ГОСТ Р ИСО/МЭК 27033-4-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Безопасность сетей

Часть 4

Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности

Information technology. Security techniques. Network security. Part 4. Securing communications between networks using security gateways

ОКС 35.040

Дата введения 2021-11-30

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Акционерным обществом "Научно-технический и сертификационный центр по комплексной защите информации" (АО Центр "Атомзащитаинформ") ГК "Росатом" и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 391-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27033-4:2014* "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности" (ISO/IEC 27033-4:2014 "Information technology - Security techniques - Network security - Part 4: Securing communications between networks using security gateways", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 27033-4 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для пояснения текста оригинала

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Большинство как коммерческих, так и государственных организаций владеют информационными системами, соединенными сетями, причем сетевые соединения могут быть одним или несколькими вариантами из следующих:

- внутри организации;

- между разными организациями;

- между организацией и общедоступными сетями.

Кроме того, в связи с быстрым развитием общедоступных сетевых технологий (в частности, сети Интернет), предоставляющих широкие возможности для бизнеса, организации все чаще ведут электронный бизнес в глобальном масштабе и предоставляют общедоступные онлайн-услуги. Такие возможности включают в себя различные услуги - от простой поддержки более дешевой передачи данных с использованием сети Интернет в качестве глобальной среды связи до более сложных услуг, предоставляемых поставщиками Интернет-услуг (ISP). Это может означать использование как недорогих локальных точек подключения на каждом конце канала, так и полнофункциональных систем электронной онлайн-торговли и предоставления услуг с использованием веб-приложений и услуг. Также новые технологии (включая интеграцию данных, голоса и видео) расширяют возможности удаленной работы. Работники, работающие в режиме удаленного доступа, могут обеспечить связь путем применения средств удаленного доступа к сетям организаций и сообществ, а также к соответствующей информации и сервисам поддержки бизнеса.

Эта среда действительно обеспечивает бизнесу значительные преимущества, но также порождает необходимость управлять новыми угрозами безопасности. Поскольку для ведения бизнеса организации в значительной степени полагаются на использование информации и соответствующих сетей, потеря конфиденциальности, целостности и доступности информации и услуг может оказать существенное неблагоприятное воздействие на бизнес-процессы. Таким образом, существует большая потребность в надлежащей защите сетей и связанных с ними информационных систем и информации. Другими словами, реализация и поддержание адекватной безопасности сетей имеет решающее значение для успеха бизнес-процессов каждой организации.

В этом контексте отрасли телекоммуникаций и информационных технологий стремятся к экономически эффективным комплексным решениям обеспечения безопасности, предназначенным для защиты сетей от целевых атак и непреднамеренных ошибочных действий, тем самым удовлетворяя бизнес-требования по обеспечению конфиденциальности, целостности и доступности информации и услуг. Защита сети важна и для точного выставления счетов за использование сетей. Возможности защиты в продуктах имеют решающее значение для общей безопасности сети (включая приложения и услуги). Однако по мере того, как все больше продуктов объединяется для создания комплексных решений, их способность к взаимодействию или ее отсутствие будут определять успех этого решения. Безопасность должна быть не только предметом рассмотрения для каждого продукта или услуги, но и должна разрабатываться таким образом, чтобы способствовать объединению возможностей защиты в общее решение обеспечения безопасности.

Цель настоящего стандарта заключается в том, чтобы предоставить руководство по идентификации и анализу угроз безопасности сетей, связанных со шлюзами безопасности, определить требования по обеспечению безопасности сетей для шлюзов безопасности на основе анализа угроз, представить методы разработки для создания сетевой архитектуры технической безопасности для устранения угроз и решения вопросов управления для типовых схем построения сетей, а также для решения проблем, связанных с внедрением, эксплуатацией, мониторингом и проверкой мер обеспечения информационной безопасности (ИБ) с помощью шлюзов безопасности.

Следует подчеркнуть, что настоящий стандарт может быть использован всем персоналом, который участвует в детальном планировании, проектировании и внедрении шлюзов безопасности (например, архитекторов и проектировщиков сетей, администраторов сетей и сотрудников службы безопасности сетей).

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

     1 Область применения

В настоящем стандарте содержится руководство по обеспечению безопасности межсетевого взаимодействия с использованием шлюзов безопасности (межсетевых экранов, межсетевых экранов уровня приложений, систем предотвращения вторжений и т.д.) в соответствии с документированной политикой информационной безопасности (ИБ) для шлюзов безопасности, включающее в себя:

a) выявление и анализ угроз безопасности сети, связанных со шлюзами безопасности;

b) определение требований по обеспечению безопасности сетей для шлюзов безопасности на основе анализа угроз;

c) использование методов проектирования и реализации для устранения угроз и решения вопросов управления для типовых схем построения сетей;

d) решение проблем, связанных с внедрением, эксплуатацией, мониторингом и проверкой шлюзов безопасности сети.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).

ISO/IEC 27033-1, Information technology - Security techniques - Network security - Part 1: Overview and concepts (Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и понятия)

     3 Термины и определения

Для целей настоящего стандарта применены термины и определения, приведенные в ИСО/МЭК 27033-1, а также следующие термины с соответствующими определениями:

3.1 узел-бастион (bastion host): Конкретный узел с усиленной операционной системой, который используется для перехвата пакетов, входящих или выходящих из сети или системы, к которому должны подключаться все внешние пользователи для получения доступа к услуге или системе, которая находится под защитой межсетевого экрана организации.

3.2 оконечный программный межсетевой экран (end-point software-based firewall): Программное приложение, работающее на одном компьютере, защищающее сетевой трафик, входящий и исходящий из этого компьютера, с целью разрешить или запретить обмен данными на основе политики безопасности, определенной конечным пользователем.

3.3 усиленная операционная система (hardened operating system): Операционная система, которая была сконфигурирована или разработана специально для минимизации возможности компрометации или атаки.

Примечание - Это может быть обычная операционная система (ОС), такая как Linux, настроенная для этой среды, или более специализированное решение.

3.4 Интернет-шлюз (Internet gateway): Точка входа в сеть Интернет.

3.5 пакет (packet): Объект, содержащий четко определенный блок байтов, состоящий из заголовка, данных и необязательного концевика, который может передаваться по сетям или телефонным линиям.

Примечание - Формат пакета зависит от протокола, согласно которому он создан. Для мониторинга и управления сеансом связи различные стандарты связи и протоколы используют пакеты специального назначения. Например, стандарт Х.25 использует пакеты диагностики, очистки вызова и сброса пакетов (среди прочих), а также пакеты данных/блок данных, которые передаются по сети.

3.6 сеть периметра (perimeter network): Физическая или логическая подсеть, которая содержит и предоставляет услуги организации для внешних пользователей.

3.7 удаленный офис/филиал (remote office, branch office): Офис, удаленно подключенный к головному офису организации с использованием каналов связи, для предоставления пользователям услуг (например, службы файлов, печати и других служб), необходимых для поддержания их повседневной работы.

3.8 единая точка отказа (single point of failure): Тип отказа, при котором если какой-либо элемент системы выходит из строя, то и вся система перестает работать.

3.9 шлюз протокола инициализации сеанса (SIP gateway): Устройство периметра, которое находится между внутренней VoIP-сетью (сетью передачи голоса по IP-сети, Voice-over-IP) и внешней сетью, такой как телефонная сеть общего пользования.

Примечание - Часто для выполнения этой роли используется маршрутизатор. В тех случаях, когда VoIP используется для внешних IP-сетей, важно обеспечить, чтобы шлюз содержал достаточные защитные меры, особенно для того, чтобы все динамические изменения базы правил для всех настроек вызовов выполнялись безопасным образом.

     4 Сокращения

ACL - список управления доступом (access control list);

API - интерфейс прикладного программирования (application programming interface);

ASIC - специализированная интегральная схема (application specific integrated circuit);

BGP - протокол граничного шлюза (border gateway protocol);

DDoS - распределенный отказ в обслуживании (distributed denial-of-service);

DLL - библиотека динамических ссылок (dynamic link library);

DNS - система доменных имен (domain name system);

DoS - отказ в обслуживании (denial-of-service);

FTP - протокол передачи файлов (file transfer protocol);

HTTP - протокол передачи гипертекста (hypertext transfer protocol);

HTTPS - протокол передачи гипертекста через уровень защищенных сокетов (hypertext transfer protocol over secure socket layer);

ICMP - интернет-протокол управления сообщениями (internet control message protocol);

IP - интернет-протокол (internet protocol);

MIME - многоцелевые расширения Интернет-почты (multipurpose internet mail extensions);

NAT - трансляция сетевых адресов (network address translation);

NFS - сетевая файловая система (network file system);

NIS - сетевая информационная система (network information system);

NNTР - сетевой транспортный протокол новостей (network news transport protocol);

NTP - сетевой протокол времени (network time protocol);

OSI - взаимосвязь открытых систем (open system interconnection);

OSPF - протокол нахождения кратчайшего пути (open shortest path first);

RIP - протокол информации о маршрутизации (routing information protocol);

RPC - удаленный вызов процедур (remote procedure call);