A.9.3.3 Сполучення телекомунікаційних послуг


Управління

У зв'язку з наданням взаємопов'язаних послуг телекомунікації, в телекомунікаційній організації повинні бути вказані і чітко визначені межі і взаємодія з іншими організаціями електрозв'язку, так що кожна організація може бути розділена і ізольована своєчасно для того, щоб ухилитися від виявленого ризику.


Здійснення керівництва

Відповідні елементи управління повинні бути на місці, щоб перевірити, чи є послуга взаємопов'язаних організацій телекомунікації і працює в звичайному режимі чи ні.


Для того, щоб діагностувати проблеми та вживати коригувальні дії, організації повинні мати кошти, щоб ізолювати об'єкти організації від інших організацій і повторно підключитися до них в точці взаємодії.


Телекомунікаційні організації повинні постійно відстежувати умови трафіку в точці взаємодії.

Телекомунікаційні організації слід вказати в договорі чи контракті, що надані телекомунікаційними сервісами для клієнтів,які в свою чергу можуть бути припиненими, чиї комунікації створюють проблеми для безперешкодного надання послуг взаємопов'язаних організацій електрозв'язку.


A.10 Зв'язок та управління операціями

A.10.6 Мережі управління безпекою

Мета: Забезпечення захисту інформації в мережах та захисту підтримуючої інфраструктури. Безпечне керування мережами, які можуть охоплювати організаційні кордони, вимагає ретельного розгляду в потоці даних, правових наслідків, моніторингу та захисту. Додаткові елементи керування, які можуть також знадобитися для захисту конфіденційної інформації, що проходить через публічні мережі.


A.10.6.3 Безпека управління доставкою послуг зв'язку


Управління


Телекомунікаційні організації повинні встановити рівень безпеки для різних пропозицій бізнесу телекомунікаційних послуг, заявити про це своїм клієнтам до надання послуг, а також підтримувати і управляти своїми телекомунікаційними послугами правильно.


Здійснення керівництва

Телекомунікаційні організації повинні провести наступні заходи для клієнтів телекомунікаційних послуг:

а) специфікації функцій безпеки, рівнів обслуговування та управління вимогами телекомунікаційних послуг, і забезпечення їх чіткої заяви;

б) підвищення обізнаності громадськості, щоб захистити користувачів телекомунікаційних послуг від спаму, інтернет-злочинності, комп'ютерних вірусів тощо.

Телекомунікаційним організаціям слід також враховувати наступне:

в) здійснення контролю сумісно з відповідними законами і правилами, такими як запобігання несанкціонованого перехоплення і забезпечення взаємозв'язку з іншими постачальниками телекомунікаційних послуг;

г) для забезпечення зв'язку потрібні спеціальні рівні сервісу, такі як ефірний зв'язок в надзвичайних ситуаціях (див. A.15.1.8);



д) здійснення контролю безпеки для кожної послуги, що надається як в наступному, IP підключення послуги / послуг центру обробки даних:

1) Контроль зі спамом (див. A. 10.6.4);

2) контроль щодо DoS / DDoS-атак (див. A.10.6.5);

3) контроль щодо технічних вразливостей (див. 12.6.1 в ISO / IEC 27002); Телефонні послуги / Послуги мобільного телефону:

4) обробка важливих сполук;

5) забезпечення пріоритетного дзвінків у надзвичайних ситуаціях;

6) затримки телефонних дзвінків; Керовані послуги:

7) використання аутентифікації / шифрування;

8) навмисне поводження в привілейованому режимі;

е) здійснення контролю безпеки для того, щоб строго витримувати наступні елементи в управлінні інформації для надання послуг:

1) забезпечення нерозголошення зв'язку, включаючи подробиці телефонного дзвінка;

2) захист особистої інформації.


З метою підтримки телекомунікаційних послуг, телекомунікаційні організації повинні застосовувати наступне управління:

ж) належне утримання об'єктів електромережевого господарства, таких як кабелі передачі та швидкого ремонту в надзвичайних ситуаціях;

з) належне утримання комутаційного обладнання для телекомунікаційних послуг, або постійний моніторинг їх трафіку, перехід на резервне обладнання або інші маршрути, щоб уникнути затримок в надзвичайних ситуаціях;

и) методи та процедури для підтримання функцій телекомунікаційних засобів у разі атаки DoS, які можуть змусити комутаційне обладнання, виступити маршрутизатором для обробки більшої кількості трафіку в порівнянні із звичайною ситуацією;

к) належне управління Інтернет маршрутизацією інформації та управління інформацією, такю як DNS.

Інша інформація


При постачанні телекомунікаційних послуг, телекомунікаційним організаціям слід брати до уваги специфікації телекомунікаційних послуг, для того щоб уникнути накладення шахрайських дисплеїв, приховуючи URL зазначення навмисно від користувачів телекомунікаційних послуг з неналежних причин, і таких операцій, які користувачам телекомунікаційних послуг необхідно призупинити або знизити функції перевірки безпеки на своїх терміналах.


A.10.6.4 Відповідь на спам

Управління

Телекомунікацйнії організації повинні передбачати політику реагування на спам і здійснення відповідного контролю з метою створення сприятливих і бажаних умов для комунікації по електронній пошті.


Здійснення керівництва

Коли телекомунікаційні організації визнають спам-скарги користувачів телекомунікаційних послуг і відповідних спамерів, які є їхніми клієнтами, телекомунікаційним організаціям слід звернутися до відповідних клієнтів, щоб зупинити відправку спаму.

У разі щирих і відповідних дій, які прийняті спамером, вони не очікуються, незважаючи на таке прохання, телекомунікаційним організаціям слід призупинити телекомунікаційні послуги для відповідного клієнта для того, щоб блокувати спам.


Коли спам розсилається з мережі інших телекомунікаційних організацій, з якими телекомунікаційні організації повинні з'єднати свої засоби, телекомунікаційним організаціям слід звернутися до відповідних організацій, щоб вжити необхідних заходів для того, щоб блокувати спам, і відповідні організації повинні вжити відповідних заходів у відповідь на такі запити.


Для того, щоб прийняти ефективні заходи проти спаму, телекомунікаційні організації повинні працювати в тісній співпраці з іншими телекомунікаційними організаціями, та боротьби зі спамом організаціями в країні та за кордоном.


Телекомунікаційні організації повинні розробити і здійснювати свою політику щодо спаму у відповідності з національним законодавством і правилами та зробити їх доступними для громадськості.


Подальші вказівки реалізовані в Додатку В (довідковий).


A.10.6.5 Відповідь на DoS / DDoS атаки


Управління

Телекомунікаційні організації повинні передбачати політику реагування на DoS / DDoS атаки і здійснювати належний контроль для того, щоб підготувати сприятливе навколишнє середовище і бажано за телекомунікаційні послуги.


Здійснення керівництва


Коли телекомунікаційні організації визнають зараження DoS / DDoS атаками, телекомунікаційні організації повинні прийняти відповідні контрзаходи з метою забезпечення поточної стабільної роботи телекомунікаційних засобів.


Хоча конкретні заходи, які необхідні, залежать від типу DoS / DDoS атак, телекомунікаційним організаціям слід враховувати наступні контрзаходи:

а) фільтрації пакетів, прямуючи до цільового сайту під впливом атак;

б) обмеження комунікаційного порту, який використовується для DoS / DDoS-атак;

в) скорочення або призупинення експлуатації об'єктів цільової телекомунікації.
Якщо DoS / DDoS атакуючий -- це свій клієнт, то телекомунікаційні організації повинні призупинити телекомунікаційні послуги для відповідного клієнта для того, щоб блокувати DoS / DDoS-атаки на телекомунікаційні об'єкти.

При DoS / DDoS атаках, які виходять від мережі інших телекомунікаційних організацій, з якими
телекомунікаційні організації з'єднали свої засоби телекомунікації, організаціям слід звернутися до
відповідних організацій і вжити необхідних заходів, щоб зупинити DoS / DDoS атаки, і відповідні організації
повинні вжити належних заходів у відповідь на такі запити.


Для того, щоб прийняти ефективні заходи по боротьбі з DoS / DDoS атаками, телекомунікаційні організації повинні працювати в тісній співпраці з іншими телекомунікаційними організаціями, та в боротьбі з кібер-тероризмом організаціями в країні та за кордоном.


Подальші вказівки реалізовані в Додатку В (довідковий).


A.11 Контроль доступу


A.11.4 Управління доступом до мережі

Мета: Для запобігання несанкціонованого доступу до мережевих послуг. Доступ до внутрішніх і зовнішніх мережевих послуг повинен перебувати під контролем. Доступ користувачів до мережі і мережеві послуги не повинні ставити під загрозу безпеку мережі послуг по забезпеченню: а) відповідні інтерфейси знаходяться в місці між мережею організації та мережами, що належать іншим організаціям і громадським мережам; б) відповідні механізми аутентифікації застосовуються для користувачів і обладнання; в) дотримується контроль доступу користувачів до інформаційних послуг.





41554824.html
415554824.html
416554824.html
417554824.html
418554824.html
    PR.RU™