ГОСТ Р ИСО/МЭК 27033-1—2011
электронной почты, попавшие в «черный* список. Кроме того, для борьбы с самыми последними комплексными
угрозами, когда вредоносная программа содержит «начинку», необходимо рассмотреть вопрос блокирования опре
деленных вложений, содержащих исполняемую программу;
- использование технологий антиспама и обучение пользователей защите адресов электронной почты при
доступе к сайтам.
- реализацию антиретранслятора на серверах электронной почты и обратных просмотров DNS. Один из воз
можных способов эксплуатации почтового сервера из Интернета состоит а том. чтобы послать на него сообщение,
предназначенное на самом деле сторонней организации. Тогда, если почтовый сервер принимает сообщение, оно
будет направлено сторонней организации, по-видимому, от организации/сообщества. а не от истинного отправите ля
Эти механизмы могут быть использованы лользователями-спзмерами или в целях разрушения сети сторонней
организации атакой отказа в обслуживании. Меры и средства контроля и управления антиретранслятора определя
ют. предназначается ли входящее электронное письмо организации/сообществу. Если это не так. электронное
письмо протоколируется (или изолируется), и почтовый сервер не предпринимает дальнейших действий;
- использование предупреждений об опасности и «ловушек* протокола SNMPv3. Протокол SNMP может ис
пользоваться для дистанционного управления сетевым устройством и для отправки устройством сообщений (или
«ловушек») с целью уведомления станции мониторинга о состоянии этого устройства. Протокол относительно не
безопасен. и существует тенденция не использовать его для цепей управления устройством. Тем не менее,
SNMP-жловушки» широко используются и передаются по сети для уведомления центральной станции о статистике
или состояниях ошибки;
- реализацию управления аудитом. Все журналы регистрации, относящиеся к электронной почте, должны
быть собраны на сервере аудита идолжны ежедневно проверяться для обнаружения необычной деятельности, что
включает в себя журналы регистрации межсетевого экрана и почтового модуля доступа SMTP. Журналы регистра
ции следует изучать, используя качественные инструментальные средства анализа и корреляции событий;
- установление внеполосного управления межсетевым экраном. Установление внеполосного управления
межсетевым экраном связано с практикой использования разных сетей для передачи данных и управления, чтобы
сделать невозможным подключение злоумышленника к целевому устройству (в данном случае межсетевому экра
ну). Существует несколько механизмов реализации внеполосного управления:
управление только путем физического доступа,
отдельная сеть управления,
использование виртуальных локальных сетей для создания отдельных каналов в сети данных, позволяю
щих разделить поток данных и трафик управления.
В иных случаях управление должно осуществляться только путем физического доступа.
А.12 Маршрутизированный доступ к сторонним организациям
А.12.1 Вводная информация
Число соединений со сторонними организациями увеличивается по мере стремления организаций к совмест
ной работе, требующей прямой связи и шлюзов между организациями. Пример технического решения по обеспече
нию безопасности для маршрутизированного доступа к сторонним организациям представлен на рисунке А.2.
Маршрутизированный доступ кдругим организациям может осуществляться с помощью технологий глобаль
ных или широкополосных сетей и требоваться по многим причинам, например, может потребоваться доступ к при
ложениям баз данных в любом направлении — в этом случае может быть введен несанкционированный код
с любой стороны, или пользователями любой сети может быть предпринята попытка несанкционированного
доступа к другой сети. Подлежащая сбору информация должна, например, включать в себя;
- сведения о том. какие приложения подлежат поддержке через маршрутизированную связь;
-подробности о взаимодействующих серверах и их местоположении;
- подробности о ПК пользователей и их местоположении;
- подробности о маршрутизаторе сторонней организации, при наличии (включая IP-адрес, метод аутентифи
кации. например, цифровые сертификаты, совместно используемые пароли. RADIUS. TACACS+);
- вид и скорость линии связи, например, виртуальная частная сеть в широкополосной сети, ретрансляция
кадров, частная проводная связь, коммутируемое соединение по телефонной линии и цифровая сеть связи с ком
плексными услугами.
Целесообразно также разработать для доступа каждой сторонней организации документацию конфигурации
(при ее отсутствии), включающую в себя обзор требований, сетевой график, информацию о конфигурации и под
робности об IP-адресации и аутентификации.
(При рассмотрении маршрутизированного доступа к сторонним организациям целесообразно обратиться к
ИСО/МЭК ТО 14516:1999).
А.12.2 Риски безопасности
Основные риски безопасности, имеющие отношение к маршрутизированномудоступу к сторонним организа
циям. в основном связаны с тем фактом, что любая сторонняя организация представляет собой отдельную сферу
безопасности с собственными политиками и может не отличаться такой же безопасностью, как собственная органи-
52