Politika mrežne sigurnosti

Politika mrežne sigurnosti (Dokument P21) razvijena je radi uspostave rigoroznih kontrola nad internim i vanjskim organizacijskim mrežama, pružajući zaštitu od neovlaštenog pristupa, prekida usluge, presretanja podataka i zlouporabe. Njezini primarni ciljevi uključuju zaštitu povjerljivosti, cjelovitosti i dostupnosti podataka u prijenosu i u mirovanju, uz usko usklađivanje s ključnim regulatornim i normativnim zahtjevima kao što su ISO/IEC 27001:2022, GDPR članak 32, Direktiva NIS2, DORA i COBIT 2019. Ova robusna politika primjenjuje se globalno na sve mrežne infrastrukture, uključujući fizička, virtualna, oblačna i hibridna okruženja. U okviru opsega navodi usmjerivače, preklopnike, vatrozide, mreže u oblaku, sustave virtualne privatne mreže (VPN) te čak i podržavajuće usluge poput DNS-a i proxy poslužitelja. I interno osoblje i vanjski pružatelji usluga treće strane koji stupaju u interakciju s tim mrežama obvezni su poštovati postavljene zahtjeve. Značajke politike uključuju obveznu segmentaciju mreže, eksplicitne protokole konfiguracije vatrozida, standarde sigurnog usmjeravanja te kontinuirano centralno praćenje i revizijsko bilježenje mrežnih aktivnosti. Upravljanje je jasno strukturirano te obvezuje uloge kao što su glavni službenik za informacijsku sigurnost (CISO), voditelj mrežne sigurnosti, Centar za sigurnosne operacije (SOC), IT operacije te dobavljači trećih strana na pridržavanje definiranih odgovornosti za siguran dizajn mreže, operativno praćenje, upravljanje promjenama i odgovor na incidente. Politika postavlja očekivanja ne samo za rutinsko upravljanje mrežom, već i za postupanje s iznimkama, primjerice ovisnostima o naslijeđenim sustavima, kroz kontrolirani postupak odobravanja temeljen na procjeni rizika. Sva odobrenja iznimaka registriraju se unutar sustava upravljanja informacijskom sigurnošću (ISMS) uz strogi ciklus pregleda od 90 dana, čime se osigurava da se dugoročne ranjivosti ne previdi. Kako bi se smanjile napadne površine i ispunile obveze usklađenosti, politika propisuje da sve granične mreže moraju biti zaštićene vatrozidima nove generacije sa stateful inspekcijom, filtriranjem aplikacija i sprječavanjem upada. Interne mreže moraju biti segmentirane između produkcijskog okruženja, razvojnog okruženja, korisničkih i gostujućih područja, uz korištenje vatrozida i virtualnih lokalnih mreža (VLAN-ovi) za provedbu stroge kontrole pristupa. Rješenja virtualne privatne mreže (VPN) i udaljeni pristup moraju koristiti šifriranje i višefaktorsku autentifikaciju (MFA), dok bežične mreže moraju usvojiti sigurnosne protokole na razini poduzeća i razdvajanje gostiju. Oblak i hibridna okruženja nisu izuzeta: pravila sigurnosnih grupa, revidirane VPN veze i postavke vatrozida izvorne za oblak moraju se strogo upravljati. Za praćenje i otkrivanje, kontinuirano revizijsko bilježenje u centralizirani SIEM, otkrivanje anomalija putem NDR-a te definirana razdoblja retencije logova sastavni su zahtjevi. Periodični pregledi politike i revizije obvezni su, a pokreću ih nove prijetnje, promjene mreže, regulatorna ažuriranja ili nalazi revizije. Neusklađenost, uključujući namjerno zaobilaženje kontrola, dovodi do disciplinskih mjera, ugovornih kazni ili prijavljivanja povrede u skladu s propisima. Konačno, Politika mrežne sigurnosti također specificira povezanost s drugim ključnim organizacijskim politikama, uključujući temeljnu sigurnost, Politiku kontrole pristupa, upravljanje promjenama, upravljanje imovinom, Politiku bilježenja i praćenja te Politiku odgovora na incidente (P30), za slojeviti pristup obrani u dubini.