Информационная безопасность сетей связи
Минкомсвязи России 13 июля 2020 года опубликовало Проект Приказа Минкомсвязи России «Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи» (далее – Проект Приказа Минкомсвязи России).
Требования Проекта Приказа Минкомсвязи России направлены на регулирование деятельности операторов связи при эксплуатации и управлении сетями электросвязи, составляющими единую сеть электросвязи РФ, входящие в сеть связи общего пользования (далее – ССОП), за исключением сетей связи специального назначения, выделенных и технологических сетей связи, если они не присоединены к ССОП, а также сетей связи для распространения программ телевизионного вещания и радиовещания.
При этом в Проект Приказа Минкомсвязи России также включены требования к подсистеме безопасности сетей связи, которая, в частности, должна включать:
- архитектуру построения и принципы взаимодействия подсистем безопасности, используемых в сети связи;
- перечень защищаемых компонентов;
- описание возможных нарушений целостности, устойчивости функционирования и безопасности сети связи;
- частную модель угроз и модель нарушителя;
- описание подсистемы безопасности, включая комплекс мер по защите информации и систему антивирусной защиты программных средств, описание целевых функций, механизмов и используемых средств защиты;
- правила разграничения доступа;
- порядок действий в нештатной ситуации
При создании подсистемы безопасности сети связи должны использоваться СрЗИ, имеющие сертификат ФСТЭК России, и средства криптографической защиты информации, имеющие подтверждение соответствия требованиям, утвержденным ФСБ России. Также при эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ, должны применяться СрЗИ, имеющие сертификат ФСТЭК России. Проект Приказа Минкомсвязи имеет отсылки к приказам ФСТЭК России по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), которые операторам связи необходимо выполнять при:
- включении в состав подсистемы безопасности сети связи значимых объектов КИИ;
- эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ;
- наличии принадлежащих оператору связи значимых объектов КИИ.
В том числе в Проекте Приказа Минкомсвязи установлены требования к структурным подразделениям и должностным лицам оператора связи, занимающихся обеспечением ИБ сети связи. Также по Проекту Приказа Минкомсвязи оператор связи должен будет разработать паспорт организации связи по ИБ в соответствии с ГОСТ Р 53109-2008, который необходимо актуализировать не реже чем один раз в три года.