ГОСТ Р ИСО/МЭК 27033-3—2014
9.3 Методы проектирования безопасности и меры и средства контроля и управления
Методы проектирования безопасности и меры и средства контроля и управления, относящиеся
к услугам бизнес-клиент, приведены в таблице 5.
Т а б л и ц а 5 — Меры и средства контроля и управления безопасности для сценария услуг бизнес-клиент
П рим еняемы е свойства безопас
ности для идентиф ицированны хР еализуемы е проекты и методы
утро»
Вирусные атаки и введение вредоносной программы
- Целостность
- Управление доступом
- Аутентификация
- Использование антивирусных программ на шлюзах к Интернету для сканиро
вания всего трафика от сотрудника до Интернета. Процесс сканирования должен
охватывать все сетевые протоколы, разрешенные к применению.
- Сканирование файлов и всех хранимых данных на наличие вирусов и троя
нов. а также других видов вредоносных программ.
- Верификация целостности данных/файлов с использованием алгоритмов, та
ких как хэширование’контрольные суммы, сертификаты.
- Маршрутизация трафика, используемого для услуг доступа к Интернету, по
средством небольшого количества контролируемых шлюзов безопасности.
- Активное установление подлинности содержания
Неавторизованный доступ
- Управление доступом
- Аутентификация
- Конфиденциальность
- Безопасность связи
- Целостность
- Непрозрачность
- Ограниченное количество разрешений для веб-приложений при доступе к
серверной базе данных.
- Сегментация сети и уровни безопасность внутри демилитаризованной зоны
(DMZ) для предотвращения каналов связи, направленных к корпоративным акти
вам данных.
- Безопасная регистрация пользователя для обеспечения уверенности в толь
что полномочия доступа выданы подлинным пользователям - например, с при
влечением к данному процессу независимого органа регистрации.
- Аутентификация с использованием цифровых сертификатов, паролей, био
метрии или шарт-карт.
- Межсетевые экраны и списки управления доступом для предотвращения не
санкционированного доступа пользователей.
- Управление доступом, основанное на ролях, для ограничения функций поль
зователя. разрешенных к выполнению.
- Анализ регистрационных журналов веб-приложений для идентификации атак
и их сдерживания.
- Надлежащие уровни шифрования хранимой информации.
- Обеспечение уверенности в безопасном соединении между веб-браузерами и
веб-серверами с использованием таких технологий, как SSLv3/TLS.
- Защита основной связи с веб-сервисами с помощью, например сообщений
SOAP".
- Верификация целостности данных/файлов с использованием алгоритмов, та
ких как хэширование/контрольные суммы, сертификаты.
- На уровне веб-приложений целостность данных URL"’, куки-файлов1 или
элементов скрытых форм обеспечивается:
- шифрованием всех данных (даже если используется SSLv3):
- использованием изменяемых временных меток;
- использованием цифровой подписи или ключевого хэша для чувствительных
данных.
- Использование «инвертированного» прокси-сервера между веб-сервером и
внешней сетью
" SOAP (Simple Object Access Protocol) - Простой протокол доступа к объектам.
’ ’ URL (Uniform Resource Locator) - Унифицированный указатель ресурса (Интернет).
51Куки - небольшой фрагмент данных о предыстории обращений данного пользователя к веб-серверу, ав
томатически создаваемый сервером на машине пользователя.
13