LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • СМЭ.1 (Н-Т-Т)
  • СМЭ.2 (Н-Т-Т)
  • СМЭ.3 (Н-Т-Т)
  • СМЭ.4 (Н-Т-Т)
  • СМЭ.5 (Н-Н-Т)
  • СМЭ.6 (Н-Т-Т)
  • СМЭ.7 (Н-Т-Т)
  • СМЭ.8 (Н-Н-Т)
  • СМЭ.9 (Н-Н-Т)
  • СМЭ.10 (Н-Н-Т)
  • СМЭ.11 (Н-Т-Т)
  • СМЭ.12 (Н-Н-Т)
  • СМЭ.13 (Н-О-Т)
  1. Процессы
  2. 2-П. Обеспечение защиты вычислительных сетей
  3. СМЭ - Сегментация и межсетевое экранирование вычислительных сетей

СМЭ 1-13

Базовый состав мер по сегментации и межсетевому экранированию внутренних вычислительных сетей применительно к уровням защиты информации

СМЭ.1 (Н-Т-Т)

Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), предназначенных для размещения информационной инфраструктуры каждого из контуров безопасности (далее - сегменты контуров безопасности).

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Настройка фильтрация трафика между зонами сети на межсетевом экране (МСЭ) или сетевом оборудовании, настройка разрешений только необходимых сетевых протоколов и портов сетевого устройства. Создания выделенного сегмента сети (VLAN) для размещения информационной инфраструктуры каждого из контуров безопасности.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.2 (Н-Т-Т)

Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, сегментов контуров безопасности и внутренних вычислительных сетей финансовой организации, не предназначенных для размещения информационной инфраструктуры, входящей в контуры безопасности (далее - иные внутренние вычислительные сети финансовой организации).

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Настройка доступа к определенным ресурсам внутренней сети или портам сегментов сети (настройки на коммутаторах уровня агрегации (распределения) и уровня доступа). Для реализации меры должны использоваться коммутаторы уровня L3 и L2.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.3 (Н-Т-Т)

Межсетевое экранирование вычислительных сетей сегментов контуров безопасности, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Настройка фильтрация трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов сетевого устройства или МСЭ. Для реализации меры должны применяться сетевые устройства, имеющие функции фильтрации и сетевого и прикладного уровней одновременно. В ряде случаев фильтрацию на прикладном уровне реализуют с помощью программного обеспечения.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.4 (Н-Т-Т)

Реализация и контроль информационного взаимодействия между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации в соответствии с установленными правилами и протоколами сетевого взаимодействия.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Настройка доступа к определенным ресурсам внутренней сети или портам сегментов сети (настройки на коммутаторах уровня агрегации (распределения) и уровня доступа). Настройка фильтрация трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов на сетевом оборудовании или МСЭ. Контроль реализуется путем выгрузки событий маршрутизации в систему мониторинга.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования и МСЭ, выгрузка логов сетевого взаимодействия. Скриншоты фактов выгрузки сетевых событий в систему мониторинга.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.5 (Н-Н-Т)

Пояснение

Реализация - Т

Настройка фильтрация трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов МСЭ/сетевого оборудования. Контроль реализуется путем выгрузки событий маршрутизации в систему мониторинга.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка логов сетевого взаимодействия. Скриншоты фактов выгрузки сетевых событий в систему мониторинга.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.6 (Н-Т-Т)

Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), предназначенных для размещения информационной инфраструктуры, используемой только на этапе создания и (или) модернизации АС, в том числе тестирования ПО и СВТ (далее - сегмент разработки и тестирования).

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Создания выделенного сегмента сети (настройки на коммутаторе - VLAN) для размещения сегментов разработки и тестирования. Настройка фильтрация трафика между зонами сети на межсетевом экране.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.7 (Н-Т-Т)

Реализация запрета сетевого взаимодействия сегмента разработки и тестирования и иных внутренних вычислительных сетей финансовой организации по инициативе сегмента разработки и тестирования.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Создания выделенного сегмента сети для размещения сегментов разработки и тестирования без возможности взаимодействия по сети из разных сегментов по инициативе систем, субъектов, сервисов из промышленных сегментов. Настройки на коммутаторах, маршрутизаторах. Настройка разрешений только необходимых сетевых протоколов и портов на межсетевом экране.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.8 (Н-Н-Т)

Выделение в составе сегментов контуров безопасности отдельных пользовательских сегментов, в которых располагаются только APM пользователей.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Реализация - Т

Создания выделенного сегмента сети для размещения пользовательского сегмента с АРМ (VLAN АРМ). Настройки на коммутаторах, маршрутизаторах. Настройка разрешений только необходимых сетевых протоколов и портов МСЭ под выделенный ограниченный набор объектов (АРМ пользователей).

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций. Выгрузка состава объектов, зарегистрированных в сегменте.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.9 (Н-Н-Т)

Выделение в составе сегментов контуров безопасности отдельных сегментов управления, в которых располагаются только APM эксплуатационного персонала, используемые для выполнения задач администрирования информационной инфраструктуры.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Реализация - Т

Создания выделенного сегмента сети для размещения АРМ эксплуатационного персонала (VLAN на коммутаторах). Настройка разрешений только необходимых сетевых протоколов и портов МСЭ под выделенный ограниченный набор объектов (АРМ эксплуатационного персонала).

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций. Выгрузка состава объектов, зарегистрированных в сегменте.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.10 (Н-Н-Т)

Выделение в составе сегментов контуров безопасности отдельных сегментов хранения и обработки данных, в которых располагаются ресурсы доступа, предназначенные для обработки и хранения данных, серверное оборудование и системы хранения данных.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Реализация - Т

Создания выделенного сегмента сети для размещения СУБД (VLAN на коммутаторах). Настройка разрешений только необходимых сетевых протоколов и портов МСЭ под выделенный ограниченный набор объектов систем хранения данных (СХД).

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций. Выгрузка состава объектов, зарегистрированных в сегменте.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.11 (Н-Т-Т)

Выделение отдельных сегментов для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов).

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Создания выделенного сегмента сети для размещения общедоступных объектов DMZ (VLAN на коммутаторах). Настройка разрешений только необходимых сетевых протоколов и портов под выделенный ограниченный набор объектов – банкоматов и платежных терминалов.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций. Выгрузка состава объектов, зарегистрированных в сегменте.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.12 (Н-Н-Т)

Реализация и контроль информационного взаимодействия между сегментами вычислительных сетей, определенных мерами СМЭ.8 - СМЭ.11 настоящей таблицы, и иными сегментами вычислительных сетей в соответствии с установленными правилами и протоколами сетевого взаимодействия.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Реализация - Т

Создания выделенных сегмента сети. Настройка разрешений только необходимых сетевых протоколов и портов МСЭ/сетевого оборудования. Контроль реализуется путем выгрузки событий маршрутизации в систему мониторинга. Проведения анализа сетевого трафика (например, с помощью SolarWinds Real-Time NetFlow Traffic Analyzer).

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек. Выгрузка логов сетевого взаимодействия. Скриншоты фактов выгрузки сетевых событий в систему мониторинга.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.13 (Н-О-Т)

Контроль содержимого информации при ее переносе из сегментов или в сегменты контуров безопасности с использованием переносных (отчуждаемых) носителей информации.

Уровень защиты информации 3-Н, 2-О, 1-Т.

Пояснение

Реализация - Т

Использование средств защиты DLP, настройка в них политик проверки копирования содержимого на внешние носители.

Реализация - О

Для выполнения меры порядок контроля содержимого переносных (отчуждаемых) носителей информации должен быть определен документом, при этом должен быт предусмотрен способ фиксации результатов контроля (например, путем ведения журнала проверки использования съемного носителя). Для реализации меры использование съемных носителей, запись на них должны быть максимально ограничены, а для контроля назначено ответственное за контроль лицо. Запись информации должна быть доступна только на тех объектах, доступ к которым имеет ответственное лицо, чтобы не допускать возможности обхода контроля (когда информация на носитель будет записана, но носитель не будет предъявлен для контроля).

Проверочные процедуры (свидетельства) - Т

Демонстрация (скриншоты) настроек систем DLP на объектах, зарегистрированных в сегментах сетей.

Проверочные процедуры (свидетельства) - О

Журнал контроля съемных носителей с отметками контроля и демонстрация ограничения использования съемных носителей. Опрос персонала на предмет использования съемных носителей при необходимости записи на них информации. Демонстрация процедуры контроля.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Меры МСЭ определяют сегменты для общедоступных объектов доступа (банкоматов и терминалов), куда сложно установить агентов DLP систем и обеспечить контроль содержимого при использовании переносных (отчуждаемых) носителей информации. Данная мера должна быть в составе мер процесса 5.

PreviousСМЭ - Сегментация и межсетевое экранирование вычислительных сетейNextСМЭ 14-20

Last updated 10 months ago