ГОСТ Р ИСО/МЭК 27033-5-2021 PDF

Полное наименование и описание

ГОСТ Р ИСО/МЭК 27033-5-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 5. Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей (ВЧС)» — национальный российский стандарт, идентичный международному стандарту ISO/IEC 27033-5:2013; содержит рекомендации по выбору, внедрению и мониторингу технических средств управления для обеспечения безопасности сетевых соединений посредством VPN.

Аннотация

Стандарт даёт методические указания по оценке угроз и рисков при организации VPN-соединений, формулирует требования безопасности, рекомендует технические и организационные меры (шифрование, аутентификация, управление ключами, туннелирование, разделение трафика, журналирование и мониторинг) и содержит рекомендации по выбору и проверке продуктов и архитектур, используемых для обеспечения защищённого межсетевого взаимодействия.

Общая информация

• Статус: Действующий национальный стандарт РФ, идентичный ISO/IEC 27033-5:2013.
• Дата публикации: утверждён Приказом Росстандарта 20 мая 2021 г.; введён в действие с 30 ноября 2021 г.
• Организация-издатель: Федеральное агентство по техническому регулированию и метрологии (Росстандарт) — национальное издательство и орган утверждения стандарта.
• ICS / категории: 35.030 (Информационные технологии — безопасность ИТ / Network security).
• Редакция / версия: ГОСТ Р ИСО/МЭК 27033-5-2021, идентична редакции международного стандарта ISO/IEC 27033-5:2013.
• Количество страниц: около 20 страниц в национальном опубликованном варианте (включая титульные и методические материалы); оригинал ISO/IEC имеет иную нумерацию (см. международную версию).

Область применения

Стандарт предназначен для организаций и специалистов, отвечающих за проектирование, внедрение и эксплуатацию защищённых соединений между сетями и подключение удалённых пользователей с помощью виртуальных частных сетей (ВЧС/VPN). Рекомендации применимы при построении как корпоративных site-to-site VPN, так и решений удалённого доступа; охватывают вопросы выбора архитектуры, криптографических механизмов, аутентификации, управления ключами, мониторинга и оценки рисков.

Ключевые темы и требования

• Идентификация и анализ угроз, специфичных для VPN (перехват, модификация, атаки на доступность, компрометация терминалов).
• Требования к аутентификации и управлению доступом (многофакторная аутентификация, управление правами, сегментация сети).
• Рекомендации по использованию криптографии: выбор алгоритмов, длина ключей, жизненный цикл ключей и управление сертификатами.
• Проектирование архитектуры VPN (site-to-site, remote-access, clientless), выбор топологий и межсетевых границ.
• Требования к продуктам и их оценке: совместимость, уязвимости, поддержка шифрования и протоколов безопасности.
• Операционные меры: мониторинг, журналирование, управление инцидентами и регулярное тестирование безопасности.
• Рекомендации по внедрению в средах с публичными каналами связи и по взаимодействию с другими средствами защиты (firewall, IDS/IPS, сегментация).

Применение и пользователи

Документ полезен сетевым инженерам, архитекторам безопасности, интеграторам, администраторам VPN и средств связи, аудиторам ИБ, разработчикам политик доступа и специалистам по оценке рисков. Стандарт применяется в государственных и коммерческих организациях при создании защищённого удалённого доступа и межсетевого взаимодействия между филиалами и партнёрами.

Связанные стандарты

Часть серии ISO/IEC 27033 (состоит из нескольких частей); тесно связана с ISO/IEC 27001 и ISO/IEC 27002 (СМИБ и меры управления), а также с ISO/IEC 27005 (управление рисками). В российской серии ГОСТ Р ИСО/МЭК 27000–270xx присутствуют родственные части по безопасности сетей и приложений, некоторые из которых были введены одновременно с данной частью.

Ключевые слова

VPN; ВЧС; межсетевое взаимодействие; туннелирование; шифрование; аутентификация; управление ключами; сетевой периметр; безопасность сетей; мониторинг и журналирование.

FAQ

В: Что это за стандарт?

О: Национальный стандарт РФ, представляющий собой перевод/адоптацию международного стандарта ISO/IEC 27033-5:2013, содержащий рекомендации по обеспечению безопасности при использовании виртуальных частных сетей (VPN) для межсетевого взаимодействия.

В: Что он регулирует?

О: Стандарт не устанавливает обязательных технических требований в виде жёстких предписаний, а даёт руководящие указания по выбору, реализации и мониторингу технических средств и мер безопасности для VPN — включая криптографию, аутентификацию, архитектурные решения и эксплуатационные процедуры.

В: Кто обычно использует?

О: Сетевые инженеры, специалисты по информационной безопасности, системные администраторы, интеграторы и аудиторы, ответственные за проектирование, внедрение и проверку защищённых сетевых соединений и удалённого доступа.

В: Он актуален или заменён?

О: ГОСТ Р ИСО/МЭК 27033-5-2021 был утверждён в мае 2021 г. и введён в действие с 30 ноября 2021 г.; на текущую дату документ числится действующим и является национальным эквивалентом международного ISO/IEC 27033-5:2013 (международная часть была опубликована в 2013 г. и подтверждена в последующих обзорах).

В: Это часть серии?

О: Да — это часть серии ISO/IEC 27033 «Network security»; серия включает несколько частей (в том числе общие положения, рекомендации по проектированию сетей, безопасность шлюзов и т. п.), которые рассматривают разные аспекты безопасности сетей.

В: Какие ключевые слова?

О: VPN, ВЧС, туннелирование, IPsec, TLS VPN, шифрование, аутентификация, управление ключами, архитектура VPN, мониторинг безопасности.