Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции

Введение


В современном мире информационные системы большинства коммерческих и государственных организаций связаны сетями (см. рисунок 1), при этом сетевые соединения могут относиться к следующим (одному или нескольким) видам:

- в пределах организации;

- между различными организациями;

- между организацией и неограниченным кругом лиц.

          
Рисунок 1 - Разнообразные виды сетевых соединений



Кроме того, при бурном развитии общедоступной сетевой технологии (в особенности Интернета), предлагающей значительные возможности для ведения бизнеса, организации все больше занимаются электронной торговлей в глобальном масштабе и предоставляют общедоступные услуги в режиме реального времени (далее - в режиме on-line). Эти возможности обеспечивают более дешевый способ передачи данных с использованием Интернета в качестве глобального средства связи благодаря услугам, предоставляемым провайдерами Интернет-услуг. Это может означать использование относительно дешевых локальных точек подключения на каждом конце линии связи к полномасштабным системам электронной торговли и предоставление услуг, использующих сервисы и приложения, основанные на Интернет-технологии. Кроме того, новые технологии (включающие объединение данных, речи и видео) расширяют возможности для удаленной работы (также известной как "дистанционная работа"), позволяющей сотрудникам работать значительную часть времени дома. Они могут поддерживать контакт путем использования средств дистанционного доступа к сетям организации и сообщества, а также к информации и услугам, связанным с поддержкой основной деятельности организации.

Однако в то время как среда, образованная новыми технологиями, способствует получению значительных преимуществ для деятельности организации, также появляются новые риски безопасности, требующие управления. Утрата конфиденциальности, целостности и доступности информации и услуг может оказывать существенное неблагоприятное влияние на деятельность организации, поскольку организации в значительной степени зависят от использования информации и связанных с нею сетей для ведения своей деятельности. Следовательно, основным требованием является обеспечение надлежащей защиты сетей и связанных с ними информационных систем и информации. Другими словами реализация и поддержка адекватной сетевой безопасности абсолютно необходима для успеха операций основной деятельности любой организации.

В этом контексте для индустрии телекоммуникаций и информационных технологий ведется поиск рентабельных всесторонних программных и технических средств и услуг по обеспечению безопасности, направленных на защиту сетей от злонамеренных атак и непреднамеренных неверных действий и обеспечение конфиденциальности, целостности и доступности информации и услуг в соответствии с потребностями организации. Обеспечение безопасности сети также важно в случае необходимости обеспечения точности информации об учете или использовании услуг. Возможности обеспечения безопасности в продуктах* являются необходимыми для общей сетевой безопасности (включая приложения и сервисы). Однако когда все больше продуктов комбинируется для обеспечения общих решений, их функциональная совместимость - или ее отсутствие - будет определять успех решения. Безопасность должна быть не только одним из поводов для беспокойства в отношении каждого продукта или услуги, но и разработана так, чтобы способствовать интегрированию возможностей продукта или услуги по обеспечению безопасности в общее решение по обеспечению безопасности организации.

_______________

* В настоящем стандарте под "продуктом" следует понимать "изделия/средства (программные, технические или программно-технические)".


Назначение ИСО/МЭК 27033 состоит в том, чтобы предоставить подробные рекомендации по аспектам безопасности менеджмента, функционирования и использования сетей информационных систем и их соединений. Лица, отвечающие за обеспечение в организации информационной безопасности в целом и сетевой безопасности в частности, должны быть способны адаптировать материал настоящего стандарта для соответствия своим конкретным требованиям. Основными целями частей стандарта ИСО/МЭК 27033 являются:

- для ИСО/МЭК 27033-1 "Обзор и концепция" - определение и описание концепций, связанных с сетевой безопасностью, и предоставление рекомендаций по менеджменту сетевой безопасности. Стандарт содержит общий обзор сетевой безопасности и связанных с ней определений, рекомендации по идентификации и анализу рисков сетевой безопасности, и, кроме того, определение требований сетевой безопасности. Он также знакомит с тем, как добиваться высокого качества специализированных архитектур безопасности, а также с аспектами риска, проектирования, аспектами мер и средств контроля и управления, связанными с типичными сетевыми сценариями и областями сетевых "технологий" (которые подробно рассматриваются в следующих частях стандарта ИСО/МЭК 27033);

- для ИСО/МЭК 27033-2 "Рекомендации по проектированию и реализации сетевой безопасности" - определение того, каким образом организации должны добиваться требуемого качества специализированных архитектур сетевой безопасности, проектирования и реализации, которые обеспечат уверенность в сетевой безопасности, соответствующей их среде деятельности, используя при необходимости последовательный подход к планированию, проектированию и реализации сетевой безопасности с применением моделей/систем (в данном контексте термины "модель/система" используются для формулирования в общих чертах представления или описания, показывающего структуру и высокоуровневую деятельность некоторого вида специализированной архитектуры/проекта безопасности). Данный стандарт предназначен для всего персонала, вовлеченного в планирование, проектирование и реализацию аспектов архитектуры сетевой безопасности (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность);

- для ИСО/МЭК 27033-3 "Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для типовых сетевых сценариев" - определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления, связанных с типовыми сетевыми сценариями. Данный стандарт предназначен для персонала, вовлеченного в планирование, проектирование и реализацию аспектов архитектуры сетевой безопасности (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность).

Предполагается, что следующие части ИСО/МЭК 27033 будут рассматривать:

ИСО/МЭК 27033-4 "Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для обеспечения безопасности передачи информации между сетями с использованием шлюзов безопасности" - определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления для обеспечения безопасности информационных потоков между сетями с использованием шлюзов безопасности. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию шлюзов безопасности (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность);

ИСО/МЭК 27033-5 "Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для обеспечения безопасности виртуальных частных сетей" - определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления для обеспечения безопасности соединений, установленных с использованием VPN. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию безопасности виртуальных частных сетей (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность);

ИСО/МЭК 27033-6 "IP-конвергенция" - определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления для обеспечения безопасности сетей с IP-конвергенцией, т.е. с конвергенцией данных, речи и видео. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию безопасности сетей с IP-конвергенцией (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность);

ИСО/МЭК 27033-7 "Беспроводная связь" - определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления, для обеспечения безопасности беспроводных сетей и радиосетей. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию безопасности беспроводных сетей и радиосетей (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность).

Следует подчеркнуть, что ИСО/МЭК 27033 предоставляет дополнительные детализированные рекомендации по реализации мер и средств контроля и управления сетевой безопасностью, определенных в базовом стандарте ИСО/МЭК 27002.

Если в будущем появятся другие части стандарта, они могут представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию сетевых аспектов, охватываемых этими частями (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность).

Следует отметить, что настоящий стандарт не является справочным или нормативным документом для регулирующих и законодательных требований безопасности. Хотя в нем подчеркивается важность этих оказывающих влияние факторов, они не могут быть сформулированы конкретно, так как зависят от страны, вида основной деятельности и т.д.

Если не указано иное, требования настоящего стандарта применимы к действующим в настоящее время и (или) планируемым сетям, но в тексте настоящего стандарта будут применены только термины "сети" или "сеть".