ГОСТ Р ИСО/МЭК 27033-5-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Безопасность сетей
Часть 5
Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей (ВЧС)
Information technology. Security techniques. Network security. Part 5. Securing communications across networks using Virtual Private Networks (VPNs)
ОКС 35.040
Дата введения 2021-11-30
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 417-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27033-5:2013* "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 5. Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей (ВЧС)" [ISO/IEC 27033-5:2013 "Information technology - Security techniques - Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs)", IDT].
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ИСО/МЭК 27033-5 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.
Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для понимания текста оригинала
5 ВВЕДЕН ВПЕРВЫЕ
6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Серия ИСО/МЭК 27033 состоит из следующих частей под одним общим заголовком "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей":
часть 1. Обзор и понятия;
часть 2. Инструкции по проектированию и реализации безопасных сетей;
часть 3. Эталонные варианты реализации сетей. Угрозы, методы проектирования и вопросы управления;
часть 4. Обеспечение безопасного межсетевого взаимодействия между сетями с помощью шлюзов безопасности;
часть 5. Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей (ВЧС);
________________
Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.
Далее по тексту используется сокращение ВЧС.
часть 6. Обеспечение безопасности беспроводного доступа к IP-сетям.
Примечание - Следует отметить, что могут появиться и другие части. В число возможных тем, которые могут быть в них освещены, входят локальные вычислительные сети, широкополосные сети, веб-хостинг, интернет-почта и маршрутизированный доступ к сторонним организациям. Основные разделы таких частей должны включать "Риски", "Методы проектирования" и "Вопросы управления".
Настоящий стандарт содержит рекомендации по выбору, реализации и мониторингу технических средств управления, необходимых для обеспечения сетевой безопасности посредством виртуальных частных сетей (ВЧС), используемых для установки сетевых соединений и подключения удаленных пользователей к сетям.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание, для недатированных - последнее издание (включая все изменения к нему).
ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements (Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования)
ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security controls (Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности)
ISO/IEC 27005:2011, Information technology - Security techniques - Information security risk management (Информационные технологии. Методы и средства обеспечения безопасности. Управление рисками информационной безопасности)
ISO/IEC 27033-1:2009, Information technology - Security techniques - Network security - Part 1: Overview and concepts (Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и понятия)
В настоящем стандарте применены термины по ИСО/МЭК 7498 (все части), ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27005 и ИСО/МЭК 27033-1.
В настоящем стандарте использованы сокращения по ИСО/МЭК 27033-1, а также следующие сокращения:
AH - заголовок аутентификации (authentication header);
ESP - безопасно инкапсулированная полезная нагрузка (encapsulating security payload);
IKE - схема обмена ключами через Интернет (internet key exchange);
IPsec - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP (Internet Protocol Security);
ISAKMP - протокол ассоциаций безопасности и управления ключами в Интернете (internet security association and key management protocol);
L2F - переадресация на 2-м уровне (протокол) (layer two forwarding);
LDP - протокол распределения меток (label distribution protocol);
MPPE - протокол шифрования данных, используемый поверх соединений PPP (microsoft point-to-point encryption);
MPLS - многопротокольная коммутация по меткам (Multi-protocol Label Switching);
NAS - сетевое хранилище данных (network area storage);
OSI - взаимодействие открытых систем (open systems interconnection);
PPP - протокол двухточечного соединения (point-to-point protocol);
PPTP - туннельный протокол типа "точка-точка" (point-to-point tunneling protocol);
SSL - протокол безопасных соединений (secure sockets layer);
VPLS - сервис виртуальной частной локальной вычислительной сети (virtual private LAN service);
VPWS - сервис проводной частной сети (virtual private wire service);
WAN - глобальная вычислительная сеть (wide area network).
Настоящий стандарт содержит следующие разделы:
- обзор виртуальных частных сетей (ВЧС) (раздел 6);
- описание угроз безопасности информации, связанных с ВЧС (раздел 7);
- описание требований безопасности, определяемых на основе анализа угроз безопасности информации, связанных с ВЧС (раздел 8);
- описание мер обеспечения информационной безопасности (ИБ), относящихся к стандартным сетевым сценариям и областям сопряжения сетей и технологий, использующим ВЧС (раздел 9);
- описание методов проектирования ВЧС (раздел 10).
ВЧС получили стремительное развитие как средство межсетевого взаимодействия и способ подключения удаленных пользователей к сетям.
Существует множество определений ВЧС. В самом простом варианте они обеспечивают механизм для создания безопасного канала или каналов передачи данных через существующую сеть либо через соединение типа "точка-точка". Эти каналы предоставляются исключительно ограниченному кругу пользователей и могут быть динамически установлены и удалены по мере необходимости. Хостинговая сеть бывает как частной, так и общедоступной.
На рисунке 1 представлен пример ВЧС с защищенным каналом данных, соединяющим конечного пользователя со шлюзом в общедоступной сети, и защищенным каналом данных, соединяющим два шлюза в общедоступной сети.
Рисунок 1 - Пример ВЧС
Удаленный доступ с помощью ВЧС реализуется поверх обычного соединения "точка-точка". В первую очередь устанавливается стандартное двухточечное соединение между локальным пользователем и удаленными узлами. Некоторые ВЧС предоставляются как управляемый сервис, в рамках которого в общедоступной инфраструктуре предоставляются защищенный и надежный канал передачи данных, а также средства управления и адресации, эквивалентные тем, что обеспечиваются в частной сети. Поэтому для усиления защиты ВЧС может потребоваться принять во внимание дополнительные меры обеспечения ИБ, как указано в настоящем стандарте.
Данные и код, передаваемые через ВЧС, должны предназначаться только организации, использующей ВЧС, и храниться отдельно от данных и кода других пользователей базовой сети. Данные и код, принадлежащие другим пользователям, не должны передаваться по одному и тому же каналу ВЧС. При оценке объема дополнительных мер обеспечения ИБ, которые могут потребоваться, следует учитывать уровень доверия к конфиденциальности и другие аспекты безопасности организации, владеющей ВЧС или предоставляющей ее.
Как было сказано выше, существует множество способов описания типов ВЧС.
В архитектуру ВЧС входят: