Стандарт ISO/IEC 27033 – управление безопасностью сетей (1)
Стандарт ISO/IEC 27033 «Information technology. Security techniques. Network security» (Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность) содержит положения, относящиеся к обеспечению безопасности в сетях, или сетевой безопасности.
Необходимость в обеспечении безопасности сетей особенно важна в современном информационном пространстве, т.к. многие организации используют собственные сети и объединяют их с сетями более высокого уровня. Сетевые соединения могут находиться в границах самой организации, между разными организациями и иногда между организацией и сетями общего пользования. Поэтому бизнес организаций сильно зависит от всех видов связи – от классических автоматизированных систем информационного обслуживания до беспроводного и радиодоступа. Их потребности в сетях должны быть удовлетворены, при этом обеспечению безопасности сетей придается все большее значение.
Стандарт ISO/IEC 27033 расширяет разделы 10.6 и 11.4 стандарта ISO/IEC 27002 и руководство по управлению безопасностью ИТ стандарта ISO/IEC 13335 за счет более детальной спецификации основных операций и механизмов реализации мер защиты сетей и средств управления ИБ в различных сетевых средах, а также установления тесной взаимосвязи между внедрением управления безопасностью ИТ и техническими аспектами безопасности сетей.
Стандарт предназначен для всех сотрудников организации, вовлеченных в планирование, проектирование и внедрение сетей.
Стандарт ISO/IEC 27033 постепенно (по мере принятия новых частей) заменяет ранний стандарт ISO/IEC 18028, состоящий из пяти частей, опубликованных в 2005–2006 гг. и рассматривающих следующие вопросы:
· управление сетевой безопасностью;
· архитектура сетевой безопасности;
· защита сетевых взаимодействий при помощи шлюзов безопасности;
· защита удаленного доступа;
· защита сетевых взаимодействий при помощи виртуальных частных сетей.
В настоящее время в составе ISO/IEC 27033 планируется объединить шесть частей, первые три из которых уже опубликованы. Количество частей в будущем возможно возрастет.

Стандарт ISO/IEC 27033 – управление безопасностью сетей (2)
Первая часть ISO/IEC 27033–1:2009 «Information technology. Security techniques. Network security. Part 1: Overview and concepts» (Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1: Общие положения и концепции) [54] уже имеет идентичный ему введенный в действие в России с 2012 г. ГОСТ Р ИСО/МЭК 27033–1–2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции» [55].

---

Первая часть стандарта содержит большой список терминов и сокращений в области сетевой безопасности. В ней определяются и описываются концепции и принципы, связанные с управлением безопасностью сетей и обеспечивающие такое управление (представлены концепции и принципы развиваются более детально в последующих частях стандарта). Приводится обзор вопросов, относящихся к безопасности сетей, дается руководство по идентификации и анализу рисков ИБ в сетях, определяются основные требования по обеспечению безопасности сетей и средствам управления ИБ в сетях. Также даются рекомендации, как достичь хорошего качества архитектуры ОИБ с технической точки зрения. Кратко описан процесс планирования и управления безопасностью сетей и рассмотрены основы сетевого взаимодействия, после чего даны рекомендации по идентификации рисков ИБ для сетей и выделены возможные области управления безопасностью сетей. При этом кроме классических свойств ИБ – конфиденциальности, целостности и доступности, упоминаются неотказуемость и надежность.
В ISO/IEC 27033–1:2009 расширяются положения стандартов ISO/IEC TR 13335 и ISO/IEC 27002, например, за счет детализации специфических операций и механизмов, необходимых для реализации средств управления сетевой безопасностью. При этом указывается взаимосвязь общих вопросов управления ИБ и особенностей технических подходов к защите сетей с использованием межсетевых экранов, систем обнаружения/предотвращения вторжений, средств контроля целостности и т.п.
Стандарт пересматривает и заменяет ISO/IEC 18028-1:2006 «Information technology. Security techniques. IT network security. Part 1: Network security management» (Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1: Управление сетевой безопасностью), содержавший руководство по созданию сетей и организации их взаимодействия с учетом аспектов безопасности и при удаленном доступе к сети. В нем были выделены и проанализированы связанные с сетевыми взаимодействиями факторы, подлежащие учету при определении требований к безопасности сетей, а также указаны необходимые средства управления при подключении к сетям.
В настоящее время ISO/IEC 27033–1 пересматривается и готовится ее следующая редакция.

Стандарт ISO/IEC 27033 – управление безопасностью сетей (3)
Вторая часть ISO/IEC 27033–2:2012 «Information technology. Security techniques. Network security. Part 2: Guidelines for the design and implementation of network security» (Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 2: Руководство по проектированию и внедрению системы сетевой безопасности) определяет, как организация должна разрабатывать архитектуру, проект и реализацию сетевой безопасности с технической точки зрения. Такой подход обеспечит эффективную, соответствующую бизнес-требованиям защиту, опирающуюся на базовые модели и понятную для всех сотрудников организации, вовлеченных в планирование, проектирование, внедрение и документирование архитектурных аспектов безопасности сетей. Стандарт служит основой для выработки детальных рекомендаций в данной области. Он охватывает вопросы рисков, проектирования, методов и средств управления и ссылается на следующие части ISO/IEC 27033, где даны более специализированные рекомендации по отдельным сетевым технологиям.

---

В стандарте определена архитектура сетевой безопасности, являющая основой обеспечения безопасности всей сети. Эта архитектура применима к различным типам сетей, независимо от используемых сетевых технологий.
Данный стандарт пересматривает и заменяет стандарт ISO/IEC 18028-2:2006 «Information technology. Security techniques. IT network security. Part 2: Network security architecture» (Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 2: Архитектура сетевой безопасности).
Третья часть ISO/IEC 27033–3:2010 «Information technology. Security techniques. Network security. Part 3: Reference networking scenarios -- threats, design techniques and control issues» (Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 3: Базовые сетевые сценарии – угрозы, методы проектирования и средства управления) определяет специфические риски, методики проектирования и средства управления сетевой безопасностью, связанные с типичными сценариями использования сетей. Риски рассматриваются в следующих областях предоставления сервисов: доступ в Интернет, взаимодействие различных организаций между собой (англ. Business to Business – бизнес для бизнеса) и с клиентами (англ. Business to Customer – бизнес для клиента), коллективная работа, сегментация сетей, сетевое взаимодействие для работы из дома и с небольшими офисами, мобильная связь, удаленные пользователи, аутсорсинг. В приложениях приводятся политика использования Интернета и каталог угроз ИБ. В стандарте большей акцент делается на угрозы, а не на все элементы риска.
Стандарт ссылается на следующие части ISO/IEC 27033, где можно найти более специализированные рекомендации по отдельным сетевым технологиям.

---

Стандарт ISO/IEC 27033 – управление безопасностью сетей (4)
В 2013 г. появилась пятая часть стандарта – ISO/IEC 27033–5:2013 ISO/IEC 27033–5 «Information technology. Security techniques. Network security. Part 5: Securing communications across networks using Virtual Private Networks (VPNs)» (Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 5: «Обеспечение безопасности связи в сетях на основе использования виртуальных частных сетей), которая определяет специфические риски, методики проектирования и средства управления для защиты соединений, устанавливаемых посредством использования виртуальных частных сетей (англ. Virtual Private Network, VPN)
Пока не вышли, но ожидаются в ближайшее время еще 2 части стандарта.

ISO/IEC 27033–4 «Information technology. Security techniques. Network security. Part 4: Securing communications between networks using security gateways» (Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 4: Обеспечение безопасности межсетевых взаимодействий при помощи шлюзов безопасности) определяет специфические риски, методики проектирования и средства управления для защиты информации, циркулирующей между сетями, соединенными шлюзами безопасности.
ISO/IEC 27033–6 «Information technology. Security techniques. Network security. Part 6: Securing IP network access using wireless» (Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 6: Защита беспроводного доступа к IP-сетям) определяет специфические риски, методики проектирования и средства управления для защиты беспроводного доступа к IP-сетям.
Стандарт ISO/IEC 27034 – безопасность приложений (1)
Активно разрабатывается и новый стандарт ISO/IEC 27034 «Information technology. Security techniques. Application security» (Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений), включающий шесть частей, первая из которых уже опубликована в 2011 г. Стандарт ISO/IEC 27034 содержит рекомендации по ОИБ для тех, кто разрабатывает спецификации, проектирует, программирует, приобретает, внедряет и использует прикладные системы, т.е. для бизнес- и ИТ-менеджеров, разработчиков и аудиторов, а, в конечном итоге, конечных пользователей прикладных систем. Данный стандарт не подменяет, а дополняет другие стандарты и методы, посвященные разработке прикладных систем.
Цель стандарта – обеспечить желаемый или необходимый уровень безопасности для компьютерных программ для поддержки СУИБ организации.

---

Подход стандарта – процессно-ориентированный, поскольку в нем содержатся рекомендации по средствам управления ИБ на всех стадиях жизненного цикла прикладных систем, начиная с выработки требований по ОИБ и защиты информации, доступной приложениям, и заканчивая предотвращением несанкционированного доступа (НСД) и любых несанкционированных действий со стороны самих приложений. Стандарт определяет обеспечение безопасности приложений как процесс, который может реализовать организация для применения средств и мер измерения управления к прикладным системам с целью управления рисками их использования.
Первая часть стандарта ISO/IEC 27034–1:2011 «Information technology. Security techniques. Application security. Overview and concepts» (Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Обзор и концепции) является общей вводной частью, определяющей содержание последующих частей.
Стандарт ISO/IEC 27034 – безопасность приложений (2)
Пока не вышли, но ожидаются еще 5 частей стандарта.
Вторая часть ISO/IEC 27034–2 «Organization normative framework» пояснит отношения и зависимости между процессами в рамках так называемой нормативной базы организации (англ. organization normative framework).
Третья часть ISO/IEC 27034–3 «Application security management process» будет описывать требующие ОИБ в рамках проекта разработки приложений процессы, учитывая их отношения и зависимости. Ожидается, что после выхода эта часть будет самой широко используемой из всех частей стандарта.
Четвертая часть ISO/IEC 27034–4 «Application security validation» будет рассматривать вопросы утверждения и сертификации безопасности приложений с целью оценки и сравнения уровней доверия к разным прикладным системам в соответствии с установленными для них требованиями по ОИБ.
Пятая часть ISO/IEC 27034–5 «Protocols and application security control data structure» должна определить формальную структуру данных средств управления безопасностью приложений, приводя требования, описания, графические представления и XML-схему для модели данных (данная схема, основанная на языке Electronic business eXtensible Markup Language ebXML, рассматривается в качестве стандарта обмена между средствами управления безопасностью приложений). Это сделает возможным создать библиотеки универсальных функций защиты приложений, которые могут использоваться как внутри, так и между организациями.
Шестая часть ISO/IEC 27034–6 «Security guidance for specific applications» будет содержать примеры средств управления безопасностью приложений, разработанные в соответствии со специфичными для приложений требованиями по ОИБ.

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx