# СМЭ 14-20
## СМЭ.14 (Н-Т-Т)
> Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сети Интернет.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Создания выделенных сегмента сети c использованием коммутаторов. Создание внутренних VLAN. Использование VPN соединений между внутренней сетью и сетью Интернет (АПКШ Континент, VipNet).
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## СМЭ.15 (Т-Н-Н)
> Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенный в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сети Интернет.
>
> Уровень защиты информации 3-Т, 2-Н, 1-Н.
Пояснение
#### Реализация - Т
Использование технологии VLAN для изоляции сегментов сети.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек межсетевого экрана с использованием технологии VLAN.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## СМЭ.16 (Т-Т-Т)
> Межсетевое экранирование внутренних вычислительных сетей финансовой организации, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Настройка фильтрация трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.
Использование WAF для верификации и фильтрация данных запросов, передаваемых методами GET, POST и т.д.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек межсетевого экрана, на котором видны настройки фильтрации данных для протоколов сетевого уровня и протоколов прикладного уровня.
Если на межсетевом экране не используется фильтрация прикладного уровня, демонстрация использования WAF с настройкой фильтрации на прикладном уровне.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## СМЭ.17 (Т-Т-Т)
> Реализация и контроль информационного взаимодействия внутренних вычислительных сетей и сети Интернет в соответствии с установленными правилами и протоколами сетевого взаимодействия.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Настройка фильтрация трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек межсетевого экрана. На скриншотах должны быть видны соединения с сетью Интернет.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## СМЭ.18 (Т-Т-Т)
> Сокрытие топологии внутренних вычислительных сетей финансовой организации.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Использование технологии NAT.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек использования NAT на межсетевом экране.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## СМЭ.19 (Т-Т-Т)
> Реализация сетевого взаимодействия внутренних вычислительных сетей финансовой организации и сети Интернет через ограниченное количество контролируемых точек доступа.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Настройка фильтрации трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.
Применение технологии Network Access Control.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек межсетевого экрана. На скриншотах должны быть видны соединения с сетью Интернет.\
Предварительно рекомендуется получить сетевую схему от организации и установить весь состав используемых провайдеров сети Интернет.
На скриншотах настроек межсетевого экрана должны быть видны соединения со всеми провайдерами (основными, резервными).
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## СМЭ.20 (Н-Т-Т)
> Реализация почтового обмена с сетью Интернет через ограниченное количество контролируемых точек информационного взаимодействия, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (размещенного во внутренних сетях финансовой организации) почтовых серверов с безопасной репликацией почтовых сообщений между ними.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Настройка фильтрации почтового трафика через ограниченное количество контролируемых точек таковым образом, что в организации размещается два почтовых сервера. Первый (почтовой релей) размещается в демилитаризованной зоне, принимает входящий почтовый трафик, выполняет антивирусную и антиспам проверку. Далее очищенный почтовой трафик передается на второй почтовый сервер, размещенный во внутренних сегментах организации.
Встречаются реализации, при которых почтовый релей может быть за пределами сегментов сети организации и используется как услуга аутсорсинга.
{% embed url="" %}
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек межсетевого экрана для протоколов почтового обмена. При этом рекомендуется проверить MX-записи для адресов организации для проверки соответствия настроенных протоколов на IP адреса организации и зарегистрированных почтовых адресов.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
