ГОСТ Р ИСО/МЭК 27033-3-2014. Национальный стандарт РФ: "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 09.09.2014 N 1029-ст)

Information technology. Security techniques. Network security. Part 3. Reference networking scenarios. Threats, design techniques and control issues

Дата введения - 1 ноября 2015 г.

Введен впервые

Введение

ИСО/МЭК 27033-3 был подготовлен совместным Техническим комитетом ИСО/МЭК СТК 1, "Информационная технология", Подкомитетом ПК 27, "Методы и средства обеспечения безопасности ИТ".

ИСО/МЭК 27033 состоит из следующих частей, под общим наименованием "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей":

- Часть 1: Обзор и концепции;

- Часть 2: Рекомендации по проектированию и реализации безопасности сети;

- Часть 3: Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления.

Следующие части находятся в процессе подготовки:

- Часть 4: Обеспечение безопасности межсетевых соединений с применением шлюзов безопасности. Угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления;

- Часть 5: Обеспечение безопасности виртуальных частных сетей. Угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления.

Могут быть выпущены очередные части стандарта для охвата таких тем, как: локальные вычислительные сети, глобальные сети, беспроводные и радиосети, широкополосные сети, сети телефонной связи, сети IP-конвергенции (данные, голос, видео), архитектуры веб-хоста, архитектуры электронной почты Интернета (в том числе исходящий онлайновый доступ к Интернету и входящий доступ из Интернета) и отсортированный доступ к сторонним организациям.

1 Область применения

В настоящем стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями. Для каждого сценария в ней представлены подробные руководства по угрозам безопасности, методам проектирования безопасности и мерам и средствам контроля и управления, требуемым для уменьшения связанных рисков.

Информация, содержащаяся в настоящем стандарте, предназначена для использования при пересмотре технической архитектуры/вариантов проектирования безопасности, а также при выборе и документировании предпочтительной технической архитектуры/проектирования безопасности и связанных с ними мер и средств контроля и управления, в соответствии с ИСО/МЭК 27033-2.

Выбор конкретной информации (наряду с информацией, взятой из ИСО/МЭК 27033-4 - ИСО/МЭК 27033-6) будет зависеть от анализа характеристик сетевой среды, т.е. конкретного сценария сети(ей) и "технического решения" вопросов, имеющих к этому отношение.

В целом, настоящая часть ИСО/МЭК 27033 будет способствовать всестороннему определению и реализации безопасности для сетевой среды любой организации.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных документов используют только указанное издание. Для недатированных документов используют самое последнее издание ссылочного документа (с учетом всех его изменений).

ИСО/МЭК 27000 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary)

ИСО/МЭК 27033-1 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции (ISO/IEC 27033-1, Information technology - Security techniques - Network security - Part 1: Overview and concepts)

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000 и ИСО/МЭК 27033-1, а также следующие термины с соответствующими определениями:

3.1 вредоносная программа (malware, malicious software): Категория программы, разработанной со злым умыслом, содержащей функции и возможности, которые потенциально могут прямо или косвенно причинить вред пользователю и (или) компьютерной системе пользователя.

Примечание - См. ИСО/МЭК 27032.

3.2 непрозрачность (opacity): Защита от выделения информации, которая может быть получена посредством наблюдения за сетевой деятельностью, такой как адреса конечных точек обмена голосовым трафиком по сети "Интернет".

Примечание - Непрозрачность касается необходимости защиты операций с информацией в дополнение к защите самой информации.

3.3 аутсорсинг (outsourcing): Приобретение покупателем услуг для выполнения деятельности, требуемой для поддержки функций бизнеса покупателя.

3.4 социальная инженерия (social engineering): Действие по манипулированию людьми в совершении действий или разглашении конфиденциальной информации.

4 Обозначения и сокращения

В настоящем стандарте применены следующие сокращения и условные обозначения:

AAA - аутентификация, санкционирование и учет (authentication, authorization and accounting);

DHCP - протокол динамического конфигурирования хоста*(1) (dynamic host configuration protocol);

DNS - служба доменных имен (domain name service);

DNSSEC - расширение безопасности службы доменных имен (DNS Security extensions);

DoS - отказ в обслуживании (denial of service);

FTP - протокол передачи файлов (file transfer protocol);

IDS - система обнаружения вторжений (intrusion detection system);

IP - Интернет-протокол (Internet protocol);

IPSec - протокол безопасности Интернет-протокола (IP security protocol);

OAM&P - эксплуатация, администрирование, техническое обслуживание и обеспечение (operations, administration, maintenance & provisioning);

PDA - персональное информационное устройство (personal data assistant);

QoS - качество обслуживания (quality of service);

SIP - протокол инициации сеанса (session initiation protocol);

SMTP - простой протокол передачи почтовых сообщений (simple mail transfer protocol);

SNMP - простой протокол сетевого управления (simple network management protocol);

SSL - протокол безопасных соединений (протокол шифрования и аутентификации) (secure socket layer (encryption and authentication protocol));

VoIP - передача голоса по Интернет-протоколу (voice over Internet Protocol);

VPN - виртуальная частная сеть (virtual private network);

BOC - взаимодействие открытых систем (open systems interconnection - OSI);

ТфОП - телефонная коммутируемая сеть общего пользования (public switched telephone network-PSTN).

5 Структура

Структура настоящего стандарта состоит из:

- краткого обзора подхода к решению проблемы безопасности для каждого типового сценария, перечисленного в настоящем стандарте (раздел 6);

- раздел для каждого базового сценария (разделы 7 - 15), в котором описываются:

- угрозы для базового сценария;

- представление мер и средств контроля и управления безопасности и методы, основанные на подходе, изложенном в разделе 6.

Сценарии в настоящем документе упорядочены в представленную ниже структуру, цель которой заключается в оценивании данного сценария в зависимости от:

- типа доступа пользователя, является ли пользователь работающим внутри предприятия, или пользователем является сотрудник, который получает доступ к корпоративным ресурсам извне, или пользователь является клиентом, поставщиком или деловым партнером;

- типа доступности информационных ресурсов, открытые, ограниченные или внешние ресурсы.

Таким образом, структура помогает представить согласованную систему и делает добавление новых сценариев управляемым, а также обосновывает необходимость различных сценариев, представленных в настоящем стандарте.

Таблица 1 - Структура упорядочения сетевых сценариев

		Пользователи
		внутренние	сотрудники, работающие вне предприятия	внешние
Доступность информационных ресурсов	открытые	- услуги доступа к Интернету для сотрудников		- услуги бизнес-клиент
		- услуги бизнес-бизнес
	ограниченные	- расширенное применение услуг для совместного использования	- мобильная связь	- расширенное применение услуг для совместного использования
		- услуги бизнес-бизнес	- сетевая поддержка мобильных пользователей	- услуги бизнес-бизнес
		- сегментация сети		- услуги бизнес-клиент
		- сетевая поддержка работы на дому или в малых предприятиях
	внешние	- услуги аутсорсинга		- услуги аутсорсинга

Таким образом, порядок, в котором сценарии перечислены в настоящем стандарте, является следующим:

- услуги доступа к Интернету для сотрудников (раздел 7);

- услуги бизнес-бизнес (раздел 8);

- услуги бизнес-клиент (раздел 9);

- расширенное применение услуг для совместного использования (раздел 10);

- сегментация сети (раздел 11);

- сетевая поддержка работы на дому или в малых предприятиях (раздел 12);

- мобильная связь (раздел 13);

- сетевая поддержка мобильных пользователей (раздел 14);

- услуги аутсорсинга (раздел 15).

6 Обзор

Руководства, представленные в настоящем стандарте для каждого из определенных типовых сетевых сценариев, основаны на нижеперечисленных подходах:

- проверка вводной информации и рамок сценария;

- описание угроз, соответствующих сценарию;

- проведение анализа риска относительно обнаруженных уязвимостей;

- анализ влияния на бизнес рассматриваемых уязвимостей;

- определение рекомендаций по реализации обеспечения безопасности сети.

В целях решения вопросов безопасности любой сети, желательным является систематическое и всеобъемлющее оценивание. Сложность подобного анализа зависит от характера и размера сети в области действия. Тем не менее, последовательная методика очень важна для менеджмента безопасности, особенно в связи с развивающимся характером технологий.

Первым рассмотрением при оценке безопасности является определение активов, нуждающихся в защите. Они могут быть в значительной степени категоризированы на активы инфраструктуры, услуг или приложений. Предприятие может выбрать и определить свои собственные категории, но такое различие важно, поскольку подверженность угрозам и атакам является уникальной для каждой категории или типа активов. Например, если маршрутизатор относится к категории активов инфраструктуры, а передача голоса по IP рассматривается как услуга конечного пользователя, то атака "отказ в обслуживании" (DoS) в каждом случае потребует различного рассмотрения. В частности, маршрутизатор нуждается в защите от лавинного распространения фиктивных пакетов на физический порт маршрутизатора, которые могут помешать или воспрепятствовать прохождению легитимного трафика. Аналогично, услуга передачи голоса по IP (VoIP) нуждается в защите информации учетной записи абонента/услуги от удаления или повреждения, исходя из условия, что доступ к услуге для законного пользователя не был предотвращен.

Безопасность сети также предполагает защиту различных деятельностей, поддерживаемых в сети, таких как, управленческая деятельность, а также сигналы управления/оповещения, и данные (резидентные и передаваемые) конечных пользователей. Например, управление GUI*(2) может быть предметом раскрытия в результате несанкционированного доступа (простой для отгадывания пароль и идентификатор администратора). Управление трафиком само является предметом искажения в результате ложных команд ОА&М*(3) с ложными IP адресами операционных систем, или раскрытия путем пассивного прослушивания сети или прерывания в результате атаки лавинного распространения пакетов.

Такой подход к определению активов и деятельностей делает возможным модульное и систематическое рассмотрение угроз. Каждый типовой сетевой сценарий исследуется в отношении известного набора угроз для выяснения того, какие угрозы являются применимыми. В приложении В приведен перечень известных отраслевых угроз. Хотя этот перечень не следует рассматривать как исчерпывающий, он служит отправной точкой для любого анализа. Как только выводится профиль угрозы сети, анализируются уязвимости, чтобы определить, каким образом угрозы могут быть реализованы в контексте конкретного рассматриваемого актива. Такой анализ поможет определить, какие ограничения отсутствуют, и какие контрмеры требуется применить для достижения целей защиты. Контрмеры снизят вероятность того, что угроза будет успешной и (или) ослабят ее воздействие. При анализе риска исследуется риск, соответствующий обнаруженным уязвимостям. Анализ влияния на бизнес заключается в принятии решения о том, какие меры принимать по каждой уязвимости: меры по исправлению, принятию риска или переносу риска.

Проектирование контрмер и реализация мер и средств контроля и управления, защищающих слабые места активов от угроз, является частью любой методики оценки безопасности. В соответствии с требованиями стандартов серии ИСО/МЭК 27000 отбор и реализация соответствующих мер и средств контроля и управления имеет решающее значение для защиты активов/информации. Стандарт требует сохранения конфиденциальности, целостности и доступности информации, и дополнительно он затрагивает и другие свойства, такие как подлинность, неотказуемость и достоверность.

Ниже перечислены свойства безопасности, которые используются в настоящем стандарте для совершенствования сдерживающих мер и контрмер объективным способом. Уточнения, касающиеся каждого свойства безопасности (в дополнение к конфиденциальности, целостности и доступности), описываются ниже:

- конфиденциальность связана с защитой данных от несанкционированного раскрытия;

- целостность связана с сохранением правильности или точности данных и защитой от несанкционированного изменения, удаления, создания и тиражирования;

- доступность связана с обеспечением уверенности в том, что не существует отказа в санкционированном доступе к элементам сети, хранимой информации, информационным потокам, услугам и приложениям;

- управление доступом обеспечивает, с помощью аутентификации и авторизации, управление доступом к сетевым устройствам и услугам, а также обеспечивает уверенность в том, что только уполномоченному персоналу или устройствам разрешен доступ к элементам сети, хранимой информации, информационным потокам, услугам и приложениям. Например, при использовании IPTV*(4) одна из известных рекомендаций по безопасности - отключение интерфейса отладки на абонентском комплекте приставки - получена исходя из рассмотрения свойств элемента управления доступом. Анализ конфиденциальности, целостности или доступности не приведет к каким-либо другим рекомендациям;

- аутентификация связана с подтверждением или доказательством заявленной идентичности пользователя или взаимодействующих сторон при использовании управления доступом для авторизации, а также она обеспечивает уверенность в том, что сущность не пытается имитировать или несанкционированно воспроизводить предыдущее сообщение. Например, человек может получить доступ к системе управления сетью, но потребуется осуществить аутентификацию для обновления записей абонентских услуг. Таким образом, возможность осуществления деятельности по управлению сетью не может быть обеспечена посредством простого рассмотрения конфиденциальности, целостности, доступности или управления доступом.

Примечание - В управлении доступом, основанном на ролях, авторизация осуществляется в отношении пользователя, назначенного на роль. Также в процессе управления доступом до предоставления доступа проверяется роль, назначенная пользователю. Кроме того, по спискам управления доступом доступ предоставляется всем, кто удовлетворяет политике, таким образом, если вы удовлетворяете требованиям политики, вы имеете право доступа. В этом случае функции аутентификации и авторизации являются несущественными;

- безопасность связи и безопасность передачи информации касается обеспечения уверенности в том, что информация только перемещается между авторизованными конечными точками без перенаправления и перехватов;

- неотказуемость связана с поддержанием контрольных записей с тем, чтобы не могло быть отказано в информации об исходных данных, причинах события или действия. Определение авторизованного лица, которое осуществило несанкционированное действие с защищенными данными, не связано с конфиденциальностью, целостностью, доступностью данных;

- непрозрачность связана с защитой информации, которая может быть получена из наблюдений за сетевой активностью. Непрозрачность признает необходимость защиты действий в дополнение к информации. Защита информации решается путем обеспечения конфиденциальности. Защита телефонного разговора между лицом А и лицом Б защищает их конфиденциальность. Защита того факта, что лицо А и лицо Б вели телефонный разговор, обеспечивает уверенность в непрозрачности.

Для всех сценариев, описанных в настоящем стандарте, вышеуказанные свойства безопасности рассматриваются как часть методики проектирования безопасности и фазы контроля. В таблице 2 приведены примеры механизмов обеспечения безопасности сети, которые могут быть реализованы для обеспечения свойств безопасности, выбранных для уменьшения потенциального риска.

Таблица 2 - Примеры методов обеспечения безопасности сети

Рассмотрения безопасности	Механизмы/методы обеспечения безопасности
Управление доступом	Система пропусков (идентификационных карточек), списки управления доступом (ACL - Access Control List), разделение обязанностей
Аутентификация	Несложная регистрация входа в систему/пароль, цифровые сертификаты, цифровые подписи, TLS*(5) версии 1.2, SSO*(6), СНАР*(7).
Доступность	Избыточность и резервное копирование, межсетевые экраны, IDS/IPS*(8) (для блокирования атаки DoS), непрерывность бизнеса, сетевой менеджмент и менеджмент услуг с SLAs*(9)
Безопасность связи	IPSec/L2TP*(10), частные линии связи, обособленные сети
Конфиденциальность	Шифрование (3DES *(11)), AES*(12)), списки управления доступом, права доступа к файлам.
Целостность	IPSec HMACs*(13) (например, SHA*(14)-256), циклический избыточный контроль, антивирусное программное средство.
Неотказуемость	Регистрация событий, управление доступом, основанное на ролях, и цифровые подписи
Непрозрачность	Шифрование IP-заголовков (например, VPN с режимом туннелирования IP-Sec, NAT*(15) (для IP версии 4).

В настоящей части стандарта ИСО/МЭК 27033, все рассмотренное выше является неотъемлемой частью проектирования и реализации, обсуждаемых в контексте каждого типового сетевого сценария. Как правило, для удовлетворения своих целей бизнеса организация выбирает меры и средства контроля и управления, соответствующие ИСО/МЭК 27002, а также рекомендации настоящей части стандарта ИСО/МЭК 27033, предназначенные для обеспечения анализа сетевого уровня, необходимого для реализации выбранных мер и средств контроля и управления.

7 Услуги доступа к Интернету для сотрудников

7.1 Исходные данные

Организации, которые должны предоставлять услуги доступа к Интернету для своих сотрудников, должны продумать этот сценарий, чтобы обеспечить уверенность в том, что осуществляется доступ с четко определенными и санкционированными целями, а не общий открытый доступ. Организации должны быть обеспокоены вопросами управления доступом, чтобы избежать потери пропускной способности сети и способности к реагированию, а также привлечения к правовой ответственности сотрудников, имеющих неконтролируемый доступ к услугам Интернета.

Управление доступом сотрудников к Интернету вызывает растущее беспокойство, учитывая количество появляющихся судебных прецедентов связанных с Интернетом. Таким образом, организация несет ответственность за установление, мониторинг и претворение в жизнь точно выраженной политики использования Интернета посредством оценивания следующих сценариев и обеспечения соответствующих требований в политике:

- доступ к Интернету предоставлен в интересах бизнеса;

- если доступ к Интернету также разрешен (ограниченно) в личных целях, то какими услугами разрешено пользоваться;

- разрешено ли расширенное применение услуг для совместного использования;

- разрешено ли сотрудникам участвовать в чате, форумах и т.д.

Хотя, зачастую, написанная политика выступает как существенный сдерживающий фактор неприемлемого использования Интернета, организация все еще подвергается значительным рискам информационной безопасности. Угрозы безопасности, рекомендации по методам проектирования безопасности, а также меры и средства контроля и управления, направленные на уменьшение рисков безопасности, излагаются в нижеследующих пунктах, как только для внутреннего, так и для внутреннего и внешнего использования.

7.2 Угрозы безопасности

Угрозами безопасности, связанными с услугами доступа к Интернету для сотрудников, являются:

- вирусные атаки и внедрение вредоносных программ:

- сотрудники, пользующиеся Интернетом, являются также основной мишенью для вредоносных программ, которые могут привести к потере или повреждению информации, потере контроля над инфраструктурой информационных технологий и огромному риску для безопасности сети организации,

- загружаемые пользователем файлы или программы могут содержать вредоносные программные коды. Учитывая повсеместное использование таких приложений, как обмен мгновенными сообщениями, одноранговое совместное использование файлов и IP-телефония, сотрудники могут случайно загрузить и установить вредоносные приложения, которые обходят защиту сети, используя такие методы, как быстрота прохождения порта (скачкообразность вблизи открытых портов), и шифрование. Кроме того, одноранговые приложения могут быть использованы в качестве скрытых каналов для сетевых агентов-роботов,

- уязвимости веб-браузеров или других веб-приложений могут быть использованы вредоносными программами, что приведет к заражению вирусом и установке троянов ("Троянских коней"). После заражения доступность может серьезно пострадать из-за распространения деятельности вируса, приводящей к перегрузке сети. Трояны могут разрешать несанкционированный внешний доступ, приводящий к нарушению конфиденциальности;

- утечка информации:

- приложения, позволяющие пересылать информацию на веб-серверы, могут быть причиной неконтролируемой передачи данных из организации через Интернет. Если используются зашифрованные сеансы (например, TLS), то даже регистрация такой деятельности может оказаться невозможной. Подобные риски безопасности привносятся в тех случаях, когда недостоверный переносимый код выполняется на системах внутри организации;

- несанкционированное использование и доступ:

- потеря мер и средств контроля и управления инфраструктуры, систем и приложений может привести к мошенничеству, отказу в обслуживании, а также злоупотреблению возможностями;

- ответственность за несоблюдение нормативов:

- юридическая ответственность за несоблюдение законодательства и нормативных обязательств,

- несогласованность с используемой политикой организации может привести к нормативному несоответствию;

- снижение доступности сети связи, вызванное недостаточной пропускной способностью или стабильными проблемами:

- чрезмерное использование услуг, связанных с пропускной способностью, например, потоковые мультимедийные средства или одноранговое совместное использование файлов может привести к перегрузке сети.

7.3 Методы проектирования безопасности и мер и средств контроля и управления

Методы проектирования безопасности и меры и средства контроля и управления, связанные с сотрудниками, рассматриваются в таблице 3.

Для установленной угрозы безопасности, каждое свойство безопасности рассматривается для применения с целью снижения риска, во втором столбце приведен соответствующий пример технической реализации. Например, целостность, контроль доступа и аутентификация применяются для защиты от вредоносного программного кода.

Таблица 3 - Меры и средства контроля и управления безопасности для сценария доступа сотрудников

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы
Вирусные атаки и введение вредоносных программ
- Целостность - Управление доступом - Аутентификация	- Предоставление сотрудникам Интернет-услуг, только соответствующих бизнесу. Использование черных списков авторизованных услуг, чтобы сделать возможной поправку в каналах чата, услугах веб-почты или одноранговых сетевых протоколах. - Использование антивирусных программ на пути доступа к Интернету для сканирования всего трафика от сотрудника до Интернета. Процесс сканирования должен включать в себя все сетевые протоколы, разрешенные к применению. Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователь предупреждается о факте проведения обновлений. - Использование антивирусного программного средства на всех клиентских системах, особенно на тех, которые используются сотрудниками для доступа к Интернету. - Сканирование файлов и всех хранимых данных на наличие вирусов и троянов, а также других видов вредоносных программ. - Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты. - Блокирование появляющихся окон и вэб-рекламы. - Маршрутизация трафика, используемого для услуг доступа к Интернету, посредством небольшого количества контролируемых шлюзов безопасности. - Активное установление подлинности содержания.
Утечка информации
- Безопасность связи - Целостность - Управление доступом	- Реализация фильтров для мобильного кода на шлюзах доступа к Интернету. - Прием мобильного кода только с некритичных сайтов, занесенных в белый список. - Прием мобильного кода, подписанного цифровой подписью только от доверенных органов сертификации или от доверенных поставщиков, включая соответствующие параметры настройки на стороне клиента, например, путем осуществления активного управления и реализации белого списка разрешенных органов сертификации, подписывающих код.
Несанкционированное использование и доступ
- Управление доступом - Неотказуемость	- Предоставление служащим только соответствующих бизнесу Интернет-услуг. Использование черных списков неавторизованных услуг, например, каналов обмена информацией (текстового диалога) в реальном времени, или услуг веб-почты. Реализация фильтров для неавторизованных протоколов, например, одноранговых сетевых протоколов. - Ограничения на использование услуг, которые беспрепятственно осуществляют передачу больших объемов данных. - Обеспечение уверенности в проведении надлежащей регистрации и мониторинга в отношении всех услуг, которые допускают возможность передачи данных через Интернет. - Четкое определение авторизованного и неавторизованного использования до ступа к Интернету в специальной политике (см. примерную форму в приложении А). - Обеспечение уверенности в осведомленности пользователей посредством соответствующего уровня образования и профессиональной подготовки.
Ответственность за несоблюдение нормативов
- Неотказуемость	- Использование записи событий, отметок времени. - Осведомленность и профессиональная подготовка пользователей.
Снижение доступности сети связи
- Целостность - Доступность	- Надлежащий менеджмент уязвимостей и исправления известных системных уязвимостей в рамках выделенного интервала времени, основанного на критичности уязвимости. - В центре внимания менеджмента уязвимостей должны быть все системы приема Интернет-трафика, либо на транспортном, либо на прикладном уровне, включая все системы, используемые с учетом шлюзов по направлению к Интернету, а также системы конечного пользователя, используемые для доступа к Интернет-услугам, особенно, если они используют операционную систему Windows. - Прерывание пропускной способности для потоковых мультимедийных средств, (если только это разрешено политикой бизнеса). - Сети и системные ресурсы должны быть проверены (IDS, журналы регистрации, аудиты и т.д.) на предмет обнаружения системных событий, событий безопасности и операционных событий

8 Услуги бизнес-бизнес

8.1 Исходные данные

Этот сценарий должны рассматривать организации, которые осуществляют транзакции с другими организациями, такими как изготовитель, оптовик, розничный торговец.

Обычно услуги бизнес-бизнес реализуются с помощью специально выделенных линий или сетевых сегментов. Интернет и связанные с ним технологии предоставляют больше возможностей, но также вводят новые угрозы безопасности, связанные с реализацией таких услуг. Развивающаяся модель электронной торговли бизнес-бизнес позволяет организациям вести бизнес через Интернет и сосредоточиться на приложениях, использующих Интернет, экстранет, или и то и другое, чтобы наладить партнерство в бизнесе, при котором организации известны друг другу и все пользователи, в отличие от сценария бизнес-клиент, регистрируются.

Обычно услуги бизнес-бизнес имеют свои собственные требования. Например, доступность и достоверность являются очень важными требованиями, поскольку часто организации напрямую зависят от действующих услуг бизнеса-бизнес.

При использовании Интернета в качестве базовой сетевой связи для реализации услуг бизнес-бизнес, такие требования как доступность и достоверность должны обрабатываться иначе, чем раньше. Проверенные подходы, такие как предполагаемое качество услуг, используемое, например, в сочетании с выделенным каналом связи, больше не работают. Новые риски безопасности должны быть уменьшены с помощью соответствующих методов проектирования и мер и средств контроля и управления. Основной упор делается на укрепление доверия между организациями, путем предотвращения несанкционированного доступа к данным и поддержки разделения систем бизнеса.

В нижеследующих пунктах описываются угрозы безопасности и рекомендации по методам проектирования безопасности, а также меры и средства контроля и управления, снижающие риски безопасности, как только для внутреннего, так и для внутреннего и внешнего использования.

8.2 Угрозы безопасности

Угрозы безопасности, связанные с услугами бизнес-бизнес, следующие:

- вирусные атаки и внедрение вредоносных программ:

- использование вредоносных программ приводит к проникновению в системы, ведущему к сбоям или несанкционированному доступу к конфиденциальной информации;

- уязвимости веб-браузеров или других веб-приложений могут быть использованы вредоносными программами, что приведет к заражению вирусом и установке троянов;

- атаки типа "отказ в обслуживании" (DoS) и "распределенный отказ в обслуживании" (DDoS - distributed denial of service) на порталы или расширенные сети услуг бизнес-бизнес;

- инсайдерские атаки с помощью авторизованных партнеров по бизнесу;

- фальсификация информационного наполнения транзакции (сообщения не передаются получателю или данные изменяются в процессе передачи).

8.3 Методы проектирования безопасности и меры и средства контроля и управления

Методы проектирования информационной безопасности и меры и средства контроля и управления, связанные с услугами бизнес-бизнес, приведены в таблице 4.

Таблица 4 - Меры и средства контроля и управления безопасности для сценария услуг бизнес-бизнес

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы
Вирусные атаки и введение вредоносных программ
- Целостность - Управление доступом - Аутентификация	- Использование антивирусных программ на шлюзах к Интернету для сканирования всего трафика, от сотрудника до Интернета. Процесс сканирования должен охватывать все сетевые протоколы, разрешенные к применению. Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователь предупреждается о факте проведения обновлений. - Сканирование файлов и всех хранимых данных на наличие вирусов и троянов, а также других видов вредоносных программ. - Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты. - Маршрутизация трафика, используемого для услуг доступа к Интернету, по средством небольшого количества контролируемых шлюзов безопасности. - Активное установление подлинности содержания.
Атаки "отказ в обслуживании"
- Доступность - Непрозрачность	- Блокирование неиспользуемых портов и услуг, чтобы предотвратить их реагирование на неавторизованное сканирование/зондирование, которое приводит к возможности лавинного распространения трафика DoS. - Исключение описательной информации из предупреждающих баннеров предотвращает получение злоумышленниками специальной информации
Инсайдерские атаки
- Управление доступом - Неотказуемость	- Четко определенные политики безопасности по управлению доступом (для управления взаимоотношениями в бизнесе). - Четко определенные роли и обязанности. - Внесение изменений в предупреждающие баннеры. - Ограничение привилегий. - Регистрация пользователями всех критичных/некритичных транзакций
Фальсификация информационного наполнения транзакции
- Неотказуемость	- Подробные журналы регистрации транзакций. - Использование цифровых подписей

9 Услуги бизнес-клиент

9.1 Исходные данные

Этот сценарий должен рассматриваться организациями, осуществляющими операции с клиентами.

Услуги бизнес-клиент, также известные как услуги электронного бизнеса, включают в себя такие услуги, как электронная торговля, электронные банковские услуги, а также электронное правительство. В услугах бизнес-клиент безопасность должна уравновешивать возможность сделок с сохранением торговой марки и ценности бизнеса.

К требованиям информационной безопасности относятся требования, связанные с:

- конфиденциальностью (особенно в отношении оказания электронных банковских услуг);

- аутентификацией;

- целостностью;

- безопасностью передачи данных там, где конечный пользователь ожидает обеспечения услугами бизнеса для защиты маршрута транзакции между пользователем и поставщиком. Сопротивление изощренным атакам (таким как, атаки "человек посредине" или "человек в браузере");

- доступностью, которая является важным аспектом для поставщика электронного бизнеса.

Характеристики информационной безопасности включают:

- безопасность, которая "гарантирована" только на оконечной платформе*(16), обычно находящейся под управлением организации, что обеспечивает благоприятные условия для реализации мер и средств контроля и управления, а также поддержки хорошего уровня безопасности платформы;

- безопасность на клиентской платформе, часто это персональный компьютер, как правило, может быть недостаточной. Меры и средства контроля и управления реализовать в такой среде труднее, поэтому клиентская платформа будет представлять значительный риск (без "условий для безопасного соединения" - набора требований в договоре, которые может быть трудно навязать в таких условиях).

В нижеследующих пунктах описываются угрозы безопасности и рекомендации по методам проектирования безопасности, а также меры и средства контроля и управления для уменьшения сопутствующих рисков, как только для внутреннего, так и для внутреннего и внешнего использования.

9.2 Угрозы безопасности

Угрозы безопасности, связанные с услугами бизнес-клиент, следующие:

- вирусные атаки и внедрение вредоносных программ:

- использование вредоносных программ приводит к проникновению в системы, ведущему к сбоям или несанкционированному доступу к конфиденциальной информации,

- уязвимости веб-браузеров или других веб-приложений могут быть использованы вредоносными программами, что приведет к заражению вирусом и установке троянов;

- неавторизованный доступ:

- неавторизованный доступ к серверным базам данных (например, атаки, распространяемые на языке SQL *(17), и межсайтовые скриптовые*(18) атаки),

- сбор учетных записей, что дает возможность, в зависимости от того, как веб-приложение реагирует на попытки аутентифицировать пользователя, получить достоверную информацию об активности пользователя. Автоматизированные сценарии часто используются для сбора действительных идентификаторов и имен учетных записей пользователей,

- кража идентификационных данных в режиме онлайн, используя успешные атаки социальной инженерии (с использованием мошеннических методов), например, атаки фишинга и атаки на основе DNS, соединяющие пользователей с мошенническим веб-сервером, который выглядит легитимным, но не является таковым,

- несанкционированный доступ к системам или сетям со злым умыслом, чтобы скопировать, изменить или уничтожить данные,

- незаконная расшифровка содержания приводит к нарушению авторских прав и краже содержания;

- атаки "отказ в обслуживании";

- подделка информационного наполнения транзакции (сообщения не доходят до получателя или данные изменяются при передаче).

9.3 Методы проектирования безопасности и меры и средства контроля и управления

Методы проектирования безопасности и меры и средства контроля и управления, относящиеся к услугам бизнес-клиент, приведены в таблице 5.

Таблица 5 - Меры и средства контроля и управления безопасности для сценария услуг бизнес-клиент

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы
Вирусные атаки и введение вредоносной программы
- Целостность - Управление доступом - Аутентификация	- Использование антивирусных программ на шлюзах к Интернету для сканирования всего трафика от сотрудника до Интернета. Процесс сканирования должен охватывать все сетевые протоколы, разрешенные к применению. - Сканирование файлов и всех хранимых данных на наличие вирусов и троянов, а также других видов вредоносных программ. - Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты. - Маршрутизация трафика, используемого для услуг доступа к Интернету, посредством небольшого количества контролируемых шлюзов безопасности. - Активное установление подлинности содержания
Неавторизованный доступ
- Управление доступом - Аутентификация - Конфиденциальность - Безопасность связи - Целостность - Непрозрачность	- Ограниченное количество разрешений для веб-приложений при доступе к серверной базе данных. - Сегментация сети и уровни безопасность внутри демилитаризованной зоны (DMZ) для предотвращения каналов связи, направленных к корпоративным активам данных. - Безопасная регистрация пользователя для обеспечения уверенности в том, что полномочия доступа выданы подлинным пользователям - например, с привлечением к данному процессу независимого органа регистрации. - Аутентификация с использованием цифровых сертификатов, паролей, биометрии или смарт-карт. - Межсетевые экраны и списки управления доступом для предотвращения несанкционированного доступа пользователей. - Управление доступом, основанное на ролях, для ограничения функций пользователя, разрешенных к выполнению. - Анализ регистрационных журналов веб-приложений для идентификации атак и их сдерживания. - Надлежащие уровни шифрования хранимой информации. - Обеспечение уверенности в безопасном соединении между веб-браузерами и веб-серверами с использованием таких технологий, как SSLv3/TLS. - Защита основной связи с веб-сервисами с помощью, например сообщений SOAP *(19). - Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты. - На уровне веб-приложений целостность данных URL*(20), куки-файлов*(21) или элементов скрытых форм обеспечивается: - шифрованием всех данных (даже если используется SSLv3); - использованием изменяемых временных меток; - использованием цифровой подписи или ключевого хэша для чувствительных данных. - Использование "инвертированного" прокси-сервера между веб-сервером и внешней сетью
Атаки "отказ в обслуживании"
- Доступность - Непрозрачность	- Блокирование неиспользуемых портов протоколов и услуг, чтобы предотвратить их реагирование на несанкционированное сканирование/зондирование, которые приводят к возможности лавинного распространения трафика DoS. - Исключение описательной информации из предупреждающих баннеров предотвращает получение злоумышленниками специальной информации
Фальсификация информационного наполнения транзакций
- Неотказуемость	- Подробные журналы регистрации транзакций. - Использование цифровых подписей

10 Расширенное применение услуг для совместного использования

10.1 Исходные данные

Этот сценарий должны рассматривать организации, которые используют услуги, касающиеся многих сотрудников. Примерами таких услуг являются:

- программное средство коллективного пользования;

- файловые серверы;

- список адресов для рассылки по электронной почте;

- услуги, базирующиеся на Интернет-технологиях.

Расширенное применение услуг для совместного использования, объединяющих различные средства связи и возможности совместного использования документов, является важным аспектом среды бизнеса.

Такое расширенное применение услуг для совместного использования обычно объединяет видео-телефонию, голосовую связь с чат-каналов, системы электронной почты, а также совместное использование документов и совместное использование оборудования в режиме онлайн.

Существуют два основных способа использования таких услуг для организаций:

- использование их только в качестве внутренних услуг, но недостатком этого способа является то, что услуги не могут быть использованы при работе с внешними партнерами и т.д.;

- использовать их в качестве внутренних услуг и услуг, внешних по отношению к организации. Такое использование услуг более выгодно, но имеет больше связанных с ними рисков безопасности по сравнению с использованием услуг только для внутреннего пользования.

Что касается реализации, услуги могут быть:

- реализованы внутри; или

- третьей стороной.

Если услуги должны быть использованы внутри и вне организации, то более подходящим решением может быть покупка услуг для совместного использования у третьих сторон.

В следующих пунктах описаны угрозы безопасности и рекомендации по методам проектирования безопасности, а также меры и средства контроля и управления безопасности для уменьшения сопутствующих рисков, как только для внутреннего, так и для внутреннего и внешнего использования. Меры и средства контроля и управления безопасности применяются к управлению, передаче сигналов и трафику пользователя.

10.2 Угрозы безопасности

К угрозам безопасности, связанным с расширенным применением услуг для совместного использования, относятся:

- неавторизованный доступ, ведущий к раскрытию конфиденциальной информации:

- злоупотребление совместным использованием инструментальных средств, чтобы незаконно воспользоваться материалами, охраняемыми авторским правом, получать конфиденциальные данные и навязывать пользователям нежелательную или пропагандистскую информацию,

- нарушение непрозрачности посредством мониторинга использования шаблонов, спаминга и других идентичных атак;

- вирусные атаки и внедрение вредоносных программ:

- распределение и выполнение вредоносных программ путем использования общих ресурсов;

- снижение доступности сети связи:

- перегрузка сети с легитимным трафиком,

- уязвимости эксплуатируемого протокола, используемые в услугах для совместного использования.

10.3 Методы проектирования безопасности и меры и средства контроля и управления

Методы проектирования информационной безопасности и меры и средства контроля и управления, относящиеся к расширенному применению услуг для совместного использования, приведены в таблице 6.

Таблица 6 - Меры и средства контроля и управления безопасности для расширенного применения услуг для совместного использования

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы
Неавторизованный доступ, ведущий к раскрытию конфиденциальной информации
- Управление доступом - Аутентификация - Конфиденциальность - Безопасность связи - Неотказуемость	- Доступ, основанный на ролях, для приложений, сетей и запоминающих устройств. - Назначение пользователей на разные роли с различными правами доступа для различных сетей VLAN. - Политики, основанные на ролях, касающиеся использования прав и доступа к ресурсам, таким как приложения, которые пользователь может запускать. - Списки управления доступом. - Строгая аутентификация и авторизация. - Сети VLAN для сетевой виртуализации. - IDSs, основанные на хосте. - Шифрование данных.
Вирусные атаки и введение вредоносной программы
- Целостность	- Использование программ передачи изображения экранов, таких как терминальные серверы, чтобы свести к минимуму ввод в корпоративную среду данных и возможных вредоносных программ.
Снижение доступности сети связи
- Доступность	- Использование виртуальной архитектуры "сервер-хранилище данных" для повышения доступности и безопасности хранящихся данных. - Предотвращение извлечения информации путем использования программных инструментальных средств, чтобы предотвратить копирование/вставку информации, блокирование попытки записи на съемный носитель или печати. - Мониторинг программных средств для обнаружения нарушений политики - таких, как нарушения прав доступа к приложениям и другим сетевым ресурсам.

11 Сегментация сети

11.1 Исходные данные

Этот сценарий следует рассматривать организациям, которые хотят разделить свою внутреннюю сеть на несколько доменов, согласующихся с организационной структурой.

Сегментация сетей является методом, который может быть использован для усиления мер и средств контроля и управления в отношении системы и доступа к приложениям. Сегментация сети может быть использована для группирования определенных видов деятельности, приложений или систем таким образом, что доступ будет возможен только для тех, кто имеет доступ к сегменту сети. Таким образом, меры и средства контроля и управления сетевого доступа дополняют другие меры и средства контроля и управления доступа к конечным точкам и обеспечивают дополнительный уровень защиты в глубину. Например, сегментация сети может быть использована для:

- отделения административных возможностей и возможностей технического обслуживания от операций доступа пользователей к приложениям бизнеса;

- отделения критически важных приложений от других приложений;

- разделения баз данных большинства пользователей.

Для стран с многонациональными организациями большое влияние на требования информационной безопасности оказывает специальное законодательство. Фактическое выполнение организацией обязанностей по сегментации сети в соответствии с национальными границами может быть эффективным подходом для охвата требований информационной безопасности различных стран. Например, законодательство той или иной страны может потребовать специальной защиты клиента/данных клиента, и не позволит передачу таких данных другой стране. Обычно это требует дополнительных мер и средств контроля и управления информационной безопасности, чтобы гарантировать соответствие такому законодательству.

В пунктах ниже описаны угрозы безопасности и рекомендации по методам проектирования безопасности, а также по мерам и средствам контроля и управления безопасности, как только для внутреннего, так и для внутреннего и внешнего использования, для уменьшения рисков безопасности.

11.2 Угрозы безопасности

К угрозам безопасности, связанным с сегментацией сети, при выполнении в организациях соответствующих национальных требований других стран относятся:

- ответственность за несоблюдение законодательства;

- утечка данных:

- нарушение конфиденциальности, например, когда данные заказчика/клиента доступны из стран, из которых они не должны быть доступны,

- нарушение требований конфиденциальности конкретной страны,

- риски, связанные с репутацией, влекут за собой неудовлетворение ожиданий заказчика/клиента в отношении конфиденциальности или непрозрачности.

11.3 Методы проектирования безопасности и меры и средства контроля и управления

Методы проектирования информационной безопасности и меры и средства контроля и управления, относящиеся к сегментации сети при выполнении в организациях соответствующих требований конкретной страны, приведены в таблице 7.

Таблица 7 - Меры и средства контроля и управления безопасности для сегментации сети

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы
Ответственность за несоблюдение нормативов
- Непрозрачность - Конфиденциальность	Политики и осведомленность пользователей: - нормы права (неприкосновенность личной жизни); - допустимые методы шифрования; - хранение данных, законы о передаче; - законы, касающиеся правомерного перехвата информации
Утечка данных
- Управление доступом - Аутентификация - Целостность	- Шлюзы безопасности. - Прокси-программы прикладного уровня. - Шифрование данных

12 Сетевая поддержка работы на дому или в малых предприятиях

12.1 Исходные данные

Этот сценарий должны рассматривать организации, которым необходимо предоставить доступ к внутренним ресурсам для своих сотрудников, работающих на дому или в малых предприятиях.

Работа на дому или в малых предприятиях часто требует расширения внутренней сети организации до местонахождения дома или малого предприятия. Затраты на расширение сети до местонахождения дома или малого предприятия являются важным вопросом, поскольку реализация, отражающая соотношение затраты/выгоды, как правило, не должна требовать высоких затрат. Это означает ограничение стоимости мер и средств контроля и управления безопасности, которые используются для обеспечения такого расширения сети и обычно препятствуют использованию существующих межсетевых мер и средств контроля и управления безопасности, используемых для подсоединения наибольшего количества сегментов Интранет.

Для многих сценариев работы на дому или в малых предприятиях инфраструктура может быть использована как для целей бизнеса, так и для личных целей - что может привести к дополнительным рискам информационной безопасности.

В пунктах ниже описаны угрозы безопасности и рекомендации по разрабатываемым методам, касающимся безопасности, а также мерам и средствам контроля и управления безопасности для уменьшения сопутствующих рисков, как только для внутреннего, так и для внутреннего и внешнего использования.

12.2 Угрозы безопасности

К угрозам безопасности, связанным с сетевой поддержкой работы на дому или в малых предприятиях относятся:

- неавторизованный доступ:

- слабые настройки конфигурирования в отношении сетевого оборудования доступа, например, сетевых маршрутизаторов SOHO*(22),

- использование разделенного туннелирования,

- отсутствие или слабые физические меры и средства контроля и управления безопасности,

- продолжительное отображение на экране монитора окна в отношении подключения к сети с возможностями, обусловленными атрибутом "всегда включено",

- использование учетных записей гостя и настроек по умолчанию;

- вирусные атаки и введение вредоносных программ:

- оборудование, включая компьютеры, используемые в домашней сети или в сети малых предприятий и работающие с недостаточными мерами и средствами контроля и управления безопасности, например, отсутствует или слабая защита от вредоносных программ и т.д.,

- проблемы, созданные смешиванием частных и бизнес-сред, например, индивидуального использования протоколов с присущими им высокими рисками, таких как одноранговые протоколы совместного использования файлов,

- исправления недостаточности,

- после заражения доступность сети может серьезно пострадать в результате распространения вирусов, ведущего к перегрузке сети;

- несанкционированное разглашение конфиденциальной информации:

- отсутствие шифрования данных, хранящихся в системах и передающихся через сети домашнего или малого бизнеса,

- злоупотребление возможностями доступа, такими как беспроводной доступ в Интернет через домашние сети или сети малых предприятий,

- недостаточное обучение конечных пользователей передовым практикам осведомленности и безопасности,

- недостоверность предположений касательно защиты Интранета, так как сетевые шлюзы, используемые при работе на дому или в малых предприятиях, не обеспечивают такой же уровень защиты, как шлюзы, использующиеся для соединения филиалов организации.

12.3 Методы проектирования безопасности и меры и средства контроля и управления

Методы проектирования информационной безопасности и меры и средства контроля и управления, относящиеся к сетевой поддержке при работе на дому или в малых предприятиях, приведены в таблице 8.

Таблица 8 - Меры и средства контроля и управления безопасности при использовании сети для сценариев работы на дому или в малых предприятиях

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы
Несанкционированный доступ
- Управление доступом - Аутентификация - Безопасность связи	- Отключение сетевых интерфейсов и услуг, которые не используются. - Установление межсетевого экрана хоста - пропуск или отключение всех входящих извне соединений. - Проектирование и методы защиты раздельного туннелирования. - В системах не должны использоваться пароли, состоящие из пробелов, нулей, или пароли по умолчанию. - Строгие пароли должны быть обязательными для всех пользователей. Анонимный/гостевой доступ не должен быть разрешен. - Технические проверки соответствия для обеспечения уверенности в надлежащей конфигурации и настройках всего чувствительного оборудования безопасности, например, маршрутизатора или точек доступа к беспроводной сети. - Безопасные технологии VPN в компонентах сетевого доступа, такие как маршрутизаторы сетевого доступа.
Вирусные атаки и введение вредоносной программы
- Целостность - Доступность	- Поддержка текущих версий программных средств и уровней обновления. - Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователи предупреждены о том, что обновления доступны. - Использование хостовой системы обнаружения вторжений (HIDS - Host-based Intrusion Detection System), по крайней мере, для обнаружения целостности базы данных/программного средства (если применимо). - Сканирование файлов и всех хранимых данных на наличие вирусов и троянов, а также других видов вредоносных программ. - Резервное копирование данных конфигурации и файлов для реагирования на инциденты и восстановления.
Несанкционированное раскрытие конфиденциальной информации
- Конфиденциальность - Непрозрачность	- Осведомленность и обучение пользователей лучшим практикам по безопасности. - Шифрование хранимых и передаваемых данных.

13 Мобильная связь

13.1 Исходные данные

Этот сценарий должны рассматривать организации, разрешающие сотрудникам использование мобильных устройств.

Этот сценарий сосредоточен на безопасных деловых отношениях предприятий, использующих и развертывающих мобильные устройства и приложения. Хотя основным фактором для быстрого развития новых возможностей мобильных устройств, таких как смартфоны или персональные информационные устройства (PDA - personal data assistants), является потребительский рынок, они также используются в среде бизнеса. Часто такие устройства являются личной собственностью, и используются, как для целей бизнеса, так и в личных целях. Иногда устройства могут быть предоставлены компанией и применены для личного использования. Таким образом, ориентированным на профессиональную деятельность устройствам необходимо иметь функции, введенные для потребительского рынка, поскольку продавцы хотят получить настолько выгодный бизнес, насколько он возможен в условиях конкуренции.

Устройства мобильной связи позволяют удаленным пользователям координировать персональные базы данных, а также обеспечивать доступ к услугам сети, таким как беспроводная электронная почта, просмотр веб-страниц, а также доступ к Интернету. Когда человек использует одни и те же устройства для частных и для деловых целей, возникает тенденция обхода политик или игнорирование их использования, таким образом, на предприятие привносятся значительные риски информационной безопасности.

В пунктах ниже описываются угрозы безопасности и даются рекомендации по методам проектирования безопасности, а также приводятся меры и средства контроля и управления, как только для внутреннего, так и для внутреннего и внешнего использования, для уменьшения соответствующих рисков.

13.2 Угрозы безопасности

Угрозами безопасности, связанными с мобильными устройствами связи являются:

- несанкционированный доступ к информации, хранящейся на мобильных устройствах, вследствие:

- слабого управления доступом или недостаточной защиты конфиденциальной информации,

- недостаточной информированности и неадекватных паролей,

- слабой конфигурации,

- хакерских атак с использованием мошеннических устройств,

- отсутствия осведомленности конечных пользователей о требованиях обеспечения информационной безопасности, например, при смешивании частной информации и информации бизнеса;

- несанкционированное разглашение местоположения конфиденциальных данных и информации, вследствие:

- услуг, связанных с определением местоположения, которые могут раскрывать несанкционированным третьим лицам информацию о положении пользователя, что затрагивает неприкосновенность частной жизни,

- подслушивания,

- вовлечения неадекватно защищенных третьих лиц в процесс передачи информации,

- использования открытого текста или недостаточно защищенных протоколов передачи,

- неправильных процедур утилизации;

- несанкционированная модификация/удаление хранимой информации (включая программное средство), вследствие:

- ввода вредоносных программ путем установления программного средства, полученного от неавторизованного источника,

- использования уязвимостей в базовой операционной системе;

- спам, приводящий к:

- повышенной плате за обслуживание,

- возможности фишинг-атак,

- атакам "отказ в обслуживании";

- кража или случайная потеря, приводящая к:

- потере чувствительных данных всякий раз, когда данные, хранящиеся на устройстве, не отображаются, или резервное копирование выполняется в другом месте,

- проблемам конфиденциальности, когда конфиденциальные данные, хранящиеся на устройстве, не защищены должным образом,

- бесконтрольному резервному копированию данных.

13.3 Методы проектирования безопасности и меры и средства контроля и управления

Методы проектирования информационной безопасности и меры и средства контроля и управления, относящиеся к устройствам персональной мобильной связи, приведены в таблице 9.

Таблица 9 - Меры и средства контроля и управления безопасности для сценария мобильной связи

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы
Несанкционированный доступ к информации, хранящейся на мобильных устройствах
- Управление доступом - Аутентификация - Неотказуемость	- Осведомленность пользователя о физическом контроле. - Избегание стандартных конфигураций. - Строгая аутентификация. - Включение опций регистрации. - Блокировка таймера неактивности. - Межсетевые экраны. - Формирование политики безопасности в отношении паролей и использования в бизнесе (ограничение использования в личных целях устройств, принадлежащих предприятию).
Несанкционированное разглашение конфиденциальных данных и информации, касающейся размещения
- Конфиденциальность - Аутентификация - Безопасность связи - Непрозрачность	- Шифрование хранимых и передаваемых (беспроводным способом) данных. - Защита паролей. - Избегать услуг третьей стороны, которые требуют свободного доступа к тексту передаваемых данных или, а если это невыполнимо, то требовать обеспечения уверенности в том, что конфиденциальность обрабатываемых данных такая, как требуется. - Обеспечение уверенности в безопасных процедурах синхронизации. - Для удаленного доступа использовать соединения через безопасную VPN. - Надлежащие процедуры утилизации носителей для удаления чувствительных данных. - Согласие пользователя на определение его местоположения.
Несанкционированная модификация/удаление хранимой информации (включая программное средство)
- Конфиденциальность - Доступность - Целостность	- Отключение неиспользуемых беспроводных интерфейсов, услуг и приложений. - Своевременное проведение исправлений операционной системы. - Надлежащие процедуры утилизации для удаления конфиденциальных данных. - Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователи предупреждены о том, что обновления доступны. - Загрузка программного средства, полученного только от предприятий, имеющих право на распространение программного средства (во избежание установки нелицензионного программного средства). - Цифровые подписи для проверки источника загружаемого программного средства.
Спам
- Управление доступом	- Фильтрация информации. - Повышение осведомленности пользователей.
Кража или случайная потеря
- Конфиденциальность - Аутентификация	- Удаленное управление активами (устройства отключения/блокировки). - Периодическое безопасное резервное копирование. - Централизованный менеджмент в отношении отслеживания активов и соблюдения политики.

14 Сетевая поддержка мобильных пользователей

14.1 Исходные данные

Этот сценарий должны рассматривать организации, разрешающие сотрудникам перемещаться для получения доступа к ресурсам организации.

Решения и предложения в этой области часто сосредоточены на функциональности и ориентированы в первую очередь на потребительский рынок. С точки зрения информационной безопасности предлагаемые уровни функциональности привносят новые риски, например, влияя на информационную безопасность или опровергая предположения относительно нее. Например, предположение о поддержке хорошо контролируемого и (внешне) защищаемого Интранета может быть подвергнуто сомнению по существу, если доступ к Интранету для мобильного пользователя не обеспечивается соответствующими мерами и средствами контроля и управления.

В пунктах ниже описываются угрозы безопасности и даются рекомендации по методам проектирования безопасности, а также приводятся меры и средства контроля и управления для уменьшения соответствующих рисков, как только для внутреннего, так и для внутреннего и внешнего использования.

14.2 Угрозы безопасности

Угрозами безопасности, связанными с сетевой поддержкой мобильных пользователей, являются:

- несанкционированный доступ:

- неправильное использование технической поддержки мобильных пользователей сети для получения несанкционированного доступа к Интранету организации;

- компрометация шлюзов безопасности, используемых на границе сети Интранет;

- несанкционированный доступ к данным, хранящимся на устройствах мобильного пользователя;

- снижение доступности сети связи:

- проблемы доступности, возникающие, когда пользовательские ожидания относительно сетевой поддержки не могут быть выполнены, например, когда это зависит от доступности провайдеров услуг Интернет.

14.3 Методы проектирования безопасности и меры и средства контроля и управления

Методы проектирования информационной безопасности и меры и средства контроля и управления, относящиеся к сетевой поддержке мобильных пользователей, приведены в таблице 10.

Таблица 10 - Меры и средства контроля и управления сетевой поддержки мобильных пользователей

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы
Несанкционированный доступ
- Управление доступом - Аутентификация - Безопасность связи - Конфиденциальность	- Усовершенствованные методы аутентификации (аутентификация на основе сертификатов, двухфакторной аутентификации или аутентификации вызов-ответ). - Специализированные услуги для мобильных пользователей, основанные на протоколах TLS/SSLv3 защищенных веб-интерфейсов. - Использование методов безопасных виртуальных частных сетей в сочетании с соответствующими шлюзами безопасности на клиентских системах (например, персональные брандмауэры): - реализации уровней 2/3, например, IPSec; - уровня приложений VPN, например, основанного на TLS. - Шифрование хранимых данных пользователя.
Снижение доступности сети связи
- Доступность	- Привлечение общеизвестных провайдеров услуг и использование соглашения об уровне услуг для надежности и производительности.

15 Услуги аутсорсинга

15.1 Исходные данные

Этот сценарий должны рассматривать организации, использующие услуги аутсорсинга.

Организации используют услуги аутсорсинга, поскольку они рассматриваются в качестве жизнеспособной стратегии бизнеса, но это вносит организационные и оперативные сложности, особенно для обеспечения качества и безопасности услуг аутсорсинга.

Такое расширение сфер действия предприятия наследует дополнительные риски в связи с зависимостью от поставщика услуг. Например, поставщикам или продавцам услуг может потребоваться прямой доступ к активам внутри организации для поддержки и (или) исходя из управления инцидентами, тем самым подвергая критические активы рискам безопасности. Наряду с тем, что для многих вспомогательных услуг требуются постоянные права доступа к поддерживаемой инфраструктуре, для других, возможно, необходим лишь временный доступ. Часто услуги поддержки нуждаются в высокопривилегированных правах доступа для выполнения своих задач.

Независимо от типа сценария аутсорсинга рассмотрение безопасности и надзора являются обязательными для всех таких договорных отношений. Общее представление о соответствующих угрозах и проблемах приведено в настоящем документе. Более подробные сведения об обеспечении безопасности услуг аутсорсинга можно найти в ИСО/МЭК 27036.

В пунктах ниже описываются угрозы безопасности и даются рекомендации по методам проектирования безопасности, а также приводятся меры и средства контроля и управления для уменьшения соответствующих рисков, как только для внутреннего, так и для внутреннего и внешнего использования.

15.2 Угрозы безопасности

Угрозами безопасности, связанными с услугами аутсорсинга, являются:

- несанкционированный доступ к другим внутренним системам (когда поставщик получает доступ к внутренним системам для удаленной поддержки и технического обслуживания):

- злоупотребление удаленными портами обслуживания,

- злоупотребление правами администратора;

- несанкционированное раскрытие поставщиком услуг конфиденциальных данных:

- пренебрежение правами интеллектуальной собственности,

- отсутствие разделения многокомпонентных сред клиентов,

- отсутствие лучших практик по обеспечению информационной безопасности (например, широко распространено совместное использование паролей),

- неправильное обращение с носителями информации,

- использование небезопасных методов передачи информации;

- внедрение вредоносных программ (в среду разработки программного средства):

- недостаточная безопасность при разработке программного средства и процедур выпуска программного средства,

- небезопасная передача файлов и данных,

- небезопасные практики совместного использования режима онлайн;

- ответственность за несоблюдение законодательства:

- отсутствие понимания норм и законов конкретной страны об ответственности, если поставщик услуг находится в другой стране,

- недостаточные правовые требования к конфиденциальности и защите данных, применяемые в стране, где находится поставщик; это может оказать существенное неблагоприятное воздействие на конфиденциальность данных и защиту требований, предъявляемых к покупателю.

15.3 Методы проектирования безопасности и меры и средства контроля и управления

Методы проектирования информационной безопасности и меры и средства контроля и управления, относящиеся к услугам аутсорсинга, приведены в таблице 11.

Таблица 11 - Меры и средства контроля и управления безопасности для услуг аутсорсинга

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы (реализацию может взять на себя аутсорсинговая организация или внешнее предприятие в зависимости от утвержденного задания)
Несанкционированный доступ к внутренним системам
- Управление доступом - Аутентификация - Неотказуемость	- Строгое назначение персональных идентификаторов пользователя. - Строгая аутентификация (например, двухфакторная аутентификация) для регистрации входа суперпользователя/администратора. - Местный консольный порт или рабочий порт, защищенный идентификатором и паролем пользователя (в случае, если поставщиком услуг запрещен удаленный доступ). - Всеобъемлющая регистрация действий, связанных с доступом, и анализ журналов регистрации.
Несанкционированное раскрытие конфиденциальных данных
- Конфиденциальность	- Лучшие практики, касающиеся защиты данных клиента шифрованием. - Осведомленность и обучение безопасности. - Средства и процедуры мониторинга и аудита. - Договорная политика безопасности и директивы в отношении процедур.
Внедрение вредоносных программ
- Целостность	- Безопасные приемы программирования. - Процессы менеджмента изменений. - Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователи предупреждены о том, что обновления доступны.
Ответственность за несоблюдение законодательства
- Конфиденциальность - Непрозрачность	- Осведомленность о местном законодательстве. - Использование совместимого программного средства для шифрования. - Механизмы непрозрачности (IPSec VPN).

_______________

*(1) Хост - Любое устройство, подключенное к сети и использующее протоколы TCP/IP

*(2) GUI (Graphical User Interface) - Графический интерфейс пользователя.

*(3) ОА&М (operations, administration and management) - Пакет прикладных программ по эксплуатации, администрированию и управлению сети.

*(4) IPTV (Internet Protocol Television) - Передача цифрового телевизионного сигнала по протоколу IP.

*(5) TLS (Transport Layer Security) - Протокол безопасности транспортного уровня.

*(6) SSO (Single Sign On) - Технология единого входа [в систему].

*(7) CHAP (Challenge Handshake Authentication Protocol) - Протокол взаимной аутентификации.

*(8) IPS (Intrusion Prevention System) - Система предотвращения вторжения

*(9) SLA (Service Level Agreement) - Соглашение об уровне услуг.

*(10) L2TP (Layer 2 Tunneling Protocol) - Протокол туннелирования второго уровня.

*(11) 3DES (Triple Data Encryption Standard) - Протокол тройного шифрования.

*(12) AES (Advanced Encryption Standard) - Улучшенный протокол шифрования.

*(13) HMAC (Hash-based Message Authentication Code) - Механизм, использующий криптографические хеш-функции в сочетании с секретным ключом.

*(14) SHA (Secure Hash Algorithm) - Алгоритм аутентификации и проверки целостности информации.

*(15) NAT (Network Address Translation) - Протокол преобразования сетевых адресов.

*(16) Платформа - общий термин, обозначающий программную, аппаратную и (или) сетевую среду, в (на) которой выполняется или строится, например, прикладная система (приложение).

*(17) SQL (Structured Query Language) - язык структурированных запросов.

*(18) Скрипт - небольшая программа или макрос, исполняемые приложением или операционной системой при конкретных обстоятельствах, например, при регистрации пользователя в системе. Скрипты часто хранятся в виде текстовых файлов, которые интерпретируются во время исполнения.

*(19) SOAP (Simple Object Access Protocol) - Простой протокол доступа к объектам.

*(20) URL (Uniform Resource Locator) - Унифицированный указатель ресурса (Интернет).

*(21) Куки - небольшой фрагмент данных о предыстории обращений данного пользователя к веб-серверу, автоматически создаваемый сервером на машине пользователя.

*(22) Маршрутизатор SOHO (Small Office/Home Office) - Маршрутизатор, применяемый в офисе малого предприятия или для работы на дому.