Ми продовжуємо огляд стандартів що стосуються інформаційної безпеки, які містять рекомендації та хороші практики. У цій статті буде розглянуто стандарт сімейства ISO/IEC 27000, а точніше стандарт ISO/IEC 27011 Інформаційні технології – Методи безпеки – Кодекс практик у сфері контролю інформаційної безпеки на основі ISO/IEC 27002 для телекомунікаційних організацій.
ISO 27011 надає рекомендації, які допомагають телекомунікаційним організаціям запровадити засоби контролю інформаційної безпеки, наведені в Додатку A стандарту ISO/IEC 27001 (які докладно описані в ISO/IEC 27002).
Використання рекомендацій, що містяться в стандарті ISO/IEC 27011, дозволить телекомунікаційним організаціям задовольнити основні вимоги управління інформаційною безпекою щодо конфіденційності, цілісності, доступності та інших важливих властивостей безпеки інформації.
Розглянемо основні поняття телекомунікацій більш детально.
– Конфіденційність
Захист конфіденційності інформації, що стосується телекомунікацій, від несанкціонованого розкриття. Це означає нерозголошення повідомлень щодо існування, змісту, джерела, призначення, дати та часу наданої інформації. Надзвичайно важливо, щоб телекомунікаційні організації гарантували, що не порушується нерозголошення комунікацій, які вони підтримують. Це включає в себе забезпечення того, щоб особи, залучені телекомунікаційною організацією, зберігали конфіденційність будь-якої інформації, що стосується інших, яка може бути розкрита під час виконання їхніх посадових обов’язків. Варто також зазначити, що термін «таємниця спілкування» в деяких країнах використовується в контексті «нерозголошення спілкування».
– Цілісність
Захист цілісності телекомунікаційної інформації включає перевірку встановлення та використання телекомунікаційного обладнання з метою забезпечення достовірності, точності та повноти інформації, що надсилається, передається чи приймається по проводах, радіо або будь-яким іншим способом.
– Доступність
Доступність телекомунікаційної інформації включає в себе гарантію того, що доступ до засобів та середовища, що використовуються для надання послуг зв’язку, є санкціонованим, незалежно від того, чи здійснюється зв’язок по проводах, радіо чи будь-яким іншим способом. Як правило, телекомунікаційні організації надають пріоритет аварійному зв’язку, управляючи недоступністю менш важливих комунікацій відповідно до нормативних вимог.
Телекомунікаційні організації надають телекомунікаційні послуги, полегшуючи спілкування з клієнтами через свою інфраструктуру. Для надання телекомунікаційних послуг телекомунікаційні організації повинні об’єднувати та/або ділитися своїми послугами та засобами та/або використовувати послуги та засоби інших телекомунікаційних організацій. Крім того, такі місця, як радіо, розташування антен, наземні кабелі та комунальні комунікації/послуги, можуть бути доступні не тільки для персоналу організації, але й для підрядників та постачальників за межами організації.
Тому управління інформаційною безпекою в телекомунікаційних організаціях є досить складним завданням і потенційно:
- залежить від зовнішніх сторін;
- необхідності охоплення всіх областей мережевої інфраструктури, сервісних додатків та інших засобів;
- ряду телекомунікаційних технологій (наприклад, дротовий, бездротовий або широкосмуговий);
- підтримки широкого спектру операційних масштабів, зон обслуговування та типів послуг.
На додаток до застосування цілей безпеки та засобів контролю, описаних у ISO/IEC 27002, телекомунікаційним організаціям може знадобитися впровадити додаткові засоби контролю для забезпечення конфіденційності, цілісності, доступності та інших елементів безпеки телекомунікацій для адекватного управління ризиками інформаційної безпеки.
Підсумовуючи, стандарт ISO/IEC 27011 містить інтерпретаційні вказівки щодо впровадження та управління цілями інформаційної безпеки в телекомунікаційних організаціях на основі ISO/IEC 27002. Стандарт призначений головним чином для телекомунікаційних організацій та осіб, відповідальних за інформаційну безпеку; додатково варто на нього звернути увагу постачальникам ров’язаним із безпекою, аудиторам, постачальникам телекомунікаційних терміналів та постачальникам контенту додатків.
Використані джерела:
EN ISO/IEC 27011:2020 Information technology – Security techniques – Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations