ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции
Приложение B
(справочное)
Перекрестные ссылки между ИСО/МЭК 27001, ИСО/МЭК 27002 и разделами настоящего стандарта, отражающими меры и средства контроля и управления, связанные с сетевой безопасностью
Таблица B.1 - Перекрестные ссылки между ИСО/МЭК 27001, ИСО/МЭК 27002 и разделами настоящего стандарта
Разделы, подразделы, пункты, подпункты ИСО/МЭК 27001 | Меры | Разделы, подразделы, пункты, подпункты настоящего стандарта |
10.4.1 Меры защиты от вредоносного кода | Должны быть реализованы меры по обнаружению, предотвращению проникновения и восстановлению после проникновения вредоносного кода, а также должны быть установлены процедуры обеспечения соответствующего оповещения пользователей | 8.7 Защита от вредоносной программы |
10.4.2 Меры защиты от мобильного кода | Там, где разрешено использование мобильного кода, конфигурация должна обеспечивать уверенность в том, что авторизованный мобильный код функционирует в соответствии с четко определенной политикой безопасности, а исполнение операций с использованием неавторизованного мобильного кода будет предотвращено | 7.2.2.2 Сетевые архитектуры, приложения и сервисы |
10.6.1 Средства контроля сети | Сети должны быть адекватно управляемыми и контролируемыми в целях защиты от угроз и поддержания безопасности систем и приложений, использующих сеть, включая информацию, передаваемую по сетям | См. ниже для разделов ИСО/МЭК 27001 и ИСО/МЭК 27002, пункты 10.6.1 IG, перечисления a)-e) |
10.6.1 IG*, перечисление a) | Эксплуатационные обязанности, связанные с сетями, должны быть отделены от компьютерных операций (где необходимо) | 8.2 Менеджмент сетевой безопасности |
10.6.1 IG, перечисление b) | Должны быть установлены обязанности и процедуры менеджмента удаленного оборудования, включая оборудование в зоне пользователя | Более подробная информация приведена в ИСО/МЭК 27033-5 |
10.6.1 IG, перечисление c) | Должны быть установлены специальные меры и средства контроля и управления для защиты конфиденциальности и целостности данных, передаваемых по общедоступным или беспроводным сетям, и для защиты соединенных с ними систем и приложений (см. 11.4 и 12.3); могут также потребоваться специальные меры и средства контроля и управления для поддержки доступности сетевых услуг и подсоединенных компьютеров | Все меры и средства контроля и управления безопасностью см. в разделе 11 "Аспекты "технологий" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления" |
10.6.1 IG, перечисление d) | Должны использоваться соответствующие регистрация (данных) и мониторинг, чтобы сделать возможным фиксирование деятельности, связанной с обеспечением безопасности | 8.5 Ведение контрольных журналов и мониторинг сети |
10.6.1 IG, перечисление e) | Деятельность по осуществлению менеджмента должна быть согласована должным образом, чтобы оптимизировать услуги для организации и обеспечить последовательное применение мер и средств контроля и управления в инфраструктуре обработки информации | 8.2 Менеджмент сетевой безопасности |
10.6.2 Безопасность сетевых сервисов | Обеспечение безопасности, уровни обслуживания для всех сетевых услуг и требования управления должны быть определены и включены в любой договор о сетевых услугах, независимо от того, предоставляются ли эти услуги своими силами или сторонней организацией | 8.2 Менеджмент сетевой безопасности (имеющий отношение к другим подпунктам раздела 8 и разделам 9-11) |
10.8.1 Политики и процедуры обмена информацией | Должны существовать формализованные процедуры, требования и меры контроля, обеспечивающие защиту обмена информацией при использовании связи всех типов | 6.2 Планирование и менеджмент сетевой безопасности |
10.8.4 Электронный обмен сообщениями | Информация, используемая в электронном обмене сообщениями, должна быть надлежащим образом защищена | А.11 Электронная почта в Интернете |
10.9.1 Электронная торговля | Информация, используемая в электронной торговле, проходящая по общедоступным сетям, должна быть защищена от мошенничества, оспаривания контрактов, а также от несанкционированного разглашения и модификации | 10.4 Услуги "бизнес - бизнес" 10.5 Услуги "бизнес - клиент" |
10.9.2 Транзакции в режиме реального времени (on-line) | Информация, используемая в транзакциях в режиме реального времени (on-line), должна быть защищена для предотвращения неполной передачи, неправильной маршрутизации, несанкционированного изменения сообщений, несанкционированного разглашения, несанкционированного копирования или повторного отправления сообщений | 10.5 Услуги "бизнес - клиент" |
10.9.3 Общедоступная информация | Информация, предоставляемая через общедоступную систему, должна быть защищена от несанкционированной модификации | А.10 Размещение информации на сервере веб-узлов |
11.4.1 Политика в отношении использования сетевых услуг | Пользователям следует предоставлять доступ только к тем услугам, по отношению к которым они специально были авторизованы | 8.2.2.2 Политика сетевой безопасности |
11.4.2 Аутентификация пользователей для внешних соединений | Для контроля доступа удаленных пользователей должны применяться соответствующие методы аутентификации | 8.4 Идентификация и аутентификация |
11.4.3 Идентификация оборудования в сетях | Автоматическая идентификация оборудования должна рассматриваться как средство аутентификации соединений, осуществляемых с определенных мест и с определенным оборудованием | |
11.4.4 Защита портов конфигурации и диагностики при удаленном доступе | Физический и логический доступ к портам конфигурации и диагностики должен быть контролируемым | |
11.4.5 Принцип разделения в сетях | В сетях должны применяться принципы разделения групп информационных услуг, пользователей и информационных систем | |
11.4.6 Контроль сетевых соединений | Подключение пользователей к совместно используемым сетям, особенно к выходящим за территорию организации, необходимо ограничивать в соответствии с политикой контроля доступа и требованиями бизнес-приложений | 11 Аспекты сетевых "технологий" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления |
11.4.7 Контроль маршрутизации в сети | Должны быть внедрены средства управления и контроля маршрутизации в сети с целью исключения нарушений правил контроля доступа для бизнес-приложений, вызываемых соединениями и потоками информации | А.6 Шлюзы безопасности |
_______________
* IG - Руководство по реализации, т.е. стандарт ИСО/МЭК 27002.
Таблица B.2 - Перекрестные ссылки между разделами настоящего стандарта и разделами ИСО/МЭК 27001, ИСО/МЭК 27002
Разделы, подразделы, пункты, подпункты настоящего стандарта | Наименования разделов | Разделы, подразделы, пункты, подпункты |
6 | Обзор | |
6.2 | Планирование и менеджмент сетевой безопасности | 10.8.1 Политики и процедуры обмена информацией |
7 | Идентификация рисков и подготовка к идентификации мер и средств контроля и управления безопасностью | |
7.2 | Информация о текущем и (или) планируемом построении сети | |
7.2.1 | Требования безопасности в корпоративной политике информационной безопасности | |
7.2.2 | Информация о текущем/планируемом построении сети | |
7.2.2.2 | Сетевые архитектуры, приложения и сервисы | 10.4.2 Меры защиты от мобильного кода |
7.2.2.3 | Виды сетевых соединений | |
7.2.2.4 | Другие сетевые характеристики | |
7.2.2.5 | Дополнительная информация | |
7.3 | Риски информационной безопасности и потенциальные области действия мер и средств контроля и управления | |
8.2 | Менеджмент сетевой безопасности | 10.6.1 Средства контроля сети |
8.2.2 | Деятельности по менеджменту сетевой безопасности | |
8.2.2.2 | Политика сетевой безопасности | 5.1 Политика информационной безопасности 11.4.1 Политика в отношении использования сетевых услуг |
8.2.2.3 | Операционные процедуры сетевой безопасности | |
8.2.2.4 | Проверка соответствия требованиям сетевой безопасности | |
8.2.2.5 | Условия обеспечения безопасности сетевых соединений со многими организациями | |
8.2.2.6 | Документированные условия обеспечения безопасности для удаленных сетевых пользователей | |
8.2.2.7 | Менеджмент инцидентов сетевой безопасности | 13 Управление инцидентами информационной безопасности |
8.2.3 | Роли и обязанности, связанные с обеспечением сетевой безопасности | 8.1.1 Функции и обязанности персонала по обеспечению безопасности |
8.2.4 | Сетевой мониторинг | 10.10 Мониторинг |
8.2.5 | Оценка сетевой безопасности | |
8.3 | Менеджмент технических уязвимостей | 12.6 Менеджмент технических уязвимостей |
8.4 | Идентификация и аутентификация | 11.4.2 Аутентификация пользователей для внешних соединений 11.5.2 Идентификация и аутентификация пользователей |
8.5 | Ведение контрольных журналов и мониторинг сети | 10.6.1 Средства контроля сети 10.10.1 Ведение журналов аудита |
8.6 | Обнаружение и предотвращение вторжений | |
8.7 | Защита от вредоносных программ | 10.4 Защита от вредоносного кода и мобильного кода |
8.8 | Услуги, основанные на криптографии | 12.3 Криптографические средства защиты |
8.9 | Менеджмент непрерывности деятельности | 14 Менеджмент непрерывности бизнеса |
9 | Рекомендации по проектированию и реализации сетевой безопасности | |
9.2 | Специализированная архитектура/проект сетевой безопасности | |
10 | Типовые сетевые сценарии - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления | |
10.2 | Услуги доступа сотрудников к Интернет | |
10.3 | Расширенные услуги совместной работы | |
10.4 | Услуги "бизнес - бизнес" | 10.9.1 Электронная торговля |
10.5 | Услуги "бизнес - клиент" | 10.9.1 Электронная торговля 10.9.2 Транзакции в режиме реального времени (on-line) |
10.6 | Услуги аутсорсинга | |
10.7 | Сегментация сети | |
10.8 | Мобильная связь | |
10.9 | Сетевая поддержка для находящихся в разъездах пользователей | |
10.10 | Сетевая поддержка для домашних офисов и офисов малых предприятий | |
11 | Аспекты сетевых "технологий" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления | 10.6.1 Средства контроля сети 11.4.6 Контроль сетевых соединений |
12 | Разработка и тестирование комплекса программных и технических средств и услуг по обеспечению безопасности | |
13 | Реализация комплекса программных и технических средств и услуг по обеспечению безопасности | |
14 | Мониторинг и проверка эксплуатации комплекса программных и технических средств и услуг | |
Приложение А | Аспекты сетевых "технологий" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления | |
А.1 | Локальные вычислительные сети | |
А.2 | Глобальные вычислительные сети | |
А.3 | Беспроводные сети | |
А.4 | Радиосети | |
А.5 | Широкополосные сети | |
А.6 | Шлюзы безопасности | 11.4.7 Контроль маршрутизации в сети |
А.7 | Виртуальные частные сети | |
А.8 | Сети телефонной связи | |
А.9 | IP-конвергенция | |
А.10 | Размещение информации на сервере веб-узлов | 10.9.3 Общедоступная информация |
А.11 | Электронная почта в Интернете | 10.8.4 Электронный обмен сообщениями |
А.12 | Маршрутизированный доступ к сторонним организациям |