birmaga.ru
добавить свой файл

1
СИСТЕМА ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ


«СВЯЗЬ – ЭФФЕКТИВНОСТЬ»

РОСС RU.М821.04ФБГ0

Система управления информационной безопасностью

«Базовый уровень информационной безопасности операторов связи»

Требования, программа и методика сертификационных испытаний





Москва

2011

Содержание


1 Введение 3

2 Область применения 4

3 Нормативные ссылки, определения и сокращения 4

4 Требования 7

4.1. Общие рекомендации 7

4.2.Требования к политикам оператора 9

4.3.Требования к функциональности 9

4.4. Требования к взаимодействию 11

5 Программа сертификационных испытаний 11

5.1. Объект испытаний 11

5.2. Цель испытаний 12

6 Методика проведения сертификационных испытаний 14

6.1. Условия проведения испытаний 14

6.2. Методика проверки 14



1 Введение


Требования к Системе управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи» (далее – Требования) определяют базовый уровень информационной безопасности, используя который, каждый оператор может оценить состояние сетевой и информационной безопасности, учитывая то, какие стандарты безопасности актуальны, какие из этих стандартов должны быть использованы, когда они должны быть использованы и как они должны применяться.Кроме того описывается готовность и способность оператора связи взаимодействовать с другими операторами, пользователями и правоохранительные органами с целью совместного противодействия угрозам информационной безопасности.

Требования представляют собой минимальный набор рекомендаций, реализация которых будет гарантировать достаточный уровень информационной безопасности коммуникационных услуг, позволяя при этом обеспечить баланс интересов операторов, пользователей и регулятора.


Программа и методика определяют все виды, условия, объем и методы сертификационных испытаний базового уровня информационной безопасности операторов связи.

Настоящий документ может быть использован для случаев, когда оператор связи:


    • нуждается в демонстрации своей способности предоставлять услуги связи, отвечающие установленным требованиям;

    • имеет цель демонстрировать взаимодействующим операторам связи способность и готовность совместно с ними противостоять угрозам информационной безопасности.



2 Область применения


    1. Настоящие Требования, программа и методика разработаны в соответствии с Положением о Системе добровольной сертификации «Связь – Эффективность» на базе Рекомендации сектора стандартизаций Международного Союза Электросвязи (МСЭ-Т) Серии X, Приложение 2, «Серии Х.800-Х849 МСЭ-Т – Приложение по базовому уровню информационной безопасности операторов связи».

    2. Настоящие Требования, программа и методика разработаны для системы добровольной сертификации и предназначены для операторов связи, сертификационных центров и лабораторий при проведении добровольной сертификации Системы управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи» в Системе добровольной сертификации «Связь – Эффективность».

3 Нормативные ссылки, определения и сокращения


3.1. В настоящих Требованиях, программе и методике использованы ссылки на следующие нормативные документы:

  • Федеральный закон от 7 июля 2003г. № 126-ФЗ «О связи».

  • Федеральный закон от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».
  • Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных».


  • Доктрина информационной безопасности Российской Федерации от 09 сентября 2000 г. № Пр-1895.

  • Правила присоединения сетей электросвязи и их взаимодействия (утв. Постановлением Правительства РФ от 28 марта 2005 г., N 161).

  • ГОСТ Р 50739-95 Средства вычислительной техники. Защита от НСД к информации. Общие технические требования.

  • ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.

  • ГОСТ Р ИСО/МЭК 15408-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

  • ГОСТ Р ИСО/МЭК 27001-2006 Методы обеспечения информационной безопасности. Системы управления информационной безопасностью. Требования.

  • ОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения.

  • Рекомендация МСЭ-ТX.1051-2004 Система управления информационной безопасностью. Требования к телекоммуникациям.

  • Рекомендация сектора стандартизаций Международного Союза Электросвязи (МСЭ-Т) Серии X, Приложение 2, «Серии Х.800-Х849 МСЭ-Т – Приложение по базовому уровню информационной безопасности операторов связи».

3.2. В настоящих Требованиях, программе и методике использованы термины соответствующие определениям Федерального закона «О связи», а также дополнительно определены следующие термины и сокращения:

Аккаунт – персональная учетная запись пользователя информационной системы, программного обеспечения оборудования, включающее имя пользователя (логин), его скрываемые индивидуальные признаки (пароль) и другие сведения, необходимые для получения доступа.

Антивирусное программное обеспечение – специальное программное обеспечение, предназначенное для выявления и деактивации (блокирования) вредоносного программного кода, специально созданного для нарушения целостности, доступности и конфиденциальности данных.


Атака типа «отказ в обслуживании» – преднамеренное воздействие на информационную систему или оборудование с целью создания условий, при которых правомерные пользователи не могут получить доступ к предоставляемым системой или оборудованием ресурсам или такой доступ будет затруднен.

Информационная безопасность оператора связи – состояние защищенности информационных ресурсов оператора связи и поддерживающей их инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба оператору связи, пользователям услуг связи, и характеризуемая способностью обеспечивать конфиденциальность, целостность и доступность информации при ее хранении, обработке и передаче.

Лицензионное соглашение – договор между владельцем программного обеспечения и пользователем ее копии

Неавторизованный доступ – способ доступа, при котором пользователи информационной системы или оборудования не различаются между собой.

Оператор связи – юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии.

Политика безопасности оператора связи – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи.

Провайдер услуг – юридическое лицо, занимающееся предоставлением (доставкой) абоненту услуг связи определенного вида и обеспечивающее согласованное использование сетевых возможностей, связанных с данными услугами.

Спам – незапрашиваемая корреспонденция, передаваемая в электронном виде (как правила, средствами электронной почты).

Управление рискамипроцесс определения, контроля, уменьшения или полного устранения (с приемлемыми затратами) рисков для информационной безопасности, которые могут повлиять на информационные системы оператора связи и поддерживающую их инфраструктуру.

4 Требования

4.1. Общие рекомендации


4.1.1. Применение средств защиты должно обеспечивать снижение рисков и быть адекватным по стоимости внедрения и возможному ущербу.

4.1.2. Оператордолжен придерживаться лучших практик безопасности при создании приложений и услуг, предоставляемых конечным пользователям сети (например, при создании клиентам возможностей самообслуживания).

4.1.3. Применяемые методы защиты не должны быть направлены против третьих лиц (лиц, непричастных к созданию угроз безопасности) и/или их информационных ресурсов, а также не должны причинять умышленный вред третьим лицам и/или их ресурсам.

Возможный вред, причиняемый применяемыми средствами защиты, должен быть существенно меньше вреда, для противодействия которому эти средства используются.

При передаче управляющей информации для коммуникационного оборудования в случаях, когда оно это позволяет, следует применять средства обеспечения конфиденциальности и целостности либо физически изолировать сегменты сети оператора, предназначенные для сетевого управления.

4.1.4. На каждом оконечном сервереэлектронной почты (или при нем) следует устанавливать системы детектирования спама во входящих сообщениях, имеющие возможность помечать сообщения с незапрашиваемой информацией.

4.1.5. Оператору следует принимать технические и организационные меры, позволяющие устанавливать источник нарушений системы безопасности (в первую очередь – атак типа отказа в обслуживании), а также позволяющие блокировать (деактивировать) атаки.

4.1.6. Оператору следует использовать системы обнаружения и предупреждения атак (IDS/IPS) с регулярно обновляемой базой сигнатур, которые осуществляют выборочную контекстную проверку трафика в реальном масштабе времени, принимаемого от клиентов или от других операторов.


4.1.7. Оператор должен обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи (в соответствии с Федеральным Законом РФ «О персональных данных»).

4.1.8. Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, следует информировать последних об этом в кратчайшие сроки.

В договорах, заключаемых с клиентами-юридическими лицами, следует рекомендовать владельцам информационных ресурсов иметь специально выделенных лиц, ответственных за информационную безопасность ресурсов клиентов. Эти лица должны иметь достаточные квалификацию (подтвержденную аттестатом) и полномочия для противодействия угрозам безопасности.

4.1.9. Оператору и/или владельцу информационного ресурса следует предупреждать пользователей о наиболее распространённых угрозах, связанных с использованием услуг и информационных ресурсов, либо предоставлять ссылку на авторитетные информационные ресурсы по данной проблеме.

Операторы должны рекомендовать клиентам использовать антиспуфинговые фильтры на своем пограничном CPE оборудовании.

4.2.Требования к политикам оператора

    1. У каждого оператора имеется зафиксированная (утвержденная) в соответствии с внутренними процедурами политика безопасности, основанная на лучших практиках оценки и управления рисками, отвечающая требованиям деловой деятельности и соответствующая национальному законодательству. Политика безопасности публикуется и доводится до сведения персонала оператора связи и соответствующих внешних участников (клиентов, взаимодействующих операторов, других заинтересованных лиц).


    2. У оператора в политике безопасности имеется раздел о разграничении ответственности между персоналом оператора, между оператором и его партнерами, между оператором и клиентами.

    3. Обязанности, касающиеся информационной безопасности, включаются в должностные инструкции (перечни служебных обязанностей) персонала оператора связи.

4.3.Требования к функциональности


    1. Оператор использует только сертифицированные технические средства в строгом соответствии с условиями лицензионного соглашения, определяемого их изготовителем.

    2. Для доступа к управляющим функциям коммуникационного оборудования применяются персональные учётные записи.

    3. На коммуникационном оборудовании запрещается неавторизованный доступ или доступ с паролем по умолчанию (принятым производителем оборудования или программного обеспечения) к управляющим портам, консольным портам, управляющим или административным учетным записям любого коммуникационного оборудования и/или программного обеспечения.

    4. Оператор должен иметь инструкцию по установке обновлений используемого коммуникационного программного обеспечения и/или программного обеспечения коммуникационного оборудования.

    5. В точках взаимодействующих сетей на коммуникационном оборудовании устанавливаютсяантиспуффинговыефильтры, предотвращающие передачу пакетов с адресами, не принадлежащими подключаемым сетям, с широковещательными адресами, а также с обратными, зарезервированными и некорректными адресами.

    6. Оператор связи, являющийся владельцем публичных серверов, предоставляющих услуги информационных сервисов, использует на этих серверах антивирусное программное обеспечение с регулярным обновлением сигнатур.

    7. Должно быть предусмотренодеактивирование сообщений, зараженных вредоносным кодом, их выделение и опциональное удаление.

    8. Оператор должен фильтровать спам внутри собственной сети.


    9. На каждом находящемся у оператора сервере электронной почты (кроме специальных) должна быть предусмотрена возможность ограничения числа исходящих сообщений от одного отправителя в единицу времени для предотвращения рассылки спама.При превышении порога исходящих сообщений в единицу времени должна быть предусмотрена опция задержки дальнейшей отправки сообщений данным отправителем до специального подтверждения администратором сервера.

    10. В целях эффективной защиты от распределенных атак типа «отказ в обслуживании» оператор использует автоматизированную систему (специальные средства) обнаружения статистических аномалий трафика.

    11. Журналы регистрации событий, имеющих отношение к информационной безопасности, хранятся в течение сроков исковой давности для обеспечения расследований инцидентов, предусмотренных национальным законодательством.

    12. Действия персонала оператора на коммуникационном оборудовании протоколируются.

    13. Оператордолжен фильтровать нежелательный входящий трафик по запросу клиента с использованием штатных средств имеющегося оборудования



4.4. Требования к взаимодействию


    1. У оператора имеется возможность идентифицировать собственных клиентов и других операторов, с которыми он осуществляет непосредственное взаимодействие на физическом и канальном уровнях.

    2. У каждого оператора имеетсякруглосуточная служба реагирования на инциденты безопасности или используетсяаутсорсинговая служба реагирования на инциденты.
    3. У службы реагирования оператора имеется возможность приема обращения по телефону и/или электронной почте от авторизованных в соответствии с политикой оператора и/или договором на предоставление услуг связи представителейклиентов данного оператора или взаимодействующих с ним операторов.


    4. У оператора имеется процедура уведомления пользователей об обнаруженных уязвимостях используемого оборудования (программного обеспечения) и/или нарушениях системы безопасности, которые могут иметь последствия для пользователей.

5 Программа сертификационных испытаний

5.1. Объект испытаний


Объектом сертификационных испытаний является базовый уровень информационной безопасности операторов связи.

5.2. Цель испытаний


Целью сертификационных испытаний является подтверждение соответствия системы управления информационной безопасностью оператора электросвязи требованиям к Системе управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи».

Наименование параметра

Пункт требований

Пункт методики

1

2

3

1. Требования к снижению рисков

4.1.1

6.2.1

2. Требования к разработке приложений

4.1.2

6.2.2

3. Требования к методам защиты

4.1.3

6.2.3

4. Требование к системе обнаружения спама

4.1.4


6.2.4

5. Требования к техническим и организационным мерам

4.1.5

6.2.5

6. Требования к системам обнаружения и предупреждения атак

4.1.6

6.2.6

7. Требования к передаче и хранению информации

4.1.7

6.2.7

8. Требования к действиям при утрате баз данных

4.1.8

6.2.8

9. Требования к предупреждению пользователей об угрозах

4.1.9

6.2.9

10. Требования к политике безопасности оператора связи

4.2.1

6.2.10

11. Требования к разграничению ответственности

4.2.2

6.2.10

12. Требования к должностным инструкциям

4.2.3

6.2.10

13. Требования к лицензиям и сертификатам

4.3.1

6.2.11

14. Требования к доступу к коммуникационному оборудованию

4.3.2

6.2.12

15. Требования к правилам доступа

4.3.3

6.2.12

16. Требования к обновлению программного обеспечения


4.3.4

6.2.13

17. Требования к использованию антиспуффинговых фильтров

4.3.5

6.2.14

18. Требования к использованию антивирусного программного обеспечения

4.3.6

6.2.15

19. Требования к действиям над сообщениями, зараженными вредоносным кодом

4.3.7

6.2.15

20. Требования к использованию средств защиты от спама

4.3.8

6.2.16

21. Требования к серверу электронной почты

4.3.9

6.2.17

22. Требования к использованию средств защиты от атак типа “отказ в обслуживании”

4.3.10

6.2.18

23. Требования к журналам регистрации событий информационной безопасности

4.3.11

6.2.19

24. Требования к журналам регистрации действий персонала

4.3.12

6.2.19

25. Требования к фильтрации трафика по запросу клиента

4.3.13

6.2.20

26. Требования к процессам взаимодействия с пользователями

4.4


6.2.21


По окончании проведения сертификационных испытаний по приведенным выше показателям, полученные результаты оформляются отдельным протоколом по каждой группе показателей.

Каждый протокол должен содержать следующие разделы:

- дата и место проведения испытаний;

- объект испытаний;

- состав комиссии;

- цель испытаний;

- нормативная документация;

- метод испытаний;

- результаты испытаний;

- выводы.

6 Методика проведения сертификационных испытаний

6.1. Условия проведения испытаний


Сертификационные испытания осуществляются путем сбора данных по каждому показателю, установленному в «Требованиях к базовому уровню информационной безопасности операторов связи», их обработке, согласно настоящей Методики, и сравнения их с установленными требованиями. По результатам испытаний делается вывод о соответствии/несоответствии полученных результатов установленным требованиям.

6.2. Методика проверки



6.2.1. Требования к снижению рисков

Метод сертификационных испытаний: Анализ внутрифирменной документации, включающей проекты построения сети связи оператора связи. В документации должны быть отражены вопросы о необходимости и целесообразности применения средств защиты и приведена оценка применяемых средств защиты для снижения риска использования нарушителями уязвимостей в защищаемых информационных ценностях и услугах. Также должен быть приведен анализ экономической оправданности применения используемых средств защиты.


6.2.2. Требования к разработке приложений

Метод сертификационных испытаний: Анализ внутрифирменной документации, регламентирующей правила разработки приложений и услуг, предоставляемых клиентам. Анализ представленного в декларативной форме соответствия применяемых методов разработки требованиям стандарта ISO 27001. Документы должны отражать вопросы, связанные с анализом, разработкой, внедрением и мониторингом системы управления информационной безопасности.

6.2.3. Требования к методам защиты

Метод сертификационных испытаний: Анализ внутрифирменной документации, подтверждающей, что применяемые методы и средства защиты не направлены против третьих лиц и не причиняют умышленный вред третьим лицам или их ресурсам.

6.2.4. Требования к системе обнаружения спама

Метод сертификационных испытаний: Анализ внутрифирменной и технической документации, подтверждающей использование на каждом оконечном сервере электронной почты системы обнаружения спама во входящих сообщениях и пометка незапрашиваемых сообщений. При проведении проверок по данному пункту необходимо сгенерировать поток сообщений для тестового почтового ящика. Тело данных сообщений должно содержать информацию, которая может быть идентифицирована как спам. В настройках сервера электронной почты указать заданный контент поиска. Полученные сообщения должны быть идентифицированы и помечены сервером как спам.

6.2.5. Требования к техническим и организационным мерам

Метод сертификационных испытаний: Анализ внутрифирменной документации и технической документации на средства, применяемые для обнаружения и предотвращения атак. Анализ должностных инструкций, отражающих действия персонала при обнаружении атак. При проведении проверок по данному пункту должен быть сгенерирован поток пакетов, имитирующий атаку типа «отказ в обслуживании» (например, попытка открытия большого числа TCP-соединений на публичных WEB-серверах и сервере электронной почты). Средства защиты должны обнаружить источник атаки и заблокировать его. После появления на экране АРМ системы обнаружения и предотвращения атак информации о данном событии обслуживающий персонал должен выполнить действия в соответствии со своей должностной инструкцией.


6.2.6. Требования к системам обнаружения и предупреждения атак

Метод сертификационных испытаний: Анализ внутрифирменной и технической документации, подтверждающей использование систем обнаружения и предупреждения атак, осуществляющих в реальном масштабе времени выборочную проверку трафика, принимаемого от клиентов или других операторов. Проводится оценка интеграции сетевых и хостовых датчиков сбора информации системы обнаружения и предотвращения атак в структуру действующей сети оператора связи. Датчики должны собирать следующую информацию со всех сегментов и хостов сети:


  • информация о сетевом трафике, циркулирующем в сети;

  • информация о действиях пользователей, работающих в сети;

  • информация о работе приложений и процессов, запущенных на хостах;

  • информация о работе общесистемного ПО, установленного на хостах;

  • информация о процессе функционирования аппаратного обеспечения;

  • информация о работе средств защиты сети.

Журналы регистрации должны фиксировать даты обновления баз сигнатур атак, на противодействие которых направлена данная система обнаружения и предотвращения атак.

При проведении проверок по данному пункту должен быть сгенерирован поток пакетов с заранее определенным телом сообщения. Система обнаружения и предотвращения атак должна быть настроена таким образом, чтобы выявить поток заданных сообщений.

6.2.7. Требования к хранению и передаче информации

Метод сертификационных испытаний: Анализ внутрифирменной документации, регламентирующей правила хранения и доступа к информации систем управления, автоматизированных систем расчета за услуги связи и персональных данных абонентов. Анализ технической документации, описывающей средства, применяемые для обеспечения целостности и конфиденциальности хранимой и передаваемой информации. При проведении проверок по данному пункту проводятся попытки неавторизованного доступа к базам данных. Защита от несанкционированного доступа к информации должна быть реализована путем введения системы паролей, обеспечивающих различный уровень доступа пользователей к базам данных, нормативно-справочной информации и программному обеспечению. Неавторизованный доступ должен быть запрещен.


Анализ технической документации на правила построения сети связи оператора, описание программных и/или технических средств, используемых для обеспечения целостности передаваемой управляющей информации на коммуникационное оборудование. Сегмент сети, в котором содержащий конфиденциальную информацию, должен быть отделен от общего сегмента сети.

6.2.8. Требования к действиям при утрате баз данных

Метод сертификационных испытаний: Анализ внутрифирменной документации и инструкций, регламентирующих действия при утрате баз данных абонентов других операторов связи. Наличие соглашений между операторами связи при совместном использовании информационных баз данных абонентов, в которых должны быть определены сроки об информировании операторов связи при утрате баз данных их абонентов.

6.2.9. Требования к предупреждению пользователей об угрозах

Метод сертификационных испытаний: Анализ внутрифирменной документации и инструкций, регламентирующих действия при работе с клиентом, обеспечивающих предоставление информации клиентам о возможных угрозах, связанных с использованием услуг и информационных ресурсов. Анализ отражения данной политики в рекламных материалах, предоставляемых клиентам, или в зарегистрированных мероприятиях по предупреждению данных угроз.

6.2.10. Требования к политике безопасности оператора связи

Метод сертификационных испытаний: Анализ внутрифирменной документации, регламентирующей процедуры, правила, директивы и практические навыки, которые определяют то, как информационные ценности обрабатываются, защищаются и распространяются в организации и между информационными системами. Анализ набора критериев для предоставления сервисов безопасности. Анализ должностных инструкций и регламентов использования вычислительных и коммуникационных ресурсов, а также разработанных процедур, предотвращающих или реагирующих на нарушения режима безопасности. Анализ нормативной документации, определяющей ответственность, полномочия и требования к профессиональной подготовке персонала в рамках информационной безопасности. Анализ документов, подтверждающих профессиональную подготовку персонала, обеспечивающего поддержку средств информационной защиты (дипломов, сертификатов, удостоверений). Анализ внутрифирменной документации, регламентирующей процедуру и периодичность оценки профессиональной пригодности персонала.


Политика безопасности должна быть утверждена и доведена до каждого сотрудника организации связи.

6.2.11. Требования к лицензиям и сертификатам

Метод сертификационных испытаний: Анализ лицензий и сертификатов на установленное коммуникационное оборудование и используемые технические и программные средства. Проверяется наличие государственных сертификатов при использовании средств шифрования. Лицензии и сертификаты предоставляются оператором связи.

6.2.12. Требования к доступу к коммуникационному оборудованию

Метод сертификационных испытаний: Анализ технической документации описывающей правила проверки и идентификации клиента при доступе к управляющим функциям коммуникационного оборудования, правила разграничение прав доступа к управляющим портам, административным учетным данным коммуникационного оборудования и программного обеспечения. При проведении проверок по данному пункту проводятся попытки неавторизованного доступа к управляющим функциям коммуникационного оборудования выбранного сегмента сети. Неавторизованный доступ к управляющим функциям коммуникационного оборудования должен быть запрещен. Также проводится проверка доступа к учетным данным. Неавторизованный доступ к учетным данным должен быть запрещен.

6.2.13. Требования к обновлению программного обеспечения

Метод сертификационных испытаний: Анализ внутрифирменной документации и должностных инструкций, регламентирующих процедуру и периодичность установки обновлений используемого коммуникационного программного обеспечения и программного обеспечения коммуникационного оборудования. Проверка журналов регистрации выполненных обновлений.

6.2.14. Требования к использованию антиспуффинговых фильтров

Метод сертификационных испытаний: Анализ технической документации на используемые программные и технические средства для обнаружения и предотвращения угроз информационной безопасности. Проверка в точках взаимодействия с другими сетями наличия средств, обеспечивающих фильтрацию пакетов, не принадлежащих подключаемым сетям, с широковещательными адресами, с некорректными адресами. При проведении проверок по данному пункту генерируется трафик с адресами, не принадлежащими проверяемому сегменту сети. Антиспуффинговые фильтры не должны пропустить заданный трафик за пределы своего сегмента. При проверке используются средства мониторинга сети.


6.2.15. Требования к использованию антивирусного программного обеспечения

Метод сертификационных испытаний: Анализ технической документации на используемые программные средства для обнаружения и предотвращения угроз информационной безопасности. Проверка инсталлированного антивирусного программного обеспечения на серверах, предоставляющих услуги информационных сервисов, журнала обновления этого программного обеспечения, журнала регистрации и произведенных действий при обнаружении вирусов. Сообщения, зараженные вирусом, должны быть деактивированы и, по возможности, удалены.

6.2.16. Требования к использованию средств защиты от спама

Метод сертификационных испытаний: Анализ технической документации на используемые программные средства для обнаружения и предотвращения угроз информационной безопасности. Проверка наличия средств обнаружения и фильтрации спама внутри сети. При проведении проверок по данному пункту необходимо сгенерировать поток сообщений, идентифицированных, как спам (по адресу, по заголовку, по контенту). Адреса отправителя и получателя должны принадлежать сети оператора связи. Сообщения, идентифицированные как спам, должны быть отфильтрованы.

6.2.17. Требования к серверу электронной почты

Метод сертификационных испытаний: Анализ технической документации на используемые программные средства для обнаружения рассылки спама. Проверка наличия средств обнаружения рассылки спама в составе программного обеспечения инсталлированного на сервере электронной почты. Проверка возможности ограничения числа исходящих сообщений от одного отправителя. При проведении проверок по данному пункту необходимо сгенерировать поток исходящих сообщений с одного клиентского рабочего места и оценить реакцию системы на данный поток.

6.2.18. Требования к использованию средств защиты от атак типа “отказ в обслуживании”

Метод сертификационных испытаний: Анализ технической документации на используемые программные и технические средства для обнаружения и предотвращения угроз информационной безопасности. Проверка наличия автоматизированных систем обнаружения статистических аномалий трафика. Анализ журналов регистрации трафика и действий сотрудников оператора связи при обнаружении атак. При проведении проверок по данному пункту необходимо сгенерировать поток пакетов, которые можно идентифицировать как атаку типа «отказ в обслуживании» (например, попытка открытия большого числа TCP-соединений на публичных WEB-серверах и сервере электронной почты). Система обнаружения статистических аномалий трафика должна зафиксировать данное событие и выдать соответствующее предупреждение.


6.2.19. Требования к журналам регистрации событий ИБ и действий оператора

Метод сертификационных испытаний: Анализ журнала регистрации событий, имеющих отношение к информационной безопасности, журнала регистрации действий оператора на коммуникационном оборудовании. При проведении проверок по данному пункту делаются попытки неавторизованных действий, нарушения защиты информации (целостности, конфиденциальности), попытки атаки «отказ в обслуживании» путем открытия большого количества ТСР-соединений с одного рабочего места. После попыток нарушения информационной безопасности проводится проверка записей о соответствующих событиях в журналах регистрации.

Для каждого коммуникационного оборудования проводится проверка наличия журнала регистрации действий персонала оператора связи на данном оборудовании. Записи журнала регистрации действий персонала должны последовательно отражать информацию обо всех текущих событиях.

6.2.20. Требования к фильтрации трафика по запросу клиента

Метод сертификационных испытаний: Анализ технической документации на коммуникационное оборудование и проверка возможности фильтрации входящего трафика по запросу клиента. При проведении проверок по данному пункту выбирается контрольный сегмент сети, осуществляется настройка параметров входящего трафика (задаются адреса сетей, трафик которых должен быть отброшен). Осуществляется попытка доступа к контрольному сегменту из запрещенных сетей (например, ping). Трафик запрещенных сетей должен быть отброшен.

6.2.21. Требования к процессам взаимодействия с клиентом и оператором

Метод сертификационных испытаний: Анализ структуры службы реагирования оператора связи на инциденты безопасности и документации, регламентирующей её работу. Служба должна обеспечивать круглосуточную работу по телефону и/или электронной почте для авторизованных в соответствие с политикой оператора и/или договором на предоставление услуг связи. Анализ внутрифирменной документации, регламентирующей действия при работе с клиентом, обеспечивающих информирование клиентов об обнаруженных уязвимостях используемого оборудования (программного обеспечения) и/или нарушениях системы безопасности. Должны быть представлены средства, подтверждающие возможность оператора связи о соответствующем информировании.