ГОСТ Р ИСО/МЭК 27033-4-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности

9 Меры обеспечения информационной безопасности

 

9.1 Обзор

Для каждого шлюза безопасности должен быть разработан отдельный документ "Политика (безопасности) доступа к услугам" (далее - политика), в содержании которого должно быть отражено, что для прохождения разрешен только авторизированный трафик. Этот документ должен содержать подробную информацию о наборе правил, который требуется для администрирования шлюза, а также о конфигурации шлюза. Иерархию политик необходимо ввести в действие: организация, независимо от размера, вероятно, будет иметь общую политику для всей организации, возможно, дополненную общей политикой в отношении целого класса устройств безопасности, возможно, дополнительно усиленную отдельной политикой для конкретного устройства. Таким образом, для гарантии того, что подключаются только санкционированные пользователи и передается только санкционированный трафик, политика должна определять и подробно фиксировать ограничения и правила, применяемые к трафику, приходящему в шлюз безопасности и исходящему из него, а также параметры для его администрирования и конфигурирования. Для всех шлюзов безопасности необходимо надлежащим образом использовать имеющиеся средства идентификации и аутентификации, логического контроля доступа и аудита. Кроме того, их следует регулярно проверять на наличие неавторизованного ПО и/или данных, и если таковые обнаружены, то составлять отчеты об инцидентах в соответствии с планом управления инцидентами ИБ организации и/или сообщества (ИСО/МЭК 27035). Обновление безопасности - это изменение, применяемое к шлюзу безопасности для исправления недостатка, называемого уязвимостью, с целью предотвращения его успешной эксплуатации и устранения или ослабления последствий реализации угрозы в шлюзе. Следовательно, для шлюза безопасности должны регулярно устанавливаться последние обновления и версии ПО, что гарантирует их защищенность от недавно выявленных уязвимостей.

Шлюз безопасности не должен быть подключен к сети организации, пока не будет установлено, что его конфигурация удовлетворяет требованиям политик его администрирования.

Межсетевой экран (МЭ) является хорошим примером шлюза безопасности. МЭ обычно должен гарантировать соответствующую защиту, соизмеримую с оцененными угрозами, за счет стандартного набора правил, безоговорочно запрещающего все для всего трафика между сетями и добавляющего явные правила только для необходимых каналов связи.

Политики, управляющие шлюзом безопасности, используемым для защиты удаленной системы, могут не требовать затрат и специальных навыков для поддержки указанного аппаратного устройства. Можно использовать оконечный программный МЭ, так называемый персональный МЭ, который управляет потоком трафика между удаленным компьютером и сетью, к которой он подключен. Как и в случае всех шлюзов безопасности, организация должна быть уверена в том, что конфигурация набора правил в оконечном программном МЭ соответствует требованиям политик управления.

Существуют различные типы шлюзов безопасности, включая пакетные фильтры, МЭ с прокси-сервером, МЭ с отслеживанием состояния пакетов, фильтры контента, МЭ уровня приложений. Описания для каждого типа шлюза безопасности будут даны в следующих подразделах.

Для реализации необходимых функций шлюз безопасности может использовать технологию виртуализации. ВМ должны быть хорошо изолированы при совместном использовании памяти, ЦП и хранилищ.

Гипервизор, также называемый диспетчером ВМ, должен обеспечивать собственную защиту и защиту размещенных ВМ, например, путем перемещения работы антивирусного ПО и антиспама с ВМ на гипервизоры.

Безопасность виртуализации защищает как гипервизор, так и его ВМ. Это защищает гипервизор от атак и обеспечивает изоляцию ВМ. Данная функция также включает защиту образов ВМ и приостановленных экземпляров ВМ в хранилище и во время миграции, а также общее управление жизненным циклом безопасности ВМ.