Přezkum pravidel firewallu pro ISO 27001, NIS2, DORA a GDPR

Je 07:42 v pondělí ráno. CISO rostoucího poskytovatele SaaS a FinTech služeb se dívá na tři samostatné zprávy.

První je ze SOC. Kompromitovaná vývojářská pracovní stanice se přes noc pokusila připojit k interní databázové podsíti. Provoz byl zablokován, ale analytik požaduje potvrzení, že pravidlo firewallu je záměrné, aktuální a schválené.

Druhá zpráva přišla od velkého podnikového zákazníka. Požaduje důkazy, že produkční, vývojové, podnikové a podpůrné prostředí jsou segmentována, že pravidla firewallu se přezkoumávají a že výjimky mají stanovenou expiraci.

Třetí zpráva je od manažera souladu. Organizace spadá do působnosti NIS2 jako důležitý digitální poskytovatel, má odpovědnosti podle GDPR jako zpracovatel a zákazníci z finančních služeb požadují důkazy o řízení rizik v oblasti ICT ve stylu DORA. Řídicí orgán chce vědět, zda stejné důkazy podle ISO/IEC 27001:2022 mohou pokrýt všechny tři oblasti.

Poté dorazí přezkum po incidentu. Vývojový server byl během noční změny téměř vystaven internetu. K žádné ztrátě zákaznických dat nedošlo, ale forenzní tým zjistil něco horšího než původní chybu: pět let staré „dočasné testovací“ pravidlo firewallu stále umožňovalo široký pohyb mezi vývojem a produkcí. Pokud by útočník získal přístup, síť by kladla jen malý odpor.

Právě v takové chvíli mnoho organizací zjistí nepříjemnou pravdu. Mohou mít firewally, VLAN, cloudové bezpečnostní skupiny a diagramy, ale nemají řízení nad segmentačními zónami, vlastnictvím pravidel, dočasným přístupem, schvalováním změn, recertifikací a auditními důkazy.

V roce 2026 není odpověď „máme firewall“ obhajitelná. Auditoři, regulátoři, zákazníci i pojistitelé chtějí důkaz, že sítě jsou záměrně oddělené, provoz je řízen podle obchodní potřeby, rizikové výjimky podléhají správě a logy ukazují, že opatření fungují.

Proč je řízení firewallů tématem pro řídicí orgány

Segmentace sítě bývala považována za technické inženýrské téma. Týmy infrastruktury vlastnily VLAN, správci firewallů udržovali sady pravidel, cloudové týmy spravovaly bezpečnostní skupiny a oblast souladu viděla při auditech jen diagram.

Tento provozní model již nefunguje.

Směrnice NIS2 vyžaduje, aby základní a důležité subjekty zavedly vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik pro sítě a informační systémy. Article 21 zahrnuje politiky pro analýzu rizik, zvládání incidentů, kontinuitu činností, zabezpečení dodavatelského řetězce, bezpečnost při pořizování a údržbě, hodnocení účinnosti, základní kybernetickou hygienu, řízení přístupu a správu aktiv. Řídicí orgány musí tato opatření pro řízení rizik kybernetické bezpečnosti schvalovat a dohlížet na ně.

DORA se od 17. ledna 2025 vztahuje na mnoho finančních subjektů a činí z řízení rizik v oblasti ICT řízenou a dokumentovanou disciplínu. Articles 5, 6 a 8 vyžadují správu a řízení, rámec řízení rizik v oblasti ICT a identifikaci podnikových funkcí podporovaných ICT, informačních aktiv, ICT aktiv, závislostí, kritických aktiv a propojení. Articles 9, 10 a 11 se věnují ochraně, prevenci, detekci, reakci a obnově. Articles 24 až 27 vyžadují testování digitální provozní odolnosti, včetně pokročilého testování u vybraných subjektů. Segmentace je proto otázkou odolnosti, nikoli jen otázkou firewallu.

GDPR přidává vrstvu odpovědnosti za ochranu osobních údajů. Article 32 vyžaduje vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající riziku, včetně důvěrnosti, integrity, dostupnosti a odolnosti. Article 5(1)(f) vyžaduje integritu a důvěrnost a Article 5(2) vyžaduje odpovědnost. Pokud jsou systémy s osobními údaji dosažitelné z kompromitovaných koncových bodů, hostovských sítí nebo nespravovaných cest třetích stran, může se dozorový úřad ptát, proč takové cesty existovaly.

ISO/IEC 27001:2022 poskytuje základ systému řízení, který tyto povinnosti propojuje. Vyžaduje rozsah, požadavky zainteresovaných stran, posouzení rizik, ošetření rizik, Prohlášení o použitelnosti, provozní plánování a řízení, odpovědnost vedení, měřitelné cíle, dokumentované informace a neustálé zlepšování. Příloha A, podporovaná pokyny ISO/IEC 27002:2022, zahrnuje oblasti opatření potřebné pro dodavatelské riziko, cloudové služby, protokolování, monitorování, bezpečnou architekturu, oddělení prostředí a řízení změn.

Pointa je jednoduchá: segmentace sítě a přezkum pravidel firewallu jsou dnes důkazem správy a řízení.

Provozní vzor Clarysec: 8.20, 8.22 a 8.32

Clarysec pojímá segmentaci a přezkum firewallu jako jeden provozní vzor napříč opatřeními ISO/IEC 27002:2022, nikoli jako izolované technické úkoly.

Tři primární opatření jsou:

V Zenith Blueprint: 30kroková roadmapa auditora [ZB] Clarysec zařazuje zabezpečení sítí do fáze Kontroly v praxi, krok 20: opatření 8.18 až 8.26. Průvodce formuluje klíčovou auditní otázku jasně:

„Ve své podstatě toto opatření vyžaduje, aby organizace zajistily, že sítě jsou bezpečné již svou architekturou, nikoli až dodatečným přidáním firewallů nebo antivirového programu. To znamená strategicky uvažovat o segmentaci sítě, řízení přístupu, šifrování při přenosu, monitorování a vícevrstvé ochraně. Začíná to jednoduchou otázkou: Kdo a co spolu komunikuje a má k tomu docházet?“

Tato otázka, „kdo a co spolu komunikuje a má k tomu docházet?“, je nejlepším praktickým výchozím bodem pro přezkum pravidel firewallu. Přesouvá diskusi od tisíců kryptických položek ACL k tokům odůvodněným obchodní potřebou.

Stejný Zenith Blueprint ukládá týmům posuzovat síťovou architekturu ověřením, že pravidla firewallu, IPS/IDS a konfigurace vzdáleného přístupu jsou aktuální a bezpečně nastavené, a potvrdit, že cloudové bezpečnostní skupiny, směrování a pravidla VPC nebo podsítí odpovídají zamýšlené architektuře. Auditorům také říká, že mají očekávat diagram architektury zabezpečení sítě, který zobrazuje firewally, VPN brány, zóny DMZ, oddělení VLAN a hranice důvěry.

Pro řízení změn zařazuje Zenith Blueprint opatření ISO/IEC 27002:2022 8.32 do fáze Kontroly v praxi, krok 21: opatření 8.27 až 8.34, a zdůrazňuje, proč řízení firewallů selhává, když je řízení změn slabé:

„Toto opatření uznává tvrdou realitu IT: mnoho incidentů není způsobeno útoky, ale špatně řízenou změnou. Příliš široce otevřené pravidlo firewallu. Ladicí nastavení ponechané zapnuté. Zapomenutá závislost po migraci.“

Přesně tak se dočasná otevření firewallu mění v trvalé útočné cesty.

Jak vypadá dobrá segmentace sítě

Vyspělý program segmentace má čtyři vrstvy.

Zaprvé má model zónování. Zóny nejsou libovolné podsítě. Jsou to hranice důvěry sladěné s obchodní funkcí a citlivostí dat, například internetově dostupná DMZ, produkční aplikační vrstva, produkční databázová vrstva, podniková uživatelská síť, síť privilegované správy, vývojové prostředí, testovací prostředí, záložní síť, hostovská Wi‑Fi, zóna OT nebo IoT a zóna přístupu třetích stran.

Zadruhé má matici toků. Pro každou dvojici zón organizace dokumentuje povolený zdroj, cíl, protokol, port, aplikaci, vlastníka za byznys, vlastníka systému, typ dat, odůvodnění a požadavek na protokolování.

Zatřetí má vlastnictví pravidel. Každé pravidlo firewallu, pravidlo cloudové bezpečnostní skupiny nebo politika softwarově definovaného perimetru má vlastníka, datum expirace nebo recertifikace, navázaný požadavek na změnu a obchodní odůvodnění. „Any to any“ má být považováno za zjištění, pokud není formálně akceptováno jako riziko, časově omezeno a podpořeno kompenzačními opatřeními.

Začtvrté má opakovaný přezkum. Přezkum znamená více než jednou ročně exportovat bázi pravidel firewallu. Zahrnuje recertifikaci vlastníky, porovnání s pozorovaným provozem, detekci nepoužívaných pravidel, ověření dočasných výjimek, přezkum internetové expozice, testování segmentace a sladění s evidencí aktiv.

Politika zabezpečení sítí [P-NS] společnosti Clarysec stanovuje podnikové očekávání jasně:

„Veškerý provoz mezi zónami musí být řízen firewally nebo řešeními softwarově definovaného perimetru s výslovnou konfigurací implicitního zamítnutí.“

Z podnikové Politiky zabezpečení sítí, část „Požadavky na správu a řízení“, ustanovení 5.2.

Stejná politika propojuje změny firewallu přímo s řízením změn:

„Jakákoli změna sad pravidel firewallu, směrovacích tabulek nebo konfigurací bezpečnostních skupin musí postupovat podle Politiky řízení změn (P5) organizace, včetně plánů návratu do původního stavu a auditního protokolování.“

Z podnikové Politiky zabezpečení sítí, část „Požadavky na správu a řízení“, ustanovení 5.4.

Pro SME poskytuje Politika zabezpečení sítí pro SME [P-NS-SME] společnosti Clarysec stejný princip v provozních termínech:

„Pravidla implicitního zamítnutí musí být vynucována pro všechna příchozí připojení, pokud nejsou výslovně požadována a schválena.“

Z Politiky zabezpečení sítí pro SME, část „Požadavky na implementaci politiky“, ustanovení 6.1.2.

A konkrétně pro segmentaci:

„Provoz mezi segmenty musí být filtrován a přístup mezi segmenty musí dodržovat zásadu minimálních oprávnění.“

Z Politiky zabezpečení sítí pro SME, část „Požadavky na implementaci politiky“, ustanovení 6.2.3.

Tato ustanovení politiky umožňují auditorovi dohledat vazbu od rizika k opatření, od opatření k pravidlu, od pravidla ke schválení a od schválení k logům.

Jeden balíček důkazů pro ISO 27001, NIS2, DORA a GDPR

Chybou mnoha týmů je vytváření samostatných balíčků důkazů: jeden pro ISO/IEC 27001:2022, jeden pro NIS2, jeden pro GDPR, jeden pro zákazníky požadující DORA a jeden pro kybernetické pojištění.

Lepším přístupem je vybudovat jeden balíček důkazů pro segmentaci a řízení firewallů, který se mapuje napříč rámci.

Zenith Controls: Průvodce křížovým souladem [ZC] mapuje opatření ISO/IEC 27002:2022 8.22 Oddělení sítí jako preventivní opatření podporující důvěrnost, integritu a dostupnost, sladěné s konceptem kybernetické bezpečnosti Protect a provozní schopností zabezpečení systémů a sítí. Propojuje 8.22 s 8.20 Zabezpečení sítí, 8.21 Zabezpečení síťových služeb, 8.7 Ochrana proti malwaru, 8.27 Principy bezpečné architektury a inženýrství systémů a 8.31 Oddělení vývojového, testovacího a produkčního prostředí.

Průvodce vysvětluje relevanci segmentace pro NIS2 takto:

„Oddělení sítí je přímou reakcí na tyto povinnosti, protože snižuje útočnou plochu a brání laterálnímu pohybu napříč síťovými systémy.“

Tato věta popisuje, proč programy kybernetické hygieny NIS2 nemají segmentaci považovat za volitelnou. Zamezení šíření ransomwaru není jen otázkou ochrany koncových bodů. Jde o omezení laterálního pohybu ve chvíli, kdy prevence selže.

Pro GDPR mapuje Zenith Controls 8.22 na Article 32 a Recital 49 a uvádí, že síťové diagramy a politiky zónování se stávají klíčovými důkazy souladu. Pro DORA mapuje Zenith Controls zabezpečení sítí a oddělení na řízení rizik v oblasti ICT a zamezení šíření incidentů. Testy segmentace mohou podpořit důkazy o odolnosti ICT, zejména pokud prokážou, že kompromitace jedné zóny se nemůže volně přesunout do kritických finančních služeb, repozitářů osobních údajů nebo systémů privilegované správy.

Tato tabulka není pouze mapováním souladu. Je to roadmapa pro sběr důkazů.

Přezkum pravidel firewallu, který skutečně funguje

Přezkum pravidel firewallu selže, pokud se ptá jen: „Je toto pravidlo stále potřeba?“ Vlastníci pravidel často odpovídají ano, protože se obávají, že něco rozbijí.

Lepší přezkum klade šest otázek:

1. Jakou obchodní službu toto pravidlo podporuje?
2. Který vlastník aktiva a vlastník dat schválil tento tok?
3. Je cíl ve správné zóně pro daná data a funkci?
4. Je pravidlo širší, než vyžaduje pozorovaný provoz?
5. Je pro vysoce rizikové toky zapnuto protokolování?
6. Má pravidlo datum přezkumu, datum expirace nebo záznam o výjimce?

Politika zabezpečení sítí pro SME vyžaduje pravidelný přezkum:

„Poskytovatel IT podpory musí provést každoroční přezkum pravidel firewallu, síťové architektury a bezdrátových konfigurací.“

Z Politiky zabezpečení sítí pro SME, část „Požadavky na správu a řízení“, ustanovení 5.6.1.

Roční přezkum je základ, nikoli horní hranice. Vysoce riziková pravidla vyžadují častější recertifikaci.

Politika zabezpečení sítí je ohledně výjimek výslovná:

„Žádost musí být přezkoumána a schválena manažerem ISMS nebo CISO a zaznamenána v registru výjimek ISMS, s maximální dobou schválení 90 dnů, obnovitelnou po opětovném posouzení.“

Z podnikové Politiky zabezpečení sítí, část „Ošetření rizik a výjimky“, ustanovení 7.3.

Pro SME vyžaduje Politika zabezpečení sítí pro SME, aby žádosti o výjimku obsahovaly správná minimální fakta:

„Žádost musí obsahovat odůvodnění, rozsah, dobu trvání a kompenzační opatření (např. seznam povolených IP adres, protokolování).“

Z Politiky zabezpečení sítí pro SME, část „Ošetření rizik a výjimky“, ustanovení 7.3.3.

Toto ustanovení mění ošetření výjimek z neformální konverzace na auditovatelné ošetření rizik.

Praktický příklad: odstranění rizikového pravidla produkční databáze

Předpokládejme, že společnost při přezkumu najde následující pravidlo:

Jde o klasické auditní zjištění. Porušuje zásadu minimálních oprávnění, nemá jasného vlastníka, expiraci, aktuální odůvodnění ani protokolování. Pokud produkční databáze obsahuje osobní údaje zákazníků, vytváří také expozici podle GDPR Article 32.

Proces nápravy má vytvářet důkazy, nikoli jen odstranit špatné pravidlo.

Politika protokolování a monitorování [P-LM] společnosti Clarysec zahrnuje externí komunikaci a spouštěče pravidel firewallu mezi události relevantní pro protokolování:

„Externí komunikace a spouštěče pravidel firewallu“

Z podnikové Politiky protokolování a monitorování, část „Požadavky na implementaci politiky“, ustanovení 6.1.1.6.

U vysoce rizikových pravidel mezi zónami mají spouštěče firewallu vstupovat do SIEM nebo monitorovací platformy s upozorněními na neobvyklé zdrojové hostitele, objemy nebo časová okna.

Politika pro SME vyžaduje také kázeň při změnách:

„Všechny změny síťových konfigurací (pravidla firewallu, ACL přepínačů, směrovací tabulky) musí postupovat podle dokumentovaného procesu řízení změn.“

Z Politiky zabezpečení sítí pro SME, část „Požadavky na implementaci politiky“, ustanovení 6.9.1.

Jediné vyčištění tohoto pravidla vytváří důkazy pro provozní řízení podle ISO/IEC 27001:2022, ISO/IEC 27002:2022 8.20, 8.22 a 8.32, kybernetickou hygienu NIS2, GDPR Article 32 a řízení rizik v oblasti ICT ve stylu DORA.

Cloud, SaaS a hybridní sítě musí být zahrnuty

Moderní segmentace nejsou pouze VLAN a fyzické firewally. Zahrnují bezpečnostní skupiny AWS, skupiny zabezpečení sítě Azure, síťové politiky Kubernetes, cloudové směrovací tabulky, seznamy povolených položek pro správce SaaS, privátní endpointy, VPN, SD-WAN, proxy s vazbou na identitu a opatření softwarově definovaného perimetru.

U poskytovatele SaaS nebo regulované digitální služby má přezkum pravidel firewallu zahrnovat alespoň:

• internetově dostupné vyvažovače zátěže a aplikační brány
• cloudové bezpečnostní skupiny a síťové ACL
• směrovací tabulky privátních podsítí
• cesty peeringu a transit gateway
• cesty VPN a vzdálené administrace
• administrátorská rozhraní a řídicí roviny
• Kubernetes ingress a síťové politiky
• přístup běhových agentů CI/CD do produkčního prostředí
• pokrytí protokolováním pro zamítnuté a povolené vysoce rizikové toky
• podpůrný přístup třetích stran a cesty nouzového přístupu „break-glass“

Pokud cloudová bezpečnostní skupina umožňuje příchozí databázový provoz ze širokého rozsahu podnikových IP adres, zacházejte s ní jako s pravidlem firewallu. Potřebuje vlastnictví, odůvodnění, schválení, přezkum, protokolování a expiraci.

Zde také podpůrné normy ISO posilují celkový příběh. ISO/IEC 27017 podporuje jasné vymezení odpovědností za cloudovou bezpečnost. ISO/IEC 27033 poskytuje hlubší pokyny k architektuře zabezpečení sítě, DMZ, segmentačním zónám, filtrování provozu a bezpečné komunikaci mezi sítěmi. ISO/IEC 27701 posiluje správu ochrany soukromí tam, kde se osobně identifikovatelné údaje pohybují napříč sítěmi. ISO/IEC 27035 podporuje zamezení šíření incidentů a ISO/IEC 27005 podporuje výběr segmentace jako ošetření rizik pro neoprávněný přístup, šíření malwaru a laterální pohyb.

Jak auditoři testují stejné opatření odlišně

Jednou ze silných stránek Zenith Controls je vysvětlení, jak různé auditní metodiky zkoumají stejné opatření. Důkazy lze znovu použít, ale otázky se liší.

Hodnotitel zaměřený na DORA se může ptát, zda kompromitace platební brány může pivotovat do zákaznických databází. Příslušný orgán podle NIS2 se může ptát, zda ransomware na administrátorské pracovní stanici může dosáhnout klíčových systémů poskytování služeb. Dozorový úřad GDPR se může ptát, jaká omezení na úrovni sítě chránila systémy zpracovávající osobní údaje. Auditor ISO se může jednoduše zeptat na posouzení rizik, SoA, politiku, postup a důkaz, že přezkumy proběhly.

Nejlepší programy odpovídají na všechny tyto otázky stejnými artefakty.

Metriky, které zviditelňují segmentaci pro vedení

NIS2 i DORA posilují odpovědnost vedení. ISO/IEC 27001:2022 vyžaduje vedení, cíle, role, zdroje, reportování a neustálé zlepšování. Segmentace proto potřebuje metriky, kterým vedení rozumí.

Užitečné manažerské metriky zahrnují:

• procento pravidel firewallu s přiřazeným vlastníkem
• procento pravidel s dokumentovaným obchodním odůvodněním
• počet expirovaných dočasných pravidel
• počet pravidel s hodnotou „any“ ve zdroji, cíli nebo službě
• počet internetově vystavených služeb podle kritičnosti
• procento vysoce rizikových toků mezi zónami se zapnutým protokolováním
• počet nouzových změn firewallu za čtvrtletí
• procento vzorkovaných pravidel spárovaných se schválenými požadavky na změnu
• počet selhání testů segmentace
• průměrná doba nápravy rizikových nebo nepoužívaných pravidel
• počet výjimek starších než 90 dnů
• počet pravidel přístupu třetích stran, která byla přezkoumána a recertifikována

Politika zabezpečení sítí uvádí „účinnost pravidel firewallu“ jako aspekt souladu a vynucování v části „Vynucování a dodržování“, ustanovení 8.2.2. Tato formulace je důležitá, protože samotná existence pravidel nestačí. Pravidla musí být účinná, přezkoumávaná a sladěná s aktuálním rizikem.

Vybudujte balíček důkazů segmentace pro rok 2026

Praktický balíček důkazů pro segmentaci a přezkum pravidel firewallu má být připraven dříve, než si jej auditor vyžádá.

Minimálně udržujte:

1. aktuální diagram síťové architektury, včetně cloudových a hybridních zón
2. standard klasifikace zón, včetně citlivosti a úrovně důvěry
3. matici toků pro kritické služby a systémy s osobními údaji
4. export pravidel firewallu a cloudových bezpečnostních skupin
5. registr vlastníků pravidel a recertifikací
6. postup přezkumu firewallu a kalendář přezkumů
7. záznamy o změnách pro vzorkované úpravy firewallu
8. registr výjimek se schváleními, expirací a kompenzačními opatřeními
9. výsledky testů segmentace a záznamy o nápravě
10. důkazy o protokolování a monitorování vysoce rizikových toků
11. playbooky incidentů ukazující zamezení šíření podle zón
12. manažerské metriky reportování a zápisy z jednání

Namapujte tyto důkazy na kapitoly ISO/IEC 27001:2022 a oblasti opatření přílohy A. Poté je křížově odkažte na NIS2 Article 21, GDPR Article 32, požadavky DORA na řízení rizik v oblasti ICT a testování, výsledky NIST CSF 2.0 jako GOVERN, PROTECT, DETECT a RESPOND a praktiky správy a řízení COBIT.

NIST CSF 2.0 je obzvlášť užitečný jako komunikační vrstva pro řídicí orgán. Jeho funkce GOVERN se zaměřuje na právní, regulační a smluvní požadavky, ochotu podstupovat riziko, role, politiky a dohled. Provozní výsledky se věnují řízení konfigurace, protokolování, monitorování, ochraně údajů, reakci na incidenty a obnově. To pomáhá vedení porozumět riziku bez čtení ACL firewallu.

Běžná zjištění, která Clarysec vidí při auditech segmentace

Napříč SaaS, fintech, poskytovateli řízených služeb a regulovanými SME se opakují stejná zjištění:

• plochá síť mezi uživatelskými koncovými body a produkčními službami
• produkční databáze dosažitelné z vývojových nebo podnikových sítí
• široké cloudové bezpečnostní skupiny zkopírované ze starých šablon
• dočasná pravidla pro dodavatele bez expirace
• změny firewallu provedené mimo proces řízení změn
• pravidla bez vlastníka nebo obchodního odůvodnění
• vypnuté protokolování u vysoce rizikových povolovacích pravidel
• hostovská Wi‑Fi není plně izolovaná
• administrátorská rozhraní dosažitelná z obecných sítí
• diagramy neodpovídají skutečnému směrování
• chybí důkaz, že přezkumy pravidel byly dokončeny
• po významných změnách architektury neproběhlo testování segmentace
• chybí mapování mezi systémy s osobními údaji a síťovými zónami
• chybí reportování vedení o síťové expozici

Tato zjištění nejsou jen technické slabiny. Podkopávají schopnost organizace prokázat kybernetickou hygienu NIS2, provozní odolnost DORA a odpovědnost podle GDPR Article 32.

Od reaktivního čištění k obhajitelnému opatření

Segmentace sítě a přezkum pravidel firewallu jsou místem, kde se bezpečnostní architektura setkává s auditní realitou. Pokud dokážete ukázat model zónování založený na riziku, řízené toky mezi zónami, schválené změny firewallu, časově omezené výjimky, důkazy z protokolování a pravidelné ověřování, můžete na široké spektrum otázek podle ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST a COBIT odpovědět jedním soudržným příběhem.

Clarysec vám může pomoci tento příběh vybudovat.

Použijte Zenith Blueprint: 30kroková roadmapa auditora ke strukturování implementační cesty, zejména Kontroly v praxi, krok 20 pro zabezpečení sítí a segmentaci a krok 21 pro řízení změn. Použijte Zenith Controls: Průvodce křížovým souladem k namapování opatření ISO/IEC 27002:2022 8.20, 8.22 a 8.32 na očekávání auditů NIS2, DORA, GDPR, NIST a COBIT. Ukotvěte svá provozní pravidla v politikách Clarysec Politika zabezpečení sítí, Politika zabezpečení sítí pro SME a Politika protokolování a monitorování.

Váš další krok je jednoduchý a vysoce hodnotný: vyberte jednu kritickou službu, například zákaznickou produkci, zpracování plateb nebo řízení identit, a tento týden proveďte vzorkový přezkum 10 pravidel. U každého pravidla potvrďte vlastníka, odůvodnění, zdroj, cíl, port, protokolování, požadavek na změnu a expiraci. Pokud těchto sedm skutečností nedokážete doložit, máte začátek svého plánu zlepšení segmentace pro rok 2026.