LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • СМЭ.14 (Н-Т-Т)
  • СМЭ.15 (Т-Н-Н)
  • СМЭ.16 (Т-Т-Т)
  • СМЭ.17 (Т-Т-Т)
  • СМЭ.18 (Т-Т-Т)
  • СМЭ.19 (Т-Т-Т)
  • СМЭ.20 (Н-Т-Т)
  1. Процессы
  2. 2-П. Обеспечение защиты вычислительных сетей
  3. СМЭ - Сегментация и межсетевое экранирование вычислительных сетей

СМЭ 14-20

Базовый состав мер по защите внутренних вычислительных сетей при взаимодействии с сетью Интернет применительно к уровням защиты информации

PreviousСМЭ 1-13NextСМЭ 21

Last updated 10 months ago

СМЭ.14 (Н-Т-Т)

Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сети Интернет.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Создания выделенных сегмента сети c использованием коммутаторов. Создание внутренних VLAN. Использование VPN соединений между внутренней сетью и сетью Интернет (АПКШ Континент, VipNet).

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек сетевого оборудования/МСЭ, выгрузка конфигураций.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.15 (Т-Н-Н)

Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенный в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сети Интернет.

Уровень защиты информации 3-Т, 2-Н, 1-Н.

Пояснение

Реализация - Т

Использование технологии VLAN для изоляции сегментов сети.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек межсетевого экрана с использованием технологии VLAN.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.16 (Т-Т-Т)

Межсетевое экранирование внутренних вычислительных сетей финансовой организации, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Реализация - Т

Настройка фильтрация трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.

Использование WAF для верификации и фильтрация данных запросов, передаваемых методами GET, POST и т.д.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек межсетевого экрана, на котором видны настройки фильтрации данных для протоколов сетевого уровня и протоколов прикладного уровня.

Если на межсетевом экране не используется фильтрация прикладного уровня, демонстрация использования WAF с настройкой фильтрации на прикладном уровне.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.17 (Т-Т-Т)

Реализация и контроль информационного взаимодействия внутренних вычислительных сетей и сети Интернет в соответствии с установленными правилами и протоколами сетевого взаимодействия.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Реализация - Т

Настройка фильтрация трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек межсетевого экрана. На скриншотах должны быть видны соединения с сетью Интернет.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.18 (Т-Т-Т)

Сокрытие топологии внутренних вычислительных сетей финансовой организации.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Реализация - Т

Использование технологии NAT.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек использования NAT на межсетевом экране.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.19 (Т-Т-Т)

Реализация сетевого взаимодействия внутренних вычислительных сетей финансовой организации и сети Интернет через ограниченное количество контролируемых точек доступа.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Реализация - Т

Настройка фильтрации трафика между зонами сети на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.

Применение технологии Network Access Control.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек межсетевого экрана. На скриншотах должны быть видны соединения с сетью Интернет. Предварительно рекомендуется получить сетевую схему от организации и установить весь состав используемых провайдеров сети Интернет.

На скриншотах настроек межсетевого экрана должны быть видны соединения со всеми провайдерами (основными, резервными).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

СМЭ.20 (Н-Т-Т)

Реализация почтового обмена с сетью Интернет через ограниченное количество контролируемых точек информационного взаимодействия, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (размещенного во внутренних сетях финансовой организации) почтовых серверов с безопасной репликацией почтовых сообщений между ними.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Настройка фильтрации почтового трафика через ограниченное количество контролируемых точек таковым образом, что в организации размещается два почтовых сервера. Первый (почтовой релей) размещается в демилитаризованной зоне, принимает входящий почтовый трафик, выполняет антивирусную и антиспам проверку. Далее очищенный почтовой трафик передается на второй почтовый сервер, размещенный во внутренних сегментах организации.

Встречаются реализации, при которых почтовый релей может быть за пределами сегментов сети организации и используется как услуга аутсорсинга.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек межсетевого экрана для протоколов почтового обмена. При этом рекомендуется проверить MX-записи для адресов организации для проверки соответствия настроенных протоколов на IP адреса организации и зарегистрированных почтовых адресов.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

LogoНастройка репликации почтовых серверов