Основные мероприятия по обеспечению безопасности сетей электросвязи
Обеспечение безопасности СЭС является обязанностью ее владельца. Ответственность владельца СЭС за обеспечение ее безопасности не прекращается при делегировании им своих полномочий по данным функциям отдельным лицам (поставщикам услуг, администраторам, третьим лицам и т. д.).
Мероприятия по обеспечению безопасности СЭС, проводимые оператором связи, не должны ухудшать качественных характеристик сети и снижать оперативность обработки информации.
Реализация обязательных требований к безопасности, установленных федеральными органами исполнительной власти в области связи, осуществляется силами и средствами владельца СЭС с привлечением по необходимости специализированных организаций, имеющих лицензию на данный вид деятельности.
Дополнительные (повышенные) требования к безопасности (например, шифрование трафика пользователя) могут осуществляться оператором связи на договорной основе с пользователем.
Вопросы непосредственного обеспечения безопасности при присоединении одной СЭС к другой и условия выполнения обязательных требований к безопасности, установленных федеральными органами исполнительной власти в области связи, при взаимодействии этих сетей оговариваются в заключаемых операторами связи договорах о присоединении СЭС.
При присоединении к СЭС иностранных государств и взаимодействии с глобальными информационно - телекоммуникационными сетями, в том числе Интернет, обеспечение безопасности должно основываться на соблюдении международных правовых актов, регламентирующих безопасный пропуск трансграничного трафика. При этом должна быть обеспечена защита инфокоммуникационной структуры СЭС от несанкционированного доступа со стороны взаимодействующих сетей и гарантированное качество обслуживания в условиях возможных воздействий нарушителя трансграничного характера.
Обеспечение безопасности СЭС достигается:
а) защитой СЭС от несанкционированного доступа к ним и передаваемой посредством их информации;
б) противодействием техническим разведкам;
в) противодействием сетевым атакам и вирусам;
г) защитой средств связи и сооружений связи от несанкционированных воздействий, включая физическую защиту сооружений и линий связи;
д) разграничением доступа пользователей и субъектов инфокоммуникационной структуры СЭС к информационным ресурсам в соответствии с принятой политикой безопасности оператора связи;
е) использованием механизмов обеспечения безопасности;
ж) физической и инженерно-технической защитой объектов инфокоммуникационной структуры СЭС;
з) использованием организационных методов, включающих:
1) разработку и реализацию политики безопасности оператором связи;
2) организацию контроля состояния безопасности СЭС;
3) определение порядка действий в чрезвычайных ситуациях и в условиях чрезвычайного положения;
4) определение порядка реагирования на инциденты безопасности;
5) разработку программ повышения информированности персонала СЭС в вопросах понимания ими проблем безопасности;
6) определение системы подготовки и повышения квалификации специалистов в области безопасности.
Пользователи услугами связи имеют право применять специальные механизмы обеспечения безопасности и средства защиты информации, разрешенные к применению на СЭС и сертифицированные в соответствии с действующим законодательством Российской Федерации.
Взаимоотношения пользователей с операторами связи в сфере обеспечения безопасности СЭС должны строиться на основании следующих положений:
– только авторизованные пользователи должны иметь доступ к СЭС и использованию предоставляемых им услуг;
– авторизованные пользователи должны иметь доступ и оперировать только теми ресурсами, к которым они допущены;
– все пользователи должны быть ответственными за их собственные, и только их собственные, действия в СЭС.
Оператор связи должен принимать меры обеспечивающие:
– доступ правоохранительных органов, в предусмотренных законодательством Российской Федерации случаях, к информации конкретных пользователей;
– право на доступ пользователей услугами связи к информационным ресурсам в строгом соответствии с установленными правилами разграничения доступа;
– исключение несанкционированного доступа пользователей услугами связи к ресурсам сети и услугам связи;
– предоставление пользователям услугами связи дополнительных услуг по защите информации и процесса безопасной передачи сообщений на договорной основе;
– информирование пользователей о состоянии безопасности доступа к услугам связи.
Контрольные вопросы и задания
1. Является ли противодействие сетевым атакам и вирусам механизмом обеспечения безопасности?
2. Приведите известные примеры предоставления оператором связи пользователям услугами связи дополнительных услуг по защите информации и процесса безопасной передачи сообщений на договорной основе.
3. Разработайте план возможной реализации оператором телефонной связи обязанности по информированию пользователей о состоянии безопасности доступа к услугам телефонной связи.
4. Допустимо ли отключение механизмов обеспечения безопасности сетей электросвязи, если мероприятия по обеспечению безопасности СЭС, проводимые оператором связи, ухудшают качественные характеристики сети и снижают оперативность обработки информации?