Присоединяйтесь!
Зарегистрированных пользователей портала: 506 313. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. БЕЗОПАСНОСТЬ СЕТЕЙ. ЧАСТЬ 1. ОБЗОР И КОНЦЕПЦИИ. ГОСТ Р ИСО/МЭК 27033-1-2011" (утв. Приказом Росстандарта от 01.12.2011 N 683-ст)

Дата документа01.12.2011
Статус документаДействует
МеткиСтандарт · Приказ · Гост · Гост р · Исо/мэк

    

Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 1 декабря 2011 г. N 683-ст

 

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

БЕЗОПАСНОСТЬ СЕТЕЙ

 

ЧАСТЬ 1

 

ОБЗОР И КОНЦЕПЦИИ

 

Information technology. Security techniques. Network security. Part 1. Overview and concepts

 

ГОСТ Р ИСО/МЭК 27033-1-2011

 

ОКС 35.040

 

Дата введения
1 января 2012 года

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".
 

Сведения о стандарте

 
    1. Подготовлен Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и "Газпромбанк" [Открытое акционерное общество (ГПБ (ОАО)] на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4.
    2. Внесен Техническим комитетом по стандартизации ТК 362 "Защита информации".
    3. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 683-ст.
    4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27033-1:2009 "Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции" (ISO/IEC 27033-1:2009 "Information technology - Security techniques - Network security - Part 1: Overview and concepts").
    Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).
    При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации и межгосударственные стандарты, сведения о которых приведены в дополнительном Приложении ДА.
    5. Взамен ГОСТ Р ИСО/МЭК 18028-1-2008.
    Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет.
 

Введение

 
    В современном мире информационные системы большинства коммерческих и государственных организаций связаны сетями (см. рисунок 1), при этом сетевые соединения могут относиться к следующим (одному или нескольким) видам:
    - в пределах организации;
    - между различными организациями;
    - между организацией и неограниченным кругом лиц.
 

 

Рисунок 1. Разнообразные виды сетевых соединений

 
    Кроме того, при бурном развитии общедоступной сетевой технологии (в особенности Интернета), предлагающей значительные возможности для ведения бизнеса, организации все больше занимаются электронной торговлей в глобальном масштабе и предоставляют общедоступные услуги в режиме реального времени (далее - в режиме on-line). Эти возможности обеспечивают более дешевый способ передачи данных с использованием Интернета в качестве глобального средства связи благодаря услугам, предоставляемым провайдерами Интернет-услуг. Это может означать использование относительно дешевых локальных точек подключения на каждом конце линии связи к полномасштабным системам электронной торговли и предоставление услуг, использующих сервисы и приложения, основанные на Интернет-технологии. Кроме того, новые технологии (включающие объединение данных, речи и видео) расширяют возможности для удаленной работы (также известной как "дистанционная работа"), позволяющей сотрудникам работать значительную часть времени дома. Они могут поддерживать контакт путем использования средств дистанционного доступа к сетям организации и сообщества, а также к информации и услугам, связанным с поддержкой основной деятельности организации.
    Однако в то время как среда, образованная новыми технологиями, способствует получению значительных преимуществ для деятельности организации, также появляются новые риски безопасности, требующие управления. Утрата конфиденциальности, целостности и доступности информации и услуг может оказывать существенное неблагоприятное влияние на деятельность организации, поскольку организации в значительной степени зависят от использования информации и связанных с нею сетей для ведения своей деятельности. Следовательно, основным требованием является обеспечение надлежащей защиты сетей и связанных с ними информационных систем и информации. Другими словами реализация и поддержка адекватной сетевой безопасности абсолютно необходима для успеха операций основной деятельности любой организации.
    В этом контексте для индустрии телекоммуникаций и информационных технологий ведется поиск рентабельных всесторонних программных и технических средств и услуг по обеспечению безопасности, направленных на защиту сетей от злонамеренных атак и непреднамеренных неверных действий и обеспечение конфиденциальности, целостности и доступности информации и услуг в соответствии с потребностями организации. Обеспечение безопасности сети также важно в случае необходимости обеспечения точности информации об учете или использовании услуг. Возможности обеспечения безопасности в продуктах <1> являются необходимыми для общей сетевой безопасности (включая приложения и сервисы). Однако когда все больше продуктов комбинируется для обеспечения общих решений, их функциональная совместимость - или ее отсутствие - будет определять успех решения. Безопасность должна быть не только одним из поводов для беспокойства в отношении каждого продукта или услуги, но и разработана так, чтобы способствовать интегрированию возможностей продукта или услуги по обеспечению безопасности в общее решение по обеспечению безопасности организации.
    


    <1> В настоящем стандарте под "продуктом" следует понимать "изделия/средства (программные, технические или программно-технические)".
 
    Назначение ИСО/МЭК 27033 состоит в том, чтобы предоставить подробные рекомендации по аспектам безопасности менеджмента, функционирования и использования сетей информационных систем и их соединений. Лица, отвечающие за обеспечение в организации информационной безопасности в целом и сетевой безопасности в частности, должны быть способны адаптировать материал настоящего стандарта для соответствия своим конкретным требованиям. Основными целями частей стандарта ИСО/МЭК 27033 являются:
    - для ИСО/МЭК 27033-1 "Обзор и концепция" - определение и описание концепций, связанных с сетевой безопасностью, и предоставление рекомендаций по менеджменту сетевой безопасности. Стандарт содержит общий обзор сетевой безопасности и связанных с ней определений, рекомендации по идентификации и анализу рисков сетевой безопасности, и, кроме того, определение требований сетевой безопасности. Он также знакомит с тем, как добиваться высокого качества специализированных архитектур безопасности, а также с аспектами риска, проектирования, аспектами мер и средств контроля и управления, связанными с типичными сетевыми сценариями и областями сетевых "технологий" (которые подробно рассматриваются в следующих частях стандарта ИСО/МЭК 27033);
    - для ИСО/МЭК 27033-2 "Рекомендации по проектированию и реализации сетевой безопасности" - определение того, каким образом организации должны добиваться требуемого качества специализированных архитектур сетевой безопасности, проектирования и реализации, которые обеспечат уверенность в сетевой безопасности, соответствующей их среде деятельности, используя при необходимости последовательный подход к планированию, проектированию и реализации сетевой безопасности с применением моделей/систем (в данном контексте термины "модель/система" используются для формулирования в общих чертах представления или описания, показывающего структуру и высокоуровневую деятельность некоторого вида специализированной архитектуры/проекта безопасности). Данный стандарт предназначен для всего персонала, вовлеченного в планирование, проектирование и реализацию аспектов архитектуры сетевой безопасности (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность);
    - для ИСО/МЭК 27033-3 "Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, для типовых сетевых сценариев" - определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления, связанных с типовыми сетевыми сценариями. Данный стандарт предназначен для персонала, вовлеченного в планирование, проектирование и реализацию аспектов архитектуры сетевой безопасности (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность).
    Предполагается, что следующие части ИСО/МЭК 27033 будут рассматривать:
    ИСО/МЭК 27033-4 "Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, для обеспечения безопасности передачи информации между сетями с использованием шлюзов безопасности" - определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления для обеспечения безопасности информационных потоков между сетями с использованием шлюзов безопасности. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию шлюзов безопасности (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность);
    ИСО/МЭК 27033-5 "Риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления для обеспечения безопасности виртуальных частных сетей" - определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления, для обеспечения безопасности соединений, установленных с использованием VPN. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию безопасности виртуальных частных сетей (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность);
    ИСО/МЭК 27033-6 "IP-конвергенция" - определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления, для обеспечения безопасности сетей с IP-конвергенцией, т.е. с конвергенцией данных, речи и видео. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию безопасности сетей с IP-конвергенцией (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность);
    ИСО/МЭК 27033-7 "Беспроводная связь" - определение конкретных рисков, методов проектирования и вопросов, касающихся мер и средств контроля и управления, для обеспечения безопасности беспроводных сетей и радиосетей. Данный стандарт будет представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию безопасности беспроводных сетей и радиосетей (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность).
    Следует подчеркнуть, что ИСО/МЭК 27033 предоставляет дополнительные детализированные рекомендации по реализации мер и средств контроля и управления сетевой безопасностью, определенных в базовом стандарте ИСО/МЭК 27002.
    Если в будущем появятся другие части стандарта, они могут представлять интерес для всего персонала, вовлеченного в детальное планирование, проектирование и реализацию сетевых аспектов, охватываемых этими частями (например, для проектировщиков и разработчиков сетевой архитектуры, сетевых менеджеров и сотрудников, ответственных за сетевую безопасность).
    Следует отметить, что настоящий стандарт не является справочным или нормативным документом для регулирующих и законодательных требований безопасности. Хотя в нем подчеркивается важность этих оказывающих влияние факторов, они не могут быть сформулированы конкретно, так как зависят от страны, вида основной деятельности и т.д.
    Если не указано иное, требования настоящего стандарта применимы к действующим в настоящее время и (или) планируемым сетям, но в тексте настоящего стандарта будут применены только термины "сети" или "сеть".
 

1. Область применения

 
    Настоящий стандарт содержит обзор сетевой безопасности и связанных с ней определений. Стандарт определяет и описывает концепции, связанные с сетевой безопасностью, и предоставляет рекомендации по менеджменту сетевой безопасности. (В дополнение к безопасности информации, передаваемой по линиям связи, сетевая безопасность затрагивает безопасность устройств, безопасность деятельности по менеджменту данных устройств, приложений/услуг, а также безопасность конечных пользователей).
    Настоящий стандарт предназначен для лиц, владеющих, управляющих или использующих сети. Помимо руководителей и администраторов, имеющих конкретные обязанности по обеспечению информационной и (или) сетевой безопасности и функционированию сети или отвечающих за разработку общей программы обеспечения безопасности и политики безопасности организации, стандарт предназначен и для представителей высшего руководства и других руководителей или пользователей, не имеющих технической подготовки. Настоящий стандарт также предназначен для всех вовлеченных в планирование, проектирование и реализацию аспектов архитектуры сетевой безопасности.
    Настоящий стандарт также:
    - представляет рекомендации по идентификации и анализу рисков сетевой безопасности и дает определение требований сетевой безопасности, основанных на этом анализе;
    - представляет обзор мер и средств контроля и управления, поддерживающих специализированные архитектуры сетевой безопасности, и связанные с ними технические меры и средства контроля и управления, а также технические и нетехнические меры и средства контроля и управления, применяемые не только к сетям;
    - знакомит с тем, как добиться высокого качества специализированных архитектур сетевой безопасности, а также с аспектами риска, проектирования, мер и средств контроля и управления, связанными с типичными сетевыми сценариями и областями сетевых "технологий" (которые детально рассматриваются в следующих частях ИСО/МЭК 27033);
    - содержит краткое рассмотрение вопросов, связанных с реализацией и функционированием мер и средств контроля и управления сетевой безопасностью, постоянным мониторингом и проверкой их реализации.
    В целом, в настоящем стандарте представлен обзор существующих частей ИСО/МЭК 27033, и он является "путеводителем" по остальным частям стандарта.
 

2. Нормативные ссылки

 
    В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты. Для датированных стандартов применяют только указанное издание. Для недатированных стандартов применяют последнее издание упомянутого стандарта (включая опубликованные изменения).
    ИСО/МЭК 7498 (все части). Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель (ISO/IEC 7498 (all parts), Information technology - Open Systems Interconnection - Basic Reference Model)
    ИСО/МЭК 27000:2009. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000:2009. Information technology - Security techniques - Information security management systems - Overview and vocabulary)
    ИСО/МЭК 27001:2005. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005. Information technology - Security techniques - Information security management systems - Requirements)
    ИСО/МЭК 27002:2005. Информационная технология. Методы и средства обеспечения безопасности. Свод правил для менеджмента информационной безопасности (ISO/IEC 27002:2005. Information technology - Security techniques - Code of practice for information security management)
    ИСО/МЭК 27005:2008. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент рисков информационной безопасности (ISO/IEC 27005:2008. Information technology - Security techniques - Information security risk management).
 

3. Термины и определения

 
    В настоящем стандарте применены термины по ИСО/МЭК 7498, ИСО/МЭК 27000, ИСО/МЭК 27001, ИСО/МЭК 27002, ИСО/МЭК 27005, а также следующие термины с соответствующими определениями.
    Примечание. Приведенные ниже термины и определения будут также применены в следующих частях ИСО/МЭК 27033.
    3.1. Предупреждение об опасности (alert): "немедленное" оповещение о том, что информационная система и сеть подвергаются атаке или находятся в опасности вследствие аварии, сбоя или человеческой ошибки.
    3.2. Архитектура (architecture): базовая организация системы, воплощенная в ее компонентах, их отношениях между собой и с окружением, а также принципы, определяющие проектирование и развитие системы. [ИСО/МЭК 15288:2008, определение 4.5]
    3.3. Нарушитель (attacker): любое лицо, преднамеренно использующее уязвимости технических и нетехнических мер и средств контроля и управления безопасностью с целью захвата или компрометации информационных систем и сетей, или снижения доступности ресурсов информационной системы и сетевых ресурсов для законных пользователей.
    3.4. Ведение контрольных журналов (audit logging): фиксирование данных о событиях, связанных с информационной безопасностью, в целях проверки, анализа и постоянного мониторинга.
    3.5. Инструментальные средства аудита (audit tools): автоматизированные инструментальные средства, помогающие анализировать содержание журналов событий.
    3.6. Центр сертификации [открытых ключей] (certification authority; CA): орган, которому доверяет один или более пользователей в вопросе создания и распределения сертификатов открытого ключа.
    Примечания. 1. Факультативно орган сертификации может создавать ключи пользователей.
    2. Роль органа сертификации в этом процессе заключается в обеспечении уверенности, что лицо, которому выдан уникальный сертификат, на самом деле является тем, кем оно себя заявляет. Обычно это означает, что орган сертификации имеет соглашение с учреждением, предоставляющим ему информацию для подтверждения предъявленной идентификационной информации в отношении лица. Органы сертификации являются важнейшим компонентом в информационной безопасности и электронной коммерции, потому что они гарантируют, что две стороны, обменивающиеся информацией, действительно являются теми, кем они себя заявляют.
    3.7. Корпоративная политика информационной безопасности (corporate information security policy): документ, отражающий позицию руководства по обеспечению информационной безопасности в соответствии с требованиями основной деятельности организации и правовыми и регулирующими нормами.
    Примечание. Документ, описывающий высокоуровневые требования информационной безопасности, которые должны соблюдаться в организации.
    3.8. Демилитаризованная зона (demilitarized zone; DMZ); ДМЗ: пограничный сегмент сети (также известный как защищенная подсеть), выполняющий функции "нейтральной зоны" между сетями.
    3.9. Отказ в обслуживании (denial of service; DoS): прекращение санкционированного доступа к ресурсам системы или задержка операций и функций системы, приводящее в итоге к потере доступности для авторизованных пользователей.
    3.10. Экстранет (extranet): расширение сети Интранет организации, особенно через инфраструктуру общедоступной сети, делающее возможным совместное использование ресурсов организацией, другими организациями и лицами, с которыми она имеет дело, с предоставлением ограниченного доступа к своей сети Интранет.
    Примечание. Например, клиентам организации может предоставляться доступ к некоторым частям ее сети Интранет посредством создания Экстранет, но клиентов нельзя считать "доверенными" с точки зрения безопасности.
    3.11. Фильтрация (filtering): процесс приема или отклонения потоков данных в сети в соответствии с определенными критериями.
    3.12. Межсетевой экран (firewall): вид барьера безопасности, размещенного между различными сетевыми средами, состоящего из специализированного устройства или совокупности нескольких компонентов и технических приемов, через который должен проходить весь трафик из одной сетевой среды в другую и, наоборот, при этом пропускается только авторизованный трафик, соответствующий местной политике безопасности.
    3.13. Концентратор (hub): сетевое устройство, которое функционирует на первом уровне эталонной модели взаимодействия открытых систем.
    Примечание. Сетевые концентраторы не являются интеллектуальными устройствами, они обеспечивают только точки физического соединения для сетевых систем или ресурсов.
    3.14. Интернет (the Internet): глобальная система взаимосвязанных сетей общедоступного пользования.
    3.15. Интерсеть (internet): совокупность взаимосвязанных сетей, называемая "объединенной сетью" или просто "интерсетью".
    3.16. Интранет (intranet): частная компьютерная сеть, использующая Интернет-протоколы и возможность сетевого соединения для безопасного коллективного использования части информации или операций организации ее сотрудниками.
    3.17. Вторжение (intrusion): несанкционированный доступ к сети или подсоединенной к сети системе, т.е. преднамеренный или случайный несанкционированный доступ к информационной системе, включая злонамеренную деятельность против информационной системы или несанкционированное использование ресурсов в информационной системе.
    3.18. Обнаружение вторжений (intrusion detection): формальный процесс обнаружения вторжений, обычно характеризующийся сбором сведений об аномальном характере использования, а также о том, какая уязвимость была использована и каким образом, включая то, когда и как это произошло.
    Примечание. См. ИСО/МЭК 18043.
    3.19. Система обнаружения вторжений (intrusion detection system); IDS: специализированная система, используемая для идентификации того факта, что была предпринята попытка вторжения, вторжение происходит или произошло, а также для возможного реагирования на вторжение в информационные системы и сети.
    Примечание. См. ИСО/МЭК 18043.
    3.20. Предотвращение вторжений (intrusion prevention): формальный процесс активного реагирования с целью предотвращения вторжений.
    3.21. Система предотвращения вторжений (intrusion prevention system); IPS: вид систем обнаружения вторжений, специально предназначенных для обеспечения активной возможности реагирования.
    Примечание. См. ИСО/МЭК 18043.
    3.22. Вредоносное программное средство (malware): вредоносное программное средство, специально разработанное для повреждения или разрушения системы посредством нарушения ее конфиденциальности, целостности и (или) доступности.
    Примечание. Примерами вредоносного программного средства являются вирусы и "троянские кони".
    3.23. Многопротокольная коммутация на основе меток (multi protocol label switching - MPLS): метод, разработанный для использования в межсетевой маршрутизации, в соответствии с которым индивидуальным трактам передачи данных или потокам данных присваиваются метки, и который используется для коммутации соединений на более низком уровне и в дополнение к обычным механизмам протоколов маршрутизации.
    Примечание. Коммутация на основе меток может использоваться как один из методов создания туннелей.
    3.24. Сетевое администрирование (network administration): повседневная эксплуатация и управление сетевыми процессами и средствами, используемыми сетью.
    3.25. Сетевой анализатор (network analyzer): устройство или программное средство, используемое для наблюдения и анализа информационного сетевого трафика.
    Примечание. До проведения анализа информационного потока информация должна быть собрана определенным образом, например, путем использования сетевого анализатора пакетов.
    3.26. Сетевой элемент (network element): информационная система, подсоединенная к сети.
    3.27. Сетевой менеджмент (network management): процесс планирования, разработки, реализации, эксплуатации, мониторинга и поддержки сети.
    3.28. Сетевой мониторинг (network monitoring): процесс постоянного наблюдения и проверки зафиксированных данных о сетевой деятельности и операциях, включая контрольные журналы и предупреждения об опасности, и связанный с этим анализ.
    3.29. Политика сетевой безопасности (network security policy): совокупность положений, правил и практических приемов, устанавливающих подход организации к использованию ее сетевых ресурсов и определяющих, как должна обеспечиваться защита ее сетевой инфраструктуры и сервисов.
    3.30. Сетевой анализатор пакетов (network sniffer): устройство или программное средство, используемое для сбора информации, проходящей через сети.
    3.31. Порт (port): конечная точка соединения.
    Примечание. В контексте Интернет-протокола порт представляет собой конечную точку логического канала TCP или UDP соединения. Протоколы приложений на основе TCP или UDP обычно имеют назначенные по умолчанию номера портов, например, порт 80 для HTTP протокола.
    3.32. Удаленный доступ (remote access): процесс получения доступа к сетевым ресурсам из другой сети или с терминала, не являющегося постоянно соединенным физически или логически с сетью, к которой он получает доступ.
    3.33. Удаленный пользователь (remote user): пользователь, находящийся на объекте (площадке, филиале), отличном от того, на котором размещаются используемые сетевые ресурсы.
    3.34. Маршрутизатор (router): сетевое устройство, используемое для установления и управления потоками данных между различными сетями путем выбора трактов или маршрутов на основе механизмов и алгоритмов протоколов маршрутизации.
    Примечания. 1. Сети сами могут быть основаны на разных протоколах.
    2. Информация о маршрутизации хранится в таблице маршрутизации.
    3.35. Домен безопасности (security domain): совокупность активов и ресурсов, подчиняющихся единой политике безопасности.
    3.36. Шлюз безопасности (security gateway): точка соединения между сетями, между сегментами сетей или между программными приложениями в различных доменах безопасности, предназначенная для защиты сети в соответствии с существующей политикой безопасности.
    3.37. Спам (spam): незапрашиваемые сообщения электронной почты, содержание которых может быть вредоносным и (или) мошенническим.
    3.38. Спуфинг (spoofing): маскировка под легального пользователя или сетевой ресурс.
    3.39. Коммутатор (switch): устройство, обеспечивающее соединение сетевых устройств посредством внутренних механизмов коммутации, с технологией коммутации, обычно реализованной на втором или третьем уровне эталонной модели взаимодействия открытых систем.
    Примечание. Коммутаторы отличаются от других соединительных устройств локальной сети (например, концентраторов), так как используемая в коммутаторах технология устанавливает соединения на основе "точка - точка".
    3.40. Туннель (tunnel): канал передачи данных между сетевыми устройствами, который устанавливают через существующую сетевую инфраструктуру.
    Примечание. Туннели могут устанавливать путем использования таких технических приемов, как протокольная инкапсуляция, коммутация на основе меток или виртуальный канал.
    3.41. Виртуальная локальная вычислительная сеть (virtual local area network): независимая сеть, созданная с логической точки зрения внутри физической сети.
 

4. Сокращения

 
    Примечание. Перечисленные ниже сокращения применяют во всех частях ИСО/МЭК 27033.
    3G - система цифровой мобильной связи третьего поколения;
    AAA - аутентификация, авторизация и учет;
    ACL - список контроля доступом;
    ADSL - асимметричная цифровая абонентская линия;
    AES - улучшенный стандарт шифрования;
    ATM - асинхронный режим передачи;
    BPL - широкополосная передача через линии электропередачи;
    CA - центр сертификации [открытых ключей];
    CDMA - многостанционный доступ с кодовым разделением каналов;
    CDPD - сотовая цифровая передача пакетов данных;
    CLID - идентификатор линии вызова;
    CLNP - протокол сетевого обслуживания без установления соединения;
    CoS - класс обслуживания (услуг);
    CRM - управление взаимосвязями с клиентами;
    DEL - прямая линия обмена информацией;
    DES - стандарт шифрования данных;
    DNS - служба доменных имен;
    DoS - отказ в обслуживании;
    DPNSS - цифровая сигнальная система частных сетей;
    DSL - цифровая абонентская линия;
    EDGE - улучшенные скорости передачи данных для развития GSM-стандарта;
    EDI - электронный обмен данными;
    EGPRS - улучшенный общий сервис пакетной радиопередачи;
    EIS - информационная система предприятия;
    FiOS - сервис с применением волоконной оптики;
    FTP - протокол передачи файлов;
    FTTH - сеть с доведенным до пользователя оптическим кабелем;
    GPRS - общий сервис пакетной радиопередачи;
    GSM - глобальная система мобильной связи;
    HIDS - система обнаружения вторжений на базе хостов/серверов;
    HTTP - протокол передачи гипертекста;
    IDS - система обнаружения вторжений;
    IG - Руководство по реализации;
    IP - Интернет-протокол;
    IPS - система предупреждения вторжений;
    ISP - провайдер Интернет-услуг;
    MPLS - многопротокольная коммутация на основе меток;
    MRP - планирование производственных ресурсов;
    NAT - трансляция сетевых адресов;
    NIDS - система обнаружения сетевых вторжений;
    NTP - синхронизирующий сетевой протокол;
    OOB - внеполосный;
    PABX - учрежденческая АТС с исходящей и входящей связью;
    PIN - личный идентификационный номер;
    PKI - инфраструктура открытых ключей;
    PSTN - телефонная коммутируемая сеть общего пользования;
    QoS - качество обслуживания;
    RAID - матрица независимых дисковых накопителей с избыточностью;
    RAS - сервис удаленного доступа;
    RTP - протокол реального времени;
    SDSL - симметричная цифровая абонентская линия;
    SecOPs - операционные процедуры безопасности;
    SIM - модуль идентификации абонента;
    SNMP - простой протокол сетевого управления;
    SPIT - спам через IP-телефонию;
    SSH - безопасная оболочка;
    TCP - протокол управления передачей;
    TDMA - многостанционный доступ с временным разделением каналов;
    TETRA - наземное транкинговое радио;
    TKIP - протокол целостности временного ключа;
    UDP - протокол передачи дейтаграмм пользователя;
    UMTS - универсальная система мобильной связи;
    USB - универсальная последовательная шина;
    VLAN - виртуальная локальная вычислительная сеть;
    VoIP - передача речи по IP;
    VPN - виртуальная частная сеть;
    WAP - протокол приложений для беспроводной связи;
    WEP - безопасность, эквивалентная проводной сети;
    WLAN - беспроводная локальная вычислительная сеть;
    WORM - с однократной записью и многократным считыванием;
    WPA - защищенный доступ в беспроводных сетях;
    ГВС (WAN) - глобальная вычислительная сеть;
    ДМЗ (DMZ) - демилитаризованная зона;
    ИБП (UPS) - источник бесперебойного питания;
    ИТ (IT) - информационная технология;
    КПК (PDA) - "карманный" персональный компьютер;
    ЛВС (LAN) - локальная вычислительная сеть;
    ОВЧ (VHF) - очень высокая частота;
    ПК (PC) - персональный компьютер.
 

5. Структура

 
    Структура серии стандартов ИСО/МЭК 27033 представлена в виде схемы или "путеводителя" на рисунке 2.
 

 

Рисунок 2. "Путеводитель" по ИСО/МЭК 27033

 
    Примечание. Следует отметить, что в будущем возможно появление и других частей ИСО/МЭК 27033. Примеры возможных тем, охватываемых будущими частями ИСО/МЭК 27033, включают в себя локальные, глобальные и широкополосные сети; размещение информации на сервере веб-узлов; электронную почту в Интернете и маршрутизированный доступ для сторонних организаций. Основными пунктами всех этих частей должны быть риски, методы проектирования и вопросы, касающиеся мер и средств контроля и управления.
    Сплошными линиями на рисунке 2 отмечена естественная иерархия частей ИСО/МЭК 27033. Пунктирными линиями отмечено, что, следуя процессам:
    a) описанным в части 1, - можно обращаться за информацией по вопросу, касающемуся рисков безопасности, к частям 3 - 7 ИСО/МЭК 27033;
    b) описанным в части 2, - можно обращаться за информацией по вопросам, касающимся методов проектирования и мер и средств контроля и управления, к частям 3 - 7 ИСО/МЭК 27033.
    Кроме того, в части 3 ИСО/МЭК 27033 есть ссылки на конкретные аспекты, содержащиеся в частях 4 - 7 ИСО/МЭК 27033, с тем, чтобы избежать дублирования (т.е. при использовании части 3 возможно обращение к частям 4 - 7).
    Таким образом, любой организации, начинающей с "нуля" или проводящей серьезную проверку существующей сети (сетей), следует в первую очередь использовать настоящий стандарт, а затем ИСО/МЭК 27033-2 и, по мере необходимости, обращаться к информации о рисках безопасности, методах проектирования и вопросах, касающихся мер и средств контроля и управления, содержащихся в частях 3 - 7 ИСО/МЭК 27033.
    Например, организация рассматривает реализацию новой сетевой среды, включающей в себя применение IP-конвергенции, шлюзов безопасности, частичное применение беспроводной связи, а также размещение информации на сервере веб-узлов и использование Интернета (например, для электронной почты и доступа в режиме on-line).