Skip to main content

8.21 Bezpieczeństwo usług sieciowych

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczeństwo systemów i sieci
Obszary operacyjne: Ochrona

Kontrola

Mechanizmy bezpieczeństwa, poziomy usług oraz wymagania dotyczące usług sieciowych powinny być zidentyfikowane, wdrożone i monitorowane.

Cel

Zapewnienie bezpieczeństwa podczas korzystania z usług sieciowych.

Wytyczne

Środki bezpieczeństwa niezbędne dla określonych usług, takie jak funkcje zabezpieczeń, poziomy usług i wymagania dotyczące usług, powinny zostać zidentyfikowane i wdrożone przez wewnętrznych lub zewnętrznych dostawców usług sieciowych. Organizacja powinna zapewnić, że dostawcy usług sieciowych wdrażają te środki.

Zdolność dostawcy usług sieciowych do zarządzania uzgodnionymi usługami w sposób bezpieczny powinna być określona i regularnie monitorowana. Należy uzgodnić prawo do audytu pomiędzy organizacją a dostawcą. Organizacja powinna również rozważyć certyfikaty bezpieczeństwa dostawców usług jako dowód na utrzymywanie odpowiednich środków bezpieczeństwa.

Należy sformułować i wdrożyć zasady dotyczące korzystania z sieci i usług sieciowych, obejmujące:

a) sieci i usługi sieciowe, do których dostęp jest dozwolony;
b) wymagania dotyczące uwierzytelniania w celu uzyskania dostępu do różnych usług sieciowych;
c) procedury autoryzacji określające, kto może uzyskać dostęp do określonych sieci i usług sieciowych;
d) zarządzanie siecią oraz techniczne kontrole i procedury chroniące dostęp do połączeń i usług sieciowych;
e) metody uzyskiwania dostępu do sieci i usług sieciowych [np. wykorzystanie sieci VPN lub sieci bezprzewodowej];
f) czas, lokalizację i inne atrybuty użytkownika w momencie uzyskania dostępu;
g) monitorowanie wykorzystania usług sieciowych.

Należy rozważyć następujące funkcje bezpieczeństwa usług sieciowych:

a) technologie stosowane w celu zabezpieczenia usług sieciowych, takie jak uwierzytelnianie, szyfrowanie i kontrola połączeń sieciowych;
b) parametry techniczne wymagane do zabezpieczonego połączenia z usługami sieciowymi zgodnie z zasadami bezpieczeństwa i połączeń sieciowych;
c) pamięć podręczna (np. w sieci dostarczania treści - CDN) oraz parametry umożliwiające użytkownikom wybór jej stosowania zgodnie z wymaganiami dotyczącymi wydajności, dostępności i poufności;
d) procedury dotyczące korzystania z usług sieciowych w celu ograniczenia dostępu do usług sieciowych lub aplikacji, jeśli jest to konieczne.

Inne informacje

Usługi sieciowe obejmują zapewnienie połączeń, prywatne usługi sieciowe oraz zarządzane rozwiązania bezpieczeństwa sieci, takie jak zapory sieciowe i systemy wykrywania włamań. Usługi te mogą obejmować zarówno proste pasmo transmisji danych bez zarządzania, jak i złożone, wartościowe usługi dodatkowe.

Więcej informacji dotyczących zarządzania dostępem można znaleźć w ISO/IEC 29146.