Жизненный цикл системы обеспечения информационной безопасности и его взаимосвязь с жизненным циклом сети связи

7.1 Жизненный цикл сети связи является полным процессом развития, реализации и вывода из эксплуатации сетей связи через процессы их проектирования, построения, реконструкции и эксплуатации.

Оператором связи могут быть применены различные методики для определения мероприятий и действий по обеспечению ИБ в процессе жизненного цикла сети связи, но каждая состоит из ряда определенных циклов или фаз, выполнение которых рекомендуется.

7.2 Для осуществления постоянного и корректного управления процессами менеджмента ИБ, СОИБ должна взаимодействовать с системой управления сетью связи и жизненный цикл СОИБ должен быть коррелирован с жизненным циклом сети связи и этапами процессной модели СМИБ, определенными в ГОСТ Р ИСО/МЭК 27001.

7.3 Настоящий стандарт устанавливает для жизненного цикла СОИБ следующие стадии:

- создание СОИБ;

- реализация СОИБ;

- функционирование СОИБ;

- мониторинг соответствия СОИБ;

- совершенствование СОИБ.

Взаимосвязь стадий жизненного цикла сети связи и СОИБ с этапами процессной модели СМИБ приведена на рисунке 3.

Рисунок 3 - Взаимосвязь стадий жизненных циклов сети связи и СОИБ с этапами процессной модели СМИБ

7.3.1 Стадия «создание системы обеспечения информационной безопасности»

При проектировании сети связи в разрабатываемом системном проекте [2] в отдельном разделе должны быть описаны потребности ИБ, в частности:

- осуществлена предварительная классификация предполагаемых к использованию сетевых элементов и их категорирование с точки зрения их значимости в вопросах обеспечения ИБ;

- определен предварительный перечень угроз и уязвимостей структурных элементов сети связи;

- проведена предварительная оценка рисков и на ее основе определены требования к ИБ и разработан перечень мер обеспечения ИБ, реализация которых должна определять использование конкретных механизмов обеспечения безопасности (средств защиты);

- определена предварительная структура СОИБ, состав подсистем и осуществляемые процессы ее функционирования, их взаимосвязь с процессами управления сетью и другими решаемыми сетью задачами.

7.3.2 Стадия «реализация системы обеспечения информационной безопасности»

При построении сети связи должны быть:

- реализованы результаты предварительной оценки рисков, выраженные в конструировании, разработке, закупке и внедрении необходимых средств обеспечения ИБ и средств защиты;

- сформирована функциональная структура подсистем СОИБ;

- подготовлены необходимые для эксплуатации СОИБ документы;

- при возможности должна быть предварительно определена эффективность выбранных мер обеспечения безопасности.

7.3.3 Стадия «функционирование системы обеспечения информационной безопасности»

В процессе эксплуатации сети связи обеспечение ИБ должно быть интегрировано в процессы управления сетью связи. При эксплуатации сети связи должны выполняться процессы управления инцидентами, внутреннего аудита, управления изменениями и другие процессы, определенные в СМИБ. Реализация данных процессов позволит своевременно провести необходимое и обоснованное совершенствование СОИБ.

7.3.4 Стадия «мониторинг соответствия системы обеспечения информационной безопасности»

При эксплуатации сети связи и ее реконструкции (модернизации) должны проводиться следующие процессы:

- тестирование компонентов, свойств и функции ИБ сети связи;

- внутренний аудит;

- управление рисками (в полном объеме);

- обработка инцидентов и управление изменениями.

Новые или измененные компоненты ИБ должны тестироваться отдельно с тем, чтобы подтвердить, что они функционируют должным образом, а далее в операционном окружении для подтверждения, что их интеграция в сеть связи не нарушит качество услуг связи и/или функций безопасности. По результатам процесса мониторинга должны быть внесены обоснованные изменения в СОИБ.

7.3.5 Стадия «совершенствование системы обеспечения информационной безопасности»

Стадия «совершенствование СОИБ» (процесс управление изменениями) предусматривает проведение корректирующих и предупреждающих действий, направленных на устранение причин выявленных несоответствий при осуществлении процессов управления рисками, инцидентами и внутреннего аудита.

Применение корректирующих и предупреждающих действий, на основе оценки рисков, обуславливается возможностью внесения в аппаратные и программные средства новых уязвимостей при их модернизации (модификации).

Примечание - При прекращении функционирования сети связи (фаза снятия с эксплуатации), перед утилизацией, передачей аппаратных средств или сдачи в ремонт все информационные и вычислительные ресурсы, особенно базы данных, таблицы маршрутизации (и т.д.), должны быть проверены на отсутствие в них остаточной информации.