ГОСТ Р ИСО/МЭК 27033-5-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Безопасность сетей

Часть 5

Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей (ВЧС)

Information technology. Security techniques. Network security. Part 5. Securing communications across networks using Virtual Private Networks (VPNs)

ОКС 35.040

Дата введения 2021-11-30

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 417-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27033-5:2013* "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 5. Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей (ВЧС)" [ISO/IEC 27033-5:2013 "Information technology - Security techniques - Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs)", IDT].

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 27033-5 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для понимания текста оригинала

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Серия ИСО/МЭК 27033 состоит из следующих частей под одним общим заголовком "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей":

часть 1. Обзор и понятия;

часть 2. Инструкции по проектированию и реализации безопасных сетей;

часть 3. Эталонные варианты реализации сетей. Угрозы, методы проектирования и вопросы управления;

часть 4. Обеспечение безопасного межсетевого взаимодействия между сетями с помощью шлюзов безопасности;

часть 5. Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей (ВЧС);

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

Далее по тексту используется сокращение ВЧС.

часть 6. Обеспечение безопасности беспроводного доступа к IP-сетям.

Примечание - Следует отметить, что могут появиться и другие части. В число возможных тем, которые могут быть в них освещены, входят локальные вычислительные сети, широкополосные сети, веб-хостинг, интернет-почта и маршрутизированный доступ к сторонним организациям. Основные разделы таких частей должны включать "Риски", "Методы проектирования" и "Вопросы управления".

     1 Область применения

Настоящий стандарт содержит рекомендации по выбору, реализации и мониторингу технических средств управления, необходимых для обеспечения сетевой безопасности посредством виртуальных частных сетей (ВЧС), используемых для установки сетевых соединений и подключения удаленных пользователей к сетям.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание, для недатированных - последнее издание (включая все изменения к нему).

ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)

ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security controls (Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности)

ISO/IEC 27005:2011, Information technology - Security techniques - Information security risk management (Информационные технологии. Методы и средства обеспечения безопасности. Управление рисками информационной безопасности)

ISO/IEC 27033-1:2009, Information technology - Security techniques - Network security - Part 1: Overview and concepts (Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и понятия)

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 7498 (все части), ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27005 и ИСО/МЭК 27033-1.

     4 Сокращения

В настоящем стандарте использованы сокращения по ИСО/МЭК 27033-1, а также следующие сокращения:

AH - заголовок аутентификации (authentication header);

ESP - безопасно инкапсулированная полезная нагрузка (encapsulating security payload);

IKE - схема обмена ключами через Интернет (internet key exchange);

IPsec - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP (Internet Protocol Security);

ISAKMP - протокол ассоциаций безопасности и управления ключами в Интернете (internet security association and key management protocol);

L2F - переадресация на 2-м уровне (протокол) (layer two forwarding);

LDP - протокол распределения меток (label distribution protocol);

MPPE - протокол шифрования данных, используемый поверх соединений PPP (microsoft point-to-point encryption);

MPLS - многопротокольная коммутация по меткам (Multi-protocol Label Switching);

NAS - сетевое хранилище данных (network area storage);

OSI - взаимодействие открытых систем (open systems interconnection);

PPP - протокол двухточечного соединения (point-to-point protocol);

PPTP - туннельный протокол типа "точка-точка" (point-to-point tunneling protocol);

SSL - протокол безопасных соединений (secure sockets layer);

VPLS - сервис виртуальной частной локальной вычислительной сети (virtual private LAN service);

VPWS - сервис проводной частной сети (virtual private wire service);

WAN - глобальная вычислительная сеть (wide area network).

     5 Структура документа

Настоящий стандарт содержит следующие разделы:

- обзор виртуальных частных сетей (ВЧС) (раздел 6);

- описание угроз безопасности информации, связанных с ВЧС (раздел 7);

- описание требований безопасности, определяемых на основе анализа угроз безопасности информации, связанных с ВЧС (раздел 8);

- описание мер обеспечения информационной безопасности (ИБ), относящихся к стандартным сетевым сценариям и областям сопряжения сетей и технологий, использующим ВЧС (раздел 9);

- описание методов проектирования ВЧС (раздел 10).

     6 Обзор

     6.1 Введение

ВЧС получили стремительное развитие как средство межсетевого взаимодействия и способ подключения удаленных пользователей к сетям.

Существует множество определений ВЧС. В самом простом варианте они обеспечивают механизм для создания безопасного канала или каналов передачи данных через существующую сеть либо через соединение типа "точка-точка". Эти каналы предоставляются исключительно ограниченному кругу пользователей и могут быть динамически установлены и удалены по мере необходимости. Хостинговая сеть бывает как частной, так и общедоступной.

На рисунке 1 представлен пример ВЧС с защищенным каналом данных, соединяющим конечного пользователя со шлюзом в общедоступной сети, и защищенным каналом данных, соединяющим два шлюза в общедоступной сети.

Рисунок 1 - Пример ВЧС

Удаленный доступ с помощью ВЧС реализуется поверх обычного соединения "точка-точка". В первую очередь устанавливается стандартное двухточечное соединение между локальным пользователем и удаленными узлами. Некоторые ВЧС предоставляются как управляемый сервис, в рамках которого в общедоступной инфраструктуре предоставляются защищенный и надежный канал передачи данных, а также средства управления и адресации, эквивалентные тем, что обеспечиваются в частной сети. Поэтому для усиления защиты ВЧС может потребоваться принять во внимание дополнительные меры обеспечения ИБ, как указано в настоящем стандарте.

Данные и код, передаваемые через ВЧС, должны предназначаться только организации, использующей ВЧС, и храниться отдельно от данных и кода других пользователей базовой сети. Данные и код, принадлежащие другим пользователям, не должны передаваться по одному и тому же каналу ВЧС. При оценке объема дополнительных мер обеспечения ИБ, которые могут потребоваться, следует учитывать уровень доверия к конфиденциальности и другие аспекты безопасности организации, владеющей ВЧС или предоставляющей ее.

     6.2 Типы ВЧС

Как было сказано выше, существует множество способов описания типов ВЧС.

В архитектуру ВЧС входят: