Bezpieczeństwo informacji w organizacjach telekomunikacyjnych,
norma ISO/IEC 27011
Bezpieczeństwo informacji w organizacjach telekomunikacyjnych, norma ISO/IEC 27011
Kontynuujemy przegląd norm dot. bezpieczeństwa informacji zawierających wytyczne i dobre praktyki. Ten artykuł będzie dotyczyć normy z rodziny ISO/IEC 27000 i będzie to norma ISO/IEC 27011 Technika informatyczna – Techniki bezpieczeństwa – Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji oparty na ISO/IEC 27002 dla organizacji telekomunikacyjnych.
Norma ISO 27011 zawiera wytyczne, które mają pomóc wdrażanie kontroli bezpieczeństwa informacji z załącznika A normy ISO/IEC 27001 (szczegółowo opisane w normie ISO/IEC 27002) w organizacjach telekomunikacyjnych.
Wykorzystanie zaleceń zawartych w normie ISO/IEC 27011 pozwoli organizacjom telekomunikacyjnym spełnić podstawowe wymagania zarządzania bezpieczeństwem informacji dotyczące poufności, integralności, dostępności oraz innych istotnych właściwości bezpieczeństwa.
Bardziej szczegółowo rozpatrzymy podstawowe pojęcia względem telekomunikacji.
– Poufność
Ochrona poufności informacji związanych z telekomunikacją przed nieuprawnionym ujawnieniem. Oznacza to nieujawnianie komunikatów w zakresie istnienia, treści, źródła, miejsca przeznaczenia oraz daty i godziny przekazanych informacji.
Niezwykle ważne jest, aby organizacje telekomunikacyjne zapewniały, że nieujawnianie obsługiwanej przez nie komunikacji nie jest naruszane. Obejmuje to zapewnienie, że osoby zaangażowane przez organizację telekomunikacyjną zachowują poufność wszelkich informacji dotyczących innych osób, które mogły zostać ujawnione podczas ich obowiązków służbowych.
Warto zwrócić uwagę też na to, że pojęcie „tajemnica komunikacji” jest używane w niektórych krajach w kontekście „nieujawniania komunikacji”.
– Integralność
Ochrona integralności informacji telekomunikacyjnych obejmuje kontrolę instalacji i użytkowania urządzeń telekomunikacyjnych w celu zapewnienia autentyczności, dokładności i kompletności informacji przesyłanych, przekazywanych lub odbieranych drogą przewodową, radiową lub jakąkolwiek inną metodą.
– Dostępność
Dostępność informacji telekomunikacyjnych obejmuje zapewnienie, że dostęp do urządzeń i środowisk wykorzystywanych do świadczenia usług komunikacyjnych jest autoryzowany, niezależnie od tego, czy komunikacja jest realizowana przewodowo, radiowo czy w jakikolwiek inny sposób. Zazwyczaj organizacje telekomunikacyjne przyznają pierwszeństwo komunikacji niezbędnej w sytuacjach awaryjnych, zarządzając niedostępnością mniej ważnej komunikacji zgodnie z wymogami regulacyjnymi.
Organizacje telekomunikacyjne świadczą usługi telekomunikacyjne, ułatwiając komunikację klientów za pośrednictwem ich infrastruktury. Aby świadczyć usługi telekomunikacyjne, organizacje telekomunikacyjne muszą łączyć się i/lub dzielić swoje usługi i obiekty i/lub korzystać z usług i obiektów innych organizacji telekomunikacyjnych. Ponadto lokalizacje, takie jak np. radiowe, lokalizacje anten, kable naziemne i zaopatrzenie w media, mogą być dostępne nie tylko dla personelu organizacji, ale także dla wykonawców i dostawców spoza organizacji.
Dlatego zarządzanie bezpieczeństwem informacji w organizacjach telekomunikacyjnych jest złożone, potencjalnie:
- w zależności od stron zewnętrznych;
- konieczności objęcia wszystkich obszarów infrastruktury sieciowej, aplikacji usługowych i innych obiektów;
- szeregu technologii telekomunikacyjnych (np. przewodowych, bezprzewodowych lub szerokopasmowych);
- wspierania szerokiej gamy skal operacyjnych, obszarów usług i rodzajów usług.
Oprócz zastosowania celów bezpieczeństwa i mechanizmów kontrolnych opisanych w ISO/IEC 27002, organizacje telekomunikacyjne mogą być zmuszone do wdrożenia dodatkowych mechanizmów kontrolnych w celu zapewnienia poufności, integralności, dostępności oraz innych właściwości bezpieczeństwa telekomunikacji w celu odpowiedniego zarządzania ryzykiem bezpieczeństwa informacji.
Podsumowując norma ISO/IEC 27011 zawiera wytyczne interpretacyjne dotyczące wdrażania i zarządzania celami bezpieczeństwa informacji w organizacjach telekomunikacyjnych w oparciu o ISO/IEC 27002 . Odbiorcami normy głównie są organizacji telekomunikacyjne oraz osoby odpowiedzialne za bezpieczeństwo informacji; wspólnie z dostawcami zabezpieczeń, audytorami, dostawcami terminali telekomunikacyjnych i dostawcami treści aplikacji.
Autor: Maryna Kuczyńska (5754)
Wykorzystane źródła:
PN-EN ISO/IEC 27011:2020-11 – wersja angielska Technika informatyczna – Techniki bezpieczeństwa – Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji oparty na ISO/IEC 27002 dla organizacji telekomunikacyjnych
Masz pytania związane z Systemem Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.