Требования к реализации ЗИС.23: В информационной системе должна осуществляться защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, предусматривающая:
управление (контроль) входящими в информационную систему и исходящими из информационной системы информационными потоками на физической и (или) логической границе информационной системы (сегментов информационной системы);
обеспечение взаимодействия информационной системы и (или) ее сегментов с иными информационными системами и сетями только через сетевые интерфейсы, которые обеспечивают управление (контроль) информационными потоками с использованием средств защиты информации (управляемые (контролируемые) сетевые интерфейсы), установленных на физическом и (или) логическом периметре информационной системы или ее отдельных сегментов (маршрутизаторов, межсетевых экранов, коммутаторов, прокси-серверов, шлюзов безопасности, средств построения виртуальных частных сетей и иных средств защиты информации).
Правила и процедуры защиты периметра информационной системы регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗИС.23:
1) в информационной системе должна быть обеспечена возможность размещения публичных общедоступных ресурсов (в частности общедоступный веб-сервер), взаимодействующих с информационной системой через отдельные физические управляемые (контролируемые) сетевые интерфейсы;
2) в информационной системе должно быть обеспечено предоставление доступа во внутренние сегменты информационной системы (демилитаризованную зону) из внешних информационных систем и сетей только через средства защиты периметра (за исключением внутренних сегментов, которые специально выделены для такого взаимодействия);
3) оператор должен ограничить количество точек доступа в информационную систему из внешних информационных систем и сетей до минимально необходимого числа для решения постановленных задач, а также обеспечивающего постоянный и всесторонний контроль входящих и исходящих информационных потоков;
4) оператором в информационной системе:
а) должен применяться отдельный физический управляемый (контролируемый) сетевой интерфейс для каждого внешнего телекоммуникационного сервиса;
б) должны быть установлены правила управления информационными потоками для каждого физического управляемого (контролируемого) сетевого интерфейса;
в) должна обеспечиваться защита информации при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны (при необходимости), путем применения организационно-технических мер или криптографических методов в соответствии с законодательством Российской Федерации;
г) должно обеспечиваться обоснование и документирование всех исключений из правил управления информационными потоками, связанных с решением определенных задач в информационной системе, и определение продолжительности потребности таких исключений;
д) должно обеспечиваться удаление введенных исключений из правил управления информационными потоками после истечения установленного времени;
5) в информационной системе должен быть исключен выход (вход) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию (реализация принципа "запрещено все, что не разрешено");
6) оператором обеспечивается запрет передачи информации за пределы периметра информационной системы при отказе (сбое) функционирования средств защиты периметра;
7) в информационной системе должна быть исключена возможность информационного взаимодействия мобильных и иных технических средств (устройств) с внешними информационными системами и информационно-телекоммуникационным сетям в процессе их удаленного подключения к защищаемой информационной системе с использованием средств построения виртуальных частных сетей;
8) в информационной системе обеспечивается сетевое соединение внутренних сегментов информационной системы (отдельных средств вычислительных техники), определенных оператором, с установленными им внешними информационными системами и сетями через прокси-серверы, размещенные совместно со средствами защиты периметра, обеспечивающие логирование (отслеживание) TCP-сессий, блокирование конкретных URL, доменных имен, IP-адресов и другим параметрам запросов к внешним информационным ресурсам;
9) в информационной системе исключается возможность выхода через управляемые (контролируемые) сетевые интерфейсы информационных потоков, содержащих вредоносное программное обеспечение (вирусы) или признаки компьютерных атак представляющих угрозу внешним информационным системам и сетям;
10) в информационной системе исключается возможность утечки информации через управляемые (контролируемые) сетевые интерфейсы путем точного соблюдения форматов протоколов, контроля использования стеганографии, отключения внешних сетевых интерфейсов, разборки и сборки пакетов данных, контроля отклонения типа и объема информационного потока от установленного профиля;
11) в информационной системе должна быть обеспечена проверка адреса источника информационного потока и адреса получателя информационного потока с целью подтверждения того, что информационное взаимодействие между этими адресами разрешено;
12) в информационной системе обеспечивается защита периметра с использованием шлюза безопасности на уровне узлов (хостов) для серверов, рабочих станций и мобильных технических средств;
13) в информационной системе обеспечивается сокрытие сетевых адресов используемых для управления средствами защиты периметра, информация о которых может быть получена через технологии определения устройств в сети (в частности систему доменных имен);
14) оператором обеспечивается отделение через отдельный физический управляемый (контролируемый) сетевой интерфейс функций безопасности и управления (администрирования) информационной системы, определенных оператором, от других (внутренних) компонентов информационной системы;
15) оператором обеспечивается исключение возможности несанкционированного физического сетевого подключения к управляемым (контролируемым) сетевым интерфейсам (сетевым интерфейсам средств защиты периметра);
16) в информационной системе для контроля (анализа) защищенности доступ администраторов обеспечивается через выделенный отдельный физический управляемый (контролируемый) сетевой интерфейс;