Вопрос 1: Описание функциональных требований на примере класса FCO "Связь" в ГОСТ Р ИСО/МЭК 15408

Вопрос 16: Основные мероприятия по обеспечению безопасности сетей электросвязи по ГОСТ Р 52448-2005

Обеспечение безопасности сети электросвязи является обязанностью ее владельца.

Мероприятия по обеспечению безопасности сети электросвязи, проводимые оператором связи, не должны ухудшать качественных характеристик сети и снижать оперативность обработки информации.

При присоединении к сетям электросвязи иностранных государств и взаимодействии с глобальными информационно-телекоммуникационными сетями, в том числе и Интернет, обеспечение безопасности должно основываться на соблюдении международных правовых актов, регламентирующих безопасный пропуск трансграничного трафика.

Обеспечение безопасности сетей электросвязи достигается:

защитой сетей электросвязи от НСД к ним и передаваемой посредством их информации;
противодействием техническим разведкам;
противодействием сетевым атакам и вирусам;
защитой средств связи и сооружений связи от НСВ, включая физическую защиту сооружений и линий связи;
разграничением доступа пользователей и субъектов инфокоммуникационной структуры сетей электросвязи к информационным ресурсам в соответствии с принятой политикой безопасности оператора связи;
использованием механизмов обеспечения безопасности;
физической и инженерно-технической защитой объектов инфокоммуникационной структуры сетей электросвязи;
использованием организационных методов, включающих:

разработку и реализацию политики безопасности оператором связи;
организацию контроля состояния безопасности сети электросвязи;
определение порядка действий в чрезвычайных ситуациях и в условиях чрезвычайного положения;
определения порядка реагирования на инциденты безопасности;
разработку программ повышения информированности персонала сети электросвязи в вопросах понимания им проблем безопасности;
определение системы подготовки и повышения квалификации специалистов в области безопасности.

Взаимоотношения пользователей с операторами связи в сфере обеспечения безопасности СЭС должны строится на основании следующих положений:

только авторизованные пользователи должны иметь доступ к сетям электросвязи и использованию предоставляемых им услуг;
авторизованные пользователи должны иметь доступ и оперировать только теми ресурсами, к которым они допущены;
все пользователи должны быть ответственными за их собственные, и только их собственные, действия в сети электросвязи.

Оператор связи должен принимать меры, обеспечивающие:

доступ правоохранительных органов, в предусмотренных законодательством Российской Федерации случаях, к информации конкретных пользователей;
право на доступ пользователей услугами связи к информационным ресурсам в строгом соответствии с установленными правилами разграничения доступа;
исключение несанкционированного доступа пользователей услугами связи к ресурсам сети и услугам связи;
предоставление пользователям услугами связи дополнительных услуг по защите информации и процесса безопасной передачи сообщений на договорной основе;
информирование пользователей о состоянии безопасности доступа к услугам связи.