ГОСТ Р ИСО/МЭК 27033-1—2011
охватывающий больше подробностей, включая виды проводимого тестирования, кем и каким образом
они должны проводиться);
- формальное одобрение специализированной архитектуры сетевой безопасности.
Общие принципы проектирования [применяемые в большинстве (если не во всех) случаев] приве
дены в ИСО/МЭК 27033-2. Кроме того, следует упомянуть о приложениях ИСО/МЭК 27033-2 — пример
ной модели/системе11 («типовой» архитектуре) сетевой безопасности, разборе конкретного случая
модели/системы и типовых образцов документации.
Следует подчеркнуть, что должно быть проведено полное документирование и согласование спе
циализированной архитектуры/лроекта безопасности для любого проекта перед окончательным офор
млением списка мер и средств контроля и управления безопасностью для реализации.
10 Типовые сетевые сценарии — риски, методы проектирования
и вопросы, касающиеся мер и средств контроля и управления
10.1 Введение
Описание рисков, методов проектирования и вопросов, касающиеся мер и средств контроля и
управления, связанных с типовыми сетевыми сценариями, приведены в ИСО/МЭК 27033-3. Некоторые
примеры этих сценариев приведены в 10.2—10.10. В ИСО/МЭК 27033-3 предоставлены подробные ре
комендации по рискам безопасности, методам проектирования безопасности и мерам и средствам кон
троля и управления, необходимым для уменьшения последствий этих рисков во всех конкретных
сценариях. Там. где это необходимо, в ИСО/МЭК 27033-3 даны ссылки на ИСО/МЭК 27033-4 —
ИСО/МЭК 27033-7, чтобы избежать дублирования содержания этих стандартов.
10.2 Услуги доступа сотрудников в Интернет
Практически все организации сегодня предоставляют услуги доступа своих сотрудников в Интер
нет и, предоставляя такие услуги, должны рассматривать вопрос доступа для четко идентифицирован
ных и санкционированных целей, а не в общий открытый доступ. В конкретной политике должно быть
определено, какие услуги предоставляются идля каких целей. Доступ в Интернет обычно разрешается в
интересахорганизации, ав зависимости от политики организации может также разрешаться (обычно в
ограниченной форме) для частных целей. Необходимо учитывать, какие услуги разрешено использо
вать — разрешены ли базовые услуги, например, услуги www (http & https), разрешен ли только поиск
информации и (или) сотрудников, разрешено ли участвовать в чате, форумах и т.д.. разрешены ли рас
ширенные услуги совместной работы. — если да. то они вносят собственную совокупность рисков,
которые рассматриваются в рамках конкретного сценария.
Базовым принципом должен быть принцип, разрешающий только те услуги, которые служат по
требностям организации, но часто операции основной деятельности организации требуют использова
ния услуг, в большей степени связанных с рисками безопасности. Даже при наличии ограничительной
политики услуги доступа в Интернет для сотрудников вносят существенные риски безопасности.
10.3 Расширенные услуги совместной работы
Расширенные услуги совместной работы (такие, например, как мгновенный обмен сообщения
ми — чат, видеоконференции и срёды коллективного использования документов), объединяющие
различные возможности связи и коллективного использования документов, становятся все более зна
чимыми в современной среде основной деятельности организации. Услуги совместной работы обыч
но объединяют видеотелефонию, телефонную связь с чат-каналами, системы электронной почты, а
также среды коллективного использования документов и вспомогательные службы, работающие в ре
жиме on-line. Существуют следующие основные способы использования таких услуг организацией:
- исключительно как внутренние услуги, но недостаток этого способа состоит в том. что услуги не
могут быть использованы совместно с внешними партнерами и т. д.;
- как внутренние услуги и услуги, являющиеся внешними для организации. Использование таких
услуг предлагает гораздо больше преимуществ, но в то же время с ним связано больше рисков безопас
ности по сравнению с исключительно внутренним использованием.
В контексте ИСО/МЭК 27033 использована для представления или описания модели/системы показанной
структуры и высокоуровневой разработки вида архитектуры/проекта безопасности, реализуемой техническим спо
собом.
32