ГОСТ Р № 57580.1-2017 от 01.01.2018

ЗСВ.22 Выделение отдельных сегментов управления, в которых располагаются АРМ эксплуатационного персонала, используемые для выполнения задач администрирования серверных компонент виртуализации и системы хранения данных (допускается использование единых сегментов управления, выделяемых в рамках выполнения меры ЗСВ.22 и меры СМЭ.9)
3-Н 2-Н 1-Т

СМЭ.12 Реализация и контроль информационного взаимодействия между сегментами вычислительных сетей, определенных мерами СМЭ.8 — СМЭ.11 настоящей таблицы, и иными сегментами вычислительных сетей в соответствии с установленными правилами и протоколами сетевого взаимодействия
3-Н 2-Н 1-Т

1.4.1 
Defined Approach Requirements: 
NSCs are implemented between trusted and untrusted networks. 

Customized Approach Objective:
Unauthorized traffic cannot traverse network boundaries between trusted and untrusted networks. 

Defined Approach Testing Procedures:

Purpose:
Implementing NSCs at every connection coming into and out of trusted networks allows the entity to monitor and control access and minimizes the chances of a malicious individual obtaining access to the internal network via an unprotected connection. 

Examples: 
An entity could implement a DMZ, which is a part of the network that manages connections between an untrusted network (for examples of untrusted networks refer to the Requirement 1 Overview) and services that an organization needs to have available to the public, such as a web server. Please note that if an entity’s DMZ processes or transmits account data (for example, e-commerce website), it is also considered a CDE 

/STANDARD
A workstation or a server used for administration actions must, under no circumstances, have access to the Internet, due to the risks that web browsing (websites containing malware) and email (potentially infected attachments) bring to its integrity. 

For other administrator uses requiring the Internet (viewing documentation online, their email, etc.), it is advisable to provide them with a separate workstation. Failing this, access to a remote virtual infrastructure for office applications from an admin device is possible. The reverse, consisting of providing remote access to an admin infrastructure from an office device, is not advisable as it can lead to a privilege elevation in the event admin authenticators are recuperated. 

/STANDARD
When the network is "flat", without any partitioning mechanism, each device in the network can access any other device. If one is compromised all of the connected devices are therefore in jeopardy. A hacker can therefore compromise a user’s device and then, moving around from device to device, find a way to critical servers. 

Therefore it is important, from the network architecture’s design, to work through segmentation into areas made up of systems with uniform security needs. You may, for example, separately group infrastructure servers, business servers, user workstations, administrator workstations, IP phones, etc. 

One area is therefore characterised by dedicated VLANs and IP subnetworks or even by infrastructures dedicated according to their criticality. Therefore, partitioning measures such as an IP filter with the help of a firewall can be implemented between the different areas. Specifically, you will ensure that the devices and flows associated with administration tasks are segregated as far as possible. 

For networks for which subsequent partitioning would not be easy, integrating this approach in any new network extension or when devices are changed is recommended. 

/STANDARD
An administration network interconnects, among others, the administration devices or servers and the device administration interfaces. Within the logic of segmentation for the organization’s global network, it is essential to specifically segregate the administration network from the user office network, to prevent any intrusion by redirection from a user device to an administration resource. 

Depending on the organization’s security needs, it is advisable:

1.4.1
Определенные Требования к Подходу:
NSCs реализуются между доверенными и ненадежными сетями.

Цель Индивидуального подхода:
Несанкционированный трафик не может пересекать границы сети между доверенными и ненадежными сетями.

Определенные Процедуры Тестирования Подхода:

Цель:
Внедрение NSCS при каждом подключении, входящем в доверенные сети и выходящем из них, позволяет организации отслеживать и контролировать доступ и сводит к минимуму вероятность получения злоумышленником доступа к внутренней сети через незащищенное соединение.

Примеры:
Организация может внедрить DMZ, которая является частью сети, которая управляет соединениями между ненадежной сетью (примеры ненадежных сетей см. в обзоре Требования 1) и службами, которые организация должна иметь общедоступными, такими как веб-сервер. Пожалуйста, обратите внимание, что если DMZ организации обрабатывает или передает данные учетной записи (например, веб-сайт электронной коммерции), это также считается CDE

Network segmentation. Deny traffic between computers unless required. Constrain devices with low assurance (e.g. BYOD and IoT). Restrict access to network drives and data repositories based on user duties.
Relative Security Effectiveness:  Excellent | Potential User Resistance:  Low | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium

А.8.22 Сегментирование сетей
Сеть организации должны быть сегментирована на группы информационных сервисов, пользователей и информационных систем.

А.8.22 Segregation of networks
Groups of information services, users and information systems shall be segregated in the organization’s networks.