Доработанный текст проекта Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ "Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи"
(подготовлен Минкомсвязью России от 31.07.2020)
В целях реализации требований пунктов 2, 2.1 статьи 12, пунктов 1, 2 и 5.1 статьи 46, статьи 56.1 и статей 65 и 65.1 Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи" (Собрание законодательства Российской Федерации, 2003, N 28, ст. 2895; 2006, N 31, ст. 3448; 2007, N 7, ст. 835; 2010, N 7, ст. 705; 2011, N 45, ст. 6333; 2017, N 31, ст. 4742; 2019, N 23, ст. 2914), в соответствии с пунктом 5 статьи 6 Федерального закона от 26 июля 2017 г. "О безопасности критической информационной инфраструктуры Российской Федерации" N 187-ФЗ (Собрание законодательства Российской Федерации, 2017, N 31, ст.4736) и в соответствии с подпунктами 5.2.2, 5.2.8 и 5.2.23 пункта 5 Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 2 июня 2008 г. N 418 (Собрание законодательства Российской Федерации, 2008, N 23, ст. 2708; 2011, N 3, ст. 542, N 44, ст. 6272; 2018, N 40, ст. 6142; 2019, N 6, ст. 541, N 21, ст. 2573, N 30, ст. 4325, N 36, ст. 5046; 2020, N 7, ст. 826, N 18, ст. 2914), приказываю:
1. Утвердить прилагаемые "Требования к эксплуатации сетей связи и управлению сетями электросвязи, включая обеспечение информационной безопасности функционирования сетей связи и систем управления сетями связи".
2. Признать утратившим силу приказ Министерства связи и массовых коммуникаций Российской Федерации от 4 апреля 2016 г. N 135 "Об утверждении Требований к эксплуатации сетей связи и управлению сетями связи в части использования операторами связи услуг сторонних организаций".
3. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
Министр |
М.И. Шадаев |
УТВЕРЖДЕНЫ
приказом Министерства цифрового
развития, связи и массовых коммуникаций
Российской Федерации
от____________N_________
Требования
к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи
I. Общие положения
1. Настоящие Требования к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи (далее - Требования) направлены на регулирование деятельности операторов связи по:
а) эксплуатации сетей связи, включая техническое обслуживание средств связи;
б) измерению параметров средств и линий связи с учетом соблюдения требований обеспечения единства измерений;
в) обеспечению информационной безопасности сетей связи в целях обеспечения целостности и устойчивости функционирования сетей связи;
г) обеспечению защиты сетей связи от несанкционированного доступа к ним и передаваемой по ним информации, включая требования к структурным подразделениям и работникам оператора связи и/или привлекаемым для обслуживания средств связи работникам сторонних организаций (далее - сторонняя организация);
д) эксплуатации системы управления сетями связи, включая требования к изоляции системы управления от систем управления сетями связи других операторов связи;
е) обеспечению информационной безопасности системы управления сетями связи;
ж) устранению уязвимостей систем управления сетями связи;
з) организации эксплуатации сетей связи и управление сетями связи с привлечением лиц сторонних организаций;
и) организации ведения и хранения эксплуатационной документации.
2. Требования распространяются на сети электросвязи, составляющие единую сеть электросвязи Российской Федерации, за исключением сетей связи специального назначения, выделенных и технологических сетей связи, если они не присоединены к сети связи общего пользования (далее - ССОП), а также сетей связи для распространения программ телевизионного вещания и радиовещания.
3. Требования направлены на регулирование деятельности оператора связи и (или) привлекаемых сторонних организаций, по контролю и поддержанию показателей функционирования сетей связи в соответствии с нормативными правовыми актами федерального органа исполнительной власти в области связи и технической документацией на используемые средства связи, включая проведение технического обслуживания средств и линий связи, технической поддержки и сервисного обслуживания средств связи, сбора и анализа статистических данных, ликвидации аварийных ситуаций в сетях связи (далее эксплуатация сетей связи), а также по управлению сетями связи.
4. К оказанию услуг и выполнению работ, связанных с эксплуатацией и (или) управлением сетью связи, в соответствии с Требованиями отнесены в том числе работы и услуги, в процессе выполнения или оказания которых лицам, не являющимся работниками оператора связи, предоставляется непосредственный или удаленный доступ к средствам связи, включая оборудование с учетом соответствующих функциональных назначений (далее - средств связи), согласно Перечню средств связи, подлежащих обязательной сертификации*(1), для его наладки, конфигурации, изменения или сброса настроек, включения и выключения и другим аналогичным действиям, которые могут повлиять на исправность средств связи.
5. Единство измерений обеспечивается выполнением требований:
к параметрам средств связи, их показателей точности, отнесенных к измерениям в сфере государственного регулирования обеспечения единства измерений, устанавливаемых нормативными правовыми актами в области обеспечения единства измерений, в целях обеспечения целостности и устойчивости функционирования сети связи общего пользования, а также применением при измерениях средств измерений утвержденных типов, поверенных в установленные сроки и обеспечивающих измерение параметров с требуемой точностью;
к параметрам средств связи, их показателей точности, устанавливаемых в нормативных правовых актах федерального органа исполнительной власти в области связи и эксплуатационной документации производителей средств связи, а также применением при измерениях калиброванных средств измерений (в порядке, установленном законодательством Российской Федерации об обеспечении единства измерений), обеспечивающих измерение параметров с требуемой точностью.
6. В сетях связи должны применяться средства связи, имеющие сертификат соответствия обязательным требованиям, установленным федеральным органом исполнительной власти в области связи в правилах применения средств связи.
7. Функционирование систем управления сетями связи обеспечивается при соблюдении Требований к функционированию систем управления сетями связи при возникновении угроз устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") и сети связи общего пользования*(2), при выполнении следующих показателей:
а) режим функционирования круглосуточный - 24 часа в сутки, 7 дней в неделю, 365/366 дней в году;
б) доступность систем управления сетями связи на уровне не менее 99,9% - суммарное время простоя систем управления сетями связи не более 43,83 час за календарный год;
в) в целях обеспечения надежности системы управления коэффициент готовности каналов управления системы управления должен быть не ниже 0,9995.
8. Эксплуатацию сетей связи осуществляют:
работники оператора связи;
работники организаций (предприятий), включая иностранных граждан и (или) иностранные юридические лица , специализирующихся на техническом обслуживании и (или) восстановлении функционирования сетей связи, а также лица предприятий, производящих средства связи.
9. Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания операторов связи, через которые абоненты получают доступ к сведениям об оказанных услугах связи, , в случае если указанные технические средства не входят в состав сетей связи оператора связи.
II. Эксплуатация сетей связи
10. Эксплуатация сетей связи предусматривает выполнение организационно-технических мероприятий, включая мероприятия в области обеспечения единства измерений, направленных на предупреждение, обнаружение и устранение неисправностей средств связи и линий связи с целью обеспечения целостности, устойчивого функционирования и безопасности сетей связи.
11. Эксплуатация сетей связи включает:
а) ввод сетей связи (фрагментов сетей связи), образованных средствами и линиями связи в эксплуатацию (паспортизация);
б) техническое обслуживание средств связи (поддержание их в исправном состоянии);
в) измерение параметров средств и линий связи с учетом соблюдения требований обеспечения единства измерений;
г) поддержание устойчивого функционирования сетей связи путем проведения профилактических, ремонтно-настроечных и аварийно-восстановительных работ на средствах и линиях связи, включая организацию хранения резерва средств связи и эксплуатационных материалов;
д) административное управление операциями эксплуатации;
е) ведение и учет эксплуатационной документации, включая сбор и анализ статистических данных;
ж) организацию работы работников оператора связи, работающих по графикам сменности и их техническую учебу;
з) соблюдение требований техники безопасности, охраны труда, пожарной безопасности и санитарных норм;
и) материально-техническое обеспечение;
й) вывод из эксплуатации сети связи (фрагмента сети связи).
12. Ввод в эксплуатацию сетей связи осуществляется в соответствии с порядком, устанавливаемым федеральным органом исполнительной власти в области связи.
13. Техническое обслуживание средств связи и линий связи направлено на поддержание их параметров в пределах установленных норм, необходимых для обеспечения целостности, устойчивого функционирования и безопасности сетей связи.
Требования к применяемым средствам связи, управлению ими и передаваемой по ним информации, в том числе в чрезвычайных ситуациях, защиты сетей связи от несанкционированного доступа к ним и передаваемой по ним информации устанавливаются федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности.
Обязательные метрологические требования к измерениям, выполняемые при эксплуатации сети связи общего пользования, и к применяемым средствам измерений в целях обеспечения целостности и устойчивости функционирования сети связи общего пользования устанавливаются федеральным органом исполнительной власти в области связи в соответствии с законодательством Российской Федерации об обеспечении единства измерений.
14. Вид технического обслуживания определяется объемом технологических операций, направленных на поддержание установленных параметров функционирования средств связи в заданных пределах.
15. В сетях связи должны выполняться следующие виды технического обслуживания:
а) профилактическое техническое обслуживание, выполняемое в соответствии с планами оператора связи, устанавливающими периодичность их проведения с учетом максимальной интенсивности использования сети связи, и направленное на своевременное предупреждение возможного появления отказов или ухудшения установленных параметров функционирования средств связи;
б) корректирующее техническое обслуживание, выполняемое после обнаружения состояния неработоспособности средств связи, и направленное на приведение их в состояние, когда их параметры находятся в пределах установленных норм;
в) управляемое техническое обслуживание, выполняемое посредством систематического анализа и контроля установленных параметров к средствам связи с использованием средств измерений и средств контроля, и поддержание параметров средств и линий связи в пределах заданных норм, своевременное устранение неисправностей.
16. Профилактическое техническое обслуживание включает:
а) периодический эксплуатационный контроль;
б) плановые измерения установленных параметров и ремонтно-настроечные работы;
в) плановую замену средств связи и их компонентов;
г) текущее обслуживание средств связи.
17. Корректирующее техническое обслуживание включает:
а) непрерывный эксплуатационный контроль;
б) эпизодический эксплуатационный контроль;
в) проведение аварийно-восстановительных работ;
г) измерение установленных параметров;
д) постоянный оперативно-технический контроль (обнаружение неработоспособности сетей связи и ее компонентов);
е) контроль (измерение) восстановленных параметров функционирования средств и линий связи
18. Управляемое техническое обслуживание включает:
а) непрерывный эксплуатационный контроль;
б) оперативно-технический контроль;
в) операции управления и переключения на резерв.
19. Порядок выполнения измерений установленных параметров средств и линий связи.
а) измерения установленных параметров средств связи должны выполняться в обязательном порядке при вводе сетей связи (фрагмента сети) в эксплуатацию, внедрении новых технологических решений в сети связи (фрагменте сети связи), при присоединении сетей связи, выводе из эксплуатации или модернизации средств связи, а также в процессе эксплуатации и после проведения аварийно-восстановительных работ в сети связи (фрагменте сети связи).
б) периодичность выполнения измерений параметров средств связи в процессе эксплуатации сети связи определяется планами, утверждаемыми операторами связи, но не реже чем один раз в три года.
в) измерения, относящиеся к сфере государственного регулирования обеспечения единства измерений, должны выполняться по аттестованным методикам (методам) измерений, за исключением методик (методов) измерений, предназначенных для выполнения прямых измерений, с применением средств измерений утвержденного типа с не истекшими сроками поверки. При этом результаты измерений должны быть выражены в единицах величин, допущенных к применению в Российской Федерации*(3).
г) результаты измерений параметров сети связи, средств связи и линий связи оформляются протоколом в соответствии с пунктом 5.10 ГОСТ ИСО/МЭК 17025-2009*(4).
20. Профилактическое техническое обслуживание должно выполняться в соответствии с планами оператора связи, которые в зависимости от объема ресурсов, выводимых из эксплуатации на период проведения профилактического обслуживание, подлежат согласованию с взаимодействующими операторами связи и отдельными пользователями.
Информация о проведении профилактических работ должна регистрироваться в журнале учета профилактических работ. Журнал учета должен содержать:
а) перечень работ;
б) указание о прекращении оказания услуг связи (частичное или полное);
в) дату и время начала проведения работ;
г) дату и время окончания работ;
д) фамилию, имя, отчество, должность работника (работников), проводившего работы.
21. Срок хранения информации по учету работ, выполняемых в рамках профилактического технического обслуживания, должен составлять не менее трех лет.
22. Корректирующее техническое обслуживание осуществляется в процессе выполнения аварийно-восстановительных работ, в результате которых производится восстановление технического состояния средств связи до уровня, имевшего место до возникновения аварийной ситуации.
23. Аварийно-восстановительные работы включают:
а) внесение изменений в логические характеристики сетевых элементов;
б) определение места (участка) и характера неисправности;
в) подготовку необходимых для восстановительных работ технических средств, средств измерений, технологического оборудования и комплектующих элементов;
г) транспортировку технических средств, средств измерений, технологического оборудования и технических специалистов к месту проведения работ;
д) формирование и передачу уведомлений или сообщений (непосредственно или через диспетчера-координатора работ) в процессе проведения работ подразделения эксплуатации, участвующие в аварийно-восстановительных работах;
е) замену или ремонт неисправных средств связи;
ж) проведение измерений параметров восстановленных средств связи;
з) передачу данных о результатах проведения аварийно-восстановительных работ для ведения статистики.
24. Ремонт средств связи включает в себя комплекс организационно-технических мероприятий, направленных на восстановление вышедших из строя средств связи, восстановление их ресурса или ресурса их составных частей.
Максимальное время устранения неисправности в сети связи должно соответствовать расчетным показателям, приведенным в эксплуатационной документации.
25. Информация о работах по обнаружению и устранению неисправностей в сети связи регистрируется в журнале учета неисправностей средств связи.
26. Срок хранения информации по учету неисправностей - не менее трех лет.
27. Работы по техническому обслуживанию сетей связи должны проводиться при соблюдении требований охраны труда и техники безопасности.
III. Обеспечение информационной безопасности, целостности и устойчивости функционирования сетей связи
28. К основным компонентам сети связи, подлежащим защите, относятся:
система управления сетью связи;
информационные ресурсы оператора связи;
узлы абонентского доступа;
технические средства обработки, хранения и передачи информации;
линии связи;
программное обеспечение;
базы данных, системы управления базами данных;
серверы, рабочие станции;
протоколы информационного обмена;
механизмы обеспечения безопасности (средства защиты информации, систем и объектов связи);
носители защищаемой информации,
включая помещения, предназначенные для размещения средств связи сетей связи.
29. Подсистема безопасности сети связи должна включать:
архитектуру построения и принципы взаимодействия подсистем безопасности, используемых в сети связи;
перечень защищаемых компонентов;
описание возможных нарушений целостности, устойчивости функционирования и безопасности сети связи;
частную модель угроз и модель нарушителя;
описание подсистемы безопасности, включая комплекс мер по защите информации и систему антивирусной защиты программных средств, описание целевых функций, механизмов и используемых средств защиты;
правила разграничения доступа;
порядок действий в нештатной ситуации.
30. При создании подсистемы безопасности сети связи должны использоваться:
средства защиты информации, имеющие сертификат соответствия Федеральной службы по техническому и экспортному контролю;
средства обеспечения гарантированного электропитания (источники бесперебойного питания);
резервирование технических и программных средств согласно архитектуре построения подсистемы безопасности сети связи;
средства криптографической защиты информации (далее - СКЗИ), имеющие подтверждение соответствия требованиям, утвержденным Федеральной службой безопасности Российской Федерации;
системы управления правами доступа, управления инцидентами безопасности и корреляции событий, резервного копирования и восстановления данных.
31. Подсистема безопасности сети связи, в состав которой входит значимый объект (входят значимые объекты) критической информационной инфраструктуры, должна создаваться и эксплуатироваться с учетом Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования*(5).
32. При эксплуатации сетей связи, используемые для организации взаимодействия со значимыми объектами критической информационной инфраструктуры для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющих сертификат соответствия, требованиям, утвержденным ФСТЭК России, и должны соблюдаться следующие требования:
использование антивирусных средств и средств обнаружения иного вредоносного программного обеспечения, имеющих соответствующий сертификат соответствия;
обеспечение защиты от воздействий на технические и программные средства, в результате которых нарушается их функционирование;
обеспечение защиты от несанкционированного доступа к помещениям, в которых размещены данные средства, с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в помещения посторонних лиц. При этом помещения должны быть оборудованы охранной системой видеонаблюдения;
обеспечение регистрации действий работников оператора связи и аномальной активности пользователей.
33. Оператором связи, которому на праве собственности, аренды или на ином законном основании принадлежит значимый объект (принадлежат значимые объекты) критической информационной инфраструктуры, в отношении этого объекта (этих объектов) должны быть реализованы Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования5.
34. Защита сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации должна быть организована в соответствии с Требованиями по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации*(6).
IV. Обеспечение информационной безопасности в сетях связи, включая требования к структурным подразделениям и должностным лицам оператора связи
35. Оператор связи разрабатывает паспорт организации связи по информационной безопасности в соответствии с ГОСТ Р 53109-2008*(7). Сведения, включаемые в паспорт, должны уточняться и обновляться не реже чем один раз в три года.
36. Эксплуатация системы информационной безопасности сети связи осуществляется в соответствии с эксплуатационной документацией, организационно-распорядительными документами по защите информации, включающими:
а) администрирование компонентов системы информационной безопасности;
б) выявление инцидентов и реагирование на них;
в) управление конфигурацией;
г) контроль (мониторинг) уровня защищенности информации, содержащейся в сети связи.
37. Разработка эксплуатационной документации на систему защиты информации сетей связи должна осуществляться в соответствии с техническим заданием на проектирование сети связи и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации сети связи.
Эксплуатационная документация на систему защиты информации сетей связи должна разрабатываться с учетом ГОСТ Р 52448-2005*(8) и должна содержать:
а) описание структуры системы защиты информации сети связи;
б) описание состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
в) правила эксплуатации системы защиты информации сети связи.
38. В ходе контроля (мониторинга) уровня защищенности информации передаваемой по сети связи, должен осуществляться:
а) контроль событий безопасности и действий пользователей в сети связи;
б) контроль (анализ) защищенности информации, содержащейся в сети связи;
в) анализ и оценка функционирования системы информационной безопасности, включая выявление, анализ и устранение недостатков в функционировании средств защиты информации;
г) оценка необходимости обновления систем безопасности, установки обновлений программного обеспечения и актуализации сигнатур;
д) периодический анализ изменения угроз безопасности информации в сети связи, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации;
е) документирование процедур и результатов контроля (мониторинга) уровня защищенности информации, содержащейся в сети связи;
ж) принятие решения о доработке (модернизации) системы информационной безопасности по результатам контроля (мониторинга) в части уровня защищенности информации.
39. Вновь вводимые или измененные компоненты системы информационной безопасности должны тестироваться отдельно для подтверждения их функционирования, и в последующем в операционном окружении для подтверждения того, что их интеграция в сеть связи не ухудшает показатели качества услуг связи и/или функций системы информационной безопасности.
40. К работам по обеспечению информационной безопасности сети связи допускаются работники, которые должны обладать знаниями и навыками, необходимыми для обеспечения информационной безопасности сетей связи. *(9).
Обязанности, возлагаемые на работников, выполняющих работы по обеспечению информационной безопасности сети связи должны быть определены в их должностных регламентах (инструкциях).
41. К основным обязанностям работников, осуществляющих деятельность по обеспечению информационной безопасности сетей связи, относятся:
а) обеспечение функционирования сетей связи в соответствии с установленными в организации требованиями информационной безопасности;
б) обеспечение заданного уровня конфиденциальности, доступности и целостности информации;
в) обеспечение подготовки и хранения резервных копий данных, их периодической проверки, актуализации и уничтожения;
г) обеспечение создания пользовательских учетных записей и ведения правил доступа;
д) обнаружение и предупреждение компьютерных атак, реагирования на инциденты информационной безопасности;
е) взаимодействие с Национальным координационным центром по компьютерным инцидентам.
42. Работники, задействованные в работах по эксплуатации сетей связи, должны быть ознакомлены с Требованиями по обеспечению информационной безопасности.
43. Работники, обслуживающие технические средства и обеспечивающие информационную безопасность в соответствии с Требованиями, должны пройти обучение, в том числе для приобретения необходимых навыков для работы на применяемых технических средствах.
44. Руководители и работники, участвующие в работах по эксплуатации сетей связи, должны иметь квалификацию в объеме, соответствующем должностным обязанностям и установленной компетенции.
45. Оператор связи обязан принять меры по недопущению раскрытия организационных и тактических приемов проведения оперативно-разыскных мероприятий (ОРМ)*(10), защите от несанкционированного доступа работников, обслуживающих сеть связи, к информации, относящейся к проведению ОРМ*(11), а также обеспечить запрет возможности регистрации информации, связанной с функционированием средств связи, в том числе программного обеспечения, обеспечивающего выполнение ОРМ и раскрывающей объекты контроля*(12).
46. При эксплуатации оператором связи специального программного обеспечения, а также СКЗИ должны выполняться следующие правила:
а) определение и утверждение списка лиц, имеющих доступ к СКЗИ и ключевой информации;
б) исключение бесконтрольного проникновения и пребывания в помещениях, в которых размещаются СКЗИ, посторонних лиц, по роду своей деятельности не являющихся работниками, допущенными к работе в указанных помещениях;
в) в случае необходимости присутствия посторонних лиц в помещениях, в которых размещаются СКЗИ, должен быть обеспечен контроль за их действиями работниками оператора связи, допущенных к работе в указанных помещениях;
г) обеспечение постоянного контроля средств связи, узлов связи при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации;
д) в случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей работника, имевшего доступ к ключевым носителям (электронной подписи и шифрования), должна быть проведена смена ключей, к которым этот сотрудник имел доступ.
47. Оператором связи, которому на праве собственности, аренды или на ином законном основании принадлежит значимый объект (принадлежат значимые объекты) критической информационной инфраструктуры, в отношении этого объекта (этих объектов) должны быть реализованы Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования*(13).
V. Система управление сетями связи с учетом обеспечения ее информационной безопасности
48. Системы управления сетями связи должны обеспечивать решение комплекса задач, связанных с эксплуатацией сетей связи на протяжении всего их жизненного цикла, включая функции по управлению до ввода в эксплуатацию (планирование, создание баз данных, установку средств связи и монтаж линий связи, пусконаладочные работы), в процессе эксплуатации (техническое обслуживание, восстановление связей, управление трафиком, набор статистики, расчеты), а также функции развития (анализ качества, прогнозирование, формирование требований к параметрам средств связи, линий связи и систем управления).
49. Система управления сетями связи является территориально распределенной системой.
50. Система управления сетью связи должна содержать основной и резервный пункты управления и управляемые средства связи, связанные технологической сетью передачи данных оператора связи.
51. В целях обеспечения устойчивого функционирования сети связи взаимодействие между основным и резервным пунктом управления должно осуществляться не менее чем по двум независимым географически разнесенным каналам связи.
52. Система управления сетью связи должна создаваться с применением сертифицированных программных и аппаратных средств управления и средств защиты информации, а также с использованием защищенных системой обеспечения информационной безопасности каналов управления.
Для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющие сертификат соответствия ФСТЭК России.
53. Построение системы управления осуществляется с использованием имеющих соответствующие сертификаты соответствия программно-аппаратных средств, выполняющих функции систем управления и мониторинга, российского происхождения. В случае отсутствия таковых допускается применение иностранных программно-аппаратных средств, соответствующих требованиям информационной безопасности, установленным уполномоченными федеральными органами исполнительной власти в области обеспечения безопасности и в области противодействия иностранным техническим разведкам и технической защиты информации.
54. В системе управления должны быть реализованы следующие организационные и технические меры, направленные на обеспечение ее устойчивого и безопасного функционирования в условиях воздействия разрушающих информационных воздействий, в том числе компьютерных атак:
а) управление сетью связи, должно осуществляться на постоянной основе в круглосуточном режиме;
б) адресное пространство технологической сети не должно пересекаться с адресным пространством, предназначенным для узлов связи сетей связи, входящих в состав ССОП или пользователей услугами;
в) должна быть исключена возможность управления средствами связи с территории иностранного государства;
г) в целях обеспечения надежности системы управления коэффициент готовности каналов управления системы управления должен быть не ниже 0,9995;
д) обеспечение конфиденциальности и целостности информации управления должно осуществляться с использованием сертифицированных СКЗИ.
55. В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, работники, обеспечивающие управление сетью связи оператора связи, должны иметь допуск к сведениям, устанавливаемый законодательством Российской Федерации.
56. Привлечение к выполнению функций настройки и конфигурирования средств связи иностранных граждан должно выполняться с учетом пунктов 81, 82 и 90 Требований.
57. В системе управления должно осуществляться документирование всех случаев доступа и попыток получения доступа к каждому техническому средству системы управления сетью связи.
58. В целях обеспечения принятия превентивных мер защиты системы управления сетью связи оператором связи постоянно должен проводиться сбор информации об инцидентах нарушения безопасности системы управления и анализ рисков в соответствии с моделью угроз безопасности и моделью нарушителя, имеющимися у оператора связи в соответствии с пунктом 29 настоящих Требований.
59. Системы управления сетями связи, являющиеся значимым объектом критической информационной инфраструктуры, должны соответствовать Требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования*(14), а также Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации*(15),.
VI. Эксплуатация системы управления сетью связи
60. Эксплуатация системы (сегмента) управления сетью связи в соответствии с пунктами 77, 78 и 84 Требований осуществляется работниками оператора связи и (или) работниками сторонних организаций.
61. Управление сетями связи может осуществляться только с территории Российской Федерации.
62. Оператор связи обязан организовать единую точку подключения для доступа сторонних организаций (лиц) к управлению средствами связи в сети связи, технические параметры которой должны быть указаны в договоре об оказании услуг в части эксплуатации системы (сегмента) управления сетью связи.
63. В случае если система управления является объектом критической информационной инфраструктуры, для изоляции сегмента управления сетью связи от других сетей связи оператор должен организовать:
а) выделенные транзитные пункты сигнализации, которые должны обеспечивать автоматизацию управления сетью сигнализации и обработки сообщений сигнализации (управление критическим процессом, обработка и передача информации);
б) выделенные сети передачи данных для управления и мониторинга сетей связи, которые должны обеспечить передачу информации между автоматизированными системами управления и мониторинга сетей связи и средствами связи, участвующими в управлении (обработка и передача информации).
64. В случае если система управления задействует общие ресурсы сети связи, то для обеспечения ее функционирования должен быть организован выделенный канал связи.
65. Использование в качестве резерва каналов системы управления сетями связи виртуальных каналов (VPN) в сети передачи данных на базе стека протоколов IP допускается только при условии обеспечения требуемой пропускной способности, параметров качества обслуживания (SLA), требований по информационной безопасности и защиты информации в соответствии с разделом V настоящих Требований.
66. Для управления сетью связи должны быть выделены отдельные порты средств связи.
67. В проектной документации на систему управления должны быть определены следующие технические параметры подключения:
а) вид канала управления (выделенный или виртуальный);
б) количество каналов управления;
в) технологии организации для подключения системы (сегмента) управления;
г) IP-адрес, номера портов для подключения и другие конфигурируемые параметры соединения.
68. Пропуск трафика системы управления сетями связи через территорию иностранного государства не допускается.
VII. Устранение уязвимостей систем управления сетями связи
69. Оператором сетей связи должен проводиться внутренний аудит безопасности систем управления сетями связи с периодичностью, устанавливаемой оператором связи, но не реже чем один раз в три года.
70. При проведении внутреннего аудита безопасности систем управления сетями связи должны выполняться следующие мероприятия:
обнаружение уязвимостей, связанных с некорректной установкой и настройкой средств защиты информации, средств связи и программного обеспечения;
анализ корректности работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;
71. По результатам проведения внутреннего аудита безопасности систем управления сетями связи оператором связи должен составляться отчет с описанием выявленных уязвимостей, на основе которого должен составляться план мероприятий по устранению выявленных уязвимостей.
72. Устранение выявленных уязвимостей производится любым из доступных способов, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, включая программное обеспечение средств связи.
73. В случае опубликования в открытых источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в системах управления сетями связи, или получении официального уведомления от производителя средств связи или программного обеспечения оператор связи должен провести внеплановый аудит безопасности систем управления сетями связи, в рамках которого должен быть проведен поиск и анализ уязвимостей.
74. В случае невозможности устранения выявленных уязвимостей путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения технических средств или невозможности принятия мер по предотвращению возможности использования уязвимости путем изменения настроек и конфигурации средств связи и технических средств необходимо предпринять действия, направленные на прекращение использования средств связи и программного обеспечения с выявленными уязвимостями, в целях обеспечения целостности, устойчивости функционирования и безопасности сетей связи.
75. Оператором связи должен быть разработан и утвержден регламент, который должен содержать правила и процедуры выявления, анализа и устранения уязвимостей сетей связи.
VIII. Эксплуатация сетей связи и управление сетями связи с привлечением сторонних организаций
76. Сторонние организации допускаются к выполнению следующих работ:
а) профилактическому техническому обслуживанию средств связи;
б) обеспечению функционирования сети связи и сервисов;
в) мониторингу сети связи;
г) анализу отказов и аварий в сети связи;
д) управлению резервом средств связи, замене и ремонту средств связи.
77. Оказание услуг или выполнение работ, связанных с эксплуатацией и (или) управлением сетью связи для обеспечения функционирования значимых объектов критической информационной инфраструктуры Российской Федерации, сторонней организацией, являющейся организацией-нерезидентом Российской Федерации, не допускается.
78. Иностранные юридические лица, привлекаемые к эксплуатации сетей связи, обязаны иметь российское представительство на территории Российской Федерации.
79. Оператор связи обязан установить порядок хранения и передачи информации, доступ к которой получают сторонние организации в процессе выполнения работ (информация о сетях связи, узлах связи, пользовательская активность), а также предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.
80. Оператором связи должны быть предусмотрены организационно-режимные и технические меры по осуществлению гарантированного контроля за действиями сторонних организаций при осуществлении управления сетью связи, включающие регистрацию команд управления, фиксацию изменений программных компонент и конфигурационных параметров, применение средств обнаружения компьютерных атак и антивирусных средств.
81. Сторонняя организация (далее - исполнитель) осуществляет эксплуатацию сети связи при наличии следующих документов, оформленных оператором связи:
договора об оказании услуг или выполнении работ, связанных с эксплуатацией и (или) управлением сетью связи (далее - договор);
документа с подробным описанием полного перечня работ (мониторинг, поддержка функционирования сети связи, управление конфигурациями, управление производительностью, техническое обслуживание и ремонт) по техническому обслуживанию сети связи;
документ, устанавливающий ответственность по видам работ между оператором связи и исполнителем работ;
соглашение о гарантированном качестве обслуживания.
82. Договор должен содержать следующие сведения:
перечень оказываемых услуг;
технические характеристики и параметры (интерфейсы) подключения для получения удаленного доступа к средствам связи сети связи;
периодичность предоставления отчета о событиях и выполненных работах;
сроки предоставления информации и результатов работы;
обязанности и ответственность исполнителя и заказчика;
условия расторжения договора.
83. Сторонняя организация должна быть укомплектована работниками, имеющими техническую квалификацию, достаточную для выполнения работ согласно перечню оказываемых услуг, указанных в договоре. Квалификация этих работников должна подтверждаться соответствующими сертификатами, выданными производителем средств связи или программного обеспечения, применяемых в сети связи оператора связи, или документами о прохождении профильного основного/дополнительного образования, выданными учреждениями , имеющими соответствующую лицензию на образовательную деятельность.
84. На основании договора исполнитель обязан ежеквартально, не позднее 10-го числа месяца, следующего за отчетным кварталом, представлять оператору связи сведения об иностранных юридических лицах и иностранных гражданах (лицах без гражданства), привлекаемых к оказанию услуг и работ, указанных в договоре.
85. Сведения представляются сторонней организацией оператору связи в письменной форме, удостоверенные уполномоченным представителем этой организации с указанием даты, фамилии и инициалов и его должности.
86. Оператор связи ежеквартально, не позднее 15-го числа месяца, следующего за отчетным кварталом, направляет в территориальный орган Федеральной службы безопасности Российской Федерации, на территории которого функционирует сеть связи, имеющиеся сведения об иностранных юридических лицах и иностранных гражданах (лицах без гражданства), привлекаемых к оказанию услуг и (или) выполнению работ, связанных с эксплуатацией и (или) управлением его сетью связи.
87. Сведения об иностранном юридическом лице должны содержать:
полное и сокращенное (при наличии) наименование организации иностранного государства (буквами русского и (или) латинского алфавита);
регистрацию в стране происхождения (страна происхождения, дата регистрации, регистрационный номер, наименование регистрирующего органа, адрес (место нахождения) в стране происхождения);
идентификационный номер налогоплательщика организации иностранного государства в стране регистрации, а при его отсутствии - аналогичный документ, используемый в иностранном государстве;
наименование филиала или представительства на территории Российской Федерации (при наличии);
адрес (место нахождения) филиала или представительства на территории Российской Федерации (почтовый индекс, субъект Российской Федерации (код), наименование района, населенного пункта, улицы, номер дома, корпуса, строения, офиса);
свидетельство об аккредитации филиала или представительства на территории Российской Федерации (номер, число, месяц, год), срок действия свидетельства (число, месяц, год) или разрешения на открытие представительства (номер, число, месяц, год), наименование уполномоченного органа, выдавшего разрешение, срок действия разрешения (число, месяц, год);
перечень идентификаторов (учетных записей/логинов), выделенных организации иностранного государства для управления средствами связи, в том числе с использованием удаленного доступа.
88. Сведения об иностранном гражданине (лице без гражданства) должны содержать:
фамилию, имя (буквами русского алфавита и буквами латинского алфавита), отчество (при наличии) (буквами русского алфавита);
дату рождения (день, месяц, год);
пол;
гражданство (подданство) иных государств (при наличии);
место рождения (государство, населенный пункт);
место постоянного проживания (государство, населенный пункт);
документ, удостоверяющий личность иностранного гражданина или лица без гражданства (серия, номер, дата выдачи, кем выдан);
идентификационный номер налогоплательщика или аналогичный документ, используемый в иностранном государстве;
перечень идентификаторов (учетных записей/логинов), выделенных гражданину иностранного государства (лицу без гражданства) для управления средствами связи, в том числе с использованием удаленного доступа;
наличие письменного согласия субъекта персональных данных на обработку его персональных данных.
89. Оператор связи должен хранить в течение трех лет информацию о всех действиях со средствами связи приведенными ниже, выполненных работниками оператора связи и (или) сторонними организациями в процессе эксплуатации и (или) управления сетью связи, в том числе с использованием удаленного доступа.
К указанным средствам связи относятся средства связи, выполняющие функции:
а) систем коммутации узла сети междугородной и международной телефонной связи;
б) систем коммутации узла сети фиксированной зоновой телефонной связи;
в) систем коммутации узла сети местной телефонной связи монтированной емкостью 3 000 номеров и выше;
г) систем коммутации узла сети подвижной радиосвязи;
д) систем коммутации узла сети подвижной радиотелефонной связи;
е) систем коммутации узла сети подвижной спутниковой радиосвязи;
ж) систем коммутации узла сети передачи данных скоростью передачи данных 10 Гбит/с и выше;
з) первичных и вторичных задающих генераторов систем тактовой сетевой синхронизации;
и) систем коммутации узла обслуживания вызовов экстренных оперативных служб;
й) систем управления и мониторинга сетей связи.
90. Оператор связи информацию в соответствии с пунктом 86 Требований представляет в территориальный орган Федеральной службы безопасности Российской Федерации в электронном виде или при отсутствии возможности хранения информации в электронном виде на бумажном носителе.
IX. Организация ведения и хранения технической документации
91. Операторы связи и (или) сторонние организации, обеспечивающие эксплуатацию сетей связи, должны иметь в полном объеме эксплуатационную и техническую документацию на сеть связи, обслуживанием которой они занимаются, и вести ее в установленном порядке, в том числе с использованием программно-технических средств.
92. Эксплуатация средств и линий связи должна осуществляться в соответствии с настоящими Требованиями, а также с учетом требований эксплуатационной документации производителей средств связи. а также технической документацией.
93. Документация, поставляемая в комплекте со средствами связи, должна быть как на языке страны изготовителя средства связи, так и на русском языке в обязательном порядке.
94. Эксплуатационная документация должна храниться и обрабатываться исключительно на территории Российской Федерации.
Средства связи должны быть укомплектованы комплектом эксплуатационной документации в соответствии с ГОСТ Р 2.601-2019*(16), включающим:
а) утвержденную проектную документацию со всеми последующими изменениями;
б) акты приемки в эксплуатацию;
в) паспорт;
г) техническую документацию заводов-изготовителей;
д) руководства по эксплуатации;
е) комплект ремонтной документации;
ж) должностные инструкции для всех категорий специалистов, включая рабочих, относящихся к дежурному персоналу;
з) инструкции по охране труда;
и) оперативный журнал.
К технической документации относятся:
правила технической эксплуатации, руководства, инструкции, рекомендации и директивные указания по вопросу технической эксплуатации средств связи, трактов и каналов связи;
положения и инструкции по вопросам оперативно-технического управления сетями связи;
проектная и рабочая документация на строительство и монтаж средств связи, узлов связи и линий связи;
паспорта на узел, линии связи и тракты;
схемы организации связи;
95. Сведения о средствах связи и линий связи и их параметрах в сети связи должны быть занесены в журнал статистического учета.
96. В случае утраты эксплуатационной документации на средства связи должны быть приняты меры к восполнению недостающей эксплуатационной документации в срок не более шести месяцев с момента обнаружения факта утраты.
_____________
-------------------------------------------
*(1) Перечень средств связи, подлежащих обязательной сертификации, утвержденный постановлением Правительства Российской Федерации от 25 июня 2009 г. N 532 (Собрание законодательства Российской Федерации, 29.06.2009, N 26, ст. 3206).
*(2) Приказ Минкомсвязи России от 10.10.2019 N 582 "Об утверждении требований к функционированию систем управления сетями связи при возникновении угроз устойчивости, безопасности и целостности функционирования на территории российской федерации информационно-телекоммуникационной сети "Интернет" и сети связи общего пользования" (зарегистрирован Минюстом России 14 января 2020 г. регистрационный N 57134).
*(3) Положение о единицах величин, допускаемых к применению в Российской Федерации, утвержденное постановлением Правительства Российской Федерации от 31 октября 2009 года N 879 (Собрание законодательства Российской Федерации, N 45, 09.11.2009, ст.5352).
*(4) ГОСТ ИСО/МЭК 17025-2009 "Межгосударственный стандарт. Общие требования к компетентности испытательных и калибровочных лабораторий" (Введен в действие 1 января 2012 г. приказом Росстандарта от 04.04.2011 N 41-ст; М.: Стандартинформ, 2011)
*(5) Приказ ФСТЭК России от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" (зарегистрирован Минюстом России 22 февраля 2018 г. регистрационный N 50118).
*(6) Приказ Министерства информационных технологий и связи Российской Федерации от 9 января 2008 г. N 1 "Об утверждении Требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации" (зарегистрирован Минюстом России 23 января 2008 г. регистрационный N 10993).
*(7) ГОСТ Р 53109-2008 "Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности" (веден в действие приказом Ростехрегулирования от 18.12.2008 N 527-ст, М, Стандартинформ, 2009).
*(8) ГОСТ Р 52448-2005 "Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения" (введен в действие приказом Ростехрегулирования от 29.12.2005 N 449-ст, М, Стандартинформ, 2006).
*(9) Приказ ФСТЭК России от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" (зарегистрирован Минюстом России 22 февраля 2018 г. регистрационный N 50118).
*(10) пункт 2 статьи 64 Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи".
*(11) пункт 9 Требований к сетям электросвязи для проведения оперативно-разыскных мероприятий. Часть I. Общие требования, утвержденных приказом Министерства информационных технологий и связи Российской Федерации от 16 января 2008 г. N 6 (зарегистрирован Минюстом России 31 января 2008 г. регистрационный N 11057).
*(12) пункт 6 Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий. Часть II. Правила применения оборудования транзитных, оконечно-транзитных и оконечных узлов связи сети фиксированной телефонной связи, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий, утвержденных приказом Министерства связи и массовых коммуникаций Российской Федерации от 19 ноября 2012 г. N 268 (зарегистрирован Минюстом России 29 декабря 2012 г. регистрационный N 26431).
*(13) Приказ ФСТЭК России от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" (зарегистрирован Минюстом России 22 февраля 2018 г. регистрационный N 50118).
*(14) Приказ ФСТЭК России от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" (зарегистрирован Минюстом России 22 февраля 2018 г. регистрационный N 50118).
*(15) Приказ ФСТЭК России от 25 декабря 2017 г. N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (зарегистрирован Минюстом России 26 марта 2018 г. регистрационный N 50524).
*(16) ГОСТ Р 2.601-2019 "Единая система конструкторской документации. Эксплуатационные документы" (утвержден приказом Росстандарта от 29.04.2019 N 177-ст, М.: Стандартинформ, 2019 г.).
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.