Безопасность связи обеспечивают следующие мероприятия:

– управление сетевой безопасностью;

– передача информации.

9.1. Управление сетевой безопасностью

Цель: Обеспечить защиту информации в сетях и поддерживающих средствах обработки информации.

Управление сетевой безопасностью определяют следующие составляющие:

– сетевые меры защиты;

– безопасность сетевых сервисов;

– разделение в сетях.

Сетевые меры защиты

Меры и средства

Сети должны управляться и контролироваться для защиты информации в системах и приложениях.

Рекомендации по реализации

Следует внедрить меры защиты для обеспечения безопасности информации в сетях и защиты подключенных сервисов от несанкционированного доступа. В частности, необходимо рассмотреть следующие вопросы:

– следует установить обязанности и процедуры управления сетевым оборудованием;

– следует разделить, при необходимости, ответственность за сетевые операции и компьютерные операции;

– специальные меры защиты следует внедрить для обеспечения конфиденциальности и целостности данных, передаваемых по общедоступным сетям или беспроводным сетям, а также для поддержки подключенных систем и приложений, доступности сетевых сервисов и подключенных компьютеров;

– соответствующее протоколирование и мониторинг должны применяться для записи и определения действий, связанных или имеющих значение для ИБ;

– управляющие действия должны тщательно координироваться для оптимизации сервиса и согласованного внедрения мер защиты в инфраструктуру обработки информации;

– системы должны проходить в сети аутентификацию;

– подключения системы к сети должны ограничиваться.

Безопасность сетевых сервисов

Меры и средства

Механизмы безопасности, уровни сервиса и управленческие требования должны быть определены и включены в соответствующие соглашения.

Рекомендации по реализации

Следует определить и регулярно мониторить способность провайдера сетевого сервиса безопасно управлять согласованными сервисами, а также согласовать право на аудит.

Следует определить меры безопасности, необходимые для особых сервисов, таких как особенности безопасности, уровни сервиса и управленческие требования. Организация должна удостовериться, что провайдеры сетевого сервиса выполнили эти меры.

Сетевые сервисы включают обеспечение подключений, личные сетевые сервисы и сети платных услуг (англ. value added network, VON) и управленческие решения по сетевой безопасности, такие как сетевые экраны и системы обнаружения вторжения. Диапазон таких сервисов простирается от простого неуправляемого траффика до комплексных платных услуг.

Особенностями безопасности сетевых сервисов могут быть:

– технология безопасности сетевых сервисов, такая как аутентификация, шифрование, контроль сетевого подключения;

– технические параметры безопасного подключения к сетевым сервисам в соответствии с правилами безопасности и сетевого подключения;

– при необходимости, процедуры использования сетевого сервиса, ограничивающие доступ к сетевым сервисам и приложениям.

Разделение в сетях

Меры и средства

Группы информационных услуг, пользователей и ИС должны быть разделены в сетях.

Рекомендации по реализации

Одним из методов управления безопасностью больших сетей является их разделение на разные сетевые домены. Домены выбираются на базе доверенных уровней (например, домен публичного доступа, домен рабочего стола, домен сервера), среди объектов организации (например, кадры, финансы, маркетинг) и каких-то комбинаций (например, домен сервера, подключающийся к многим объектам организации). Для разделения также можно использовать разные физические сети и разные логические сети (например, виртуальные частные сети – англ. Virtual Private Network, VPN).

Периметр каждого домена следует хорошо определить. Доступ между сетевыми доменами допускается при условии наличия контроля периметра в виде «шлюза» (например, сетевой экран, фильтрующий маршрутизатор). Критерий разделение сетей внутри доменов и доступа через «шлюзы» должен базироваться на оценке требований безопасности каждого домена. Оценка должна проводиться в соответствии с правилами разграничения доступа, требованиями доступа, ценностью и классификацией информации и учитывать относительную стоимость и влияние на производительность применяемой технологии «шлюза».