Текст книги "Информационная безопасность. Национальные стандарты Российской Федерации"

Контрольные вопросы и задания к главе 2

1. Дайте определения понятиям: «инцидент информационной безопасности», «угроза», «уязвимость», «риск».

2. Назовите этапы менеджмента инцидентов ИБ.

3. Опишите организационную структуру системы обеспечения безопасности ИТТ.

4. Какие стандарты относятся к менеджменту ИБ?

5. Опишите структуру стандартов семейства 27000.

6. В чем заключается процессный подход к СМИБ?

7. Каковы основные фазы внедрения СМИБ?

8. Какие основные положения должен содержать документ «Политика информационной безопасности»?

9. Какие нормативные документы в области ИБ (политики) должны быть разработаны в организации?

10. Опишите процесс менеджмента риска ИБ.

11. В чем заключается процесс обработки риска ИБ?

12. Какие дополнительные меры и средства контроля и управления (по сравнению с описанными в стандартах серии 27000) необходимы для телекоммуникационных организаций?

13. Какие активы подлежат защите в организациях здравоохранения?

14. Назовите ключевые принципы готовности ИКТ к обеспечению непрерывности бизнеса.

15. Каковы ключевые элементы готовности ИКТ к обеспечению непрерывности бизнеса?

16. Назовите последовательность шагов процесса менеджмента безопасности приложений.

Глава 3
Национальные стандарты по безопасности информационно-телекоммуникационных систем

– Скажите, пожалуйста, куда мне отсюда идти?

– А куда ты хочешь попасть? – ответил Кот.

– Мне все равно… – сказала Алиса.

– Тогда все равно, куда и идти, – заметил Кот.

– …только бы попасть куда-нибудь, – пояснила Алиса.

– Куда-нибудь ты обязательно попадешь, – сказал Кот. – Нужно только достаточно долго идти.

Не все ли равно, о чем спрашивать, если ответа все равно не получишь, правда?

Льюис Кэрролл. Алиса в Стране чудес

3.1. Список стандартов

К национальным стандартам в области защиты информации в автоматизированных (информационных) системах и сетях можно отнести следующие:

1. ГОСТ Р ИСО /МЭК 27033-1–2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции».

2. ГОСТ Р ИСО /МЭК 27033-3–2014 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления».

3. ГОСТ Р 51583–2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

4. ГОСТ Р 56093–2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования».

5. ГОСТ Р 56103–2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие положения».

6. ГОСТ Р 52863–2007 «Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования».

7. ГОСТ Р 56115–2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования».

8. ГОСТ Р 53113.1–2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения».

9. ГОСТ Р 53113.2–2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов».

10. ГОСТ Р 53131–2008 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения».

11. ГОСТ Р 56545–2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей».

12. ГОСТ Р 56546–2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем».

13. ГОСТ Р 56824–2015 «Интеллектуальная собственность. Использование охраняемых результатов интеллектуальной деятельности в сети Интернет».

14. ГОСТ Р 53109–2008 «Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности».

15. ГОСТ Р 53110–2008 «Система обеспечения информационной безопасности. Сети связи общего пользования. Общие положения».

16. ГОСТ Р 53111–2008 «Устойчивость функционирования сети связи общего пользования. Требования и методы проверки».

17. ГОСТ Р 52448–2005 «Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения».

18. ГОСТ Р 56938–2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения».

19. ГОСТ Р 56205–2014 IEC/TS 62443-1-1:2009 «Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1–1. Терминология, концептуальные положения и модели».

20. ГОСТ Р МЭК 62443-2-1–2015 «Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 2–1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматики».

21. ГОСТ Р 56498–2015 (IEC/PAS 62443-3:2008) «Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления».

22. ГОСТ Р МЭК 62443-3-3–2016 «Сети промышленной коммуникации. Безопасность сетей и систем. Часть 3–3. Требования к системной безопасности и уровни безопасности».

23. ГОСТ Р ИСО/МЭК 30100-1–2017 «Информационные технологии (ИТ). Менеджмент ресурсов домашних сетей. Часть 1. Требования».

24. ПНСТ 199–2017 «Глобальная навигационная спутниковая система. Региональные навигационно-информационные системы. Назначение, состав и характеристики системы обеспечения информационной безопасности».

25. ГОСТ Р 58256–2018 «Защита информации. Управление потоками информации в информационной системе. Формат классификационных меток».

Кроме указанных стандартов, в данной главе рассмотрены еще стандарты по защите прав на объекты интеллектуальной собственности:

ГОСТ Р 58086–2018 «Интеллектуальная собственность. Распределение интеллектуальных прав между заказчиком, исполнителем и автором на охраняемые результаты интеллектуальной деятельности, создаваемые и/или используемые при выполнении научно-исследовательских, опытно-конструкторских, технологических и производственных работ».

ГОСТ Р 56823–2015 «Интеллектуальная собственность. Служебные результаты интеллектуальной деятельности».

ГОСТ Р 55386–2012 «Интеллектуальная собственность. Термины и определения (с Изменением № 1)».

ГОСТ Р 58210–2018 «Информационные технологии. Сети будущего. Формулировка проблем и требования. Часть 1. Общие аспекты».

ПНСТ 301–2018/ИСО/МЭК 24767-1:2008 «Информационные технологии. Безопасность домашней сети. Часть 1. Требования безопасности».

ГОСТ Р ИСО/МЭК 24767-2–2018 «Информационные технологии. Безопасность домашней сети. Часть 2. Внутренние службы безопасности. Безопасный протокол связи для связующего программного обеспечения (SCPM)».

3.2. Стандарты серии 27033 по безопасности сетей

3.2.1. Общие замечания

В современном мире информационные системы большинства организаций связаны сетями, при этом сетевые соединения могут относиться к одному или нескольким видам, представленным на рис. 3.1 (как они изображены в стандарте ГОСТ Р ИСО/МЭК 27033-1–2011):

• в пределах организации;

• между различными организациями;

• между организацией и неограниченным кругом лиц.

Рис. 3.1. Виды сетевых соединений

Использование сетевых технологий, в том числе глобальной информационно-телекоммуникационной сети Интернет, обеспечивает новые широкие возможности для ведения бизнеса и получения значительных преимуществ. Однако наряду с преимуществами появляются новые риски безопасности, которые могут оказывать существенное неблагоприятное влияние на деятельность организации, а следовательно, требуют управления. Поэтому одним из важнейших требований при использовании сетевых технологий является обеспечение адекватной защиты сетей, информационных систем, сетевых сервисов и обрабатываемой информации.

Назначение стандартов серии ИСО/МЭК 27033 состоит в том, чтобы предоставить подробные рекомендации по аспектам безопасности менеджмента, функционирования и использования сетей и информационных систем. Они предоставляют дополнительные детализированные рекомендации по реализации мер и средств контроля и управления сетевой безопасностью, определенных в базовом стандарте ИСО/МЭК 27002.

Структура стандартов серии ИСО/МЭК 27033 описана в его первой части (ГОСТ Р ИСО/МЭК 27033-1–2011) и представлена на рис. 3.2. Как видно из рисунка, стандарт состоит из нескольких частей, целями которых являются различные аспекты сетевых технологий.

ИСО/МЭК 27033-1 «Обзор и концепция» – определение и описание концепций, связанных с сетевой безопасностью, и представление рекомендаций по менеджменту сетевой безопасности. Стандарт содержит общий обзор сетевой безопасности и связанных с ней определений, рекомендации по идентификации и анализу рисков сетевой безопасности, и, кроме того, определение требований сетевой безопасности.

ИСО/МЭК 27033-2 «Рекомендации по проектированию и реализации сетевой безопасности» – определение того, каким образом организации должны добиваться требуемого качества специализированных архитектур сетевой безопасности, проектирования и реализации, которые обеспечат уверенность в сетевой безопасности, соответствующей их среде деятельности. Данный стандарт предназначен для всего персонала, вовлеченного в планирование, проектирование и реализацию аспектов архитектуры сетевой безопасности.

Рис. 3.2. Структура стандартов серии ИСО/МЭК 27033

ИСО/МЭК 27033-3 «Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для типовых сетевых сценариев» – определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления, связанных с типовыми сетевыми сценариями.

ИСО/МЭК 27033-4 «Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для обеспечения безопасности передачи информации между сетями с использованием шлюзов безопасности» – определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления для обеспечения безопасности информационных потоков между сетями с использованием шлюзов безопасности.

ИСО/МЭК 27033-5 «Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для обеспечения безопасности виртуальных частных сетей» – определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления для обеспечения безопасности соединений, установленных с использованием VPN.

ИСО/МЭК 27033-6 «IP-конвергенция» – определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления для обеспечения безопасности сетей с IP-конвергенцией, то есть с конвергенцией данных, речи и видео.

ИСО/МЭК 27033-7 «Беспроводная связь» – определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления, для обеспечения безопасности беспроводных сетей и радиосетей.

Национальные стандарты Российской Федерации серии 27033 идентичны международным стандартам серии ISO/IEC 27033. Сейчас в Российской Федерации в качестве национальных стандартов введены в действие только части 27033-1 и 27033-3.

В настоящее время международные стандарты серии 27033 включают в себя следующие документы:

1. ISO/IEC 27033-1:2015 Information technology – Security techniques – Network security – Part 1: Overview and concepts.

Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции. Принят 17.08.2015 г.

2. ISO/IEC 27033-2:2012 Information technology – Security techniques – Network security – Part 2: Guidelines for the design and implementation of network security.

Информационные технологии. Методы и средства обеспечения защиты. Защита сети. Часть 2. Руководящие указания по проектированию и внедрению защиты сети. Принят 06.08.2012 г.

3. ISO/IEC 27033-3:2010 Information technology – Security techniques – Network security – Part 3: Reference networking scenarios – Threats, design techniques and control issues.

Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления. Принят 22.12.2010 г.

4. ISO/IEC 27033-4:2014 Information technology – Security techniques – Network security – Part 4: Securing communications between networks using security gateways.

Информационные технологии. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 4. Коммуникации для обеспечения безопасности между сетями с применением шлюзов безопасности. Принят 28.02.2014 г.

5. ISO/IEC 27033-5:2013 Information technology – Security techniques – Network security – Part 5: Securing communications across networks using Virtual Private Networks (VPNs).

Информационные технологии. Методы и средства обеспечения безопасности. Безопасность информационной сети. Часть 5. Коммуникации для обеспечения безопасности между сетями с применением виртуальных частных систем. Принят 04.08.2013 г.

6. ISO/IEC 27033-6:2016 Information technology – Security techniques – Network security – Part 6: Securing wireless IP network access.

Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 6. Защищенный доступ к беспроводной IP-сети. Принят 05.06.2016 г.

Следует отметить, что указанные международные стандарты регулярно обновляются, поэтому могут появиться более поздние версии документов.

3.2.2. Национальный стандарт ГОСТ Р ИСО/МЭК 27033-1 – обзор и концепции безопасности сетей

Национальный стандарт Российской Федерации ГОСТ Р ИСО /МЭК 27033-1–2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции» введен в действие с 01.01.2012 г. взамен стандарта ГОСТ Р ИСО/МЭК 18028-1–2008. Он идентичен международному стандарту ISO/IEC 27033-1:2009 «Information technology – Security techniques – Network security – Part 1: Overview and concepts».

Стандарт определяет и описывает концепции, связанные с сетевой безопасностью, и представляет рекомендации по менеджменту сетевой безопасности. Он также:

• представляет рекомендации по идентификации и анализу рисков сетевой безопасности и дает определение требований сетевой безопасности;

• представляет обзор мер и средств контроля и управления, поддерживающих специализированные архитектуры сетевой безопасности и связанные с ними технические меры и средства контроля и управления, а также технические и нетехнические меры и средства контроля и управления, применяемые не только к сетям;

• знакомит с тем, как добиться высокого качества специализированных архитектур сетевой безопасности, связанных с типичными сетевыми сценариями;

• содержит краткое рассмотрение вопросов, связанных с реализацией и функционированием мер и средств контроля и управления сетевой безопасностью, постоянным мониторингом и проверкой их реализации.

Стандарт содержит также обзор сетевых терминов.

Демилитаризованная зона – пограничный сегмент сети (также известный как защищенная подсеть), выполняющий функции «нейтральной зоны» между сетями.

Отказ в обслуживании – прекращение санкционированного доступа к ресурсам системы (или задержка операций и функций системы), приводящее в итоге к потере доступности для авторизованных пользователей.

Интернет – глобальная система взаимосвязанных сетей общедоступного пользования.

ПРИМЕЧАНИЕ

В Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» дано следующее определение: «информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники».

Интерсеть – совокупность взаимосвязанных сетей, называемая «объединенной сетью» или просто «интерсетью».

Интранет — частная компьютерная сеть, использующая интернет-протоколы и возможность сетевого соединения для безопасного коллективного использования части информации или операций организации ее сотрудниками.

Экстранет – расширение сети интранет организации, особенно через инфраструктуру общедоступной сети, делающее возможным совместное использование ресурсов организацией, другими организациями и лицами, с которыми она имеет дело, с предоставлением ограниченного доступа к своей сети интранет.

Межсетевой экран – вид барьера безопасности, размещенного между различными сетевыми средами, состоящего из специализированного устройства или совокупности нескольких компонентов и технических приемов, через который должен проходить весь трафик из одной сетевой среды в другую и наоборот, при этом пропускается только авторизованный трафик, соответствующий местной политике безопасности.

Концентратор – сетевое устройство, которое функционирует на первом уровне эталонной модели взаимодействия открытых систем.

ПРИМЕЧАНИЕ

Сетевые концентраторы не являются интеллектуальными устройствами, они обеспечивают только точки физического соединения для сетевых систем или ресурсов.

Коммутатор – устройство, обеспечивающее соединение сетевых устройств посредством внутренних механизмов коммутации, с технологией коммутации, обычно реализованной на втором или третьем уровне эталонной модели взаимодействия открытых систем.

Маршрутизатор – сетевое устройство, используемое для установления и управления потоками данных между различными сетями путем выбора трактов или маршрутов на основе механизмов и алгоритмов протоколов маршрутизации.

Нарушитель – любое лицо, преднамеренно использующее уязвимости технических и нетехнических мер и средств контроля и управления безопасностью с целью захвата или компрометации информационных систем и сетей или снижения доступности ресурсов информационной системы и сетевых ресурсов для законных пользователей.

Вторжение – несанкционированный доступ к сети или подсоединенной к сети системе, то есть преднамеренный или случайный несанкционированный доступ к информационной системе, включая злонамеренную деятельность против информационной системы или несанкционированное использование ресурсов в информационной системе.

Система обнаружения вторжений – специализированная система, используемая для идентификации того факта, что была предпринята попытка вторжения, вторжение происходит или произошло, а также для возможного реагирования на вторжение в информационные системы и сети.

Вредоносное программное средство – программное средство, специально разработанное для повреждения или разрушения системы посредством нарушения ее конфиденциальности, целостности и/или доступности.

Сетевой менеджмент – процесс планирования, разработки, реализации, эксплуатации, мониторинга и поддержки сети.

Удаленный доступ – процесс получения доступа к сетевым ресурсам из другой сети или с терминала, не являющегося постоянно соединенным физически или логически с сетью, к которой он получает доступ.

Спам – незапрашиваемые сообщения электронной почты, содержание которых может быть вредоносным и/или мошенническим.

Спуфинг – маскировка под легального пользователя или сетевой ресурс.

Туннель – канал передачи данных между сетевыми устройствами, который устанавливают через существующую сетевую инфраструктуру.

Виртуальная локальная вычислительная сеть – независимая сеть, созданная с логической точки зрения внутри физической сети.

Сетевое администрирование – повседневная эксплуатация и управление сетевыми процессами и средствами, используемыми сетью.

Политика сетевой безопасности – совокупность положений, правил и практических приемов, устанавливающих подход организации к использованию ее сетевых ресурсов и определяющих, как должна обеспечиваться защита ее сетевой инфраструктуры и сервисов.

Корпоративная политика информационной безопасности – документ, отражающий позицию руководства по обеспечению информационной безопасности в соответствии с требованиями основной деятельности организации и правовыми и регулирующими нормами.

Сетевой анализатор – устройство или программное средство, используемое для наблюдения и анализа информационного сетевого трафика.

Общий процесс достижения и поддержки необходимой сетевой безопасности стандарт определяет следующим образом:

• определение области/контекста, а затем оценка рисков безопасности (сбор информации о текущей и/или планируемой сетевой среде, идентификация и оценка рисков сетевой безопасности);

• идентификация поддерживающих мер и средств контроля и управления безопасностью;

• рассмотрение вариантов специализированной архитектуры/проекта сетевой безопасности с учетом сетевых сценариев и вопросов сетевых технологий;

• разработка и тестирование комплекса программных и технических средств и услуг по обеспечению безопасности;

• реализация и эксплуатация мер и средств контроля и управления безопасностью;

• мониторинг и проверка реализации.

Риски, с которыми сталкивается организация, могут быть связаны с проблемами несанкционированного доступа к информации, несанкционированной передачи информации, внесения вредоносной программы, отказа от факта приема или источника информации, отказа в обслуживании и недоступности информации или услуг.

Указанные угрозы могут быть связаны с утратой:

• конфиденциальности информации и программы;

• целостности информации и программы;

• доступности информации и сетевых услуг;

• неотказуемости и подотчетности сетевых транзакций;

• подлинности информации (а также аутентичности сетевых пользователей и администраторов);

• достоверности информации и программы (в сетях и системах, соединенных с сетями);

• способности контролировать несанкционированное использование и эксплуатацию сетевых ресурсов и выполнение обязательств в отношении законодательства;

• способности контролировать злоупотребление санкционированным доступом.

Концептуальная модель сетевой безопасности, показывающая, где могут возникать разные виды рисков безопасности, представлена в стандарте в виде схемы, которая изображена на рис. 3.3.

Оценка риска сетевой безопасности производится в соответствии с рекомендациями, представленными в стандартах по менеджменту информационной безопасности (ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27005). Основные процессы оценки и менеджмента риска сетевой безопасности показаны на рис. 3.4 в формате стандарта.

Деятельность по менеджменту сетевой безопасности должна включать в себя:

• определение всех обязанностей, связанных с сетевой безопасностью, и назначение лица, ответственного за обеспечение безопасности;

• документально оформленную политику сетевой безопасности и операционные процедуры безопасности;

• проверку соответствия требованиям безопасности, включая тестирование безопасности;

• документированные условия обеспечения безопасности для сетевого соединения с сотрудниками организации или сторонними организациями или лицами;

• документированные условия обеспечения безопасности для удаленных сетевых пользователей;

• план менеджмента инцидентов сетевой безопасности;

• документально оформленные и проверенные планы по обеспечению непрерывности деятельности/восстановлению после прерывания.

Рис. 3.3. Модель областей риска сетевой безопасности

Рис. 3.4. Процессы оценки и менеджмента риска сетевой безопасности

Политика сетевой безопасности организации должна быть реализуемой, легко доступной для уполномоченных сотрудников организации и должна содержать четкие формулировки:

• правил безопасного использования конкретных сетевых ресурсов, услуг и приложений;

• последствий невыполнения правил безопасности;

• отношения организации к неправильному использованию сети;

• логического обоснования политики и конкретных правил безопасности.

В связи с менеджментом сетевой безопасности стандарт рекомендует конкретные роли и обязанности, которые в зависимости от численности организации могут комбинироваться.

Высшее руководство должно:

• определять цели безопасности организации;

• инициировать, утверждать, доводить до сведения персонала и устанавливать политику, процедуры и правила безопасности организации, политику допустимого использования сетевых ресурсов;

• обеспечивать и приводить в исполнение политику обеспечения безопасности и допустимого использования сетевых ресурсов.

Руководители, осуществляющие сетевой менеджмент, должны:

• разрабатывать детальную политику сетевой безопасности;

• реализовывать политику сетевой безопасности и политику допустимого использования сетевых ресурсов;

• управлять взаимодействием с внешними сторонами и провайдерами услуг для обеспечения соответствия внутренней и внешней политикам сетевой безопасности.

Группа обеспечения сетевой безопасности должна:

• приобретать, разрабатывать, тестировать, проверять и поддерживать компоненты и инструментальные средства сетевой безопасности;

• устанавливать, обновлять, использовать и обеспечивать защиту сервисов и компонентов сетевой безопасности;

• выполнять необходимые ежедневные задачи по применению спецификаций, правил и параметров сетевой безопасности, которых требуют действующие политики сетевой безопасности;

• принимать соответствующие меры по обеспечению защиты компонентов сетевой безопасности.

• Пользователи сети должны:

• сообщать о своих требованиях к безопасности;

• соблюдать корпоративную политику безопасности;

• соблюдать корпоративные политики допустимого использования сетевых ресурсов;

• сообщать о событиях и инцидентах сетевой безопасности;

• обеспечивать обратную связь по вопросам эффективности сетевой безопасности.

Аудиторы (внутренние и внешние) должны:

• проводить проверки и аудит;

• проверять соблюдение политики сетевой безопасности;

• проверять и тестировать совместимость действующих правил сетевой безопасности с текущими требованиями основной деятельности организации и правовыми ограничениями.

В стандарте приведены примеры типовых сетевых сценариев:

1. Услуги доступа сотрудников в Интернет. Базовым принципом должен быть принцип, разрешающий только те услуги, которые обеспечивают потребности организации.

2. Расширенные услуги совместной работы (чат, видеоконференции, среды коллективного использования документов и т. п.).

3. Услуги «бизнес для бизнеса» и «бизнес для клиента».

4. Услуги аутсорсинга.

5. Сегментация сети.

6. Мобильная связь.

7. Сетевая поддержка для пользователей, находящихся в разъездах.

8. Сетевая поддержка домашних офисов и офисов малых предприятий.

Подробные рекомендации по рискам безопасности, методам проектирования безопасности и мерам и средствам контроля и управления, необходимым для уменьшения последствий этих рисков во всех конкретных сценариях, подробно описаны в стандарте ИСО/МЭК 27033-3.

В приложении к стандарту подробно описаны риски безопасности, а также меры и средства контроля и управления безопасностью в конкретных сетевых технологиях:

• локальные вычислительные сети (ЛВС) (проводные);

• глобальные вычислительные сети;

• беспроводные сети;

• радиосети;

• широкополосные сети;

• шлюзы безопасности;

• виртуальные частные сети;

• сети телефонной связи;

• IP-конвергенция;

• размещение информации на сервере веб-узлов;

• электронная почта в Интернете;

• маршрутизированный доступ к сторонним организациям;

13 центр обработки и хранения данных.

Например, в стандарте перечислены основные риски безопасности для проводных ЛВС, связанные с:

• несанкционированным доступом и изменениями, вносимыми в ПК, серверы и другие соединенные с ЛВС устройства;

• устройствами, в которых не осуществлены исправления программного обеспечения;

• паролями низкого качества;

• хищением аппаратных средств;

• нарушениями энергоснабжения;

• импортом вредоносной программы через электронную почту и доступ к веб-страницам;

• неудачным резервным копированием локальных жестких дисков;

• отказом аппаратных средств, таких, например, как жесткие диски;

• несанкционированными соединениями с инфраструктурой ЛВС;

• несанкционированными соединениями с выходными устройствами;

• паролями по умолчанию на портах управления сетевых устройств;

• вторжениями, при которых происходит раскрытие информации или при которых в дальнейшем не могут быть гарантированы целостность и/или доступность данных;

• DoS-атаками, когда ресурсы становятся недоступными для уполномоченных пользователей;

• длительным запаздыванием, которое будет оказывать влияние на передачу речи через IP-сервисы;

• сбоем устройств;

• повреждением кабеля;

• недостаточной физической защитой.

Для снижения указанных рисков стандарт предлагает конкретные меры и средства контроля и управления для защиты среды ЛВС.