СТ РК ISO/IEC 27011-2018
Информационные технологии
Методы и средства обеспечения безопасности
Практическое руководство по контролю за информационной безопасностью организаций,
предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002
(ISO/IEC 27011:2016 (Е) Information technology - Security techniques - Code of practice
for information security controls based on ISO/IEC 27002 for telecommunications organizations)
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и сокращения
4. Обзор
5. Политика безопасности
6. Организация информационной безопасности
7. Кадровая безопасность
8. Управление активами
9. Контроль доступа
10. Криптография
11. Физическая безопасность и безопасность окружающей среды
12. Безопасность операций
13. Безопасность связи
14. Получение, разработка и сопровождение системы
15. Отношения поставщиков
16. Управление инцидентами информационной безопасности
17. Вопросы информационной безопасности управления непрерывностью бизнеса
18. Требования соответствия
Приложение А (информационное) Расширенный перечень управления телекоммуникациями
Приложение В (информационное) Дополнительные рекомендации по сетевой безопасности
Библиография
Введение
Настоящий стандарт обеспечивает толкование руководящих принципов для внедрения и управления средствами информационной безопасности в телекоммуникационных организациях на основе ISO/IEC 27002.
Телекоммуникационные организации предоставляют телекоммуникационные услуги, облегчая общение клиентов через свою инфраструктуру. Чтобы обеспечить телекоммуникационные услуги, телекоммуникационные организации должны подключать и/или предоставлять свои услуги и услуги и/или использовать услуги и объекты других телекоммуникационных организаций. Кроме того, местоположение сайта, такое как радиостанции, места антенн, кабели заземления и коммунальные услуги (питание, вода), может быть доступно не только сотрудникам организации, но и подрядчикам и поставщикам, внешним по отношению к организации.
Поэтому управление информационной безопасностью в телекоммуникационных организациях является сложным, потенциально:
- в зависимости от внешних сторон;
- необходимость охвата всех областей сетевой инфраструктуры, приложений служб и других объектов;
- включая ряд телекоммуникационных технологий (например, проводной, беспроводной или широкополосной связи);
- поддержка широкого спектра рабочих шкал, областей обслуживания и видов обслуживания.
В дополнение к применению целей и средств безопасности, описанных в настоящем стандарте, телекоммуникационным организациям, возможно, потребуется реализовать дополнительные средства контроля, чтобы обеспечить конфиденциальность, целостность, доступность и любое другое свойство безопасности телекоммуникаций для эффективного управления рисками безопасности.
1) Конфиденциальность
