Polityka bezpieczeństwa sieci

Polityka bezpieczeństwa sieci (Dokument P21) została opracowana w celu ustanowienia rygorystycznych środków kontrolnych dla sieci organizacji – zarówno wewnętrznych, jak i zewnętrznych – zapewniając ochronę przed nieuprawnionym dostępem, zakłóceniem usług, przechwytywaniem danych oraz nadużyciami. Jej główne cele obejmują ochronę poufności, integralności i dostępności danych w tranzycie i w spoczynku, przy jednoczesnym ścisłym dostosowaniu do kluczowych wymagań regulacyjnych i norm, takich jak ISO/IEC 27001:2022, RODO art. 32, dyrektywa NIS2, DORA oraz COBIT 2019. Ta solidna polityka ma zastosowanie globalnie do całej infrastruktury sieciowej, w tym środowisk fizycznych, wirtualnych, chmury obliczeniowej oraz środowisk hybrydowych. W jej zakresie znajdują się routery, przełączniki, zapory sieciowe, sieci oparte na chmurze, systemy wirtualnej sieci prywatnej (VPN), a także usługi wspierające, takie jak DNS i serwery proxy. Zarówno personel wewnętrzny, jak i dostawcy usług stron trzecich, którzy wchodzą w interakcję z tymi sieciami, są związani określonymi wymaganiami. Do istotnych elementów polityki należą obowiązkowa segmentacja sieci, jednoznaczne protokoły konfiguracji zapór sieciowych, standardy bezpiecznego trasowania oraz stałe, centralne monitorowanie i rejestrowanie audytowe aktywności sieciowej. Zarządzanie jest jasno ustrukturyzowane i zobowiązuje role takie jak Dyrektor ds. bezpieczeństwa informacji (CISO), menedżer ds. bezpieczeństwa sieci, centrum operacji bezpieczeństwa (SOC), operacje IT, a także zewnętrzni dostawcy do przestrzegania zdefiniowanych odpowiedzialności w zakresie bezpiecznego projektowania sieci, monitorowania operacyjnego, zarządzania zmianami oraz reagowania na incydenty. Polityka określa oczekiwania nie tylko dla rutynowego zarządzania siecią, ale również dla obsługi wyjątków, takich jak zależności od systemów przestarzałych, poprzez kontrolowany proces zatwierdzania oparty na ryzyku. Wszystkie zatwierdzenia odstępstw są rejestrowane w Systemie Zarządzania Bezpieczeństwem Informacji (SZBI) z rygorystycznym 90-dniowym cyklem przeglądu, co zapewnia, że długoterminowe podatności nie zostaną pominięte. Aby zminimalizować powierzchnię ataku i spełnić zobowiązania dotyczące zgodności, polityka stanowi, że wszystkie sieci brzegowe muszą być chronione przy użyciu zapór nowej generacji z inspekcją stanową, filtrowaniem aplikacji oraz zapobieganiem włamaniom. Sieci wewnętrzne mają być segmentowane pomiędzy obszary produkcyjne, rozwojowe, użytkowników i gości, z wykorzystaniem zapór sieciowych oraz wirtualnych sieci lokalnych (VLAN) w celu egzekwowania ścisłej kontroli dostępu. Rozwiązania wirtualnej sieci prywatnej (VPN) i dostęp zdalny muszą wykorzystywać szyfrowanie oraz uwierzytelnianie wieloskładnikowe, natomiast sieci bezprzewodowe muszą stosować protokoły bezpieczeństwa klasy korporacyjnej oraz separację sieci gościnnej. Środowiska chmury obliczeniowej i hybrydowe nie są wyłączone – reguły grup zabezpieczeń, audytowane łącza VPN oraz natywne ustawienia zapór w chmurze muszą być ściśle zarządzane. W zakresie monitorowania i wykrywania wymagane są ciągłe rejestrowanie do scentralizowanego SIEM, wykrywanie anomalii poprzez NDR oraz określone okresy przechowywania logów. Okresowe przeglądy polityki i audyty są obowiązkowe i mogą być wyzwalane przez nowe zagrożenia, zmiany sieci, aktualizacje regulacyjne lub ustalenia z audytu. Niezgodność, w tym celowe omijanie kontroli bezpieczeństwa, skutkuje środkami dyscyplinarnymi, karami umownymi lub zgłaszaniem naruszeń zgodnie z regulacjami. Na koniec Polityka bezpieczeństwa sieci określa również powiązania z innymi krytycznymi politykami organizacyjnymi, w tym z politykami dotyczącymi bezpieczeństwa podstawowego, kontroli dostępu, zarządzania zmianami, zarządzania aktywami, rejestrowania i monitorowania oraz reagowania na incydenty, wspierając podejście obrony w głąb.