СМЭ 14-20

СМЭ.14 (Н-Т-Т)

Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сети Интернет.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Реализация - Т

Создания выделенных сегмента сети c использованием коммутаторов. Создание внутренних VLAN. Использование VPN соединений между внутренней сетью и сетью Интернет (АПКШ Континент, VipNet).

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.15 (Т-Н-Н)

Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенный в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сети Интернет.

Уровень защиты информации 3-Т, 2-Н, 1-Н.

Реализация - Т

Использование технологии VLAN для изоляции сегментов сети.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек межсетевого экрана с использованием технологии VLAN.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.16 (Т-Т-Т)

Межсетевое экранирование внутренних вычислительных сетей финансовой организации, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Реализация - Т

Настройка фильтрация трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.

Использование WAF для верификации и фильтрация данных запросов, передаваемых методами GET, POST и т.д.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек межсетевого экрана, на котором видны настройки фильтрации данных для протоколов сетевого уровня и протоколов прикладного уровня.

Если на межсетевом экране не используется фильтрация прикладного уровня, демонстрация использования WAF с настройкой фильтрации на прикладном уровне.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.17 (Т-Т-Т)

Реализация и контроль информационного взаимодействия внутренних вычислительных сетей и сети Интернет в соответствии с установленными правилами и протоколами сетевого взаимодействия.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Реализация - Т

Настройка фильтрация трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек межсетевого экрана. На скриншотах должны быть видны соединения с сетью Интернет.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.18 (Т-Т-Т)

Сокрытие топологии внутренних вычислительных сетей финансовой организации.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Реализация - Т

Использование технологии NAT.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек использования NAT на межсетевом экране.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.19 (Т-Т-Т)

Реализация сетевого взаимодействия внутренних вычислительных сетей финансовой организации и сети Интернет через ограниченное количество контролируемых точек доступа.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Реализация - Т

Настройка фильтрации трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.

Применение технологии Network Access Control.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек межсетевого экрана. На скриншотах должны быть видны соединения с сетью Интернет. Предварительно рекомендуется получить сетевую схему от организации и установить весь состав используемых провайдеров сети Интернет.

На скриншотах настроек межсетевого экрана должны быть видны соединения со всеми провайдерами (основными, резервными).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.20 (Н-Т-Т)

Реализация почтового обмена с сетью Интернет через ограниченное количество контролируемых точек информационного взаимодействия, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (размещенного во внутренних сетях финансовой организации) почтовых серверов с безопасной репликацией почтовых сообщений между ними.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Реализация - Т

Настройка фильтрации почтового трафика через ограниченное количество контролируемых точек таковым образом, что в организации размещается два почтовых сервера. Первый (почтовой релей) размещается в демилитаризованной зоне, принимает входящий почтовый трафик, выполняет антивирусную и антиспам проверку. Далее очищенный почтовой трафик передается на второй почтовый сервер, размещенный во внутренних сегментах организации.

Встречаются реализации, при которых почтовый релей может быть за пределами сегментов сети организации и используется как услуга аутсорсинга.

Настройка репликации почтовых серверов

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек межсетевого экрана для протоколов почтового обмена. При этом рекомендуется проверить MX-записи для адресов организации для проверки соответствия настроенных протоколов на IP адреса организации и зарегистрированных почтовых адресов.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.