Точный
Статус документа
Статус документа

ГОСТ Р 59162-2020 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 6. Обеспечение информационной безопасности при использовании беспроводных IP-сетей

Введение


В современном мире большинство коммерческих и государственных организаций обладают собственными информационными системами, оснащенными сетевыми соединениями одного или нескольких типов:

- внутри организации;

- между разными организациями;

- между организацией и широким кругом лиц.

В условиях быстрого развития общедоступных сетевых технологий (в частности, сети Интернет), обеспечивающих существенные коммерческие возможности, организации все чаще реализуют электронный бизнес в глобальном масштабе и предоставляют общедоступные онлайн-сервисы. Возможности включают в себя как просто обеспечение более дешевой передачи данных и использование сети Интернет в качестве среды передачи данных, так и более сложные услуги, предлагаемые Интернет-провайдером (ISP). При этом на каждом конечном узле доступа к полнофункциональным системам электронной торговли и доставки услуг с использованием веб-приложений могут использоваться относительно недорогие локальные точки подключения. Помимо этого, новые технологии, такие как интеграция данных, голоса и видео, расширяют возможности удаленной (дистанционной) работы, что позволяет персоналу в течение значительных периодов времени работать дистанционно. Эти технологии могут поддерживать связь посредством использования средств удаленного доступа к сетям организации и сообществ, а также получать необходимую информацию и услуги для поддержки своей работы.

Хотя подобная среда обеспечивает для бизнеса существенные преимущества, она добавляет новые риски безопасности, которыми необходимо управлять. Поскольку деятельность организации сильно зависит от использования информации и соответствующих информационных сетей, утрата конфиденциальности, нарушение целостности и доступности информации и услуг могут оказать существенное негативное влияние на работу организации. В предотвращение появления новых рисков безопасности информации необходимо устанавливать требования по защите сетей и связанных с ними информации и информационных систем. Другими словами, внедрение и поддержание соответствующей безопасности сети абсолютно необходимы для успеха деловой деятельности любой организации.

Поэтому отрасли телекоммуникаций и информационных технологий ищут экономически эффективные комплексные решения безопасности, направленные на защиту сетей от вредоносных атак и непреднамеренных неправильных действий, а также удовлетворяющие требованиям в отношении конфиденциальности, целостности и доступности информации и услуг. Безопасность сети также имеет важное значение для обеспечения надлежащего учета и использования информации. Функции безопасности, заложенные в продукты, являются критически важными для безопасности сети в целом, включая приложения и сервисы. При этом по мере возрастания числа продуктов, которые объединяются для обеспечения общих решений, их совместимость или ее отсутствие является определяющим фактором успешности решений. Безопасность должна быть не только жизненно важным аспектом для каждого продукта или услуги, но и должна разрабатываться таким образом, чтобы способствовать интеграции функций безопасности в рамках общего решения по обеспечению защиты.

________________

В настоящем стандарте под "продуктом" следует понимать "изделия/средства (программные, технические или программно-технические)".

Целью комплекса стандартов ГОСТ Р ИСО/МЭК 27033 является предоставление подробных инструкций по аспектам безопасного контроля, эксплуатации и использования сетей информационных систем и их взаимосвязей. Сотрудники организаций, ответственные за информационную безопасность в целом и за безопасность сетей в частности, должны иметь возможность адаптировать материалы настоящего стандарта к требованиям своих организаций. Основными задачами частей ГОСТ Р ИСО/МЭК 27033 являются:

ГОСТ Р ИСО/МЭК 27033-1 направлен на определение и описание концепций, связанных с безопасностью сети и предоставление рекомендаций по менеджменту безопасности сети. Стандарт содержит общий обзор безопасности сети и связанных с ней определений, рекомендации по идентификации и анализу рисков безопасности сети, кроме того, определение требований безопасности сети. В нем также рассказывается о том, как добиться хорошего качества специализированных архитектур безопасности, а также об аспектах рисков, дизайна и управления, связанных с типичными сетевыми сценариями и областями сетевых технологий, которые подробно рассматриваются в последующих частях ГОСТ Р ИСО/МЭК 27033;

- часть, определяющая, каким образом организации, используя при необходимости последовательный подход к планированию, проектированию и реализации безопасности сети с применением моделей/систем, должны добиваться требуемого качества специализированных архитектур безопасности сети, а также проектирования и реализации, которые обеспечат уверенность в безопасности сети, соответствующей их среде деятельности, приведена в [1]. В данном контексте термины "модель/система" используются для общего представления структуры и функционирования специализированной архитектуры и проекта безопасности. Данный стандарт предназначен для всего персонала, вовлеченного в планирование, проектирование и реализацию аспектов архитектуры безопасности сети (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за безопасность сети);

- ГОСТ Р ИСО/МЭК 27033-3 направлен на определение конкретных рисков, методов проектирования и вопросов, касающихся мер обеспечения ИБ, связанных с типовыми сетевыми сценариями. Данный стандарт предназначен для персонала, вовлеченного в планирование, проектирование и реализацию аспектов архитектуры безопасности сети (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за безопасность сети);

- часть, направленная на определение конкретных рисков, методов проектирования и вопросов, касающихся меры обеспечения информационной безопасности информационных потоков между сетями с использованием шлюзов безопасности, приведена в [2]. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию шлюзов безопасности (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за безопасность сети);

- часть, направленная на определение конкретных рисков, методов проектирования и вопросов, касающихся мер обеспечения информационной безопасности соединений, установленных с использованием VPN, приведена в [3]. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию безопасности виртуальных частных сетей (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за безопасность сети);

- настоящий стандарт направлен на определение конкретных рисков, методов проектирования и вопросов, касающихся мер обеспечения ИБ беспроводных сетей и радиосетей. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию безопасности беспроводных сетей и радиосетей (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за безопасность сети).

Следует подчеркнуть, что комплекс стандартов ГОСТ Р ИСО/МЭК 27033 предоставляет дополнительные детализированные рекомендации по реализации мер обеспечения безопасности сети, определенных в базовом стандарте ГОСТ Р ИСО/МЭК 27002.

Следует отметить, что настоящий стандарт не является справочным или нормативным документом для регулирующих и законодательных требований безопасности. Хотя в нем подчеркивается важность этих оказывающих влияние факторов, они не могут быть сформулированы конкретно, так как зависят от страны, вида основной деятельности и т.д.

Если не указывается иное, приводимые в настоящем стандарте требования применимы к действующим в настоящее время и (или) планируемым сетям, но в тексте настоящего стандарта будут применены только термины "сеть" или "сети".