Система управления безопасностью
Система управления информационной безопасностью. На уровне предприятий должна существовать официальная система управления информационной безопасностью, внедренная в целях выявления рисков нарушения информационной безопасности для деятельности TSP и управления ими. Рекомендация МСЭ-T X.1051 «Система управления информационной безопасностью – Требования к электросвязи (ISMS T)» содержит руководящие указания и описание передового опыта, необходимые для реализации такой системы.
Основным фактором, который должны учитывать TSP при внедрении ISMS-T, является обеспечение наличия у TSP, как у предприятия, системы, позволяющей на постоянной основе выявлять, оценивать, интерпретировать риски нарушения информационной безопасности, связанные с предоставляемыми ими интернет-услугами непосредственно конечным пользователям/абонентам и опосредованно – через потребителей услуг веб-хостинга, и управлять этими рисками.
Используя постоянные процессы управления рисками ISMS-T, TSP повысят наглядность своих профилей рисков и смогут демонстрировать регуляторным органам и другим заинтересованным сторонам безопасность своих сетей и услуг.
TSP могут также рассматривать вопрос своей официальной сертификации на соответствие Рекомендациям ISMS-T по системе сертификации ISO/IEC 27001.
В качестве части реализации ISMS-T или соответствующей системы управления информационной безопасностью TSP должны также обеспечить возможность мониторинга случаев нарушения безопасности и реагирования на них и координировать свои меры по реагированию с внешними организациями Группы реагирования на нарушения информационной безопасности (CIRT) в своей стране. Обеспечение реагирования на инциденты должно включать мониторинг и оценку состояния безопасности конечных пользователей и размещенных в сетях TSP веб-сайтов, а также предоставление руководств в помощь пострадавшим сторонам при организации эффективного реагирования на случаи нарушения безопасности.
Information Security Management System
At the enterprise level, there should be a formal information security management system implemented to identify and manage related information security risk to the TSP business.
ITU-T Recommendation X.1051 on Information Security Management System – Requirements for Telecommunications (ISMS-T) provides the required guidance and best practices for implementing such a system.
A key consideration for TSP in implementing ISMS-T is to ensure that the TSP as an enterprise organization has a system to continuously identify, assess, treat, and manage information security risk relating to its provision of services on the Internet, directly to end-users/subscribers, and indirectly via web hosting services customers.
Through the ISMS-T continuous risk management processes, TSP will gain visibility of its risk profile, and enable to demonstrate to regulators and other interested parties the security of its network and services.
TSP may also consider the formal certification of its compliance with the ISMS-T Recommendations, under the ISO/IEC 27001 certification scheme.
As part of the implementation of ISMS-T, or relevant information security management system, TSP should also establish a security incident monitoring and response capability, and co-ordinate their incident response activities with external Computer Incident Response Team (CIRT) organizations in the country. The incident response provision should include monitoring and assessing the security status of end-users and hosted web sites on the TSP networks, and provide guidance to assist the affected parties in responding to security incidents effectively.
