ГОСТ Р ИСО/МЭК ТО 13335-5—2006
следует разработать руководства, в которых в общих чертах намечены процедуры и практические
действия, направленные на уменьшение возможности ввода злонамеренного кода.
Пользователям и администраторам следует обращать особое внимание на конфигурацию кон
кретныхсистемыиприложения, связанныхссетевыми соединениямидля отключенияфункций, которые
не нужны в конкретных обстоятельствах (например, приложения ПКследует конфигурировать так. что
бы макросы блокировались по умолчанию или требовалось подтверждение пользователя до их
выполнения).
Подробно о злонамеренном коде см. ИСО/МЭК 13335-4.
13.7 Управление безопасностью сети
Управлениелюбойсетью следуетосуществлятьс учетомобеспечения иподдержанияее безопас
ности. что может быть выполнено при должном рассмотрении имеющихся в наличии и относящихся к
службам обеспечения безопасности сетевых протоколов.
В организации следует предусмотреть ряд защитных мер, рассмотренных в ИСО/МЭК 13335-4.
Кроме того, все порты дистанционной диагностики, виртуальные или физические, следует защитить от
несанкционированногодоступа.
13.8 Межсетевые переходы безопасности
Правильное расположение межсетевых переходов безопасности позволитзащищатьвнутренние
системы организации, безопасно управлять и контролировать текущий трафик в соответствии с под
твержденнойдокументами политикой безопасного межсетевогодоступа куслугам.
Межсетевые переходы безопасности предназначены для:
- разделениялогических сетей;
- обеспечения ограничения и анализа функций по информации, проходящей между логическими
сетями;
- обслуживания организации в качестве средства управления доступом в сеть этой организации и
выходом из нее;
- проведения в жизнь политики организации в области обеспечения безопасности, касающейся
сетевых соединений;
- предоставленияодного местадля регистрации с целью входа в систему.
Для каждого межсетевого перехода безопасности следует разработать отдельный документ,
определяющий политику (безопасности) доступа к услугам, иреализовать его для каждого соединения
для того, чтобы гарантироватьпрохождениечерезэто соединениетолькоразрешенноготрафика. Долж
набытьсозданавозможностьопределениядопустимыхсоединенийотдельно в соответствиис протоко
лом связи и другими деталями. Для обеспечения доступа через соединение только законных пользова
телей и действительного трафика в политике доступа к услугам следует сформулировать и подробно
описать ограничения и правила применительно к трафику, проходящему в обе стороны через каждый
межсетевой переходобеспечения безопасности, а также определитьпараметры управления трафиком
иего конфигурацию.
Всем межсетевым переходам безопасности следует предоставить возможность для полного
использования идентификациии аутентификации, логического контролядоступа исредств аудита. Кро
ме того, их следует периодически проверять на несанкционированное вторжение в программное обес
печение и/или данные, а при обнаружении таковых составлять отчеты в соответствии со схемой
действий организации при обработке инцидентов.
Следуетобращатьвнимание нато, чтоприсоединениексетидолжноосуществлятьсятолько после
проверки соответствия выбранного межсетевого перехода требованиям организации. Все риски в
результате такого соединения должны быть под надежным контролем. Следует гарантировать невоз
можность присоединения, минуя межсетевой переходбезопасности.
13.9 Конфиденциальность обмена данными по сетям
Если важно сохранить конфиденциальность, следует рассмотреть криптографические способы
защитыдля шифрования информации, проходящей черезсетевыесоединения. Решениео применении
криптографических мер защиты следует принимать сучетом:
- законодательства (особенноесли сетевоесоединениезатрагивает несколькообластейилиорга
нов власти);
- требованийуправления ключами и трудностями, которые приходится преодолеватьдля обеспе
чения заметного улучшения безопасности без создания новыхзначимых предпосылокуязвимости;
- адекватности используемых механизмов шифрования для задействованного типа сетевого сое
динения истепени необходимой безопасности.
16