Skip to main content

8.22 Segregacja sieci

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczeństwo systemów i sieci
Obszary operacyjne: Ochrona

Kontrola

Grupy usług informacyjnych, użytkowników i systemów informacyjnych powinny być segregowane w sieciach organizacji.

Cel

Podział sieci na granice bezpieczeństwa i kontrolowanie ruchu między nimi na podstawie potrzeb biznesowych.

Wytyczne

Organizacja powinna zarządzać bezpieczeństwem dużych sieci poprzez ich podział na odrębne domeny sieciowe i oddzielenie ich od sieci publicznych (np. Internetu). Podział może być dokonany na podstawie:

  • poziomu zaufania, krytyczności i wrażliwości systemów (np. domena dostępu publicznego, domena stacji roboczych, domena serwerów, systemy niskiego i wysokiego ryzyka),
  • jednostek organizacyjnych (np. HR, finanse, marketing),
  • kombinacji powyższych (np. domena serwerowa łącząca wiele jednostek organizacyjnych).

Segregacja może być realizowana poprzez fizyczne oddzielenie sieci lub zastosowanie logicznych segmentów sieciowych.

Obszar każdej domeny powinien być dobrze zdefiniowany. Jeśli dostęp między domenami jest dozwolony, powinien być kontrolowany na granicy za pomocą bramy sieciowej (np. firewall, router filtrujący). Kryteria segregacji i dostępu między domenami powinny być określone na podstawie analizy wymagań bezpieczeństwa, zgodnie z polityką kontroli dostępu (zob. 5.15), wymaganiami dotyczącymi dostępu, wartością i klasyfikacją przetwarzanych informacji oraz kosztami i wpływem na wydajność.

Sieci bezprzewodowe wymagają szczególnego podejścia ze względu na słabo zdefiniowane granice sieci. Należy rozważyć:

  • dostosowanie zasięgu radiowego w celu segregacji sieci bezprzewodowych,
  • traktowanie całego dostępu bezprzewodowego jako połączeń zewnętrznych i stosowanie bramy zabezpieczającej dostęp do systemów wewnętrznych (zob. 8.20),
  • segregację sieci dla gości od sieci używanej przez pracowników, jeśli pracownicy korzystają wyłącznie z urządzeń końcowych zgodnych z polityką organizacji,
  • stosowanie takich samych ograniczeń dla sieci WiFi dla gości jak dla sieci pracowników, aby zapobiec korzystaniu z niej przez pracowników.

Inne informacje

Sieci często wykraczają poza granice organizacyjne, gdyż w ramach współpracy biznesowej wymagane jest połączenie lub współdzielenie systemów i infrastruktury sieciowej. Takie rozszerzenia mogą zwiększać ryzyko nieautoryzowanego dostępu do systemów organizacji, które wymagają ochrony ze względu na ich wrażliwość lub krytyczność.

Więcej informacji dotyczących bezpieczeństwa sieci można znaleźć w ISO/IEC 27033.