Politika varnosti omrežja

Politika varnosti omrežja (dokument P21) je bila razvita za vzpostavitev strogih kontrol nad notranjimi in zunanjimi organizacijskimi omrežji ter za zaščito pred nepooblaščenim dostopom, motnjami storitev, prestrezanjem podatkov in zlorabo. Njeni primarni cilji vključujejo varovanje zaupnosti, celovitosti in razpoložljivosti podatkov med prenosom in v mirovanju, hkrati pa je tesno usklajena s ključnimi regulativnimi in standardnimi zahtevami, kot so ISO/IEC 27001:2022, GDPR, člen 32, Direktiva NIS2, DORA in COBIT 2019. Ta robustna politika velja globalno za vso omrežno infrastrukturo, vključno s fizičnimi, virtualnimi, v oblaku in hibridnimi okolji. V svojem celovitem obsegu navaja usmerjevalnike, stikala, požarne zidove, omrežja v oblaku, sisteme VPN in tudi podporne storitve, kot so DNS in proxy strežniki. Tako notranje osebje kot zunanji ponudniki storitev, ki sodelujejo s temi omrežji, so zavezani zahtevam, določenim v politiki. Med pomembnimi značilnostmi politike so obvezna segmentacija omrežja, izrecni protokoli konfiguracije požarnih zidov, standardi varnega usmerjanja ter stalno centralno spremljanje in revizijsko beleženje omrežnih dejavnosti. Upravljanje je jasno strukturirano in zavezuje vloge, kot so vodja informacijske varnosti (CISO), vodja varnosti omrežja, center za varnostne operacije (SOC), IT-operacije in dobavitelji tretjih oseb, da upoštevajo opredeljene odgovornosti za varno zasnovo omrežja, operativno spremljanje, upravljanje sprememb in odziv na incidente. Politika določa pričakovanja ne le za rutinsko upravljanje omrežja, temveč tudi za obravnavo izjem, kot so odvisnosti od zastarelih sistemov, prek nadzorovanega, na tveganjih temelječega odobritvenega postopka. Vse odobritve izjem se evidentirajo v sistemu upravljanja informacijske varnosti (ISMS) s strogim 90-dnevnim ciklom pregleda, kar zagotavlja, da se dolgoročne ranljivosti ne spregledajo. Za zmanjšanje napadalnih površin in izpolnjevanje obveznosti skladnosti politika določa, da morajo biti vsa mejna omrežja zaščitena s požarnimi zidovi naslednje generacije s stanjsko inšpekcijo, filtriranjem aplikacij in preprečevanjem vdorov. Notranja omrežja je treba segmentirati med produkcijsko okolje, razvoj, uporabniška in gostujoča območja, pri čemer se uporabljajo požarni zidovi in virtualna lokalna omrežja (VLAN) za uveljavljanje strogega nadzora dostopa. Rešitve VPN in oddaljeni dostop morajo uporabljati šifriranje in večfaktorsko avtentikacijo (MFA), brezžična omrežja pa morajo uvesti varnostne protokole na ravni podjetja in ločevanje gostov. Okolja v oblaku in hibridna okolja niso izvzeta; pravila varnostnih skupin, revidirane povezave VPN in nastavitve požarnih zidov, izvorno v oblaku, morajo biti strogo upravljane. Za spremljanje in zaznavanje so ključne zahteve stalno revizijsko beleženje v centraliziranem SIEM, zaznavanje anomalij prek NDR ter določena obdobja hrambe dnevnikov. Periodični pregledi politike in presoje so obvezni ter se sprožijo ob novih grožnjah, spremembah omrežja, regulativnih posodobitvah ali ugotovitvah presoje. Neskladnost, vključno z namernim izogibanjem kontrolam, vodi do disciplinskih ukrepov, pogodbenih kazni ali poročanja o kršitvah v skladu s predpisi. Na koncu Politika varnosti omrežja določa tudi povezave z drugimi ključnimi organizacijskimi politikami, vključno s temeljnimi politikami varnosti, nadzorom dostopa, upravljanjem sprememb, upravljanjem sredstev, revizijskim beleženjem in spremljanjem ter odzivom na incidente, za večplastni pristop obrambe v globino.