ГОСТ Р ИСО/МЭК ТО 13335-5-2006

Группа Т00

     
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Часть 5

Руководство по менеджменту безопасности сети

Information technology. Security techniques. Part 5. Management guidance on network security

ОКС 13.110

         35.020

Дата введения 2007-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2006 г. N 317-ст

4 Настоящий стандарт идентичен международному документу ISO/IEC TR 13335-5:2001* "Информационная технология. Рекомендации по менеджменту безопасности информационных технологий. Часть 5. Руководство по менеджменту безопасности сети" (ISO/IEC TR 13335-5:2001 "Information technology - Guidelines for the management of IT Security - Part 5: Management guidance on network security", IDT)

________________
     * Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

     1 Область применения

Настоящий стандарт представляет собой руководство по управлению безопасностью сетями для персонала, ответственного за эту деятельность, и содержит основные положения по выявлению и анализу факторов, имеющих отношение к компонентам безопасности связи. Эти факторы следует учитывать при установлении требований по безопасности сети.

Настоящий стандарт основан на положениях ИСО/МЭК 13335-4 путем описания метода идентификации и анализа выбора контролируемых зон, имеющих отношение к сетевым соединениям, с точки зрения обеспечения безопасности.

Аспекты детального проектирования и технической реализации контролируемых зон не входят в область применения настоящего стандарта. Такие рекомендации планируется включить в разрабатываемые международные документы.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ISO/IEC TR 7498-1:1994, Information technology - Open Systems Interconnection - Basic reference model - Part 1: The basic model (Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Базовая модель)

ISO/IEC TR 7498-2:1989, Information processing systems; Open Systems Interconnection; basis reference model - Part 2: Security architecture (Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты)

ISO/IEC TR 7498-3:1997, Information technology - Open Systems Interconnection - Basic reference model - Part 3: Naming and addressing (Информационная технология. Взаимодействие открытых систем. Базовая эталонная модель. Часть 3. Присвоение имен и адресация)

ISO/IEC TR 7498-4:1989, Information processing systems - Open Systems Interconnection - Basic reference model - Part 4: Management framework (Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 4. Структура управления)

ISO/IEC 13335-1:2004, Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management (Информационная технология. Методы обеспечения менеджмента безопасности информационных и телекоммуникационных технологий. Часть 1. Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий)

________________

Отменен.

ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT security - Part 3: Techniques for the managing of IT security (Информационная технология. Рекомендации по менеджменту безопасности информационных технологий. Часть 3. Методы управления безопасностью информационных технологий)

________________

Заменен на ISO/IEC 27005:2008.

ISO/IEC TR 13335-4:2000, Information technology - Guidelines for the management of IT security - Part 4: Selection of safeguards (Информационная технология. Рекомендации по менеджменту безопасности информационных технологий. Часть 4. Выбор мер защиты)

________________

Заменен на ISO/IEC 27005:2008.

ISO/IEC 13888 (all pats), Information technology - Security techniques (Информационная технология. Методы защиты)

ISO/IEC TR 14516:2002, Information technology. Security techniques. Guidelines for the use and management of Trusted Third Party services (Информационная технология. Руководящие указания по использованию и управлению услугами доверительной третьей стороны)

ISO/IEC TR 15947:2002, Information technology. Security techniques. IT intrusion detection framework (Информационная технология. Методы защиты. Основные положения по обнаружению проникновения в информационные технологии)

Ссылки на другие документы, имеющие отношение к рассматриваемой теме, приведены в библиографии [1]-[3].

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 13335-1.

     4 Обозначения и сокращения

В настоящем стандарте применены следующие обозначения и сокращения:

EDI - электронный обмен данными;

IP - протокол Интернет;

ИТ - информационная технология;

ПК - персональный компьютер;

PIN - личный идентификационный номер;

SecOPs - защитные операционные процедуры.

     5 Структура

Настоящий стандарт основан на следующем подходе: вначале проводится процесс идентификации и анализа факторов, влияющих на средства связи, в целях установления требований по сетевой безопасности, и затем определяются потенциальные контролируемые зоны. При этом указывается, где можно использовать соответствующие положения других частей ИСО/МЭК 13335.

В настоящем стандарте приведено описание трех основных критериев идентификации потенциальных контролируемых зон в помощь лицам, ответственным за обеспечение безопасности ИТ. Эти критерии распознают:

1) разные типы сетевых соединений;

2) характеристики разной организации сети, соответствующие доверительные отношения и

3) потенциальные виды рисков обеспечения безопасности, связанного с сетевыми соединениями (использованием услуг, предоставляемых через эти соединения).

Результаты комбинирования этих критериев затем используют для индикации потенциальных контролируемых зон. Приводится также краткое описание потенциальных контролируемых зон с указанием источников, где они характеризуются более подробно.

     6 Цель

Цель настоящего стандарта - дать руководство для идентификации и анализа факторов, относящихся к безопасности средств связи. Эти факторы следует учитывать для того, чтобы устанавливать требования по безопасности сети и указывать на потенциальные контролируемые зоны.

     7 Общее представление

     7.1 Предпосылка

Государственные и коммерческие организации в большой степени полагаются на использование информации при ведении своего бизнеса. Нарушение таких характеристик информации и услуг, как конфиденциальность, целостность, доступность, неотказуемость, подотчетность, аутентичность и достоверность, может иметь неблагоприятное воздействие на деловые операции и бизнес организации. Поэтому существует необходимость в обеспечении безопасности информации и управлении безопасностью систем ИТ в пределах организации.

Необходимость в обеспечении безопасности информации особенно важна в современном информационном пространстве, так как многие системы ИТ организаций объединяются в сети. Сетевые соединения могут находиться в границах самой организации, между разными организациями и иногда между организацией и сетями общего пользования. Государственные и коммерческие организации ведут свою деятельность универсально. Поэтому организации зависят от всех видов связи - от использующих автоматизированные системы информационного обслуживания до использующих "классические" средства. Их потребности в сетях должны быть удовлетворены, при этом обеспечению безопасности сетей придается все большее значение.

Рекомендации по идентификации и анализу факторов, относящихся к обеспечению безопасности средств связи, приведены в 7.2. Эти факторы следует принимать во внимание для того, чтобы устанавливать требования к безопасности сетей и указывать на потенциальные контролируемые зоны. Эти процессы более подробно рассмотрены в последующих разделах.

     7.2 Процесс идентификации

При рассмотрении сетевых соединений всем ответственным специалистам организации следует четко представлять себе требования бизнеса и преимущества конкретных средств связи. Кроме того, специалисты и другие пользователи соединений должны быть осведомлены о рисках обеспечения безопасности и соответствующих контролируемых зонах сетевых соединений. Требования бизнеса и преимущества в обеспечении безопасности оказывают влияние на многие решения и действия, осуществляемые в процессе рассмотрения сетевых соединений, выявления контролируемых зон и последующего выбора, проектирования, внедрения и поддержания безопасности с помощью защитных мер. Следовательно, в течение всего процесса следует помнить об этих требованиях бизнеса и ожидаемых преимуществах. Для того, чтобы идентифицировать заданные требования безопасности, имеющие отношение к сети, и контролируемые зоны, необходимо решить следующие задачи:

- анализ общих требований к обеспечению безопасности сетевых соединений, изложенных в политике безопасности ИТ организации (см. раздел 8);

- анализ сетевой структуры и ее применения, который имеет отношение к сетевым соединениям, чтобы иметь необходимую основу для выполнения последующих задач (см. раздел 9);

- идентификация типа или типов рассматриваемого соединения сети (см. раздел 10);

- анализ характеристик предложенного объединения в сеть (используя при необходимости имеющуюся информацию о применении структуры сети) и связанные с этим доверительные отношения (см. раздел 11);

- определение видов рисков безопасности, если это возможно, с помощью анализа рисков и управления результатами проведенного анализа, включая оценки деловых операций и информацию, которую предполагается передавать через соединения, и любую другую информацию, потенциально доступную для несанкционированного получения через эти соединения (см. раздел 12);

- идентификация потенциально контролируемых зон, которые могут быть использованы на основе анализа типа(ов) соединения и характеристик организации сети и связанных с этим доверительных отношений, а также видов установленных рисков безопасности (см. раздел 13);

- разработка документации и анализ вариантов структуры обеспечения безопасности (см. раздел 14);

- распределение задач по детальному выбору защитных мер, проектированию, реализации и их обслуживанию, используя идентифицированные потенциально контролируемые зоны и согласованную структуру обеспечения безопасности (см. раздел 15).

Общие рекомендации по идентификации защитных мер содержатся в ISO/IEC TR 13335-4. Настоящий стандарт дополняет ISO/IEC TR 13335-4 и представляет процесс выбора подходящих контролируемых зон с точки зрения обеспечения безопасности, связанной с подключениями к сетям связи.

Общий процесс идентификации и анализа факторов, относящихся к средствам связи, представлен на рисунке 1. Факторы, относящиеся к средствам связи, следует принимать во внимание для того, чтобы устанавливать требования к обеспечению безопасности сети и указывать на потенциальные контролируемые зоны. Каждый этап этого процесса подробно изложен в последующих разделах настоящего стандарта.