Приложение В (справочное). Примеры шаблонов документации. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27033-2-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18.05.2021 N 368-ст)

Приложение В
(справочное)

Примеры
шаблонов документации

В.1 Пример шаблона документа по архитектуре безопасности сети

В.1.1 Введение

Включает такие разделы, как:

- назначение/цели/область применения;

- предположения, как технические, так и иные;

- статус документа;

- структура документа.

В.1.2 Бизнес-требования

Включает такие разделы, как:

- введение;

- контекст (содержание);

- сетевые и другие ИТ-службы.

В.1.3 Техническая архитектура

Включает такие разделы, как:

- введение;

- технический обзор;

- реферат;

- основной домен 1;

- основной домен 2;

- основной домен 3 и т.д.;

- серверы;

- рабочие станции;

- регистрация;

- управление;

- аутентификация и контроль доступа;

- область действия услуг и устойчивость;

- местоположения систем;

- компоненты систем;

- взаимные соединения;

- компонент 1;

- обзор;

- конфигурация;

- регистрация;

- управление;

- компонент 2;

- обзор;

- конфигурация;

- регистрация;

- управление;

- компонент 3;

- обзор;

- конфигурация;

- регистрация;

- управление;

- компонент "х" и т.д.;

- управление серверами;

- введение;

- мониторинг служб;

- расширенное системное администрирование (XSA);

- менеджер по безопасности предприятия (ESM);

- все другие менеджеры;

- межсетевые экраны;

- введение;

- обзор;

- резервное копирование конфигурации МЭ;

- критерии проектирования и конфигурации;

- базы правил;

- управление межсетевыми экранами;

- конфигурация;

- предупреждения об опасности МЭ;

- удаленный доступ;

- регистрация;

- система резервного копирования;

- введение;

- межсетевые экраны;

- серверы;

- приложения;

- сетевые коммуникации;

- локальные сети, например, VLAN, WLAN;

- маршрутизаторы;

- коммутаторы;

- IP-адресация;

- управленческие обязанности;

- серверы;

- межсетевые экраны;

- инфраструктура;

- управление приложениями.

В.1.4 Сетевые службы

Включает такие разделы, как:

- введение;

- службы в местоположении х;

- службы в местоположении у.

Должен быть составлен список всех сетевых служб по местоположению, включая такие как:

- службы KiloStream;

- службы MegaStream;

- службы ретрансляции кадров (frame relay);

- ATM;

- открытый IP/MPLS ¹⁾;

------------------------------

¹⁾_{Многопротокольная коммутация по меткам (multiprotocol label switching, MPLS).}

------------------------------

- служба широкополосного доступа;

- Wi-Fi/WiMax;

- службы подключения к локальной сети;

- GSM;

- ISDN первичного уровня (до 30 из 64 кбит/с каналов, предоставаемых через MegaStream);

- интерфейс базового уровня (BRI) ISDN, (2 канала х 64 Кбит/с);

- аналоговые линии прямого обмена (DELs);

- службы интранет/экстранет;

- Интернет-провайдеры (ISPs);

со всеми включенными линиями и услугами.

Если список обширный, то его следует включить в приложение со ссылками на него из основной части документа.

В.1.5 Аппаратное/физическое расположение

Включает такие разделы, как:

- введение;

- место расположения.

Должен быть составлен список всего оборудования с планами этажей и схемами шкафов - по местоположению, включая, например, сегмент размещения серверов, маршрутизаторов, коммутаторов и другого коммуникационного оборудования. Поскольку все аппаратное обеспечение необходимо маркировать, то следует разработать и использовать план маркирования.

В таблице В.1 приведен пример таблицы со списком оборудования. Должна быть составлена таблица для каждого типа оборудования - таблица из примера рассматривает компоненты сервера.

Таблица В.1 - Пример таблицы со списком оборудования

Серверный компонент	Оборудование	Программное обеспечение	Комментарий
Наименование и производитель сервера	Номер партии (Part number)	ПО и его версия	При необходимости специальный комментарий, такой как вертикально масштабируемый или кластеризованный

В.1.6 Программное обеспечение

Включает такие разделы, как:

- введение;

- список ПО;

- ПО в местоположении х;

- ПО в местоположении у и т.д.;

В список всего ПО, включая номера версий, следует включить следующее:

- ПО Windows;

- МЭ;

- RAS/RADIUS;

- ПО маршрутизаторов;

- ПО коммутаторов;

- ПО прокси-серверов;

- управление аудитом;

- почтовые серверы;

- ретранслятор почты SMTP;

- управление содержанием;

- экранирование апплетов Java/ActiveX;

- веб-серверы;

- FTP-серверы;

- контроллеры доменов;

- ПО резервного копирования;

- другое ПО.

Список должен быть включен в приложение со ссылками на него из основной части документа.

В.1.7 Производительность

Включает детали предполагаемой производительности, включая такие "подсистемы", как:

- настольные компьютеры;

- серверы;

- локальные вычислительные сети (ЛВС);

- глобальная сеть;

- шлюзы;

- внешние службы.

В.1.8 Известные проблемы

Включает подробную информацию об известных проблемах, в том числе в отношении областей несоответствия, под такими заголовками, как технические, физические и относящиеся к среде со следующими разделами:

- введение;

- области несоответствия.

В.1.9 Ссылочные материалы

Включает ссылки на все соответствующие документы, например следующие:

- результаты оценки риска безопасности и анализа со стороны руководства;

- политику сетевой безопасности;

- политику ИБ;

- другие политики безопасности (при их наличии);

- документацию по технической архитектуре;

- документы с требованиями по доступу к службам (безопасности) для каждого МЭ (которые включают базу(ы) правил МЭ);

- документацию с требованиями к ПО анализа журналов (аудита);

- отчеты по анализу продуктов;

- общие планы и стратегии тестирования;

- схему управления инцидентами ИБ;

- действия по обеспечению безопасности;

- условия безопасного подключения к сторонним организациям;

- руководства для пользователей сторонних организаций.

В.1.10 Приложения

Включает такие детали, как:

- аппаратная конфигурация;

- конфигурации сервера/консоли;

- конфигурации МЭ;

- конфигурации маршрутизатора;

- конфигурация ПО;

- конфигурация базы данных;

- план IP-адресации;

- конфигурация SNMP;

- системные ловушки;

- ловушки приложений;

- стандарты.

В.1.11 Глоссарий

В.2 Пример шаблона документа функциональных требований безопасности

Примечание - Для каждой системы МЭ следует разработать свой документ.

В.2.1 Введение

Включает такие разделы, как:

- предыстория/область действия/задачи;

- название системы МЭ;

- расположение МЭ;

- назначение МЭ;

- имя сотрудника/группы, ответственной за работу МЭ;

- запись об изменениях содержания документа;

- ссылки.

В.2.2 Конфигурация МЭ

Включает такие разделы, как:

- введение;

- идентификация каналов связи, проходящих через МЭ;

- обзор архитектуры МЭ;

- подробные сведения о МЭ;

- аппаратные средства;

- ПО;

- архитектура МЭ;

- служба МЭ;

- управление МЭ;

- внутренний маршрутизатор;

- внешний маршрутизатор;

- сетевой концентратор ДМЗ;

- сервер защиты от вредоносного кода;

- почта SMTP;

- веб-страницы;

- почтовый сервер SMTP;

- сервер регистрации (аудита);

- источники бесперебойного питания;

- другие компоненты;

- другие требуемые меры обеспечения безопасности;

- описание входящих и исходящих каналов связи с другими системами;

- виды обрабатываемой информации и их конфиденциальность;

- виды пользователей и их число и т.д.

В.2.3 Риски безопасности

Включает такие разделы, как:

- введение;

- потенциальные неблагоприятные воздействия на деятельность (иногда называемые оценкой активов);

- оценка угроз;

- оценка уязвимостей;

- оценки рисков;

- в контексте использования МЭ.

В.2.4 Управление безопасностью

Включает разделы об ответственности, такие как:

- администратор/группа безопасности;

- сетевой персонал;

- персонал по поддержке МЭ;

- сетевое управление;

- другой персонал по управлению ИТ;

- пользователи.

В.2.5 Администрирование безопасности

Включает такие разделы, как:

- действия по обеспечению безопасности;

- анализ совместимости по требованиям безопасности;

- доступность;

- обслуживание;

- контроль конфигураций;

- управление пропускной способностью;

- управление проблемами;

- управление уровнем служб;

- срок действия документа.

В.2.6 Аутентификация и управление доступом

Включает такие разделы, как:

- введение;

- логическое управление доступом для администраторов МЭ, внутренних и удаленных пользователей;

- меры управления внешним доступом такие, как база правил доступа "сеть-МЭ", безопасная платформа и прокси-серверы приложений;

- защита на уровне сети.

В.2.7 Регистрация (Аудит)

Включает такие разделы, как:

- информация, подлежащая регистрации;

- анализ, который необходимо проводить, и с помощью каких инструментальных средств;

- безопасность.

В.2.8 Управление инцидентами ИБ

Включает такие разделы, относящиеся к регистрации, как:

- введение;

- сообщение об инцидентах;

- обработка инцидентов и т.д.;

В.2.9 Физическая безопасность

Включает разделы по ответственности управления доступом, например, следующие:

- МЭ;

- кабельные соединения.

В.2.10 Безопасность персонала

Включает разделы, относящиеся к персоналу, имеющему отношение к МЭ, в том числе:

- отбор/проверка персонала;

- осведомленность и обучение в области безопасности.

В.2.11 Приложения

Включает подробные сведения о службах и протоколах:

- доступ в и из сети;

- удаленное управление;

- управление МЭ;

- управление сервером в ДМЗ;

- все подробные сведения о соответствующих службах и протоколах.

В.2.12 Глоссарий