ГОСТ Р ИСО/МЭК 27033-3-2014
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Безопасность сетей
Часть 3
Эталонные сетевые сценарии
Угрозы, методы проектирования и вопросы управления
Information technology. Security techniques. Network security. Part 3. Reference networking scenarios. Threats, design techniques and control issues
ОКС 35.040
Дата введения 2015-11-01
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 9 сентября 2014 г. N 1029-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27033-3:2010* "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления" (ISO/IEC 27033-3:2010 "Information technology - Security techniques - Network security - Part3: Reference networking scenarios - Threats, design techniques and control issues", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Январь 2019 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
ИСО/МЭК 27033-3 был подготовлен совместным Техническим комитетом ИСО/МЭК СТК 1, "Информационная технология", Подкомитетом ПК 27, "Методы и средства обеспечения безопасности ИТ".
ИСО/МЭК 27033 состоит из следующих частей, под общим наименованием "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей":
- Часть 1: Обзор и концепции;
- Часть 2: Рекомендации по проектированию и реализации безопасности сети;
- Часть 3: Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления.
Следующие части находятся в процессе подготовки:
- Часть 4: Обеспечение безопасности межсетевых соединений с применением шлюзов безопасности. Угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления;
- Часть 5: Обеспечение безопасности виртуальных частных сетей. Угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления.
Могут быть выпущены очередные части стандарта для охвата таких тем, как: локальные вычислительные сети, глобальные сети, беспроводные и радиосети, широкополосные сети, сети телефонной связи, сети IP-конвергенции (данные, голос, видео), архитектуры веб-хоста, архитектуры электронной почты Интернета (в том числе исходящий онлайновый доступ к Интернету и входящий доступ из Интернета) и отсортированный доступ к сторонним организациям.
В настоящем стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями. Для каждого сценария в ней представлены подробные руководства по угрозам безопасности, методам проектирования безопасности и мерам и средствам контроля и управления, требуемым для уменьшения связанных рисков.
Информация, содержащаяся в настоящем стандарте, предназначена для использования при пересмотре технической архитектуры/вариантов проектирования безопасности, а также при выборе и документировании предпочтительной технической архитектуры/проектирования безопасности и связанных с ними мер и средств контроля и управления, в соответствии с ИСО/МЭК 27033-2.
Выбор конкретной информации (наряду с информацией, взятой из ИСО/МЭК 27033-4 - ИСО/МЭК 27033-6) будет зависеть от анализа характеристик сетевой среды, т.е. конкретного сценария сети(ей) и "технического решения" вопросов, имеющих к этому отношение.
В целом, настоящая часть ИСО/МЭК 27033 будет способствовать всестороннему определению и реализации безопасности для сетевой среды любой организации.
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты*. Для датированных ссылок используют только указанное издание. Для недатированных - последнее издание ссылочного стандарта (с учетом всех его изменений).
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология)
ISO/IEC 27033-1, Information technology - Security techniques - Network security - Part 1: Overview and concepts (Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции)
В настоящем стандарте применены термины по ИСО/МЭК 27000 и ИСО/МЭК 27033-1, а также следующие термины с соответствующими определениями:
3.1 вредоносная программа (malware, malicious software): Категория программы, разработанной со злым умыслом, содержащей функции и возможности, которые потенциально могут прямо или косвенно причинить вред пользователю и (или) компьютерной системе пользователя.
Примечание - См. ИСО/МЭК 27032.
3.2 непрозрачность (opacity): Защита от выделения информации, которая может быть получена посредством наблюдения за сетевой деятельностью, такой как адреса конечных точек обмена голосовым трафиком по сети Интернет.
Примечание - Непрозрачность касается необходимости защиты операций с информацией в дополнение к защите самой информации.
3.3 аутсорсинг (outsourcing): Приобретение покупателем услуг для выполнения деятельности, требуемой для поддержки функций бизнеса покупателя.
3.4 социальная инженерия (social engineering): Действие по манипулированию людьми в совершении действий или разглашении конфиденциальной информации.
В настоящем стандарте применены следующие сокращения и условные обозначения:
ААА - аутентификация, санкционирование и учет (authentication, authorization and accounting);
DHCP - протокол динамического конфигурирования хоста (dynamic host configuration protocol);
_______________
Хост - Любое устройство, подключенное к сети и использующее протоколы TCP/IP.
DNS - служба доменных имен (domain name service);
DNSSEC - расширение безопасности службы доменных имен (DNS Security extensions);
DoS - отказ в обслуживании (denial of service);
FTP - протокол передачи файлов (file transfer protocol);
IDS - система обнаружения вторжений (intrusion detection system);
IP - Интернет-протокол (Internet protocol);
IPSec - протокол безопасности Интернет-протокола (IP security protocol);
OAM&P - эксплуатация, администрирование, техническое обслуживание и обеспечение (operations, administration, maintenance & provisioning);
PDA - персональное информационное устройство (personal data assistant);
QoS - качество обслуживания (quality of service);
SIP - протокол инициации сеанса (session initiation protocol);
SMTP - простой протокол передачи почтовых сообщений (simple mail transfer protocol);
SNMP - простой протокол сетевого управления (simple network management protocol);
SSL - протокол безопасных соединений (протокол шифрования и аутентификации) (secure socket layer (encryption and authentication protocol));
VoIP - передача голоса по Интернет-протоколу (voice over Internet Protocol);
VPN - виртуальная частная сеть (virtual private network);
BOC - взаимодействие открытых систем (open systems interconnection - OSI);
ТфОП - телефонная коммутируемая сеть общего пользования (public switched telephone network - PSTN).
Структура настоящего стандарта состоит из:
- краткого обзора подхода к решению проблемы безопасности для каждого типового сценария, перечисленного в настоящем стандарте (раздел 6);
- раздел для каждого базового сценария (разделы 7-15), в котором описываются:
- угрозы для базового сценария;
- представление мер и средств контроля и управления безопасности и методы, основанные на подходе, изложенном в разделе 6.
Сценарии в настоящем документе упорядочены в представленную ниже структуру, цель которой заключается в оценивании данного сценария в зависимости от:
- типа доступа пользователя, является ли пользователь работающим внутри предприятия, или пользователем является сотрудник, который получает доступ к корпоративным ресурсам извне, или пользователь является клиентом, поставщиком или деловым партнером;
- типа доступности информационных ресурсов, открытые, ограниченные или внешние ресурсы.
Таким образом, структура помогает представить согласованную систему и делает добавление новых сценариев управляемым, а также обосновывает необходимость различных сценариев, представленных в настоящем стандарте.
Таблица 1 - Структура упорядочения сетевых сценариев
Таким образом, порядок, в котором сценарии перечислены в настоящем стандарте, является следующим:
- услуги доступа к Интернету для сотрудников (раздел 7);