ГОСТ Р ИСО/МЭК 27033-4-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности

Введение

 

Большинство как коммерческих, так и государственных организаций владеют информационными системами, соединенными сетями, причем сетевые соединения могут быть одним или несколькими вариантами из следующих:

- внутри организации;

- между разными организациями;

- между организацией и общедоступными сетями.

Кроме того, в связи с быстрым развитием общедоступных сетевых технологий (в частности, сети Интернет), предоставляющих широкие возможности для бизнеса, организации все чаще ведут электронный бизнес в глобальном масштабе и предоставляют общедоступные онлайн-услуги. Такие возможности включают в себя различные услуги - от простой поддержки более дешевой передачи данных с использованием сети Интернет в качестве глобальной среды связи до более сложных услуг, предоставляемых поставщиками Интернет-услуг (ISP). Это может означать использование как недорогих локальных точек подключения на каждом конце канала, так и полнофункциональных систем электронной онлайн-торговли и предоставления услуг с использованием веб-приложений и услуг. Также новые технологии (включая интеграцию данных, голоса и видео) расширяют возможности удаленной работы. Работники, работающие в режиме удаленного доступа, могут обеспечить связь путем применения средств удаленного доступа к сетям организаций и сообществ, а также к соответствующей информации и сервисам поддержки бизнеса.

Эта среда действительно обеспечивает бизнесу значительные преимущества, но также порождает необходимость управлять новыми угрозами безопасности. Поскольку для ведения бизнеса организации в значительной степени полагаются на использование информации и соответствующих сетей, потеря конфиденциальности, целостности и доступности информации и услуг может оказать существенное неблагоприятное воздействие на бизнес-процессы. Таким образом, существует большая потребность в надлежащей защите сетей и связанных с ними информационных систем и информации. Другими словами, реализация и поддержание адекватной безопасности сетей имеет решающее значение для успеха бизнес-процессов каждой организации.

В этом контексте отрасли телекоммуникаций и информационных технологий стремятся к экономически эффективным комплексным решениям обеспечения безопасности, предназначенным для защиты сетей от целевых атак и непреднамеренных ошибочных действий, тем самым удовлетворяя бизнес-требования по обеспечению конфиденциальности, целостности и доступности информации и услуг. Защита сети важна и для точного выставления счетов за использование сетей. Возможности защиты в продуктах имеют решающее значение для общей безопасности сети (включая приложения и услуги). Однако по мере того, как все больше продуктов объединяется для создания комплексных решений, их способность к взаимодействию или ее отсутствие будут определять успех этого решения. Безопасность должна быть не только предметом рассмотрения для каждого продукта или услуги, но и должна разрабатываться таким образом, чтобы способствовать объединению возможностей защиты в общее решение обеспечения безопасности.

Цель настоящего стандарта заключается в том, чтобы предоставить руководство по идентификации и анализу угроз безопасности сетей, связанных со шлюзами безопасности, определить требования по обеспечению безопасности сетей для шлюзов безопасности на основе анализа угроз, представить методы разработки для создания сетевой архитектуры технической безопасности для устранения угроз и решения вопросов управления для типовых схем построения сетей, а также для решения проблем, связанных с внедрением, эксплуатацией, мониторингом и проверкой мер обеспечения информационной безопасности (ИБ) с помощью шлюзов безопасности.

Следует подчеркнуть, что настоящий стандарт может быть использован всем персоналом, который участвует в детальном планировании, проектировании и внедрении шлюзов безопасности (например, архитекторов и проектировщиков сетей, администраторов сетей и сотрудников службы безопасности сетей) <1>.

--------------------------------

<1> Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.