Руководство по управлению информационной безопасностью для организаций электросвязи. Приложения А.9, А.10

Источник: рекомендация международного союза электросвязи МСЭ-T X.1051

Автор перевода: Вашакидзе Гурам Амиранович

Расширенное управление телекоммуникационным набором

В настоящем приложении приводятся определения новых целей, новые элементы управления и новые прогнозы реализации, а расширенное управление телекоммуникаций множество. ISO / IEC 27002 контроль целей, связанных с новым элементам управления повторяются без каких-либо модификаций. Рекомендуется, чтобы любая организация, реализующая эти элементы управления в контексте ISMS, которое предназначено, чтобы быть совместимыми с ISO / IEC 27001 расширить свои SOA путем включения управления, указанных в настоящего приложения.

A.9 Физическая и экологической безопасности

A.9.1 Безопасные зоны

Цель: Для предотвращения несанкционированного физического доступа, повреждения, и вмешательство в помещения организации и информации.

Критические или конфиденциальные средства обработки информации должны быть размещены в безопасных зонах, с защищенным периметром, с соответствующими барьерами безопасности и вступление управления. Они должны быть физически защищены от несанкционированного доступа, повреждений и помех.

Осуществляемая защита, должна быть соизмерима с выявленными рисками.

A.9.1.7 Защита узлов связи

Управление. Физическая безопасность узлов связи, где размещены телекоммуникационное оборудование, такое как коммутационное оборудование, должны быть спроектированы, разработаны и применяются.

Руководство по внедрению Для защиты средств связи, таких как коммутационное оборудование для обеспечения телекоммуникационной работы (далее по тексту узлы связи), должны выполняться:

  1. узлы связи должны устанавливаться на жесткой земле; иначе с выполнением адекватных мер для предотвращения неравномерного урегулирования;
  2. если узлы чувствительны к воздействию ветра и воды, и т.д., или узлы, могут нанести ущерб окружающей среде, то соответствующей должны быть приняты соответствующие меры против ветра и водных преград;
  3. узлы, которого среда мере чувствительны к воздействию сильных электромагнитных полей должно быть выбранного для связи центров; Если место подвергается воздействию сильных электромагнитных полей, то должны быть приняты соответствующие меры для защиты телекоммуникационного оборудования с помощью электромагнитных экранов;
  4. узлы связи не должны быть расположены в местах, примыкающих к объектам используются для хранения опасных веществ, которые представляют опасность взрыва или горения;
  5. узел связи зданий должен находиться в сейсмостойком районе;
  6. коммуникационный центр здания должна быть огнестойкой или огнестойкого строительства;
  7. здания узла связи, должны иметь надлежащие конструкции для удовлетворения нужной нагрузке;
  8. в узлах связи должна быть установлена автоматическая пожарная сигнализация.

A.9.1.8 Обеспечение безопасности помещения телекоммуникационного оборудования

Управление. Физическая безопасность помещения, где установлены телекоммуникационные средства, должна быть спроектирована, разработана и внедрена.

Руководство по внедрению. Для защиты помещения, в котором объекты расположены на предоставление услуг (далее телекоммуникационной комнате оборудования), следующие элементы должны быть рассмотрены:

  1. помещения с телекоммуникационным оборудованием должны быть расположены там, где меньше всего риск возникновения внешних воздействий, таких как стихийные бедствия;
  2. помещения телекоммуникационного оборудования должны быть расположены там, где меньше всего риск вторжения посторонних лиц; должны быть приняты адекватные меры, чтобы предотвращать подобные попытки вторжения;
  3. помещения телекоммуникационного оборудования должны быть расположены там, где меньше всего риск возникновения наводнения, иначе должны быть приняты необходимые меры, такие как повышение уровня пола, установка блокады воды и установка специальных дренажных средств;
  4. помещение телекоммуникационного оборудования должны быть расположены там, где меньше воздействие сильных электромагнитных полей, если помещение подвержено сильным электромагнитным полям, то должны быть установлены электромагнитные экраны или приняты другие меры, особенно, если электросетевых объектов устанавливаются в помещении телекоммуникационного оборудования, меры должны быть надлежащим образом приняты для предотвращения помех от электромагнитного поля;
  5. важные объекты телекоммуникационного оборудования должны быть размещены в помещение с соответствующей физической защитой;
  6. должны быть приняты меры для предотвращения от разрушения и падения материалов, используемых для пола, стен, потолка и так далее, например, в связи с землетрясениями обычно предсказуемой величиной;
  7. материалы, используемые для пола, стен, потолка и так далее должны быть негорючими или огнестойкими;
  8. должны быть приняты меры для борьбы со статическим электричеством;
  9. трубопроводы, соединяющие помещения телекоммуникационного оборудования должны быть направлены на замедление или предотвращение распространение огня;
  10. если необходимо, должны быть приняты меры, чтобы защитить помещение хранения данных от электромагнитных помех;
  11. должны быть приняты меры по огнестойкости для комнаты хранения данных и выделенного хранилища по мере необходимости;
  12. должны быть установлены в помещении телекоммуникационного оборудования автоматическая пожарная сигнализация и кондиционеров в удобством месте;
  13. огнетушители должны быть установлены в помещении телекоммуникационного оборудования и кондиционеров удобством в удобством месте;
  14. помещение телекоммуникационного оборудования должно быть с кондиционером;
  15. Система кондиционирования комнаты телекоммуникационного оборудования должна быть отдельной от других помещений.

A.9.1.9 Операции защиты физически изолированных зон

Управление. Для физически изолированных операционных районов, где телекоммуникационные объекты расположены за предоставлением телекоммуникационных услуг, должны быть спроектированы, разработаны и реализованы системы физического контроля безопасности.

Руководство по внедрению. Чтобы защитить физически изолированные рабочие зоны (например, базовая станция мобильной связи), в которых телекоммуникационные объекты расположены за пределами основной телекоммуникационной зоны (далее как изолированные области управления), должны быть рассмотрены следующие элементы:

  1. изолированные операционные зоны должны быть сейсмостойки в соответствии с национальными или региональными стандартами;
  2. изолированные операционные зоны должны быть оснащены автоматическим оборудованием управления огнем;
  3. изолированные операционные зоны должны контролироваться из удаленного офиса с целью обнаружения объекта поломки, сбои питания, огня, влажности и температуры и так далее;
  4. физически безопасный периметр должны быть обеспечены надлежащим образом, например, с использованием безопасных ограждений для закрытия изолированных операционных зон; т.к. он обычно работает в автономном режиме (без оператора), он должен быть оснащен автоматической функцией оповещения для функционирования центра в при инцидентах.

A.9.3 Безопасность находящихся под контролем другой стороны

Цель: защитить оборудование, находящееся за пределами телекоммуникационных помещений организаций (например, совместного размещения) от физических и экологических угроз.

A.9.3.1 Оборудование расположено в помещении другого оператора

Управление. При установке телекоммуникационного оборудования организаций за пределами их собственного помещения, оборудование должно быть расположено на охраняемой территории, так что любые риски, связанные с экологическими угрозами или опасностями, либо возможными угрозами несанкционированного доступа, должны снижаться.

Руководство по внедрению. Для защиты телекоммуникационного оборудования организации расположенного в помещениях других организаций телекоммуникаций, должны быть рассмотрены следующие элементы:

  1. границы и взаимодействие с другими организациями электросвязи должны быть указаны, и оборудование должно легко изолироваться от другой организации, если это необходимо;
  2. договора на поставку программ поддержки должны быть сделаны с другой организацией телекоммуникаций;
  3. управления должны подтвердить, что место, где должно быть установлено оборудование подходит для того, чтобы обеспечить необходимый уровень защиты.

Другая информация. Для того чтобы уровень безопасности помещения другой организации, соответствовал уровню безопасности собственных помещений телекоммуникационной организации, должны быть проверены заранее соглашения и правила для достижения требуемого уровня безопасности с другими организациями электросвязи.

A.9.3.2 Оборудование, расположенное в помещении пользователей.

Управление. Когда в телекоммуникационных организациях, устанавливают оборудование в телекоммуникационных помещениях для обслуживания клиентов подключения с заказчиком оборудования, то оборудование организации должно быть защищено для того, чтобы снизить риски от экологических угроз или опасностей, а также от риска несанкционированного доступа.

Руководство по внедрению. Для защиты оборудования, расположенного на объекте заказчика телекоммуникационных услуг, следующие элементы должны быть рассмотрены:

  1. оборудования, такие как шкафы, установленные на территории заказчика должны быть прочными, и не могли открыться неавторизованных пользователей;
  2. границы и взаимодействие с клиентом должно быть указаны, и оборудование должно быть изолированно от клиента, если это необходимо;
  3. должна быть возможность для удаленного мониторинга состояния оборудования или использования оборудования.

A.9.3.3 Взаимосвязанные телекоммуникационные услуги

Управление. В связи с предоставлением взаимосвязанных услуг телекоммуникаций, телекоммуникационные организации должны четко определять границы и взаимодействие с другими организациями связи, так что каждая организация может быть отделена и изолированы своевременно для того, чтобы уклониться от выявленного риска.

Руководство по внедрению. Соответствующие элементы управления должны быть на месте, чтобы проверить служба взаимосвязанных организаций телекоммуникаций работает ли в обычном режиме или нет. Для того, чтобы диагностировать проблемы и предпринимать корректирующие действия, организации должны иметь средства изоляции объектов организации от других организаций и повторно подключения к ним в точке разъединения. Телекоммуникационные организации должны постоянно контролировать условия движения в точке присоединения.

Телекоммуникационные организации должны указать в договоре или контракте, что предоставление телекоммуникационных услуг для клиентов может быть приостановлено, если их связь создаст проблему для беспрепятственного предоставления услуг взаимосвязанных организаций телекоммуникаций.

A.10 Управление коммуникациями и операциями

A.10.6 Сети управления безопасностью

Цель: обеспечение защиты информации в сетях и защиты поддерживающей инфраструктуры. Безопасное управление сетями, которые могут охватывать организационные границы, требует тщательного рассмотрения относительно потока данных, правовые последствия, мониторинг и защиту. Могут также потребоваться дополнительные элементы управления для защиты конфиденциальной информации, проходящей по сетям общего пользования.

A.10.6.3 Управление безопасностью поставки телекоммуникационных услуг.

Управление. Телекоммуникационные организации должны установить уровень безопасности услуг связи для различных предоставляемых деловых предложений, Уведомить об этом своих клиентов до предоставления услуг, а также поддерживать и управлять своими услугами телекоммуникации должным образом.

Руководство по внедрению. Телекоммуникационные организации должны проводить следующие мероприятия для клиентов телекоммуникационных услуг:

  1. подробное описание функций безопасности, уровня обслуживания, и требования к управлению телекоммуникационных услуг, и обеспечение их четкого соответствия;
  2. повышение осведомленности общественности, чтобы защитить пользователей телекоммуникационных услуг от спама, интернет преступности, компьютерных вирусов и тому подобное.

    Телекоммуникационным организациям следует также учитывать следующее:

  3. осуществление контроля соответствия соответствующих законов и правил, таких как предотвращение несанкционированного перехвата и обеспечения взаимосвязи с другими поставщиками услуг телекоммуникаций;
  4. предоставление коммуникаций, обеспечивающих специальные уровни обслуживания, такие как эфирные связи в чрезвычайных ситуациях (см. A.15.1.8);
  5. осуществление контроля безопасности для каждой услуги, предоставляемой как в следующем, IP подключения услуги / услуг Центра обработки данных:
    1. управление от спама (см. A.10.6.4);
    2. контроль от DoS / DDoS-атак (см. A.10.6.5);
    3. контроль в отношении технических уязвимостей (см. 12.6.1 в ИСО / МЭК 27002);

      Услуги телефонной/ мобильной связи:

    4. обработка важных соединений;
    5. обеспечение приоритетных вызовов в чрезвычайной ситуации;
    6. заторов телефонных звонков;

      Управляемые услуги:

    7. использование аутентификации / шифрования;
    8. халатного обращения в привилегированном режиме;
  6. осуществление контроля безопасности для того, чтобы строго выдерживать следующие пункты управления информацией, в соответствии с предоставленными услугами:
    1. обеспечение неразглашения связи, включая подробности телефонного разговора;
    2. защиты личной информации.

    В целях поддержания телекоммуникационных услуг, телекоммуникационные организации должны применять следующие управление:

  7. соответствующее техническое обслуживание объектов телекоммуникационного хозяйства, таких как кабели передачи и осуществлять быстрый ремонт в чрезвычайных ситуациях;
  8. надлежащего обеспечения коммутационного оборудования для телекоммуникационных услуг, и вести постоянный мониторинг их трафика; переключение на резервные средства или другие маршруты, чтобы избежать заторов в чрезвычайных ситуациях;
  9. методы и процедуры для поддержания функций телекоммуникационного оборудования в случае DoS-атак, которые могут заставить коммутационное оборудование, такое как маршрутизаторы обрабатывать большое количества трафика по сравнению с обычной ситуацией.
  10. соответствующего управления интернет-маршрутизации информации и управление информацией, такие как DNS.

Другая информация. При поставке телекоммуникационных услуг, телекоммуникационным организациям следует принимать во внимание спецификации телекоммуникационных услуг, для того, чтобы избежать внедрения мошеннических экранов, намеренно скрывая URL от пользователей телекоммуникационных услуг без соответствующих причин, и такие операции, что пользователи телекоммуникационных услуг необходимо приостановить или уменьшить функцию проверки безопасности на своих терминалах.

A.10.6.4 Реакция на спам

Управление. Телекоммуникационные организации должны предусматривать политику реагирования на спам и осуществление соответствующего контроля в целях создания благоприятных и желательных условий для связи по электронной почте.

Руководство по внедрению. Когда телекоммуникационные организации получают жалобы на спам от пользователей телекоммуникационных услуг, с указанием спамеров своих клиентов, телекоммуникационным организация следует обратиться к соответствующим клиентом, чтобы остановить рассылки спама.

В случае искреннего отказа на просьбу, телекоммуникационные организации должны приостановить работу услуг соответствующего клиента, чтобы блокировать спам.

Когда спам рассылается из сети других телекоммуникационных организаций, с которыми соединена данная организация, то необходимо запрашивать соответствующие организации принять необходимые меры для того, чтобы блокировать спам, и соответствующие организации должны принять надлежащие меры, в ответ запрос.

Для того чтобы принять эффективные меры против спама, телекоммуникационные организации должны работать в тесном сотрудничестве с другими организациями, и бороться со спамом собственной организации и за ее пределами.

Телекоммуникационным организациям следует разрабатывать и осуществлять свою политику против спама в соответствии с национальным законодательством и правилами и сделать их доступными для общественности.

Дальнейшее руководство по применению находится в Приложение В (справочное).

A.10.6.5 Реакция на DoS / DDoS-атак

Управление. Телекоммуникационные организации должны предусматривать политику реагирования на DOS / DDoS-атак и осуществлять соответствующий контроля, с тем чтобы подготовить благоприятную окружающую среду и желательно на телекоммуникационные услуги.

Руководство по внедрению. Когда организации обнаруживают DoS/DDoS-атаки, телекоммуникационные организации должны принять соответствующие контрмеры в целях обеспечения непрерывной стабильной работы телекоммуникационных средств.

Хотя конкретные необходимые меры зависят от типа DoS/DDoS-атак, телекоммуникационным организациям следует принимать во внимание следующие контрмеры:

  1. фильтрации пакетов, направляемых на целевой сайт на который осуществляется атака;
  2. ограничение коммуникационного порта, по DoS/DDoS-атак;
  3. сокращение или приостановление эксплуатации объектов целевой телекоммуникаций.

Когда происходят DoS/DDoS-атаки своих клиентов, телекоммуникационные организации должны приостановить предоставление телекоммуникационных услуг для соответствующих клиентов, чтобы блокировать DoS/DDoS-атаки на телекоммуникационные объекты.

Если DoS/DDoS-атак осуществляются от сети других телекоммуникационных организаций, с которыми соединена данная организация, организация должна запрашивать соответствующие организации принять необходимые меры, чтобы остановить DoS/DDoS-атаки, и соответствующие организации должны принять надлежащие меры в ответ запросы.

Для того чтобы принять эффективные меры по борьбе с DoS/DDoS-атак, телекоммуникационные организации должны работать в тесном сотрудничестве с другими организациями, и бороться с кибер-терроризмом собственной организации и за ее пределами.

Дальнейшее руководство по применению находится в Приложение В (справочное)