Förbättra säkerheten med ISO 27002 Control 8.22: Network Segregation Strategies
När cyberbrottslingar äventyrar datanätverk, tjänster eller enheter, begränsar de sig inte till de tillgångar som äventyrats.
De utnyttjar det initiala intrånget för att infiltrera en organisations hela nätverk, få tillgång till känslig informationstillgångar eller för att utföra ransomware-attacker.
Till exempel kan cyberbrottslingar stjäla inloggningsuppgifterna för HR-anställda på ett sjukhus efter en framgångsrik nätfiskeattack och få tillgång till personalsystem.
De kan sedan använda denna åtkomstpunkt för att flytta i sidled över hela nätverket och upptäcka nätverk som är värd för känslig patientinformation. Detta intrång kan resultera i att informationstillgångar äventyras, utlösa driftstopp eller utsätta sjukhuset för en ransomware-attack.
Om sjukhuset hade tekniker för nätverkssegregering som brandväggar, virtuella nätverk eller serverisolering, skulle det sannolikt förhindra inkräktare från att få tillgång till känslig informationstillgångar och minimera effekten av intrånget.
Kontroll 8.22 tar upp hur organisationer kan implementera och underhålla lämpliga tekniker för nätverkssegregering för att eliminera risker för informationstillgångars tillgänglighet, integritet och konfidentialitet.
Syfte med kontroll 8.22
Kontroll 8.22 gör det möjligt för organisationer att dela upp sina datornätverk i delnätverk baserat på nivån av känslighet och kritik och begränsa trafikflödet mellan dessa olika delnätverk.
Detta hjälper organisationer att förhindra spridning av skadlig programvara eller virus från komprometterade nätverk till andra nätverk som lagrar känslig informationstillgångar.
Detta säkerställer att organisationer upprätthåller konfidentialitet, integritet och tillgänglighet för informationstillgångar som finns på viktiga undernätverk.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Attributtabell för kontroll 8.22
Kontroll 8.22 är förebyggande till sin natur eftersom den kräver att organisationer tar ett proaktivt tillvägagångssätt och upprättar och implementerar regler, procedurer och lämpliga tekniker för att dela upp det större datanätverket i mindre nätverksdomäner så att kompromisser mellan känsliga nätverk kan förhindras.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #System- och nätverkssäkerhet | #Skydd |
| #Integritet | ||||
| #Tillgänglighet |
Äganderätt till kontroll 8.22
Med tanke på att kontroll 8.22 innebär segmentering av nätverk, enheter och system baserat på risknivån och även implementering av tekniker och procedurer för nätverkssegregering, bör en informationssäkerhetsansvarig hållas ansvarig för efterlevnaden.
Allmän vägledning om efterlevnad
När de implementerar åtgärder för nätverkssegregering bör organisationer försöka hitta en balans mellan operativa behov och säkerhetsproblem.
Kontroll 8.22 listar tre rekommendationer som bör beaktas när nätverkssegregering implementeras.
Hur man separerar nätverket i mindre undernätverk
När de segregerar nätverket i mindre nätverksunderdomäner bör organisationer överväga nivån av känslighet och kritik av varje nätverksdomän. Beroende på denna analys kan nätverksunderdomäner tilldelas "public domäner", "skrivbordsdomäner", "serverdomäner" eller "högrisksystem".
Dessutom kan organisationer också överväga affärsavdelningar som HR, marknadsföring och ekonomi när de segregerar nätverket.
Det noteras också att organisationer kan kombinera dessa två kriterier och tilldela nätverkssubdomäner i kategorier som "serverdomän som ansluter till försäljningsavdelning".
Säkerhetsgränser och åtkomstkontroll
Organisationer bör definiera omkretsen för varje nätverksunderdomän tydligt. Om det kommer att finnas åtkomst mellan två olika nätverksdomäner bör denna åtkomst begränsas på perimeternivå via gatewayen såsom brandväggar eller filtreringsroutrar.
Organisationer bör bedöma säkerhetskraven för varje specifik domän när de implementerar nätverkssegregation och när de godkänner åtkomst via gateways.
Denna bedömning bör utföras i enlighet med policyn för åtkomstkontroll enligt kontroll 5.15 och bör även beakta följande:
- Klassificeringsnivå tilldelad informationstillgångar.
- Informationens kritik.
- Kostnad och praktiska överväganden för användning av en viss gateway-teknik.
Trådlösa nätverk
Med tanke på att det är svårt att definiera nätverkssäkerhetsparametrar för trådlösa nätverk, rekommenderar Control 8.22 att organisationer följer följande praxis:
- Användningen av tekniker för justering av radiotäckning för att separera trådlösa nätverk bör utvärderas.
- För känsliga nätverk kan organisationer anta alla försök till trådlös åtkomst som externa anslutningar och förhindra åtkomst till interna nätverk tills gatewaykontrollen godkänner åtkomst.
- Om personal endast använder sina egna enheter i enlighet med organisationens policy, bör den trådlösa nätverksåtkomsten som tillhandahålls för personal och för gäster vara åtskild.
- Användning av Wi-Fi av gäster bör omfattas av samma restriktioner och kontroller som gäller för personalen.
Kompletterande vägledning om kontroll 8.22
Kontroll 8.22 noterar att organisationer ofta ingår olika affärspartnerskap med andra företag och delar sina nätverk, IT-enheter och andra informationsfaciliteter.
Därför kan känsliga nätverk utsättas för en ökad risk för obehörig åtkomst av andra användare och organisationer bör vidta lämpliga åtgärder för att förhindra denna risk.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022/8.22 replaces 27002:2013/(13.1.3)
Även om 2022- och 2013-versionerna i stor utsträckning liknar varandra, finns det en viktig skillnad.
Till skillnad från 2013-versionen innehåller 2022-versionen följande krav för trådlösa nätverk:
- Om personal endast använder sina egna enheter i enlighet med organisationens policy, bör den trådlösa nätverksåtkomsten som tillhandahålls för personal och för gäster vara åtskild.
- Gästernas användning av Wi-Fi bör omfattas av samma restriktioner och kontroller som gäller för personalen.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
ISMS.Online låter dig:
- Dokumentera dina processer. Detta intuitiva gränssnitt låter dig dokumentera dina processer utan att installera någon programvara på din dator eller nätverk.
- Automatisera din riskbedömningsprocess.
- Demonstrera efterlevnad enkelt med onlinerapporter och checklistor.
- Håll ett register över framstegen medan du arbetar mot certifiering.
ISMS.Online erbjuder ett komplett utbud av funktioner för att hjälpa organisationer och företag att uppnå överensstämmelse med industristandarden ISO 27001 och/eller ISO 27002 ISMS.
Vänligen kontakta oss idag för att BOKA EN DEMO.
Hoppa till ämnet
