Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27033-1-2011 "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 683-ст)
- Приложение В (справочное). Перекрестные ссылки между ИСО/МЭК 27001, ИСО/МЭК 27002 и разделами настоящего стандарта, отражающими меры и средства контроля и управления, связанные с сетевой безопасностью
Приложение В (справочное). Перекрестные ссылки между ИСО/МЭК 27001, ИСО/МЭК 27002 и разделами настоящего стандарта, отражающими меры и средства контроля и управления, связанные с сетевой безопасностью
Приложение В
(справочное)
Перекрестные ссылки между ИСО/МЭК 27001, ИСО/МЭК 27002 и разделами настоящего стандарта, отражающими меры и средства контроля и управления, связанные с сетевой безопасностью
Таблица В.1
Перекрестные ссылки между ИСО/МЭК 27001, ИСО/МЭК 27002 и разделами настоящего стандарта
|
Разделы, подразделы, пункты, подпункты ИСО/МЭК 27001 и ИСО/МЭК 27002 |
Меры |
Разделы, подразделы, пункты, подпункты настоящего стандарта |
|
10.4.1 Меры защиты от вредоносного кода |
Должны быть реализованы меры по обнаружению, предотвращению проникновения и восстановлению после проникновения вредоносного кода, а также должны быть установлены процедуры обеспечения соответствующего оповещения пользователей |
8.7 Защита от вредоносной программы |
|
10.4.2 Меры защиты от мобильного кода |
Там, где разрешено использование мобильного кода, конфигурация должна обеспечивать уверенность в том, что авторизованный мобильный код функционирует в соответствии с четко определенной политикой безопасности, а исполнение операций с использованием неавторизованного мобильного кода будет предотвращено |
7.2.2.2 Сетевые архитектуры, приложения и сервисы |
|
10.6.1 Средства контроля сети |
Сети должны быть адекватно управляемыми и контролируемыми в целях защиты от угроз и поддержания безопасности систем и приложений, использующих сеть, включая информацию, передаваемую по сетям |
См. ниже для разделов ИСО/МЭК 27001 и ИСО/МЭК 27002, пункты 10.6.1 IG, перечисления а) - е) |
|
10.6.1 IG*, перечисление а) |
Эксплуатационные обязанности, связанные с сетями, должны быть отделены от компьютерных операций (где необходимо) |
8.2 Менеджмент сетевой безопасности |
|
10.6.1 IG, перечисление b) |
Должны быть установлены обязанности и процедуры менеджмента удаленного оборудования, включая оборудование в зоне пользователя |
Более подробная информация приведена в ИСО/МЭК 27033-5 |
|
10.6.1 IG, перечисление с) |
Должны быть установлены специальные меры и средства контроля и управления для защиты конфиденциальности и целостности данных, передаваемых по общедоступным или беспроводным сетям, и для защиты соединенных с ними систем и приложений (см. 11.4 и 12.3); могут также потребоваться специальные меры и средства контроля и управления для поддержки доступности сетевых услуг и подсоединенных компьютеров |
Все меры и средства контроля и управления безопасностью см. в разделе 11 "Аспекты "технологий" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления" |
|
10.6.1 IG, перечисление d) |
Должны использоваться соответствующие регистрация (данных) и мониторинг, чтобы сделать возможным фиксирование деятельности, связанной с обеспечением безопасности |
8.5 Ведение контрольных журналов и мониторинг сети |
|
10.6.1 IG, перечисление е) |
Деятельность по осуществлению менеджмента должна быть согласована должным образом, чтобы оптимизировать услуги для организации и обеспечить последовательное применение мер и средств контроля и управления в инфраструктуре обработки информации |
8.2 Менеджмент сетевой безопасности |
|
10.6.2 Безопасность сетевых сервисов |
Обеспечение безопасности, уровни обслуживания для всех сетевых услуг и требования управления должны быть определены и включены в любой договор о сетевых услугах, независимо от того, предоставляются ли эти услуги своими силами или сторонней организацией |
8.2 Менеджмент сетевой безопасности (имеющий отношение к другим подпунктам раздела 8 и разделам 9-11) |
|
10.8.1 Политики и процедуры обмена информацией |
Должны существовать формализованные процедуры, требования и меры контроля, обеспечивающие защиту обмена информацией при использовании связи всех типов |
6.2 Планирование и менеджмент сетевой безопасности |
|
10.8.4 Электронный обмен сообщениями |
Информация, используемая в электронном обмене сообщениями, должна быть надлежащим образом защищена |
А.11 Электронная почта в Интернете |
|
10.9.1 Электронная торговля |
Информация, используемая в электронной торговле, проходящая по общедоступным сетям, должна быть защищена от мошенничества, оспаривания контрактов, а также от несанкционированного разглашения и модификации |
10.4 Услуги "бизнес - бизнес" 10.5 Услуги "бизнес - клиент" |
|
10.9.2 Транзакции в режиме реального времени (on-line) |
Информация, используемая в транзакциях в режиме реального времени (on-line), должна быть защищена для предотвращения неполной передачи, неправильной маршрутизации, несанкционированного изменения сообщений, несанкционированного разглашения, несанкционированного копирования или повторного отправления сообщений |
10.5 Услуги "бизнес - клиент" |
|
10.9.3 Общедоступная информация |
Информация, предоставляемая через общедоступную систему, должна быть защищена от несанкционированной модификации |
А.10 Размещение информации на сервере веб-узлов |
|
11.4.1 Политика в отношении использования сетевых услуг |
Пользователям следует предоставлять доступ только к тем услугам, по отношению к которым они специально были авторизованы |
8.2.2.2 Политика сетевой безопасности |
|
11.4.2 Аутентификация пользователей для внешних соединений |
Для контроля доступа удаленных пользователей должны применяться соответствующие методы аутентификации |
8.4 Идентификация и аутентификация |
|
11.4.3 Идентификация оборудования в сетях |
Автоматическая идентификация оборудования должна рассматриваться как средство аутентификации соединений, осуществляемых с определенных мест и с определенным оборудованием |
|
|
11.4.4 Защита портов конфигурации и диагностики при удаленном доступе |
Физический и логический доступ к портам конфигурации и диагностики должен быть контролируемым |
|
|
11.4.5 Принцип разделения в сетях |
В сетях должны применяться принципы разделения групп информационных услуг, пользователей и информационных систем |
|
|
11.4.6 Контроль сетевых соединений |
Подключение пользователей к совместно используемым сетям, особенно к выходящим за территорию организации, необходимо ограничивать в соответствии с политикой контроля доступа и требованиями бизнес-приложений |
11 Аспекты сетевых "технологий" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления |
|
11.4.7 Контроль маршрутизации в сети |
Должны быть внедрены средства управления и контроля маршрутизации в сети с целью исключения нарушений правил контроля доступа для бизнес-приложений, вызываемых соединениями и потоками информации |
А.6 Шлюзы безопасности |
* IG - Руководство по реализации, т. е. стандарт ИСО/МЭК 27002.
Таблица В.2
Перекрестные ссылки между разделами настоящего стандарта и разделами ИСО/МЭК 27001, ИСО/МЭК 27002
|
Разделы, подразделы, пункты, подпункты настоящего стандарта |
Наименования разделов |
Разделы, подразделы, пункты, подпункты ИСО/МЭК 27001 и ИСО/МЭК 27002 |
|
Обзор |
|
|
|
Планирование и менеджмент сетевой безопасности |
10.8.1 Политики и процедуры обмена информацией |
|
|
Идентификация рисков и подготовка к идентификации мер и средств контроля и управления безопасностью |
|
|
|
Информация о текущем и (или) планируемом построении сети |
|
|
|
Требования безопасности в корпоративной политике информационной безопасности |
|
|
|
Информация о текущем/планируемом построении сети |
|
|
|
Сетевые архитектуры, приложения и сервисы |
10.4.2 Меры защиты от мобильного кода |
|
|
Виды сетевых соединений |
|
|
|
Другие сетевые характеристики |
|
|
|
Дополнительная информация |
|
|
|
Риски информационной безопасности и потенциальные области действия мер и средств контроля и управления |
|
|
|
Менеджмент сетевой безопасности |
10.6.1 Средства контроля сети |
|
|
Деятельности по менеджменту сетевой безопасности |
|
|
|
Политика сетевой безопасности |
5.1 Политика информационной безопасности 11.4.1 Политика в отношении использования сетевых услуг |
|
|
Операционные процедуры сетевой безопасности |
|
|
|
Проверка соответствия требованиям сетевой безопасности |
|
|
|
Условия обеспечения безопасности сетевых соединений со многими организациями |
|
|
|
Документированные условия обеспечения безопасности для удаленных сетевых пользователей |
|
|
|
Менеджмент инцидентов сетевой безопасности |
13 Управление инцидентами информационной безопасности |
|
|
Роли и обязанности, связанные с обеспечением сетевой безопасности |
8.1.1 Функции и обязанности персонала по обеспечению безопасности |
|
|
Сетевой мониторинг |
10.10 Мониторинг |
|
|
Оценка сетевой безопасности |
|
|
|
Менеджмент технических уязвимостей |
12.6 Менеджмент технических уязвимостей |
|
|
Идентификация и аутентификация |
11.4.2 Аутентификация пользователей для внешних соединений 11.5.2 Идентификация и аутентификация пользователей |
|
|
Ведение контрольных журналов и мониторинг сети |
10.6.1 Средства контроля сети 10.10.1 Ведение журналов аудита |
|
|
Обнаружение и предотвращение вторжений |
|
|
|
Защита от вредоносных программ |
10.4 Защита от вредоносного кода и мобильного кода |
|
|
Услуги, основанные на криптографии |
12.3 Криптографические средства защиты |
|
|
Менеджмент непрерывности деятельности |
14 Менеджмент непрерывности бизнеса |
|
|
Рекомендации по проектированию и реализации сетевой безопасности |
|
|
|
Специализированная архитектура/проект сетевой безопасности |
|
|
|
Типовые сетевые сценарии - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления |
|
|
|
Услуги доступа сотрудников к Интернет |
|
|
|
Расширенные услуги совместной работы |
|
|
|
Услуги "бизнес - бизнес" |
10.9.1 Электронная торговля |
|
|
Услуги "бизнес - клиент" |
10.9.1 Электронная торговля 10.9.2 Транзакции в режиме реального времени (on-line) |
|
|
Услуги аутсорсинга |
|
|
|
Сегментация сети |
|
|
|
Мобильная связь |
|
|
|
Сетевая поддержка для находящихся в разъездах пользователей |
|
|
|
Сетевая поддержка для домашних офисов и офисов малых предприятий |
|
|
|
Аспекты сетевых "технологий" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления |
10.6.1 Средства контроля сети 11.4.6 Контроль сетевых соединений |
|
|
Разработка и тестирование комплекса программных и технических средств и услуг по обеспечению безопасности |
|
|
|
Реализация комплекса программных и технических средств и услуг по обеспечению безопасности |
|
|
|
Мониторинг и проверка эксплуатации комплекса программных и технических средств и услуг |
|
|
|
Аспекты сетевых "технологий" - риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления |
|
|
|
Локальные вычислительные сети |
|
|
|
Глобальные вычислительные сети |
|
|
|
Беспроводные сети |
|
|
|
Радиосети |
|
|
|
Широкополосные сети |
|
|
|
Шлюзы безопасности |
11.4.7 Контроль маршрутизации в сети |
|
|
Виртуальные частные сети |
|
|
|
Сети телефонной связи |
|
|
|
IP-конвергенция |
|
|
|
Размещение информации на сервере веб-узлов |
10.9.3 Общедоступная информация |
|
|
Электронная почта в Интернете |
10.8.4 Электронный обмен сообщениями |
|
|
Маршрутизированный доступ к сторонним организациям |
|