ДСТУ ISO/IEC 27033-4:2016 Інформаційні технології. Методи захисту. Безпека мережі. Частина 4. Убезпечення комунікацій між мережами з використанням шлюзів безпеки (ISO/IEC 27033-4:2014, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ДСТУ ISO/IEC 27033-4:2016
(ISO/IEC 27033-4:2014, IDT)

Інформаційні технології
МЕТОДИ ЗАХИСТУ. БЕЗПЕКА МЕРЕЖІ
Частина 4. Убезпечення комунікацій
між мережами з використанням шлюзів безпеки

 
   
 
Не є офіційним виданням.
Офіційне видання розповсюджує національний орган стандартизації
(ДП «УкрНДНЦ» http://uas.gov.ua)

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20), Міжнародний науково-навчальний центр інформаційних технологій та систем

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (ДП «УкрНДНЦ») від 27 грудня 2016 р. № 447 з 2018-01-01

3 Національний стандарт відповідає ISO/IEC 27033-4:2014 Information technology - Security techniques - Network security - Part 4: Securing communications between networks using security gateways (Інформаційні технології. Методи захисту. Безпека мережі. Частина 4. Убезпечення комунікацій між мережами з використанням шлюзів безпеки)

Ступінь відповідності - ідентичний (IDT)

Переклад з англійської (en)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України

5 НА ЗАМІНУ ДСТУ ISO/IEC 27033-4:2015

Право власності на цей національний стандарт належить державі.
Заборонено повністю чи частково видавати, відтворювати задля розповсюдження
і розповсюджувати як офіційне видання цей національний стандарт або його частини
на будь-яких носіях інформації без дозволу ДП «УкрНДНЦ» чи уповноваженої ним особи

ДП «УкрНДНЦ», 2024

ЗМІСТ

Національний вступ

Вступ до ISO/IEC 27033-4:2014

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Познаки та скорочення

5 Структура

6 Огляд

7 Загрози безпеці

8 Вимоги щодо безпеки

9 Керування безпекою

9.1 Огляд

9.2 Фільтрація пакетів без урахування стану

9.3 Перевіряння з урахуванням стану пакетів

9.4 Брандмауер додатків

9.5 Фільтрація контенту

9.6 Система запобігання вторгненням і система виявлення вторгнень

9.7 Керування безпекою API

10 Методи розроблення

10.1 Компоненти шлюзу безпеки

10.2 Розгортання елементів керування шлюзу безпеки

11 Настанова щодо вибирання продукту

11.1 Огляд

11.2 Вибирання архітектури шлюзу безпеки та відповідних компонентів

11.3 Апаратні та програмні платформи

11.4 Конфігурація

11.5 Функції безпеки та налаштування

11.6 Можливості адміністрування

11.7 Можливість ведення журналу обліку

11.8 Можливість аудиту

11.9 Навчання

11.10 Типи впровадження

11.11 Висока доступність і режим роботи

11.12 Інші міркування

Бібліографія

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 27033-4:2016 (ISO/IEC 27033-4:2014, IDT) «Інформаційні технології. Методи захисту. Безпека мережі. Частина 4. Убезпечення комунікацій між мережами з використанням шлюзів безпеки», прийнятий методом перекладу, - ідентичний щодо ISO/IEC 27033-4:2014 (версія en) «Information technology - Security techniques - Network security - Part 4: Securing communications between networks using security gateways».

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, - ТК 20 «Інформаційні технології».

Цей стандарт прийнято на заміну ДСТУ ISO/IEC 27033-4:2015, прийнятого методом підтвердження.

У цьому національному стандарті зазначено вимоги, які не суперечать законодавству України.

До стандарту внесено такі редакційні зміни:

- слова «цей міжнародний стандарт», «ця частина ISO/IEC 27033», «цей документ» замінено на «цей стандарт»;

- структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» - оформлено згідно з вимогами національної стандартизації України;

- у розділах «Нормативні посилання» та «Бібліографія» наведено «Національні пояснення», виділені рамкою;

- зі «Вступу» до ISO/IEC 27033-4:2014 у цей «Національний вступ» внесено все, що безпосередньо стосується цього стандарту;

- вилучено «Передмову» до ISO/IEC 27033-4:2014 як таку, що безпосередньо не стосується технічного змісту цього стандарту.

Стандарт ISO/IEC 27033-3:2010, на який є посилання в цьому стандарті, прийнято в Україні як ДСТУ ISO/IEC 27033-3:2015 «Інформаційні технології. Методи захисту. Безпека мережі. Частина 3. Еталонні мережні сценарії. Загрози, методи проектування та проблеми керування» (ISO/IEC 27033-3:2010, !DT).

Цей стандарт є однією з частин багаточастинного стандарту, об’єднаних загальною назвою «Інформаційні технології. Методи захисту. Безпека мережі», а саме:

Частина 1. Загальні визначення та поняття;

Частина 2. Настанови щодо проектування та реалізації безпеки мережі;

Частина 3. Еталонні мережеві сценарії. Загрози, методи проектування та проблеми керування;

Частина 4. Убезпечення комунікацій між мережами з використанням шлюзів безпеки;

Частина 5. Убезпечення комунікацій вздовж мереж з використанням віртуальних приватних мереж (VPNs).

Копії нормативних документів, на які є посилання в цьому стандарті, можна отримати в Національному фонді нормативних документів.

ВСТУП до ISO/IEC 27033-4:2014

Більшість комерційних та урядових організацій мають свої інформаційні системи, з’єднані мережами. З’єднання можливе в таких межах:

- в межах організації;

- між різними організаціями;

- між організацією та широкою громадськістю.

Крім того, в разі швидких змін загальнодоступна мережева технологія (зокрема, Інтернет) пропонує значні можливості для бізнесу. Організації все частіше проводять електронну діяльність у глобальному масштабі й надають онлайнові відкриті послуги. Такі можливості знижують вартість передавання даних та створюють можливості для складніших послуг, які надають інтернет-провайдери (ISP). Це означає, що за допомогою вебдодатків і послуг можна використовувати недорогі локальні точки на кожному кінці ланцюга онлайнової системи торгівлі та сервісу доставки. Крім того, нові технології (зокрема й інтеграції даних голосу та відео) підвищують можливості дистанційної роботи (також відомої як телероботи чи роботи вдома). За дистанційної роботи тримати «руку на пульсі» можна за рахунок використання віддалених зв’язку та доступу до загальної мережі й мереж організації, пов’язаних з інформаційною підтримкою бізнесу та послуг.

Утім, хоча таке середовище надає значні переваги для бізнесу, але з’являються нові загрози безпеки, які потрібно брати до уваги. Для організацій, у яких більша частина діяльності пов’язана з використанням інформаційних та інших мереж, втрата конфіденційності, цілісності й доступності інформації та послуг можуть спричинити значний несприятливий вплив на їхню діяльність. Отже, є велика потреба належно захистити мережі, пов’язані з ними інформаційні системи й дані. Інакше кажучи, впровадження й підтримка адекватної мережевої безпеки має вирішальне значення для успіху будь-якої діяльності організації.

Телекомунікаційні та інформаційні галузі прагнуть знайти ефективні з низькими витратами комплексні рішення щодо забезпечення безпеки, спрямовані на захист мережі від шкідливих атак і непередбачених неправильних дій, і отже, задовольнити вимогу щодо збереження конфіденційності, цілісності й доступності інформації та послуг. Забезпечення безпеки мережі також має важливе значення для точної тарифікації за використання мережі. Можливості забезпечення безпеки в продуктах мають вирішальне значення для всієї мережевої безпеки (охоплюючи додатки та послуги). Однак, оскільки все більше продуктів об’єднують, щоб забезпечити загальне рішення щодо безпеки, функціональна сумісність або її відсутність і визначатиме успіх цього рішення. Забезпечення безпеки не потрібно розглядати лише як послідовність забезпечення кожного продукту чи послуги, але правила безпеки повинно бути розроблено так, щоб сприяти переплетенню можливостей забезпечення безпеки загалом.

Метою цього стандарту є надання настанов про те, як виявляти й аналізувати загрози безпеки мережі, пов’язані з безпекою шлюзів, як визначити вимоги до мережевої безпеки для шлюзів безпеки на основі аналізування загроз, упровадити методики розроблення для досягнення архітектури технічної безпеки мережі, щоб усунути загрози й контролювати аспекти, пов’язані з типовими сценаріями мережі, а також вирішувати питання, пов’язані з упровадженням, експлуатацією, моніторингом та аналізування керування безпекою мережі зі шлюзами безпеки.

Треба наголосити, що цей стандарт стосується всього персоналу, який бере участь у детальному плануванні, проектуванні та впровадженні шлюзів безпеки (наприклад, мережевих архітекторів та дизайнерів, мережевих адміністраторів і співробітників мережевої безпеки).

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ. БЕЗПЕКА МЕРЕЖІ
Частина 4. Убезпечення комунікацій
між мережами з використанням шлюзів безпеки

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES. NETWORK SECURITY
Part 4. Securing communications between
networks using security gateways

Чинний від 2018-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт надає настанови для забезпечення зв’язку між мережами за допомогою шлюзів безпеки (міжмережевий екран, прикладний брандмауер, система запобігання вторгненням тощо) відповідно до задокументованих правил інформаційної безпеки шлюзів безпеки й охоплює такі елементи:

a) виявлення та аналізування загроз мережевої безпеки, пов’язаних зі шлюзами безпеки;

b) визначення вимог мережевої безпеки для шлюзів безпеки на основі аналізування загроз;

c) використання методів розроблення та реалізації для усунення загроз і використання елементів керування, пов’язаних з типовими сценаріями мережі; та

d) вирішення проблем, пов’язаних з упровадженням, експлуатацією, моніторингом та огляданням елементів керування шлюзами безпеки.

2 НОРМАТИВНІ ПОСИЛАННЯ

Наведений нижче документ необхідний для застосування цього стандарту. У разі датованих посилань застосовують лише зазначені видання. У разі недатованих посилань застосовують останнє видання документа, на який є посилання (разом з усіма змінами).

ISO/IEC 27033-1 Information technology - Security techniques - Network security - Part 1: Overview and concepts.