Network management

The organization shall list all relevant protected assets to determine ownership and to ensure that security measures cover all necessary items.

A large portion of the protected assets (including data sets, data systems, personnel / units, and partners) are treated through other tasks. In addition, the organization must list other important assets, which may be, depending on the nature of its operations, e.g. hardware (servers, network equipment, workstations, printers) or infrastructure (real estate, power generation, air conditioning). In addition the organization should make sure that relevant external devices are documented.

Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.

Suodatuksen ja valvonnan toiminnan varmistamiseksi:

• Järjestelmille on nimetty omistaja, joka huolehtii järjestelmän tarkoituksenmukaisesta toiminnasta huolehditaan koko tietojenkäsittely-ympäristön elinkaaren ajan
• Liikennettä suodattavien tai valvovien järjestelmien asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu järjestelmän omistajalle
• Verkon ja siihen liittyvien suodatus- ja valvontajärjestelmien dokumentaatiota ylläpidetään sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia
• Järjestelmien asetukset ja haluttu toiminta tarkastetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä

Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.

Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:

• luottamustason (esim. julkinen, työasemat, palvelin)
• organisaatioyksiköiden (esim. HR, taloushallinto)
• tai jonkin yhdistelmän mukaan (esim. palvelimen verkkoalue, joka on yhdistetty useisiin organisaatioyksiköihin)

Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

• Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
• Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
• Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
• Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
• Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
• Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
• Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
• Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
• Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
• Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.