Politika bezpečnosti siete

Politika bezpečnosti siete (Dokument P21) bola vypracovaná s cieľom zaviesť prísne kontrolné opatrenia nad internými aj externými sieťami organizácie a poskytovať ochranu pred neoprávneným prístupom, narušením služieb, zachytením údajov a zneužitím. Jej hlavné ciele zahŕňajú ochranu dôvernosti, integrity a dostupnosti údajov počas prenosu aj v pokoji, pri úzkom zosúladení s kľúčovými regulačnými a normatívnymi požiadavkami, ako sú ISO/IEC 27001:2022, GDPR článok 32, smernica NIS2, DORA a COBIT 2019. Táto robustná politika sa uplatňuje globálne na všetky sieťové infraštruktúry vrátane fyzických, virtuálnych, cloudových a hybridných prostredí. V rámci svojho komplexného rozsahu uvádza smerovače, prepínače, firewally, cloudové siete, systémy virtuálnej privátnej siete (VPN) a aj podporné služby, ako sú DNS a proxy servery. Požiadavky sa vzťahujú na interných zamestnancov aj poskytovateľov služieb tretích strán, ktorí s týmito sieťami interagujú. Medzi významné prvky politiky patrí povinná segmentácia siete, explicitné protokoly konfigurácie firewallu, normy bezpečného smerovania a priebežné centralizované monitorovanie a auditné logovanie sieťových aktivít. Správa a riadenie je jasne štruktúrované a zaväzuje roly, ako sú riaditeľ informačnej bezpečnosti (CISO), manažér informačnej bezpečnosti, centrum bezpečnostných operácií (SOC), prevádzka IT a aj dodávatelia tretích strán, dodržiavať definované zodpovednosti za bezpečný návrh siete, operatívne monitorovanie, riadenie zmien a reakciu na incidenty. Politika stanovuje očakávania nielen pre bežnú správu siete, ale aj pre ošetrenie výnimiek, napríklad pri závislostiach zastaraných systémov, prostredníctvom riadeného schvaľovacieho procesu založeného na riziku. Všetky schválenia výnimiek sú registrované v systéme manažérstva informačnej bezpečnosti (ISMS) s prísnym 90-dňovým cyklom preskúmania, aby sa zabezpečilo, že sa neprehliadnu dlhodobé zraniteľnosti. Na minimalizáciu útočných plôch a splnenie povinnosti súladu politika stanovuje, že všetky hraničné siete musia byť chránené pomocou firewallov novej generácie so stavovou inšpekciou, filtrovaním aplikácií a prevenciou prienikov. Interné siete sa majú segmentovať medzi produkčné prostredie, vývoj, používateľské a hosťovské oblasti, pričom sa majú používať firewally a virtuálne lokálne siete (VLAN) na vynucovanie prísneho riadenia prístupu. Riešenia virtuálnej privátnej siete (VPN) a vzdialený prístup musia využívať šifrovanie a viacfaktorovú autentifikáciu (MFA), zatiaľ čo bezdrôtové siete musia prijať bezpečnostné protokoly na úrovni podniku a oddelenie hostí. Cloudové a hybridné prostredia nie sú výnimkou: pravidlá bezpečnostných skupín, auditované prepojenia VPN a cloud-native nastavenia firewallu musia byť prísne riadené. Pre monitorovanie a detekciu sú integrálnymi požiadavkami nepretržité zaznamenávanie do centralizovaného SIEM, detekcia anomálií prostredníctvom NDR a nastavené obdobia uchovávania logov. Pravidelné preskúmania politiky a audity sú povinné a spúšťajú sa novými hrozbami, zmenami siete, regulačnými aktualizáciami alebo auditnými zisteniami. Nesúlad vrátane úmyselného obchádzania bezpečnostných kontrol vedie k disciplinárnym opatreniam, zmluvným sankciám alebo nahlasovaniu porušení v súlade s predpismi. Napokon, Politika bezpečnosti siete špecifikuje aj svoje prepojenia s ďalšími kritickými politikami organizácie vrátane základnej bezpečnosti, riadenia prístupu, riadenia zmien, správy aktív, Politiky zaznamenávania a monitorovania a Politiky reakcie na incidenty (P30) pre vrstvený prístup obrany do hĺbky.