информированности персонала сети электросвязи в вопросах понимания им проблем безопасности;
    6. определение системы подготовки и повышения квалификации специалистов в области безопасности.

[из 7.2 ГОСТ Р 52448-2005]

7.3 Пользователи услугами связи имеют право применять специальные механизмы обеспечения безопасности и средства защиты информации, разрешенные к применению на сетях электросвязи и сертифицированные в соответствии с действующим законодательством Российской Федерации.

Взаимоотношения пользователей с операторами связи в сфере обеспечения безопасности сетей электросвязи должны строиться на основе следующих положений:

  • только авторизованные пользователи должны иметь доступ к сетям электросвязи и использованию предоставляемых им услуг;
  • авторизованные пользователи должны иметь доступ и оперировать только теми ресурсами, к которым они допущены;
  • все пользователи должны быть ответственными за их собственные, и только их собственные, действия в сети электросвязи.

[из 7.3 ГОСТ Р 52448-2005]

7.4 Оператор связи должен принимать меры, обеспечивающие:

  • доступ правоохранительных органов, в предусмотренных законодательством Российской Федерации случаях, к информации конкретных пользователей;
  • право на доступ пользователей услугами связи к информационным ресурсам в строгом соответствии с установленными правилами разграничения доступа;
  • исключение несанкционированного доступа пользователей услугами связи к ресурсам сети и услугам связи;
  • предоставление пользователям услугами связи дополнительных услуг по защите информации и процесса безопасной передачи сообщений на договорной основе;
  • информирование пользователей о состоянии безопасности доступа к услугам связи.

[из 7.4 ГОСТ Р 52448-2005]