ГОСТ Р ИСО/МЭК 27033-1—2011
- трудностью отслеживания вторжений между устройствами:
- неспособностью восстановления данных;
- неспособностью выполнять требования соглашения об уровне услуг;
- неспособностью поддерживать непрерывность обслуживания;
- несанкционированным использованием веб-услуг, включая нарушение политики организации (например,
использование серверов в личных целях) и несоответствие законам и предписаниям (например, хранение материа
ла. который нарушает авторские права, или детской порнографии).
А.10.3 Меры и средства контроля и управления безопасностью
Технические меры и средства контроля и управления безопасностью менеджмента рисков от идентифициро
ванных угроз для веб-узлов могут включать в себя:
- обеспечение зонирования и углубленной безопасности для ограничения влияния успешной атаки;
- спецификацию различных видов межсетевых экранов для противодействия возможным уязвимостям меж
сетевых экранов (более подробная информация о межсетевых экранах представлена в А.6 и ИСО/МЭК 27033-4);
- устойчивость: проект должен быть проверен на наличие потенциальных компонентов, отказ которых приво
дит к отказу системы; они должны быть устранены;
-преодоление отказа/разделение нагрузки для защиты от сбоя в работе оборудования;
- кластеризацию там. где требованием является высокий уровень доступности в среде «24 * 7» (24 часа семь
дней 8 неделю);
- предоставление посреднических услугдля ограничения доступа к веб-узлу и обеспечения высокой степени
протоколирования;
- регулярные проверки целостности на предмет несанкционированных изменений данных;
- меры и средства контроля и управления, направленные на защиту от вредоносной программы (включая ан
тивирусы). используемые на загрузках для предотвращения импорта вредоносного программного средства;
- коммутацию уровня 2п. обычно используемую в проекте веб-узла. Коммутация уровня З^’ не должна исполь
зоваться. если это не является требованием деятельности организации, таким, например, как требование разделе
ния нагрузки. Кроме того, один и тот же физический коммутатор не должен использоваться обеими сторонами
межсетевого экрана. В проект коммутатора следует включать контрольные точки;
- виртуальные локальные вычислительные сети, разделенные функцией для упрощения настройки системы
обнаружения вторжений, так как существует сокращенный протокол, настроенный на любую виртуальную локаль
ную вычислительные сеть. Кроме того, внедрение резервной виртуальной локальной вычислительные сети позво
ляет выполнять резервное копирование в любое время суток, не подвергая опасности работу сайта;
- насколько это необходимо для операций основной деятельности организации, план IP-адресации для све
дения к минимуму числа общедоступных адресов с планом IP-адресации, хранящимся «под строжайшим секре
том». так как осведомленность о его существовании может использоваться для инициирования атаки на веб-узел;
- места подсоединения каналов управления к общедоступным сетям должны шифроваться (более подробная
информация об удаленном доступе приведена в ИСО/МЭК 27033-4). Это включает, по меньшей мере, наличие
предупреждений об оласности/ловушек SNMP на соединениях портов пульта управления;
- копирование всех журналов регистрации событий и транзакций каждого устройства на контрольный сервер,
а затем на носители резервных копий, такие, например, как компакт-диски;
- реализованную услугу временной синхронизации, поскольку она является основой анализа несанкциониро
ванного доступа и способности отслеживания по системным журналам Для этого требуется синхронизация всех
системных журналов и. следовательно, серверов, с точностью до «-1 с или более (здесь уместен протокол NTP; бо
лее подробную информацию см. в 10.6 ИСО/МЭК 27002);
- конфигурирование устройств ЛВС для контроля неуправляемых изменений МАС-адресов;
- предпочтительность услуги централизованного резервного копирования, так как существует наибольшая
вероятность ее выполнения должным образом:
- необходимость круглосуточного функционирования веб-узлов; функционирование требует высококачес
твенных аппаратных средств, которые могут выдерживать такой режим. Для поддержки функционирования в режи ме
«24 х 7» в веб-узле должна быть определена инфраструктура сервера. Вспомогательные операционные
системы должны быть укреплены, затем все серверы и другие устройства должны быть протестированы на пред
мет безопасности для обеспечения полной защищенности всех устройств;
- внедренное надежное прикладное программное средство, программа которого проверена вотношении структу
ры. являющейся логически корректной и использующей утвержденное программное средство аутентификации.
Также следует отметить, что при проектировании веб-узла часто не полностью рассматриваются вопросы
менеджмента непрерывности деятельности. В отношении веб-узловдеятельности, связанные с менеджментом не
прерывности деятельности, должны проводиться полностью.
Уровень 2 — канальный уровень семиуровневой модели взаимосвязи открытых систем (примечание раз
работчика).
г ‘
Уровень 3 — сетевой уровень семиуровневой модели взаимосвязи открытых систем (примечание разра
ботчика).
48