Hálózatbiztonsági szabályzat

A hálózatbiztonsági szabályzat (P21 dokumentum) célja, hogy szigorú kontrollokat állapítson meg a szervezet belső és külső hálózatai felett, védelmet nyújtva a jogosulatlan hozzáférés, a szolgáltatáskimaradás, az adatok elfogása és a visszaélések ellen. Elsődleges célkitűzései közé tartozik az átvitel közbeni és nyugalmi állapotú adatok bizalmasságának, sértetlenségének, rendelkezésre állásának védelme, miközben szorosan igazodik a kulcsfontosságú szabályozási és szabványkövetelményekhez, például az ISO/IEC 27001:2022-höz, a GDPR 32. cikkéhez, a NIS2 irányelvhez, a DORA-hoz és a COBIT 2019-hez. Ez a robusztus szabályzat globálisan alkalmazandó valamennyi hálózati infrastruktúrára, beleértve a fizikai, virtuális, felhőben üzemeltetett és hibrid környezeteket. Átfogó hatókörében felsorolja az útválasztókat, kapcsolókat, tűzfalakat, felhőalapú hálózatokat, VPN-rendszereket, valamint a támogató szolgáltatásokat, például a DNS-t és a proxykiszolgálókat. A követelmények a hálózatokkal kapcsolatba kerülő belső munkatársakra és külső harmadik fél szolgáltatókra egyaránt vonatkoznak. A szabályzat kiemelt elemei közé tartozik a kötelező hálózati szegmentálás, az egyértelmű tűzfalkonfigurációs protokollok, a biztonságos útválasztási szabványok, valamint a hálózati tevékenységek folyamatos központi monitorozása és naplózása. Az irányítási struktúra egyértelmű, és olyan szerepköröket kötelez meghatározott felelősségek betartására, mint az információbiztonsági vezető (CISO), a hálózatbiztonsági vezető, a biztonsági műveleti központ (SOC), az informatikai üzemeltetés, valamint a harmadik fél beszállítók; a felelősségek kiterjednek a biztonságos hálózattervezésre, az operatív monitorozásra, a változáskezelésre és az incidensreagálásra. A szabályzat nemcsak a rutinszerű hálózatüzemeltetésre állít elvárásokat, hanem a kivételek kezelésére is – például örökölt rendszerek függőségei esetén – kontrollált, kockázatértékelésen alapuló jóváhagyási folyamattal. Minden kivételjóváhagyást az információbiztonsági irányítási rendszerben rögzítenek, szigorú 90 napos felülvizsgálati ciklussal, biztosítva, hogy hosszú távú sérülékenységek ne maradjanak figyelmen kívül. A támadási felület csökkentése és a megfelelési kötelezettségek teljesítése érdekében a szabályzat előírja, hogy minden peremhálózatot következő generációs tűzfalakkal kell védeni állapottartó csomagvizsgálattal, alkalmazásszűréssel és behatolásmegelőzéssel. A belső hálózatokat éles környezet, fejlesztés, felhasználói és vendégterületek között kell szegmentálni, tűzfalak és virtuális helyi hálózatok (VLAN-ok) alkalmazásával a szigorú hozzáférés-ellenőrzés kikényszerítésére. A VPN- és távoli hozzáférési megoldásoknak titkosítást és többtényezős hitelesítést kell használniuk, míg a vezeték nélküli hálózatok esetében vállalati szintű biztonsági protokollok és vendég-elkülönítés kötelező. A felhő- és hibrid környezetek sem kivételek: a biztonsági csoportszabályokat, az auditált VPN-kapcsolatokat és a felhőnatív tűzfalbeállításokat szigorúan kezelni kell. A monitorozás és észlelés területén alapkövetelmény a folyamatos naplózás központosított SIEM-be, az anomáliadetektálás NDR-en keresztül, valamint a meghatározott naplómegőrzési időszakok. Az időszakos szabályzatfelülvizsgálatok és auditok kötelezőek, és új fenyegetések, hálózati változások, szabályozási frissítések vagy auditmegállapítások válthatják ki őket. A meg nem felelés – beleértve a kontrollok szándékos megkerülését – fegyelmi intézkedésekhez, szerződéses szankciókhoz vagy a szabályozások szerinti incidensbejelentéshez vezethet. Végül a hálózatbiztonsági szabályzat meghatározza a kapcsolódásait más kritikus szervezeti szabályzatokhoz is, beleértve az alapozó biztonságot, a hozzáférés-vezérlést, a változáskezelést, az eszközkezelést, a naplózási és monitorozási szabályzatot, valamint az incidenskezelési szabályzatot, a mélységi védelem megközelítésének támogatására.