ГОСТ Р ИСО/МЭК 27033-3-2014

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Безопасность сетей

Часть 3

Эталонные сетевые сценарии

Угрозы, методы проектирования и вопросы управления

Information technology. Security techniques. Network security. Part 3. Reference networking scenarios. Threats, design techniques and control issues

ОКС 35.040

Дата введения 2015-11-01

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 9 сентября 2014 г. N 1029-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27033-3:2010* "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления" (ISO/IEC 27033-3:2010 "Information technology - Security techniques - Network security - Part3: Reference networking scenarios - Threats, design techniques and control issues", IDT).

________________
     * Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

ИСО/МЭК 27033-3 был подготовлен совместным Техническим комитетом ИСО/МЭК СТК 1, "Информационная технология", Подкомитетом ПК 27, "Методы и средства обеспечения безопасности ИТ".

ИСО/МЭК 27033 состоит из следующих частей, под общим наименованием "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей":

- Часть 1: Обзор и концепции;

- Часть 2: Рекомендации по проектированию и реализации безопасности сети;

- Часть 3: Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления.

Следующие части находятся в процессе подготовки:

- Часть 4: Обеспечение безопасности межсетевых соединений с применением шлюзов безопасности. Угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления;

- Часть 5: Обеспечение безопасности виртуальных частных сетей. Угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления.

Могут быть выпущены очередные части стандарта для охвата таких тем, как: локальные вычислительные сети, глобальные сети, беспроводные и радиосети, широкополосные сети, сети телефонной связи, сети IP-конвергенции (данные, голос, видео), архитектуры веб-хоста, архитектуры электронной почты Интернета (в том числе исходящий онлайновый доступ к Интернету и входящий доступ из Интернета) и отсортированный доступ к сторонним организациям.

     1 Область применения

В настоящем стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями. Для каждого сценария в ней представлены подробные руководства по угрозам безопасности, методам проектирования безопасности и мерам и средствам контроля и управления, требуемым для уменьшения связанных рисков.

Информация, содержащаяся в настоящем стандарте, предназначена для использования при пересмотре технической архитектуры/вариантов проектирования безопасности, а также при выборе и документировании предпочтительной технической архитектуры/проектирования безопасности и связанных с ними мер и средств контроля и управления, в соответствии с ИСО/МЭК 27033-2.

Выбор конкретной информации (наряду с информацией, взятой из ИСО/МЭК 27033-4 - ИСО/МЭК 27033-6) будет зависеть от анализа характеристик сетевой среды, т.е. конкретного сценария сети(ей) и "технического решения" вопросов, имеющих к этому отношение.

В целом, настоящая часть ИСО/МЭК 27033 будет способствовать всестороннему определению и реализации безопасности для сетевой среды любой организации.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты*. Для датированных ссылок используют только указанное издание. Для недатированных - последнее издание ссылочного стандарта (с учетом всех его изменений).

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология)

ISO/IEC 27033-1, Information technology - Security techniques - Network security - Part 1: Overview and concepts (Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции)

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000 и ИСО/МЭК 27033-1, а также следующие термины с соответствующими определениями:

3.1 вредоносная программа (malware, malicious software): Категория программы, разработанной со злым умыслом, содержащей функции и возможности, которые потенциально могут прямо или косвенно причинить вред пользователю и (или) компьютерной системе пользователя.

Примечание - См. ИСО/МЭК 27032.

3.2 непрозрачность (opacity): Защита от выделения информации, которая может быть получена посредством наблюдения за сетевой деятельностью, такой как адреса конечных точек обмена голосовым трафиком по сети Интернет.

Примечание - Непрозрачность касается необходимости защиты операций с информацией в дополнение к защите самой информации.

3.3 аутсорсинг (outsourcing): Приобретение покупателем услуг для выполнения деятельности, требуемой для поддержки функций бизнеса покупателя.

3.4 социальная инженерия (social engineering): Действие по манипулированию людьми в совершении действий или разглашении конфиденциальной информации.

     4 Обозначения и сокращения

В настоящем стандарте применены следующие сокращения и условные обозначения:

ААА - аутентификация, санкционирование и учет (authentication, authorization and accounting);

DHCP - протокол динамического конфигурирования хоста (dynamic host configuration protocol);

_______________

Хост - Любое устройство, подключенное к сети и использующее протоколы TCP/IP.

DNS - служба доменных имен (domain name service);

DNSSEC - расширение безопасности службы доменных имен (DNS Security extensions);

DoS - отказ в обслуживании (denial of service);

FTP - протокол передачи файлов (file transfer protocol);

IDS - система обнаружения вторжений (intrusion detection system);

IP - Интернет-протокол (Internet protocol);

IPSec - протокол безопасности Интернет-протокола (IP security protocol);

OAM&P - эксплуатация, администрирование, техническое обслуживание и обеспечение (operations, administration, maintenance & provisioning);

PDA - персональное информационное устройство (personal data assistant);

QoS - качество обслуживания (quality of service);

SIP - протокол инициации сеанса (session initiation protocol);

SMTP - простой протокол передачи почтовых сообщений (simple mail transfer protocol);

SNMP - простой протокол сетевого управления (simple network management protocol);

SSL - протокол безопасных соединений (протокол шифрования и аутентификации) (secure socket layer (encryption and authentication protocol));

VoIP - передача голоса по Интернет-протоколу (voice over Internet Protocol);

VPN - виртуальная частная сеть (virtual private network);

BOC - взаимодействие открытых систем (open systems interconnection - OSI);

ТфОП - телефонная коммутируемая сеть общего пользования (public switched telephone network - PSTN).

     5 Структура

Структура настоящего стандарта состоит из:

- краткого обзора подхода к решению проблемы безопасности для каждого типового сценария, перечисленного в настоящем стандарте (раздел 6);

- раздел для каждого базового сценария (разделы 7-15), в котором описываются:

- угрозы для базового сценария;

- представление мер и средств контроля и управления безопасности и методы, основанные на подходе, изложенном в разделе 6.

Сценарии в настоящем документе упорядочены в представленную ниже структуру, цель которой заключается в оценивании данного сценария в зависимости от:

- типа доступа пользователя, является ли пользователь работающим внутри предприятия, или пользователем является сотрудник, который получает доступ к корпоративным ресурсам извне, или пользователь является клиентом, поставщиком или деловым партнером;

- типа доступности информационных ресурсов, открытые, ограниченные или внешние ресурсы.

Таким образом, структура помогает представить согласованную систему и делает добавление новых сценариев управляемым, а также обосновывает необходимость различных сценариев, представленных в настоящем стандарте.

Таблица 1 - Структура упорядочения сетевых сценариев

Таким образом, порядок, в котором сценарии перечислены в настоящем стандарте, является следующим:

- услуги доступа к Интернету для сотрудников (раздел 7);