Segment the organisation’s network in accordance with its risk profile. Segment (divide) the network into zones with different needs for communication, exposure, function and roles. For example, one could consider creating separate zones for system administration, application servers, organisation-operated clients, industrial production (e.g. SCADA and industrial control systems), internet access, wireless networks, guest clients and externally available services (e.g. web servers). In data centres servers can be segmented into security groups such as a data plane (data going through the network), control plane (data going to network devices) and management plane (management data going to network devices). One could also consider creating a network architecture with even more granular zone segmentation, e.g. by department or by group of devices. Please note that one can create zones in many different ways: VLAN zones, virtualised networks, micro segmentation etc. Zones should be managed centrally, not locally on each switch. Use the chosen segmentation model to manage data flow, see principle 2.5 – Control data flow.
Ympäristöissä, joissa on virtuaalisia ja fyysisiä kerroksia, verkkokäytäntöjen epäjohdonmukaisuus voi aiheuttaa esimerkiksi järjestelmäkatkoksia tai viallisen kulunvalvonnan.
Organisaation on varmistettava, että virtuaalisten verkkojen määritykset ovat fyysisten verkkojen määrityskäytäntöjen mukaisia. Verkkomäärityksen tulee vastata käytäntöjä riippumatta siitä, mitä keinoja määritykseen käytetään.
Verkkojen erottelua käytetään jakamaan verkot pienempiin osiin (kutsutaan aliverkoiksi tai segmenteiksi). Päätarkoituksena on saavuttaa pienimmän oikeuden periaate rajoittamalla pääsyä esim. käyttäjälle tai mille tahansa tietylle laitteelle.
Pilvipalveluita tarjoaessaan organisaation tulee ottaa käyttöön verkkoyhteyksien erottelu, jotta:
Organisaation tulee pystyä auttamaan asiakasta varmistamaan erottelun toteutus.
Tietojenkäsittely-ympäristö on erotettu julkisista tietoverkoista ja muista heikomman turvallisuustason ympäristöistä riittävän turvallisella tavalla.
Tietojärjestelmien erottelu on eräs vaikuttavimmista tekijöistä salassa pidettävän tiedon suojaamisessa. Erottelun tavoitteena on rajata salassa pidettävän tiedon käsittely-ympäristö hallittavaksi kokonaisuudeksi, ja erityisesti pystyä rajaamaan salassa pidettävän tiedon käsittely vain riittävän turvallisiin ympäristöihin. Ympäristöjen erottelu voidaan toteuttaa esimerkiksi palomuuriratkaisun avulla.
Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava monitasoisen suojaamisen periaatteen mukaisesti.
Tietoliikenneverkon jakaminen ko. turvallisuusluokan sisällä erillisille verkkoalueille (vyöhykkeet ja segmentit) voi tarkoittaa esimerkiksi tietojen suojaamisen näkökulmasta tarkoituksenmukaista työasema- ja palvelinerottelua, kattaen myös mahdolliset hankekohtaiset erottelutarpeet.
Vaatimus voidaan täyttää alla mainituilla toimenpiteillä:
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
