Проект Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ "Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи" (подготовлен Минкомсвязью России 13.07.2020)

Проект Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ "Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи"
(подготовлен Минкомсвязью России 13.07.2020 г.)

Досье на проект

Пояснительная записка

В целях реализации требований пункта 2 статьи 12 Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи" (Собрание законодательства Российской Федерации, 2003, N 28, ст. 2895; 2006, N 31, ст. 3448; 2007, N 7, ст. 835; 2010, N 7, ст. 705; 2011, N 45, ст. 6333; 2017, N 31, ст. 4742; 2019, N 23, ст. 2914), подпунктами 5.2.2 и 5.2.8 пункта 5 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418 (Собрание законодательства Российской Федерации, 2008, N 23, ст. 2708; 2011, N 3, ст. 542, N 44, ст. 6272; 2018, N 40, ст. 6142; 2019, N 6, ст. 541, N 21, ст. 2573, N 30, ст. 4325, N 36, ст. 5046; 2020, N 7, ст. 826, N 18, ст. 2914) приказываю:

1. Утвердить прилагаемые "Требования к эксплуатации сетей связи и управлению сетями электросвязи, включая обеспечение информационной безопасности функционирования сетей связи и систем управления сетями связи".

2. Признать утратившим силу приказ Министерства связи и массовых коммуникаций Российской Федерации от 4 апреля 2016 г. N 135 "Об утверждении Требований к эксплуатации сетей связи и управлению сетями связи в части использования операторами связи услуг сторонних организаций".

3. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

Министр

М.И. Шадаев

УТВЕРЖДЕНЫ
приказом Министерства цифрового
развития, связи и массовых
коммуникаций Российской Федерации
от____________N_________

Требования
к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи

I. Общие положения

1. Настоящие Требования к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи (далее - Требования) направлены на регулирование деятельности операторов связи по:

а) эксплуатации сетей связи, включая техническое обслуживание средств связи;

б) измерению установленных параметров средств и линий связи с учетом соблюдения требований обеспечения единства измерений;

в) обеспечению информационной безопасности сетей связи в целях обеспечения целостности и устойчивости функционирования сетей связи;

г) обеспечению защиты сетей связи от несанкционированного доступа к ним и передаваемой по ним информации, включая требования к структурным подразделениям и обслуживающему персоналу оператора связи и/или привлекаемым для обслуживания средств связи лицам сторонних организаций (далее - сторонняя организация);

д) эксплуатации системы управления сетями связи, включая требования к изоляции системы управления от систем управления других сетей связи;

е) обеспечению информационной безопасности системы управления сетями связи;

ж) устранению уязвимостей систем управления сетями связи;

з) организации эксплуатации сетей связи и управление сетями связи с привлечением лиц сторонних организаций;

и) организации ведения и хранения технической документации.

2. Требования распространяются на сети электросвязи, составляющие единую сеть электросвязи Российской Федерации, входящие в сеть связи общего пользования (далее - ССОП), за исключением сетей связи специального назначения, выделенных и технологических сетей связи, если они не присоединены к ССОП, а также сетей связи для распространения программ телевизионного вещания и радиовещания.

3. Требования направлены на регулирование деятельности обслуживающего персонала оператора связи и (или) привлекаемых лиц сторонних организаций (далее - сторонних организаций), контролю и поддержанию показателей функционирования сетей связи в соответствии с нормативными правовыми актами федерального органа исполнительной власти в области связи и технической документацией на используемые средства связи, включая проведение технического обслуживания средств и линий связи, технической поддержки и сервисного обслуживания средств связи, сбора и анализа статистических данных, ликвидации аварийных ситуаций в сетях связи (далее - эксплуатация сетей связи), а также управлению сетями связи.

4. К оказанию услуг и выполнению работ, связанных с эксплуатацией и (или) управлением сетью связи, в соответствии с Требованиями отнесены работы и услуги, в процессе выполнения или оказания которых лицам, не являющимся работниками оператора связи, предоставляется непосредственный или удаленный доступ к средствам связи, включая оборудование с учетом соответствующих функциональных назначений (далее - средств связи), согласно Перечню средств связи, подлежащих обязательной сертификации*(1), для его наладки, конфигурации, изменения или сброса настроек, включения и выключения и другим аналогичным действиям, которые могут повлиять на исправность средств связи.

5. Единство измерений обеспечивается выполнением требований:

к параметрам функционирования средств связи, их показателей точности, отнесенных к измерениям в сфере государственного регулирования обеспечения единства измерений, устанавливаемых нормативными правовыми актами в области обеспечения единства измерений, в целях обеспечения целостности и устойчивости функционирования сети связи общего пользования, а также применением при измерениях средств измерений утвержденных типов действующими сроками поверки, обеспечивающих измерение параметров с требуемой точностью;

к параметрам функционирования средств связи, их показателей точности, устанавливаемых в нормативных правовых актах федерального органа исполнительной власти в области связи и эксплуатационной документации производителей средств связи, а также применением при измерениях калиброванных средств измерений (в порядке, установленном законодательством Российской Федерации об обеспечении единства измерений), обеспечивающих измерение параметров с требуемой точностью.

6. В сетях связи должны применяться средства связи, прошедшие процедуру подтверждения соответствия обязательным требованиям, установленным федеральным органом исполнительной власти в области связи в правилах применения средств связи.

7. Функционирование систем управления сетями связи организуются в соответствии с Требованиями к функционированию систем управления сетями связи при возникновении угроз устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") и сети связи общего пользования*(2), при соблюдении следующих показателей:

а) режим функционирования круглосуточный - 24 часа в сутки, 7 дней в неделю, 365/366 дней в году;

б) доступность систем управления сетями связи на уровне не менее 99, 9% - суммарное время простоя систем управления сетями связи не более 43,83 час за календарный год.

8. Эксплуатацию сетей связи осуществляют:

обслуживающий персонал оператора связи;

лица организаций (предприятий), включая иностранных граждан и (или) организаций иностранных государств, специализирующихся на техническом обслуживании и (или) восстановлении функционирования сетей связи, а также лица предприятий, производящих средства связи.

9. Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов, принадлежащие операторам связи, в случае если данные технические средства не входят в состав сетей связи оператора связи.

II. Эксплуатация сетей связи

10. Эксплуатация сетей связи подразумевает выполнение организационно-технических мероприятий, включая мероприятия в области обеспечения единства измерений, направленных на предупреждение, обнаружение и устранение неисправностей средств связи и линий связи с целью обеспечения целостности, устойчивого функционирования и безопасности сетей связи.

11. Эксплуатация сетей связи включает в себя:

а) ввод сетей связи (фрагментов сетей связи), образованных средствами и линиями связи в эксплуатацию (паспортизация);

б) техническое обслуживание сетей связи (поддержание их в исправном состоянии);

в) измерение установленных параметров средств и линий связи с учетом соблюдения требований обеспечения единства измерений;

г) поддержание устойчивого функционирования сетей связи путем проведения профилактических, ремонтно-настроечных и аварийно-восстановительных работ на средствах и линиях связи, включая организацию хранения резерва средств связи и технических средств;

д) административное управление операциями эксплуатации;

е) ведение и учет технической и эксплуатационной документации, включая сбор и анализ статистических данных;

ж) организацию работы обслуживающего персонала оператора связи, дневного и сменного (работающего по графикам сменности) и его техническую учебу;

з) соблюдение правил техники безопасности, охраны труда, пожарной безопасности и санитарных норм;

и) материально-техническое обеспечение;

й) вывод из эксплуатации сети связи (фрагмента сети связи).

12. Ввод в эксплуатацию сетей связи осуществляется в соответствии с порядком, устанавливаемым федеральным органом исполнительной власти в области связи.

13. Техническое обслуживание направлено на поддержание параметров средств связи в пределах установленных норм, необходимых для обеспечения целостности, устойчивого функционирования сетей связи и их безопасности.

14. Вид технического обслуживания определяется объемом технологических операций, направленных на поддержание установленных параметров функционирования средств связи в заданных пределах.

15. В сетях связи должны выполняться следующие виды технического обслуживания:

а) профилактическое техническое обслуживание, выполняемое в соответствии с планами оператора связи, устанавливающими периодичность их проведения с учетом максимальной интенсивности использования сети связи, и направленное на своевременное предупреждение возможного появления отказов или ухудшения установленных параметров функционирования средств связи;

б) корректирующее техническое обслуживание, выполняемое после обнаружения состояния неработоспособности средств связи, и направленное на приведение их в состояние, когда их параметры находятся в пределах установленных норм;

в) управляемое техническое обслуживание, выполняемое путем систематического анализа и контроля установленных параметров к средствам связи с использованием средств измерений и средств контроля, и поддержание параметров в пределах заданных норм, своевременное устранение неисправностей.

16. Профилактическое техническое обслуживание включает:

а) периодический эксплуатационный контроль;

б) плановые измерения установленных параметров и ремонтно-настроечные работы;

в) плановую замену средств связи и их компонентов;

г) текущее обслуживание средств связи.

17. Корректирующее техническое обслуживание включает:

а) непрерывный эксплуатационный контроль;

б) эпизодический эксплуатационный контроль;

в) проведение аварийно-восстановительных работ;

г) измерение установленных параметров;

д) оперативно-технический контроль (обнаружение неработоспособности сетей связи и ее компонентов);

е) контроль (измерение) восстановленных параметров функционирования средств и линий связи

18. Управляемое техническое обслуживание включает:

а) непрерывный эксплуатационный контроль;

б) оперативно-технический контроль;

в) операции управления и переключения на резерв.

19. Порядок выполнения измерений установленных параметров средств и линий связи.

а) измерения установленных параметров средств связи должны выполняться в обязательном порядке при вводе сетей связи (фрагмента сети) в эксплуатацию, внедрении новых технологических решений в сети связи (фрагменте сети связи), при присоединении сетей связи, выводе из эксплуатации или модернизации средств связи, а также в процессе эксплуатации и после проведения аварийно-восстановительных работ в сети связи (фрагменте сети связи).

б) периодичность выполнения измерений параметров средств связи в процессе эксплуатации сети связи, установленных в сфере обеспечения единства измерений, должны выполняться в соответствии с планами, утверждаемыми операторами связи, но не реже чем один раз в три года.

в) измерения, относящиеся к сфере государственного регулирования обеспечения единства измерений, должны выполняться по аттестованным методикам (методам) измерений, за исключением методик (методов) измерений, предназначенных для выполнения прямых измерений, с применением средств измерений утвержденного типа с не истекшими сроками поверки. При этом результаты измерений должны быть выражены в единицах величин, допущенных к применению в Российской Федерации*(3).

г) результаты измерений параметров сети связи, относящихся к сфере государственного регулирования обеспечения единства измерений, оформляются протоколом в соответствии с пунктом 5.10 ГОСТ ИСО/МЭК 17025-2009*(4).

20. Профилактические работы должны проводиться по планам оператора связи, которые, в зависимости от объема ресурсов, выводимых из эксплуатации на период проведения профилактических работ, подлежат согласованию с взаимодействующими операторами связи и отдельными пользователями.

Информация о проведении профилактических работ должна регистрироваться в журнале учета профилактических работ. Журнал учета должен содержать:

а) состав проводимых работ;

б) указание о прекращении оказания услуг связи (частичное или полное);

в) дату и время начала проведения работ;

г) дату и время окончания работ;

д) фамилию, имя, отчество, должность специалиста (специалистов), проводившего работы.

21. Срок хранения информации по учету профилактических работ должна составлять не менее трех лет.

22. Корректирующее техническое обслуживание осуществляется в процессе выполнения аварийно-восстановительных работ, в результате которых производится восстановление технического состояния средств связи до уровня, имевшего место до возникновения аварийной ситуации.

23. Аварийно-восстановительные работы включают:

а) внесение изменений в логические характеристики сетевых элементов;

б) определение места (участка) и характера неисправности;

в) подготовку необходимых для восстановительных работ технических средств, средств измерений, технологического оборудования и комплектующих элементов;

г) транспортировку технических средств, средств измерений, технологического оборудования и технических специалистов к месту проведения работ;

д) формирование и передачу уведомлений или сообщений (непосредственно или через диспетчера-координатора работ) в процессе проведения работ подразделения эксплуатации, участвующие в аварийно-восстановительных работах;

е) замену или ремонт неисправных средств связи;

ж) проведение измерений параметров восстановленных средств связи;

з) передачу данных о результатах проведения аварийно-восстановительных работ для ведения статистики.

24. Ремонт средств связи включает в себя комплекс организационно-технических мероприятий, направленных на восстановление вышедших из строя средств связи, восстановление их ресурса или ресурса их составных частей.

Максимальное время устранения неисправности в сети связи должно соответствовать расчетным показателям, приведенным в проектной (эксплуатационной) документации.

25. Информация о работах по обнаружению и устранению неисправностей в сети связи регистрируется в журнале учета неисправностей средств связи.

26. Срок хранения информации по учету неисправностей - не менее трех лет.

27. Работы по техническому обслуживанию сетей связи должны проводиться при соблюдении требований охраны труда и техники безопасности.

III. Обеспечение информационной безопасности, целостности и устойчивости функционирования сетей связи

28. К основным объектам сети связи, подлежащим защите , относятся:

система управления сетью связи;

информационные ресурсы оператора связи;

узлы абонентского доступа;

технические средства обработки, хранения и передачи информации;

линии связи;

программное обеспечение;

базы данных, системы управления базами данных;

серверы, рабочие станции;

протоколы информационного обмена;

механизмы обеспечения безопасности (средства защиты информации, систем и объектов связи);

носители защищаемой информации;

помещения, предназначенные для размещения средств связи сетей связи, взаимодействующих со значимыми объектами критической информационной инфраструктуры.

29. Подсистема безопасности сети связи должна включать:

архитектуру построения и принципы взаимодействия подсистем безопасности, используемых в сети связи;

перечень защищаемых компонентов;

описание возможных нарушений целостности, устойчивости функционирования и безопасности сети связи;

частную модель угроз и модель нарушителя;

описание подсистемы безопасности, включая комплекс мер по защите информации и систему антивирусной защиты программных средств, описание целевых функций, механизмов и используемых средств защиты;

правила разграничения доступа;

порядок действий в нештатной ситуации.

30. При создании подсистемы безопасности сети связи должны использоваться:

средства защиты информации, имеющие сертификат Федеральной службы по техническому и экспортному контролю;

средства обеспечения гарантированного электропитания (источники бесперебойного питания);

резервирование технических и программных средств согласно архитектуре построения подсистемы безопасности сети связи;

средства криптографической защиты, имеющие подтверждение соответствия требованиям, утвержденным Федеральной службой безопасности Российской Федерации;

системы управления правами доступа, управления инцидентами безопасности и корреляции событий, резервного копирования и восстановления данных.

31. Подсистема безопасности сети связи, в состав которой входит значимый объект (входят значимые объекты) критической информационной инфраструктуры, должна создаваться и эксплуатироваться с учетом Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования*(5).

32. При эксплуатации сетей связи, взаимодействующих со значимыми объектами критической информационной инфраструктуры для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющие сертификат ФСТЭК России, и должны соблюдаться следующие требования:

использование антивирусных средств и средств обнаружения иного вредоносного программного обеспечения, имеющих сертификат соответствия требованиям, утвержденным Федеральной службой безопасности Российской Федерации;

обеспечение защиты от воздействий на технические и программные средства, в результате которых нарушается их функционирование;

обеспечение защиты от несанкционированного доступа к помещениям, в которых размещены данные средства, с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в помещения посторонних лиц. При этом помещения должны быть оборудованы охранной системой видеонаблюдения;

обеспечение регистрации действий обслуживающего персонала и аномальной активности пользователей.

33. Оператором связи, которому на праве собственности, аренды или на ином законном основании принадлежит значимый объект (принадлежат значимые объекты) критической информационной инфраструктуры, в отношении этого объекта (этих объектов) должны быть реализованы Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования5.

34. Защита сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации должна быть организована в соответствии с Требованиями по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации*(6).

IV. Обеспечение информационной безопасности в сетях связи, включая требования к структурным подразделениям и должностным лицам оператора связи

35. Оператор связи должен разработать паспорт организации связи по информационной безопасности в соответствии с ГОСТ Р 53109-2008*(7). Сведения, включаемые в паспорт, должны уточняться и обновляться не реже чем один раз в три года.

36. Эксплуатация системы информационной безопасности сети связи осуществляется в соответствии с эксплуатационной документацией, организационно-распорядительными документами по защите информации, включающей:

а) администрирование компонентов системы информационной безопасности;

б) выявление инцидентов и реагирование на них;

в) управление конфигурацией;

г) контроль (мониторинг) уровня защищенности информации, содержащейся в сети связи.

37. Разработка эксплуатационной документации на систему защиты информации сетей связи должна осуществляться в соответствии с техническим заданием на проектирование сети связи и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации сети связи.

Эксплуатационная документация на систему защиты информации сетей связи должна разрабатываться с учетом ГОСТ Р 52448-2005*(8) и должна содержать:

а) описание структуры системы защиты информации сети связи;

б) описание состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;

в) правила эксплуатации системы защиты информации сети связи.

38. В ходе контроля (мониторинга) уровня защищенности информации, содержащейся в сети связи, должен осуществляться:

а) контроль событий безопасности и действий пользователей в сети связи;

б) контроль (анализ) защищенности информации, содержащейся в сети связи;

в) анализ и оценка функционирования системы информационной безопасности, включая выявление, анализ и устранение недостатков в функционировании средств защиты информации;

г) оценка необходимости обновления систем безопасности, установки корректировки программного обеспечения и актуализации сигнатур;

д) периодический анализ изменения угроз безопасности информации в сети связи, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации;

е) документирование процедур и результатов контроля (мониторинга) уровня защищенности информации, содержащейся в сети связи;

ж) принятие решения о доработке (модернизации) системы информационной безопасности по результатам контроля (мониторинга) в части уровня защищенности информации.

39. Вновь вводимые или измененные компоненты системы информационной безопасности должны тестироваться отдельно для подтверждения их функционирования, и в последующем в операционном окружении для подтверждения того, что их интеграция в сеть связи не ухудшает показатели качества услуг связи и/или функций системы информационной безопасности.

40. К работам по обеспечению информационной безопасности сети связи должен допускаться персонал, имеющий профильное образование и квалификацию в соответствии с Квалификационными характеристиками должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации*(9).

41. К основным обязанностям персонала, выполняющего работы по обеспечению информационной безопасности сетей связи, относятся:

а) обеспечение функционирования сетей связи в соответствии с установленными в организации требованиями информационной безопасности;

б) обеспечения заданного уровня конфиденциальности, доступности и целостности информации;

в) подготовки и хранения резервных копий данных, их периодической проверки, актуализации и уничтожения;

г) создания пользовательских учетных записей и ведения правил доступа;

д) обнаружения и предупреждения компьютерных атак, реагирования на инциденты информационной безопасности;

е) взаимодействия с Национальным координационным центром по компьютерным инцидентам.

42. Персонал, обеспечивающий эксплуатацию, должен быть ознакомлен с Требованиями по обеспечению информационной безопасности.

43. Персонал, обслуживающий технические средства и обеспечивающий информационную безопасность в соответствии с Требованиями, должен пройти обучение, в том числе для приобретения необходимых навыков для работы на эксплуатируемом типе технического средства.

44. Руководители и специалисты, участвующие в работах по эксплуатации сетей связи, взаимодействующих со значимыми объектами критической информационной инфраструктуры, должны иметь квалификацию в объеме, соответствующем должностным обязанностям и установленной компетенции.

45. Оператор связи обязан принять меры по недопущению раскрытия организационных и тактических приемов проведения оперативно-разыскных мероприятий (ОРМ)*(10), защите от несанкционированного доступа персонала, обслуживающего сеть связи, к информации, относящейся к проведению ОРМ*(11), а также обеспечить запрет возможности регистрации информации, связанной с функционированием средств связи, в том числе программного обеспечения, обеспечивающего выполнение ОРМ и раскрывающей объекты контроля*(12).

46. При эксплуатации оператором связи специального программного обеспечения, а также специальных средств криптозащиты информации (далее - СКЗИ) должны выполняться следующие правила:

а) определение и утверждение списка лиц, имеющих доступ к СКЗИ и ключевой информации;

б) исключение бесконтрольного проникновения и пребывания в помещениях, в которых размещаются СКЗИ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях;

в) в случае необходимости присутствия посторонних лиц в помещениях, в которых размещаются СКЗИ, должен быть обеспечен контроль за их действиями со стороны персонала оператора связи из числа работников, допущенных к работе в указанных помещениях;

г) не допускается оставление без контроля средств связи, узлов связи при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации;

д) в случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (электронной подписи и шифрования), должна быть проведена смена ключей, к которым этот сотрудник имел доступ.

47. Оператором связи, которому на праве собственности, аренды или на ином законном основании принадлежит значимый объект (принадлежат значимые объекты) критической информационной инфраструктуры, в отношении этого объекта (этих объектов) должны быть реализованы Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования*(13).

V. Управление сетями связи и обеспечение их информационной безопасности

48. Системы управления сетями связи должны обеспечивать решение комплекса задач, связанных с эксплуатацией сетей связи на протяжении всего их жизненного цикла, включая функции по управлению до ввода в эксплуатацию (планирование, создание баз данных, установку средств связи и монтаж линий связи, пусконаладочные работы), в процессе эксплуатации (техническое обслуживание, восстановление связей, управление трафиком, набор статистики, расчеты), а также функции развития (анализ качества, прогнозирование, формирование требований к параметрам средств связи, линий связи и систем управления).

49. Система управления сетью связи является территориально распределенной системой.

50. Система управления сетью связи должна содержать основной и резервный пункты управления и управляемые средства связи, связанные технологической сетью передачи данных оператора связи.

51. Система управления сетью связи не должна взаимодействовать с сетями связи других операторов, входящих в состав ССОП.

52. В целях обеспечения устойчивого функционирования сети связи взаимодействие между основным и резервным пунктом управления должно осуществляться не менее чем по двум независимым географически разнесенным каналам связи.

53. Система управления сетью связи должна создаваться с применением сертифицированных программных и аппаратных средств управления и средств защиты информации, а также с использованием защищенных системой обеспечения информационной безопасности каналов управления.

Для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющие сертификат ФСТЭК России.

54. Построение системы управления осуществляется с использованием имеющих соответствующие сертификаты программно-аппаратных средств, выполняющих функции систем управления и мониторинга, российского происхождения. В случае отсутствия таковых допускается применение иностранных программно-аппаратных средств, соответствующих требованиям информационной безопасности, установленным уполномоченными федеральными органами исполнительной власти в области обеспечения безопасности и в области противодействия иностранным техническим разведкам и технической защиты информации.

55. В системе управления должны быть реализованы следующие организационные и технические меры, направленные на обеспечение ее устойчивого и безопасного функционирования в условиях воздействия разрушающих информационных воздействий, в том числе компьютерных атак:

а) управление сетью связи, должно осуществляться на постоянной основе в круглосуточном режиме;

б) адресное пространство технологической сети не должно пересекаться с адресным пространством, предназначенным для узлов связи сетей связи, входящих в состав ССОП или пользователей услугами;

в) должна быть исключена возможность управления средствами связи с территории иностранного государства;

г) в целях обеспечения надежности системы управления коэффициент готовности каналов управления системы управления должен быть не ниже чем 0,9995;

д) обеспечение конфиденциальности и целостности информации управления должно осуществляться с использованием сертифицированных СКЗИ.

56. В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, персонал, обеспечивающий управление сетью связи оператора связи, должен иметь допуск к сведениям, составляющим государственную тайну.

57. Привлечение к выполнению функций настройки и конфигурирования средств связи иностранных граждан должно выполняться с учетом пунктов 83, 84 и 92 Требований.

58. В системе управления должно осуществляться документирование всех случаев доступа и попыток получения доступа к каждому техническому средству системы управления сетью связи.

59. В целях обеспечения принятия превентивных мер защиты системы управления сетью связи оператором связи постоянно должен проводиться сбор информации об инцидентах нарушения безопасности системы управления и анализ рисков в соответствии с моделью угроз безопасности и моделью нарушителя, имеющимися у оператора связи в соответствии с пунктом 33 настоящих Требований.

60. Системы управления сетями связи, являющиеся значимым объектом критической информационной инфраструктуры, должны соответствовать Требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования*(14), а также Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации*(15),.

VI. Эксплуатация системы управления сетью связи

61. Эксплуатация системы (сегмента) управления сетью связи в соответствии с пунктами 79, 80 и 86 Требований осуществляется обслуживающим персоналом оператора связи и (или) сторонними организациями.

62. Управление сетью электросвязи может осуществляться только с территории Российской Федерации.

63. Оператор связи обязан исключить управление сетью связи через сеть "Интернет" без обеспечения выделенных защищенных каналов связи и использования систем безопасности согласно разделу V настоящих Требований.

64. Оператор связи обязан организовать единую точку подключения для доступа сторонних организаций (лиц) к управлению средствами связи в сети связи, технические параметры которой должны быть указаны в договоре об оказании услуг в части эксплуатации системы (сегмента) управления сетью связи.

65. В случае если система управления является объектом критической информационной инфраструктуры, для изоляции сегмента управления сетью связи от других сетей связи оператор должен организовать:

а) выделенные транзитные пункты сигнализации, которые должны обеспечивать автоматизацию управления сетью сигнализации и обработки сообщений сигнализации (управление критическим процессом, обработка и передача информации);

б) выделенные сети передачи данных для управления и мониторинга сетей связи, которые должны обеспечить передачу информации между автоматизированными системами управления и мониторинга сетей связи и средствами связи, участвующими в управлении (обработка и передача информации).

66. В случае если система управления задействует общие ресурсы сети связи, то для обеспечения ее функционирования должен быть организован выделенный канал связи.

67. Использование в качестве резерва виртуальных каналов (VPN) в сети передачи данных на базе стека протоколов IP допускается при обеспечении требуемой пропускной способности, параметров качества обслуживания (SLA), требований по информационной безопасности и защиты информации в соответствии с разделом V настоящих Требований.

68. Для управления сетью связи должны быть выделены отдельные порты.

69. В проектной документации на систему управления должны быть определены следующие технические параметры подключения:

а) вид канала управления (выделенный или виртуальный);

б) количество каналов управления;

в) технологии организации для подключения системы (сегмента) управления;

г) IP-адрес, номера портов для подключения и другие конфигурируемые параметры соединения.

70. Пропуск трафика от системы управления к сети связи через территорию иностранного государства не допускается.

VII. Устранение уязвимостей систем управления сетями связи

71. Оператором сетей связи должен проводиться внутренний аудит безопасности систем управления сетями связи с периодичностью, устанавливаемой оператором связи, но не реже чем один раз в три года.

72. При проведении внутреннего аудита безопасности систем управления сетями связи должны выполняться следующие мероприятия:

обнаружение уязвимостей, связанных с корректной установкой и настройкой средств защиты информации, средств связи и программного обеспечения;

анализ корректности работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;

73. По результатам проведения внутреннего аудита безопасности систем управления сетями связи оператором связи должен составляться отчет с описанием выявленных уязвимостей, на основе которого должен составляться план мероприятий по устранению выявленных уязвимостей.

74. Устранение выявленных уязвимостей производится любым из доступных способов, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, включая программное обеспечение средств связи.

75. В случае опубликования в открытых источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в системах управления сетями связи, или получении официального уведомления от производителя средств связи или программного обеспечения оператор связи должен провести внеплановый аудит безопасности систем управления сетями связи, в рамках которого должен быть проведен поиск и анализ уязвимостей.

76. В случае невозможности устранения выявленных уязвимостей путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения технических средств необходимо предпринять действия (настройки средств защиты информации, изменение режима и порядка использования систем управления сетями связи), направленные на прекращение использования оборудования и программного обеспечения с выявленными уязвимостями.

77. Оператором связи должен быть разработан и утвержден регламент, который должен содержать правила и процедуры выявления, анализа и устранения уязвимостей сетей связи.

VIII. Эксплуатация сетей связи и управление сетями связи с привлечением сторонних организаций

78. Сторонние организации допускаются к техническому обслуживанию сети связи для выполнения следующих работ:

а) профилактическое техническое обслуживание сети связи;

б) обеспечение функционирования сети связи и сервисов;

в) мониторинг сети связи;

г) анализ отказов и аварий в сети связи;

д) управление резервом средств связи, замена и ремонт средств связи.

79. Оказание услуг или выполнение работ, связанных с эксплуатацией и (или) управлением сетью связи для обеспечения функционирования значимых объектов критической информационной инфраструктуры Российской Федерации, сторонней организацией, являющейся организацией-нерезидентом Российской Федерации, не допускается.

80. Организации иностранных государств, привлекаемые к эксплуатации сетей связи, обязаны иметь российское представительство на территории Российской Федерации.

81. Оператор связи обязан установить порядок хранения и передачи информации, доступ к которой получают сторонние организации в процессе выполнения работ (информация о сетях связи, узлах связи, пользовательская активность), а также предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.

82. Оператором связи должны быть предусмотрены организационно-режимные и технические меры по осуществлению гарантированного контроля за действиями сторонних организаций при осуществлении управления сетью связи, включающие регистрацию команд управления, фиксацию изменений программных компонент и конфигурационных параметров, применение средств обнаружения компьютерных атак и антивирусных средств.

83. Оператор связи и (или) сторонняя организация (далее - исполнитель) осуществляет эксплуатацию сети связи при наличии следующих документов, оформленных оператором связи:

договора об оказании услуг или выполнении работ, связанных с эксплуатацией и (или) управлением сетью связи (далее - договор);

документа с подробным описанием полного перечня работ (мониторинг, поддержка функционирования сети связи, управление конфигурациями, управление производительностью, техническое обслуживание и ремонт) по техническому обслуживанию сети связи;

документ, устанавливающий ответственность по видам работ между оператором связи и исполнителем работ;

соглашение о гарантированном качестве обслуживания.

84. Договор должен содержать следующие сведения:

перечень оказываемых услуг;

технические характеристики и параметры (интерфейсы) подключения для получения удаленного доступа к средствам связи сети связи;

периодичность предоставления отчета о событиях и выполненных работах;

сроки предоставления информации и результатов работы;

обязанности и ответственность исполнителя и заказчика;

условия расторжения договора.

85. До начала выполнения работ по договору сторонняя организация должна иметь собственные центры технической эксплуатации, укомплектованные техническими специалистами, имеющими техническую квалификацию, достаточную для выполнения работ согласно перечню оказываемых услуг, указанных в договоре. Квалификация технических специалистов подтверждается соответствующими сертификатами, выданными производителем эксплуатируемого оборудования или программного обеспечения или документами о прохождении профильного основного или дополнительного образования, выданными государственными образовательными учреждениями или лицензированными учебными центрами.

86. На основании договора исполнитель обязан ежеквартально, не позднее 10-го числа месяца, следующего за отчетным кварталом, представлять оператору связи сведения об иностранных организациях и иностранных гражданах (лицах без гражданства), привлекаемых к оказанию услуг и работ, указанных в договоре.

87. Сведения представляются сторонней организацией оператору связи в письменной форме, удостоверенные уполномоченным представителем этой организации с указанием даты, фамилии и инициалов и его должности.

88. Оператор связи ежеквартально, не позднее 15-го числа месяца, следующего за отчетным кварталом, направляет в территориальный орган Федеральной службы безопасности Российской Федерации, на территории которого функционирует сеть связи, имеющиеся сведения об организациях иностранных государств и иностранных гражданах (лицах без гражданства), привлекаемых к оказанию услуг и (или) выполнению работ, связанных с эксплуатацией и (или) управлением его сетью связи.

89. Сведения об организации иностранного государства должны содержать:

полное и сокращенное (при наличии) наименование организации иностранного государства (буквами русского и (или) латинского алфавита);

регистрацию в стране происхождения (страна происхождения, дата регистрации, регистрационный номер, наименование регистрирующего органа, адрес (место нахождения) в стране происхождения);

идентификационный номер налогоплательщика организации иностранного государства в стране регистрации, а при его отсутствии - аналогичный документ, используемый в иностранном государстве;

наименование филиала или представительства на территории Российской Федерации (при наличии);

адрес (место нахождения) филиала или представительства на территории Российской Федерации (почтовый индекс, субъект Российской Федерации (код), наименование района, населенного пункта, улицы, номер дома, корпуса, строения, офиса);

свидетельство об аккредитации филиала или представительства на территории Российской Федерации (номер, число, месяц, год), срок действия свидетельства (число, месяц, год) или разрешения на открытие представительства (номер, число, месяц, год), наименование уполномоченного органа, выдавшего разрешение, срок действия разрешения (число, месяц, год);

перечень идентификаторов (учетных записей/логинов), выделенных организации иностранного государства для управления средствами связи, в том числе с использованием удаленного доступа.

90. Сведения об иностранном гражданине (лице без гражданства) должны содержать:

фамилию, имя (буквами русского алфавита и буквами латинского алфавита), отчество (при наличии) (буквами русского алфавита);

дату рождения (день, месяц, год);

пол;

гражданство (подданство) иных государств (при наличии);

место рождения (государство, населенный пункт);

место постоянного проживания (государство, населенный пункт);

документ, удостоверяющий личность иностранного гражданина или лица без гражданства (серия, номер, дата выдачи, кем выдан);

идентификационный номер налогоплательщика или аналогичный документ, используемый в иностранном государстве;

перечень идентификаторов (учетных записей/логинов), выделенных гражданину иностранного государства (лицу без гражданства) для управления средствами связи, в том числе с использованием удаленного доступа;

наличие письменного согласия субъекта персональных данных на обработку его персональных данных.

91. Оператор связи должен хранить в течение трех лет информацию о всех действиях со средствами связи, выполненных обслуживающим персоналом оператора связи и (или) сторонними организациями в процессе эксплуатации и (или) управления сетью связи, в том числе с использованием удаленного доступа.

К указанным средствам связи относятся средства связи, выполняющие функции:

а) систем коммутации узла сети междугородной и международной телефонной связи;

б) систем коммутации узла сети фиксированной зоновой телефонной связи;

в) систем коммутации узла сети местной телефонной связи монтированной емкостью 3 000 номеров и выше;

г) систем коммутации узла сети подвижной радиосвязи;

д) систем коммутации узла сети подвижной радиотелефонной связи;

е) систем коммутации узла сети подвижной спутниковой радиосвязи;

ж) систем коммутации узла сети передачи данных скоростью передачи данных 10 Гбит/с и выше;

з) первичные и вторичные задающие генераторы систем тактовой сетевой синхронизации;

и) систем коммутации узла обслуживания вызовов экстренных оперативных служб;

й) систем управления и мониторинга сетей связи.

92. Оператор связи информацию в соответствии с пунктом 70 Требований представляет в территориальный орган Федеральной службы безопасности Российской Федерации в электронном виде или при отсутствии возможности хранения информации в электронном виде на бумажном носителе.

IX. Организация ведения и хранения технической документации

93. Операторы связи и (или) сторонние организации, обеспечивающие эксплуатацию сетей связи, должны иметь в полном объеме эксплуатационную и производственную документацию на сеть связи, обслуживанием которой они занимаются, и вести ее в установленном порядке, в том числе с использованием программно-технических средств.

94. Эксплуатация средств и линий связи должна осуществляться в соответствии Требованиями, а также с учетом требований эксплуатационной документации производителей средств связи, а также производственной документацией.

95. Документация, поставляемая в комплекте со средствами связи, должна быть как на языке страны изготовителя средства связи, так и на русском языке в обязательном порядке.

96. Эксплуатационная документация должна храниться и обрабатываться исключительно на территории Российской Федерации.

Средства связи должны быть укомплектованы комплектом эксплуатационной документацией в соответствии с ГОСТ Р 2.601-2019*(16), включающим:

а) утвержденная проектная документация со всеми последующими изменениями;

б) акты приемки в эксплуатацию;

в) паспорт;

г) техническая документация заводов-изготовителей;

д) руководства по эксплуатации;

е) комплект ремонтной документации;

ж) должностные инструкции для всех категорий специалистов, включая рабочих, относящихся к дежурному персоналу;

з) инструкции по охране труда;

и) оперативный журнал.

а) к технической документации относятся:

правила технической эксплуатации, руководства, инструкции, рекомендации и директивные указания по вопросу технической эксплуатации средств связи, тактов и каналов связи;

положения и инструкции по вопросам оперативно-технического управления сетями;

должностные инструкции эксплуатационного персонала;

проектная и рабочая документация на строительство и монтаж средств связи, узлов связи и линии связи;

паспорта на узел, линии связи, тракты;

схемы организации связи;

97. Данные о сетевых ресурсах должны быть занесены в журнал статистического учета состояния средств связи и линий связи.

98. При утере эксплуатационной документации на средства связи должны быть приняты меры к восполнению недостающей эксплуатационной документации в срок не более шести месяцев с момента обнаружения факта утраты.

-------------------------------------------

*(1) Перечень средств связи, подлежащих обязательной сертификации, утвержденный постановлением Правительства Российской Федерации от 25 июня 2009 г. N 532 (Собрание законодательства Российской Федерации, 29.06.2009, N 26, ст. 3206).

*(2) Приказ Минкомсвязи России от 10.10.2019 N 582 "Об утверждении требований к функционированию систем управления сетями связи при возникновении угроз устойчивости, безопасности и целостности функционирования на территории российской федерации информационно-телекоммуникационной сети "Интернет" и сети связи общего пользования" (зарегистрирован Минюстом России 14 января 2020 г. регистрационный N 57134).

*(3)  Положение о единицах величин, допускаемых к применению в Российской Федерации, утвержденное постановлением Правительства Российской Федерации от 31 октября 2009 года N 879 (Собрание законодательства Российской Федерации, N 45, 09.11.2009, ст.5352).

*(4)  ГОСТ ИСО/МЭК 17025-2009 "Межгосударственный стандарт. Общие требования к компетентности испытательных и калибровочных лабораторий" (Введен в действие 1 января 2012 г. приказом Росстандарта от 04.04.2011 N 41-ст; М.: Стандартинформ, 2011)

*(5) Приказ ФСТЭК России от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" (зарегистрирован Минюстом России 22 февраля 2018 г. регистрационный N 50118).

*(6) Приказ Министерства информационных технологий и связи Российской Федерации от 9 января 2008 г. N 1 "Об утверждении Требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации" (зарегистрирован Минюстом России 23 января 2008 г. регистрационный N 10993).

*(7) ГОСТ Р 53109-2008 "Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности" (веден в действие приказом Ростехрегулирования от 18.12.2008 N 527-ст, М, Стандартинформ, 2009).

*(8) ГОСТ Р 52448-2005 "Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения" (введен в действие приказом Ростехрегулирования от 29.12.2005 N 449-ст, М, Стандартинформ, 2006).

*(9) Приказ Минздравсоцразвития России от 22.04.2009 N 205 "Об утверждении Единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел "Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации" (Бюллетень трудового и социального законодательства Российской Федерации, N 5, 2009).

*(10)  пункт 2 статьи 64 Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи".

*(11)  пункт 9 Требований к сетям электросвязи для проведения оперативно-разыскных мероприятий. Часть I. Общие требования, утвержденных приказом Министерства информационных технологий и связи Российской Федерации от 16 января 2008 г. N 6 (зарегистрирован Минюстом России 31 января 2008 г. регистрационный N 11057).

*(12)  пункт 6 Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий. Часть II. Правила применения оборудования транзитных, оконечно-транзитных и оконечных узлов связи сети фиксированной телефонной связи, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий, утвержденных приказом Министерства связи и массовых коммуникаций Российской Федерации от 19 ноября 2012 г. N 268 (зарегистрирован Минюстом России 29 декабря 2012 г. регистрационный N 26431).

*(13) Приказ ФСТЭК России от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" (зарегистрирован Минюстом России 22 февраля 2018 г. регистрационный N 50118).

*(14) Приказ ФСТЭК России от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" (зарегистрирован Минюстом России 22 февраля 2018 г. регистрационный N 50118).

*(15) Приказ ФСТЭК России от 25 декабря 2017 г. N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (зарегистрирован Минюстом России 26 марта 2018 г. регистрационный N 50524).

*(16) ГОСТ Р 2.601-2019 "Единая система конструкторской документации. Эксплуатационные документы" (утвержден приказом Росстандарта от 29.04.2019 N 177-ст, М.: Стандартинформ, 2019 г.).

ГАРАНТ:

См. Сводный отчет, загруженный при публикации проекта