ГОСТ Р ИСО/МЭК 27033-2-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей

Приложение B

(справочное)

 

ПРИМЕРЫ ШАБЛОНОВ ДОКУМЕНТАЦИИ

 

B.1 Пример шаблона документа по архитектуре безопасности сети

B.1.1 Введение

Включает такие разделы, как:

- назначение/цели/область применения;

- предположения, как технические, так и иные;

- статус документа;

- структура документа.

B.1.2 Бизнес-требования

Включает такие разделы, как:

- введение;

- контекст (содержание);

- сетевые и другие ИТ-службы.

B.1.3 Техническая архитектура

Включает такие разделы, как:

- введение;

- технический обзор;

      - реферат;

      - основной домен 1;

      - основной домен 2;

      - основной домен 3 и т.д.;

      - серверы;

      - рабочие станции;

      - регистрация;

      - управление;

      - аутентификация и контроль доступа;

      - область действия услуг и устойчивость;

- местоположения систем;

- компоненты систем;

- взаимные соединения;

- компонент 1;

      - обзор;

      - конфигурация;

      - регистрация;

      - управление;

- компонент 2;

      - обзор;

      - конфигурация;

      - регистрация;

      - управление;

- компонент 3;

      - обзор;

      - конфигурация;

      - регистрация;

      - управление;

- компонент "x" и т.д.;

- управление серверами;

      - введение;

      - мониторинг служб;

      - расширенное системное администрирование (XSA);

      - менеджер по безопасности предприятия (ESM);

      - все другие менеджеры;

- межсетевые экраны;

      - введение;

      - обзор;

      - резервное копирование конфигурации МЭ;

      - критерии проектирования и конфигурации;

      - базы правил;

- управление межсетевыми экранами;

      - конфигурация;

      - предупреждения об опасности МЭ;

      - удаленный доступ;

- регистрация;

- система резервного копирования;

      - введение;

      - межсетевые экраны;

      - серверы;

      - приложения;

- сетевые коммуникации;

      - локальные сети, например, VLAN, WLAN;

      - маршрутизаторы;

      - коммутаторы;

      - IP-адресация;

- управленческие обязанности;

      - серверы;

      - межсетевые экраны;

      - инфраструктура;

      - управление приложениями.

B.1.4 Сетевые службы

Включает такие разделы, как:

- введение;

- службы в местоположении x;

- службы в местоположении y.

Должен быть составлен список всех сетевых служб по местоположению, включая такие как:

- службы KiloStream;

- службы MegaStream;

- службы ретрансляции кадров (frame relay);

- ATM;

- открытый IP/MPLS <1>;

--------------------------------

<1> Многопротокольная коммутация по меткам (multiprotocol label switching, MPLS).

 

- служба широкополосного доступа;

- Wi-Fi/WiMax;

- службы подключения к локальной сети;

- GSM;

- ISDN первичного уровня (до 30 из 64 кбит/с каналов, предоставляемых через MegaStream);

- интерфейс базового уровня (BRI) ISDN, (2 канала x 64 Кбит/с);

- аналоговые линии прямого обмена (DELs);

- службы интранет/экстранет;

- Интернет-провайдеры (ISPs);

со всеми включенными линиями и услугами.

Если список обширный, то его следует включить в приложение со ссылками на него из основной части документа.

B.1.5 Аппаратное/физическое расположение

Включает такие разделы, как:

- введение;

- место расположения.

Должен быть составлен список всего оборудования с планами этажей и схемами шкафов - по местоположению, включая, например, сегмент размещения серверов, маршрутизаторов, коммутаторов и другого коммуникационного оборудования. Поскольку все аппаратное обеспечение необходимо маркировать, то следует разработать и использовать план маркирования.

В таблице B.1 приведен пример таблицы со списком оборудования. Должна быть составлена таблица для каждого типа оборудования - таблица из примера рассматривает компоненты сервера.

 

Таблица B.1

 

Пример таблицы со списком оборудования

 

Серверный компонент	Оборудование	Программное обеспечение	Комментарий
Наименование и производитель сервера	Номер партии (Part number)	ПО и его версия	При необходимости специальный комментарий, такой как вертикально масштабируемый или кластеризованный

 

B.1.6 Программное обеспечение

Включает такие разделы, как:

- введение;

- список ПО;

      - ПО в местоположении x;

      - ПО в местоположении y и т.д.;

В список всего ПО, включая номера версий, следует включить следующее:

- ПО Windows;

- МЭ;

- RAS/RADIUS;

- ПО маршрутизаторов;

- ПО коммутаторов;

- ПО прокси-серверов;

- управление аудитом;

- почтовые серверы;

- ретранслятор почты SMTP;

- управление содержанием;

- экранирование апплетов Java/ActiveX;

- веб-серверы;

- FTP-серверы;

- контроллеры доменов;

- ПО резервного копирования;

- другое ПО.

Список должен быть включен в приложение со ссылками на него из основной части документа.

B.1.7 Производительность

Включает детали предполагаемой производительности, включая такие "подсистемы", как:

- настольные компьютеры;

- серверы;

- локальные вычислительные сети (ЛВС);

- глобальная сеть;

- шлюзы;

- внешние службы.

B.1.8 Известные проблемы

Включает подробную информацию об известных проблемах, в том числе в отношении областей несоответствия, под такими заголовками, как технические, физические и относящиеся к среде со следующими разделами:

- введение;

- области несоответствия.

B.1.9 Ссылочные материалы

Включает ссылки на все соответствующие документы, например следующие:

- результаты оценки риска безопасности и анализа со стороны руководства;

- политику сетевой безопасности;

- политику ИБ;

- другие политики безопасности (при их наличии);

- документацию по технической архитектуре;

- документы с требованиями по доступу к службам (безопасности) для каждого МЭ (которые включают базу(ы) правил МЭ);

- документацию с требованиями к ПО анализа журналов (аудита);

- отчеты по анализу продуктов;

- общие планы и стратегии тестирования;

- схему управления инцидентами ИБ;

- действия по обеспечению безопасности;

- условия безопасного подключения к сторонним организациям;

- руководства для пользователей сторонних организаций.

B.1.10 Приложения

Включает такие детали, как:

- аппаратная конфигурация;

- конфигурации сервера/консоли;

- конфигурации МЭ;

- конфигурации маршрутизатора;

- конфигурация ПО;

- конфигурация базы данных;

- план IP-адресации;

- конфигурация SNMP;

- системные ловушки;

- ловушки приложений;

- стандарты.

B.1.11 Глоссарий

B.2 Пример шаблона документа функциональных требований безопасности

Примечание - Для каждой системы МЭ следует разработать свой документ.

 

B.2.1 Введение

Включает такие разделы, как:

- предыстория/область действия/задачи;

- название системы МЭ;

- расположение МЭ;

- назначение МЭ;

- имя сотрудника/группы, ответственной за работу МЭ;

- запись об изменениях содержания документа;

- ссылки.

B.2.2 Конфигурация МЭ

Включает такие разделы, как:

- введение;

- идентификация каналов связи, проходящих через МЭ;

- обзор архитектуры МЭ;

- подробные сведения о МЭ;

- аппаратные средства;

- ПО;

- архитектура МЭ;

- служба МЭ;

- управление МЭ;

- внутренний маршрутизатор;

- внешний маршрутизатор;

- сетевой концентратор ДМЗ;

- сервер защиты от вредоносного кода;

- почта SMTP;

- веб-страницы;

- почтовый сервер SMTP;

- сервер регистрации (аудита);

- источники бесперебойного питания;

- другие компоненты;

- другие требуемые меры обеспечения безопасности;

- описание входящих и исходящих каналов связи с другими системами;

- виды обрабатываемой информации и их конфиденциальность;

- виды пользователей и их число и т.д.

B.2.3 Риски безопасности

Включает такие разделы, как:

- введение;

- потенциальные неблагоприятные воздействия на деятельность (иногда называемые оценкой активов);

- оценка угроз;

- оценка уязвимостей;

- оценки рисков;

- в контексте использования МЭ.

B.2.4 Управление безопасностью

Включает разделы об ответственности, такие как:

- администратор/группа безопасности;

- сетевой персонал;

- персонал по поддержке МЭ;

- сетевое управление;

- другой персонал по управлению ИТ;

- пользователи.

B.2.5 Администрирование безопасности

Включает такие разделы, как:

- действия по обеспечению безопасности;

- анализ совместимости по требованиям безопасности;

- доступность;

- обслуживание;

- контроль конфигураций;

- управление пропускной способностью;

- управление проблемами;

- управление уровнем служб;

- срок действия документа.

B.2.6 Аутентификация и управление доступом

Включает такие разделы, как:

- введение;

- логическое управление доступом для администраторов МЭ, внутренних и удаленных пользователей;

- меры управления внешним доступом такие, как база правил доступа "сеть-МЭ", безопасная платформа и прокси-серверы приложений;

- защита на уровне сети.

B.2.7 Регистрация (Аудит)

Включает такие разделы, как:

- информация, подлежащая регистрации;

- анализ, который необходимо проводить, и с помощью каких инструментальных средств;

- безопасность.

B.2.8 Управление инцидентами ИБ

Включает такие разделы, относящиеся к регистрации, как:

- введение;

- сообщение об инцидентах;

- обработка инцидентов и т.д.;

B.2.9 Физическая безопасность

Включает разделы по ответственности управления доступом, например, следующие:

- МЭ;

- кабельные соединения.

B.2.10 Безопасность персонала

Включает разделы, относящиеся к персоналу, имеющему отношение к МЭ, в том числе:

- отбор/проверка персонала;

- осведомленность и обучение в области безопасности.

B.2.11 Приложения

Включает подробные сведения о службах и протоколах:

- доступ в и из сети;

- удаленное управление;

- управление МЭ;

- управление сервером в ДМЗ;

- все подробные сведения о соответствующих службах и протоколах.

B.2.12 Глоссарий