ГОСТ Р ИСО/МЭК 27033-1—2011
могут не оправдать расходы и уровень специалистов, обеспечивающих поддержку таких устройств, вместо специ
альных межсетевых экранов может использоваться персональный межсетевой экран, контролирующий поток ин
формации в удаленный компьютер (и иногда из него). Администрирование правил (политик) межсетевого экрана
может удаленно осуществляться персоналом на центральной площадке, освобождая удаленного пользователя
системы от необходимости изучения технической стороны процесса, но если это невозможно, следует позаботить ся
об обеспечении эффективной конфигурации, особенно если персонал на удаленной площадке не имеет специ
альных знаний в сфере ИТ. Некоторые персональные межсетевые экраны также могут ограничивать способность
передавать санкционированные программы (даже библиотеки) по сети, ограничивая возможность распростране ния
вредоносного программного средства.
А.7 Виртуальные частные сети
А.7.1 Вводная информация
Виртуальные частные сети представляют собой частные сети, которые реализуются при помощи инфра
структуры существующих сетей. С точки зрения пользователя, виртуальные частные сети функционируют как час
тные сети и предлагают аналогичные выполняемые функции и услуги. Конкретная виртуальная частная сеть может
использоваться в различных ситуациях, таких, например, как:
- реализация удаленного доступа к организации для сотрудников, которым приходится много перемешаться
или находящимися за пределами организации.
- осуществление связи между различными площадками организации, включая избыточные связи для реали
зации инфраструктуры восстановления.
- установление подсоединений ксети организации других организаций/партнеров по основной деятельности.
Другими словами, виртуальные частные сети позволяют двум компьютерам или сетям обмениваться инфор
мацией в такой передающей среде как Интернет. Такой обмен ранее осуществлялся с большими затратами путем
использования арендуемых линий с шифраторами в канале связи. Однако с появлением высокоскоростных кана
лов связи Интернет и подходящего оконечного оборудования на каждом конце сети появилась возможность уста
новления надежных связей между узлами сети с помощью виртуальных частных сетей.
А.7.2 Риски безопасности
Ключевым риском безопасности, присущим передаче данных в незащищенной сети, является риск, связан
ный с конфиденциальной информацией, потенциально доступной для несанкционированных сторон, что может
приводить к ее несанкционированному раскрытию и (или) изменению В дополнение к рискам безопасности, обыч
но связанным с локальными и глобальными сетями (см. А.1 и А.2 соответственно), типичные риски безопасности,
имеющие отношение к виртуальным частным сетям, включают в себя риски, связанные с.
- небезопасной реализацией в результате:
не прошедшего тестирование или дефектного набора шифров,
слабого совместно используемого пароля, который может быть легко разгадан,
неуверенности в безопасности удаленного клиента,
неуверенности в аутентификации пользователей;
- неуверенностью в безопасности основного провайдера услуг.
- плохим функционированием или доступностью сервиса:
- несоответствием нормативным и законодательным требованиям, предъявляемым к применению шифро
вания в некоторых странах.
А.7.3 Меры и средства контроля и управления безопасностью
Для реализации функциональных возможностей безопасности и услуг в виртуальных частных сетях обычно
используются криптографические технологии и (или) протоколы приложений, особенно если сеть, на которой по
строена виртуальная частная сеть, является общедоступной сетью (например, Интернет). В большинстве случаев
реализации для обеспечения конфиденциальности каналы связи между участниками шифруют, а для подтвержде ния
идентичности систем, подключенных к виртуальной частной сети, используют протоколы аутентификации. Обычно
зашифрованная информация проходит по безопасному «туннелю», который соединяется со шлюзом орга низации. с
сохранением конфиденциальности и целостности этой информации. Затем шлюз идентифицирует уда ленного
пользователя и делает возможным его доступ только к той информации, которую он уполномочен получить.
Таким образом, виртуальная частная сеть представляет собой механизм, основанный на туннелировании
протокола — обработке одного полного протокола (клиентского протокола) как простого потока битов, и на заклю
чении его в другой протокол (протокол несущей частоты). Обычно протокол несущей частоты виртуальной частной
сети обеспечивает безопасность (конфиденциальность и целостность) клиентского лротокола(ов). При рассмотре нии
использования виртуальной частной сети следует учитывать следующие аспекты архитектуры:
- безопасность конечной точки;
- безопасность завершения;
- защита от вредоносного программного средства;
- строгая аутентификация;
- обнаружение вторжений;
44