#regulation #орв 1/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ
🔐 БЕЗОПАСНОСТЬ
➡️ Очень много воды про то, что системы безопасности создаются для безопасного обеспечения безопасного функционирования сетей, систем управления и баз данных оператора связи. Эксплуатация систем безопасности должна быть безопасной во имя безопасности
➡️ К средствам обеспечения информационной безопасности сетей связи отнесли в том числе обеспечение бесперебойного питания и резервирование оборудования и программ
➡️ Отсылка к тому, что если есть объекты КИИ, то должны соблюдаться требования закона о защите КИИ. Я пропустил какой-то конкурс на цитируемость этого понятия?
💥 Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 http://docs.cntd.ru/document/1200073585 : «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...
➡️ Внезапный пункт требований к обслуживанию средств криптографической защиты, основу которых составляют требования по доступу лиц к СКЗИ
➡️ Оператор связи обязан не реже раза в год проводить аудит систем управления с отчетом произвольной формы
➡️ Оператор связи должен разработать и утвердить регламент, который должен содержать правила и процедуры выявления, анализа и устранения уязвимостей сетей связи (этот пункт, кстати, почему-то «завис» в разделе поиска уязвимостей системы управления сетей связи). Не знаю что это. Видимо папка с таким названием
☝️ По сравнению с предыдущей версией проекта норматива, из раздела про безопасность убраны требования к квалификации персонала, стендовые испытания, обязательные процедуры, общение с НКЦКИ (люблю пиарить эту организацию: http://www.gov-cert.ru/ ). В итоге все требования к безопасности при эксплуатации стали выглядеть… знаете, как книга из которой вырваны страницы. Жесткий паспорт безопасности, повисший в вакууме
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ
🔐 БЕЗОПАСНОСТЬ
➡️ Очень много воды про то, что системы безопасности создаются для безопасного обеспечения безопасного функционирования сетей, систем управления и баз данных оператора связи. Эксплуатация систем безопасности должна быть безопасной во имя безопасности
➡️ К средствам обеспечения информационной безопасности сетей связи отнесли в том числе обеспечение бесперебойного питания и резервирование оборудования и программ
➡️ Отсылка к тому, что если есть объекты КИИ, то должны соблюдаться требования закона о защите КИИ. Я пропустил какой-то конкурс на цитируемость этого понятия?
💥 Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 http://docs.cntd.ru/document/1200073585 : «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...
➡️ Внезапный пункт требований к обслуживанию средств криптографической защиты, основу которых составляют требования по доступу лиц к СКЗИ
➡️ Оператор связи обязан не реже раза в год проводить аудит систем управления с отчетом произвольной формы
➡️ Оператор связи должен разработать и утвердить регламент, который должен содержать правила и процедуры выявления, анализа и устранения уязвимостей сетей связи (этот пункт, кстати, почему-то «завис» в разделе поиска уязвимостей системы управления сетей связи). Не знаю что это. Видимо папка с таким названием
☝️ По сравнению с предыдущей версией проекта норматива, из раздела про безопасность убраны требования к квалификации персонала, стендовые испытания, обязательные процедуры, общение с НКЦКИ (люблю пиарить эту организацию: http://www.gov-cert.ru/ ). В итоге все требования к безопасности при эксплуатации стали выглядеть… знаете, как книга из которой вырваны страницы. Жесткий паспорт безопасности, повисший в вакууме
#regulation #орв 2/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ
🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
некая «система управления сетью связи» — это что-то, существующее только в голове у нормотворцев. У большинства операторов нет какой-то единой системы управления сетью
➡️ Новые требования к системам управления надо складывать с существующим нормативом. http://www.consultant.ru/document/cons_doc_LAW_342965/5b7236bdd753ba6cd2b3891568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)
✅ По сравнению с предыдущей версией проекта норматива, из него убран весь этот булшит по 24/7/365, 99.9%, 7” и так далее
✅ В новой версии проекта норматива убраны требования к обязательной сертификации систем управления и обеспечения целостности с помощью сертифицированных СКЗИ
❌ «Управление сетями связи должно осуществляться только с территории Российской Федерации». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать
💥 «39. Для изоляции сегмента управления сетью связи от других сетей связи оператор должен организовать: 1)выделенные транзитные пункты сигнализации, которые должны обеспечивать автоматизацию управления сетью сигнализации и обработки сообщений сигнализации (управление критическим процессом, обработка и передача информации)»… Кто писал этот текст? Что он означает?
❌ Если я правильно понимаю общую междустрочную суть пунктов 39, 40 и 41, предлагается управлять сетями связи только по выделенным сетям или каналам (норма различает эти понятия, за ними наверное стоит провод и vlan соответственно). VPN в целях управления поверх общей сети разрешается, но условия, при котором он разрешается, я не смог понять
❌ «Пропуск трафика системы управления сетями связи через территорию иностранного государства не допускается за исключением ...» (кроме посольств, Калининграда и прочего). Внимательно следите, чтобы трафик до управляемой единицы не пошёл через границу, и если пошел — стреляйте себе в ногу из реактивного патрона с разрывной боеголовкой
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ
🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
некая «система управления сетью связи» — это что-то, существующее только в голове у нормотворцев. У большинства операторов нет какой-то единой системы управления сетью
➡️ Новые требования к системам управления надо складывать с существующим нормативом. http://www.consultant.ru/document/cons_doc_LAW_342965/5b7236bdd753ba6cd2b3891568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)
✅ По сравнению с предыдущей версией проекта норматива, из него убран весь этот булшит по 24/7/365, 99.9%, 7” и так далее
✅ В новой версии проекта норматива убраны требования к обязательной сертификации систем управления и обеспечения целостности с помощью сертифицированных СКЗИ
❌ «Управление сетями связи должно осуществляться только с территории Российской Федерации». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать
💥 «39. Для изоляции сегмента управления сетью связи от других сетей связи оператор должен организовать: 1)выделенные транзитные пункты сигнализации, которые должны обеспечивать автоматизацию управления сетью сигнализации и обработки сообщений сигнализации (управление критическим процессом, обработка и передача информации)»… Кто писал этот текст? Что он означает?
❌ Если я правильно понимаю общую междустрочную суть пунктов 39, 40 и 41, предлагается управлять сетями связи только по выделенным сетям или каналам (норма различает эти понятия, за ними наверное стоит провод и vlan соответственно). VPN в целях управления поверх общей сети разрешается, но условия, при котором он разрешается, я не смог понять
❌ «Пропуск трафика системы управления сетями связи через территорию иностранного государства не допускается за исключением ...» (кроме посольств, Калининграда и прочего). Внимательно следите, чтобы трафик до управляемой единицы не пошёл через границу, и если пошел — стреляйте себе в ногу из реактивного патрона с разрывной боеголовкой