Skip to main content

8.20 Bezpieczeństwo sieci

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Detekcyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Ochrona, Wykrywanie, Bezpieczeństwo systemów i sieci
Obszary operacyjne: Ochrona

Kontrola

Sieci oraz urządzenia sieciowe powinny być zabezpieczone, zarządzane i kontrolowane w celu ochrony informacji w systemach i aplikacjach.

Cel

Ochrona informacji przesyłanych w sieciach oraz zabezpieczenie wspierających je systemów przetwarzania informacji przed kompromitacją za pośrednictwem sieci.

Wytyczne

Należy wdrożyć odpowiednie środki kontroli w celu zapewnienia bezpieczeństwa informacji w sieciach oraz ochrony połączonych usług przed nieautoryzowanym dostępem. W szczególności należy uwzględnić:

a) określenie rodzaju i poziomu klasyfikacji informacji, jakie mogą być przetwarzane w sieci;
b) ustanowienie odpowiedzialności oraz procedur zarządzania urządzeniami i sprzętem sieciowym;
c) utrzymywanie aktualnej dokumentacji, w tym diagramów sieci oraz plików konfiguracyjnych urządzeń (np. routerów, przełączników);
d) oddzielenie odpowiedzialności operacyjnej za sieci od operacji systemów ICT, jeśli jest to właściwe (zob. 5.3);
e) wdrożenie mechanizmów zapewniających poufność i integralność danych przesyłanych przez sieci publiczne, sieci stron trzecich lub sieci bezprzewodowe oraz ochronę podłączonych systemów i aplikacji (zob. 5.22, 8.24, 5.14 i 6.6). Mogą być także wymagane dodatkowe mechanizmy kontroli w celu utrzymania dostępności usług sieciowych i komputerów podłączonych do sieci;
f) odpowiednie logowanie i monitorowanie w celu rejestrowania i wykrywania działań mogących wpływać na bezpieczeństwo informacji (zob. 8.16 i 8.15);
g) ścisła koordynacja działań zarządzania siecią w celu optymalizacji usług oraz zapewnienia spójnego stosowania środków ochrony w całej infrastrukturze przetwarzania informacji;
h) uwierzytelnianie systemów w sieci;
i) ograniczenie i filtrowanie połączeń systemów z siecią (np. poprzez stosowanie zapór sieciowych);
j) wykrywanie, ograniczanie i uwierzytelnianie podłączania urządzeń i sprzętu do sieci;
k) utwardzanie (hardening) urządzeń sieciowych;
l) segregowanie kanałów administracyjnych sieci od innego ruchu sieciowego;
m) tymczasowa izolacja krytycznych podsieci (np. poprzez zastosowanie mechanizmów izolacyjnych) w przypadku ataku na sieć;
n) wyłączanie podatnych protokołów sieciowych.

Organizacja powinna zapewnić odpowiednie mechanizmy bezpieczeństwa dla wirtualizowanych sieci. Wirtualizowane sieci obejmują także technologie takie jak Software-Defined Networking (SDN) oraz Software-Defined Wide Area Network (SD-WAN). Wirtualizowane sieci mogą zwiększać bezpieczeństwo poprzez umożliwienie logicznej separacji komunikacji odbywającej się w fizycznych sieciach, szczególnie w przypadku systemów i aplikacji wdrażanych w modelu rozproszonego przetwarzania.

Inne informacje

Dodatkowe informacje dotyczące bezpieczeństwa sieci można znaleźć w serii norm ISO/IEC 27033.
Więcej informacji dotyczących wirtualizowanych sieci można znaleźć w ISO/IEC TS 23167.