Мы продолжаем обзор стандартов информационной безопасности, содержащих рекомендации, лучший опыт и практики. Эта статья будет посвящена семейству стандартов ISO/IEC 27000, и конкретно стандарту ISO/IEC 27011 Информационные технологии – Методы обеспечения безопасности – Кодекс практик в области управления информационной безопасностью на основе ISO/IEC 27002 для телекоммуникационных организаций.
ISO 27011 содержит рекомендации, помогающие телекоммуникационным организациям внедрить цели и контроли управления информационной безопасностью, указанные в Приложении A стандарта ISO/IEC 27001 (подробно описанные в ISO/IEC 27002).
Использование рекомендаций, содержащихся в стандарте ISO/IEC 27011, позволит телекоммуникационным организациям выполнить основные требования управления информационной безопасностью в отношении конфиденциальности, целостности, доступности и других важных свойств безопасности.
Рассмотрим основные понятия телекоммуникаций более подробно.
– Конфиденциальность
Защита конфиденциальности информации, связанной с телекоммуникациями, от несанкционированного разглашения. Это подразумевает неразглашение сообщений о существовании, содержании, источнике, назначении, дате и времени предоставленной информации.
Чрезвычайно важно, чтобы телекоммуникационные организации следили за тем, чтобы не нарушался принцип неразглашения информации, которую они поддерживают. Это включает в себя обеспечение того, чтобы лица, участвующие в телекоммуникационной организации, сохраняли конфиденциальность любой информации, относящейся к другим лицам, которая может быть раскрыта в ходе выполнения ими своих служебных обязанностей.
Также стоит отметить, что термин «тайна связи» используется в некоторых странах в контексте «неразглашения связи».
– Честность
Защита целостности телекоммуникационной информации включает проверку установки и использования телекоммуникационного оборудования для обеспечения достоверности, точности и полноты информации, отправляемой, передаваемой или получаемой по проводам, по радио или любым другим способом.
– Доступность
Доступность телекоммуникационной информации включает обеспечение того, чтобы доступ к средствам и средам, используемым для предоставления услуг связи, был санкционирован, независимо от того, осуществляется ли связь по проводам, по радио или любым другим способом. Как правило, телекоммуникационные организации отдают приоритет экстренной связи, управляя недоступностью менее важной связи в соответствии с нормативными требованиями.
Телекоммуникационные организации предоставляют телекоммуникационные услуги, упрощая общение с клиентами через свою инфраструктуру. Для оказания телекоммуникационных услуг телекоммуникационные организации должны объединять и/или совместно использовать свои услуги и средства и/или использовать услуги и средства других телекоммуникационных организаций. Кроме того, такие места, как радио, антенны, заземляющие кабели и коммунальные услуги, могут быть доступны не только персоналу организации, но также подрядчикам и поставщикам за пределами организации.
Поэтому управление информационной безопасностью в телекоммуникационных организациях является довольно сложным, целостны, зависящим от:
- внешних сторон;
- необходимости охвата всех областей сетевой инфраструктуры, служебных приложений и других объектов;
- ряда телекоммуникационных технологий (например, проводных, беспроводных или широкополосных);
- поддержки широкого спектра операционных процессов, их масштаба, областей обслуживания и типов обслуживания.
В дополнение к применению целей и мер безопасности, описанных в ISO/IEC 27002, телекоммуникационным организациям может потребоваться внедрение дополнительных мер безопасности для обеспечения конфиденциальности, целостности, доступности и других функций безопасности телекоммуникаций для надлежащего управления рисками информационной безопасности.
Таким образом, стандарт ISO/IEC 27011 содержит интерпретирующие рекомендации по реализации и управлению целями информационной безопасности в телекоммуникационных организациях на основе ISO/IEC 27002. Получателями стандарта в основном являются телекоммуникационные организации и лица, ответственные за информационную безопасность; вместе с поставщиками систем безопасности, аудиторами, поставщиками телекоммуникационных терминалов и поставщиками содержимого приложений.
Использованные источники:
EN ISO/IEC 27011:2020 Information technology – Security techniques – Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations