ГОСТ Р ИСО/МЭК 27033-1—2011
А.6 Шлюзы безопасности
А.6.1 Вводная информация
Соответствующий механизм шлюза безопасности должен обеспечивать защиту внутренних систем организа
ции иосуществлять безопасные управление и контроль проходящего через него трафика в соответствии сдокумен
тально оформленной политикой доступа к сервису шлюза безопасности (см. А.6.3).
А.6.2 Риски безопасности
С каждым днем хакеры предпринимают все более изощренные попытки взлома сетей, используемыхдля це
лей деятельности организаций, и в центре их внимания находятся шлюзы. Попытки несанкционированного доступа
могут быть злонамеренными, ведущими, например, к DoS атаке; атаки могут быть направлены на злоупотребление
ресурсами или получение ценной информации. Шлюзы должны защищать организацию от таких вторжений извне,
например, из Интернета или сетей сторонней организации. Неконтролируемое, исходящее из организации инфор
мационное наполнение, приводит к правовым проблемам и потенциальной потере интеллектуальной собственнос
ти. К тому же. по мере того как все больше организаций устанавливают связь с Интернетом для удовлетворения
своих организационных потребностей, они сталкиваются с необходимостью контроля доступа к несоответствую
щим или нежелательным веб-сайтам. Без такого контроля организации рискуют стать непродуктивными, подвер
гнуться неприятностям и неправильно распределить пропускную способность из-за непродуктивного «блуждания»
по веб-сайтам. Таким образом, требующие рассмотрения основные риски безопасности включают в себя риски,
связанные с;
- возможностью недоступности соединения с внешним миром;
- повреждением данных;
- несанкционированным раскрытием, которому могут подвергнуться ценные активы организации.
- размещением данных на веб-сайтах или передачей их иным способом без надлежащих полномочий, приво
дящим к правовым проблемам (например, инсайдерская торговля).
А.6.3 Меры и средства контроля и управления безопасностью
Шлюз безопасности должен.
- разделять логические сети;
- выполнять функции ограничения и анализа информации, проходящей между логическими сетями;
- пользоваться организацией в качестве средства контроля доступа к информации, поступающей в сеть орга
низации и выходящей из нее;
- обеспечивать наличие единственной контролируемой и управляемой точки входа в сеть;
- осуществлять политику безопасности организации относительно сетевых соединений;
- обеспечивать наличие единственной точки регистрации данных.
Для каждого шлюза безопасности должен быть разработан отдельный документ, касающийся политики (бе
зопасности) доступа к услугам, и его требования должны выполняться, чтобы обеспечить прохождение только сан
кционированного трафика. Этот документ должен содержать набор правил, которые должны применяться к шлюзу и
конфигурации шлюза. Должна существовать возможность по отдельности определять разрешенные соединения
согласно протоколу связи и другим деталям. Таким образом, для обеспечения уверенности в том. что только сан
кционированные пользователи и трафик получают разрешение на доступ к соединениям для передачи данных, в
политике, гдедолжны быть определены и подробно зафиксированы ограничения и правила, применяемые к трафи ку.
входящему в шлюз безопасности и исходящему из него, а также параметры управления и конфигурации.
Для всех шлюзов безопасности необходимо полностью использовать доступные средства идентификации и
аутентификации, логического контроля доступа и аудита. Кроме того, они должны регулярно проверяться на нали
чие несанкционированных программных средств и (или) данных, а при их обнаружении должны составляться отче ты
об инцидентах в соответствии со схемой менеджмента инцидентов информационной безопасности организации и
(или) сообщества (см. ИСО/МЭК 18044").
Следует подчеркнуть, что подключение к сетидолжно осуществляться только после проверки соответствия
выбранного шлюза безопасности требованиям организации и (или) сообщества и возможности безопасного ме
неджмента всех рисков от подобного соединения. Должна обеспечиваться невозможность обхода шлюза
безопасности.
Хорошим примером шлюза безопасности является межсетевой экран. Межсетевые экраны обычно должны
обладать соответствующей степенью доверия, соизмеримого с оцененным риском, и стандартным набором правил
для межсетевого экрана, обычно начинающихся с запрещения любого доступа к внутренним и внешним сетям идо
бавляющих определенные требования для обеспечения соответствия только необходимым каналам связи.
Более подробная информация о шлюзах безопасности представлена в ИСО/МЭК 27033-4 (а таюке в
ИСО/МЭК 27002 и ИСО/МЭК 27005).
Следует отметить, что хотя аспекты сетевой безопасности персональных межсетевых экранов (специального
вида межсетевых экранов) в ИСО/МЭК 27033-4 не обсуждаются, они также подлежат рассмотрению. В отличие от
большинства центральных площадок, защищенных специальными межсетевыми экранами, удаленные системы
" В тексте ИСО/МЭК 27033-1:2009 даны ссылки на ИСО/МЭК 27035 — это опечатка.
43