ГОСТ Р ИСО ТО 13569— 2007
выделенных для организации. Обычно эти выделенные соединения с глобальной сетью считаются внутренними
для организации и на них отсутствуют граничные средства управления, используемые для соединения с другими
фирмами или внешними глобальными сетями, например, с Интернетом. Как часть регулярных оценок риска
организации должны быть рассмотрены возможность контролирования специализированных соединений с гло
бальной сетью и шифрования особо ценной информации. Кроме того, должен тщательно контролироваться
доступ, предоставляемый пользователям вне сети организации.
D.3.1.2 Проводные глобальные сети
Большинство глобальных сетей являются проводными, использующими оптоволоконные или медные ка
бели. соединяющие коммутаторы и маршрутизаторы. Как отмечалось выше, шифрование редко используется в
проводных глобальных сетях, за исключением критически важных сетевых связей. Чаще кабели проводной гло
бальной сети защищены физически, будучи размещены внутри стен, шкафов и подвалов, куда имеют доступ не
многие люди. Эти формы физической защиты и периодическая проверка соединений являются единственными
мерами безопасности, связанными с большинством проводных глобальных сетей. В случае, если компания при
обретает специализированные пинии, может проводиться их определенное тестирование, но альтернатив осно
ванному на договоре доверию к провайдеру телекоммуникационных услуг существует немного. Иногда проводное
соединение с глобальной сетью, фактически включающее в себя линии СВЧ-связи, лазерные линии или радиоча
стотные линии (включая спутник), которые вводят дополнительные возможности для мониторинга информации,
проходящей через глобальную сеть, даже предпочтительно.
D.3.1.3 Беспроводные глобальные сети
По мере разрастания сетей сотовой связи появляются новые системы передачи данных. Хотя большинство
из них все еще являются сравнительно медленнодействующими (около 20 кбит/с), существует перспектива мега
битных передач посредством сетевых протоколов на базе сотовой телефонии. Поскольку эти системы используют
мобильный характер сотовой сети и поддерживают связь при высокой пропускной способности, их часто назы
вают системами беспроводной глобальной сети. Эти системы также обладают ограниченными возможностями
по обеспечению шифрования и аналогичными возможностями обеспечения безопасности. Однако увеличиваю
щаяся конфиденциальность многих клиентов-организаций по отношению к вопросам безопасности глобальной
сети, особенно для сотовых телефонов, привела к большей «встроенной» безопасности, включая шифрование
данных, по крайней мере, в отношении телефонов — см. 9.3.2.2.
D.3.2 Локальные сети
D.3.2.1 Обзор
Локальные сети распространены на территории комплекса зданий, этаже здания или даже в главном
офисе. Локальные сети частот используют те же протоколы и системы маршрутизации, что и их более крупные
«родственники» — глобальные сети, но обычно обеспечивают защиту, используя определенный вид шлюзов
между локальной и глобальной сетями. Шлюз может быть простым агрегатом пропускной способности и маршру
тизации трафика или гложет включать в себя межсетевые экраны, системы поиска вирусов, обнаружения вторже ния
и другие граничные меры управления безопасностью (см. 11.5). Во всех случаях понимание важности сетевых
соединений и контроля за шлюзами является решающим аспектом обеспечения безопасности локальной сети.
Другие особенности локальной сети обсуждаются ниже.
D.3.2.2 Системы проводных локальных сетей
Проводные локальные сети обычно защищены физически путем осуществления менеджмента маршрути
заторов. коммутаторов и кабельных соединений. В некоторых случаях распределение IP-адресов и другие функ ции
менеджмента могут ограничивать возможность подключения новых устройств к локальной сети, хотя пользо ватели
локальной сети могут посчитать столь строгий менеджмент сети очень сложным и бесполезным.
D.3.2 3 Системы беспроводных локальных сетей
D.3.2.3.1 Общая информация
Беспроводные локальные сети, особенно Wi-Fi системы или системы 802.11х. обычно обеспечивают ра
диочастотный сигнал для ближней связи (-100 м), который может использоваться для сетевых соединений и
распределения данных. С беспроводными локальными сетями связаны многочисленные проблемы безопасно сти,
наиболее очевидным из которых является умышленное транслирование потенциально конфиденциальной
информации компании. Также возможны более изощренные атаки, берущие под контроль соединение, переад
ресующие трафик и связи в сети. После нескольких лет относительно безопасных решений (протокола шифрова ния
в беспроводной связи) стали доступны открытые и совместимые стандарты для 802.11х систем. Сделанный по
образцу частного стандарта безопасности Cisco под названием «Упрощенная расширяемая агентная плат форма.
открытый стандарт». Защищенный расширенный протокол аутентификации (РЕАР) стал доступен в раз личных
беспроводных системах. При создании любой беспроводной локальной сети в организации необходимо тщательно
рассмотреть использование РЕАР или сходных механизмов обеспечения безопасности.
При создании беспроводной среды существуют две основные альтернативы архитектуры. Первая состоит в
использовании РЕАР и обеспечении беспроводного доступа к сети только санкционированным системам и пользо
вателям сети и создании локальной сети внутри сети организации, рассматривая всех пользователей беспровод
ных сетей как доверенных членов компании. Другая альтернатива — подсоединение беспроводной локальной
сети, являющейся внешней для сети компании, и использование виртуальной частной сети, веб-сайтов SSL или
аналогичных слоев безопасности для зашиты доступа к ресурсам компании. Более подробное объяснение см.
D.3.2.3.2—D.3.2.3.4.
57