ГОСТ Р ИСО/МЭК 27033-2-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Безопасность сетей

Часть 2

Рекомендации по проектированию и реализации безопасности сетей

Information technology. Security techniques. Network security. Part 2. Guidelines for the design and implementation of network security

ОКС 35.040

Дата введения 2021-11-30

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН); Акционерным обществом "Научно-технический и сертификационный центр по комплексной защите информации" (АО Центр "Атомзащитаинформ") ГК "Росатом" и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 мая 2021 г. N 368-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27033-2:2012* "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей" (ISO/IEC 27033-2:2012 "Information Technology - Security Techniques - Network Security - Part 2: Guidelines for the design and implementation of network security", IDT).     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 27033-2 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тексте стандарта, выделенные курсивом*, приведены для пояснения текста оригинала     

________________
     * В оригинале обозначения и номера стандартов и нормативных документов приводятся обычным шрифтом, кроме отмеченного в разделе "Предисловие" знаком "**". - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"**. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Серия ИСО/МЭК 27033 состоит из следующих частей под одним общим заголовком: "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей":

- часть 1. Обзор и понятия;

- часть 2. Рекомендации по проектированию и реализации безопасности сетей;

_______________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

- часть 3. Эталонные варианты реализации сетей. Угрозы, методы проектирования и вопросы управления;

- часть 4. Обеспечение безопасного межсетевого взаимодействия между сетями с помощью шлюзов безопасности;

- часть 5. Обеспечение безопасного межсетевого взаимодействия в сетях с помощью виртуальных частных сетей (VPN);

_______________

Далее по тексту используется сокращение VPN.

- часть 6. Обеспечение безопасности беспроводного доступа к IP-сетям.

Примечание - Следует отметить, что могут появиться и другие части, относящиеся к постоянно изменяющимся и возникающим технологиям в области безопасности сетей.

     1 Область применения

Настоящий стандарт содержит рекомендации для организаций при проектировании и внедрении систем обеспечения безопасности сетей, а также документирования этих процессов.

     2 Нормативные ссылки

В настоящем стандарте использованы следующие нормативные ссылки. Для датированных ссылок применяют только указанное издание, для недатированных - последнее издание (включая все изменения).

ISO/IEC 7498 (all parts), Information technology - Open systems interconnection - Basic reference model (Информационные технологии. Взаимосвязь открытых систем. Базовая эталонная модель)

ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология)

ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security management (Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности)

ISO/IEC 27005:2011, Information technology - Security techniques - Information security risk management (Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности)

ISO/IEC 27033-1, Information technology - Security techniques - Network security - Part 1: Overview and concepts (Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и понятия)

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 7498 (все части), ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27005 и ИСО/МЭК 27033-1.

     4 Сокращения

POC - доказательство концепции (proof of concept);

RADIUS - служба удаленной аутентификации пользователей при коммутируемом подключении (remote authentication dial-in user service);

RAS - служба удаленного доступа (remote access service);

SMS - служба рассылки коротких сообщений (simple message service);

SMTP - простой протокол передачи почты (simple mail transfer protocol);

TACACS - сеансовый протокол управления терминальным доступом посредством системы (сервера) управления доступом (terminal access controller access-control system);

TFTP - простой протокол передачи файлов (trivial file transfer protocol);

TLS - протокол защиты транспортного уровня (transport layer security);

СПВ - система предотвращения вторжения.

     5 Структура документа

Настоящий стандарт содержит следующие разделы и подразделы:

- подготовка к проектированию безопасности сетей:

- введение;

- идентификация активов;

- сбор требований;

- анализ требований;

- анализ существующих проектов и реализаций;

- проектирование безопасности сетей:

- введение;

- принципы проектирования;

- утверждение проекта;

- реализация:

- введение;

- критерии выбора сетевых компонентов;

- критерии выбора продукта или поставщика;

- управление сетью;

- регистрация, мониторинг и реагирование на инциденты;

- документация;

- планы испытаний и проведение испытаний;

- утверждение реализации.

     6 Подготовка к проектированию безопасности сетей

     6.1 Введение

Цели создания безопасных сетей заключаются в обеспечении функционирования таких потоков информации, которые улучшают бизнес-процессы организации, и предотвращении потоков информации, которые их ухудшают. Подготовительные работы по проектированию и реализации безопасности сетей включают в себя следующие этапы:

- идентификация активов;

- сбор требований;

- анализ требований;

- оценка технических возможностей и ограничений;

- оценка существующих проектов и реализаций.

Данные этапы должны привести к подготовке начальной документации, содержащей все исходные данные для последующих этапов проектирования и реализации.