⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
HR EN BG CS DA DE EL ES ET FI FR GA HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Pregled pravila vatrozida za ISO 27001, NIS2, DORA i GDPR

Igor Petreski
14 min read
#Upravljanje rizicima #Revizija #ISMS #Kontrola pristupa #Zapisivanje događaja i praćenje #Sigurnost mreže
Dijagram mapiranja usklađenosti za segmentaciju mreže i pregled pravila vatrozida

Ponedjeljak je ujutro, 07:42. CISO rastućeg pružatelja SaaS i fintech usluga gleda u tri odvojene poruke.

Prva je iz SOC-a. Kompromitirana razvojna radna stanica tijekom noći pokušala se povezati s internom podmrežom baze podataka. Promet je blokiran, ali analitičar traži potvrdu da je pravilo vatrozida namjerno, ažurno i odobreno.

Druga je od velikog korporativnog klijenta. Traže dokaze da su produkcijsko, razvojno, korporativno i okruženje podrške segmentirani, da se pravila vatrozida pregledavaju i da iznimke istječu.

Treća je od voditelja usklađenosti. Organizacija je izložena obvezama prema NIS2 kao važan digitalni pružatelj, ima odgovornosti prema GDPR-u kao izvršitelj obrade, a klijenti iz sektora financijskih usluga traže dokaze o IKT rizicima u stilu DORA. Upravni odbor želi znati mogu li isti dokazi za ISO/IEC 27001:2022 odgovoriti na sva tri zahtjeva.

Zatim stiže pregled nakon incidenta. Razvojni poslužitelj gotovo je bio izložen internetu tijekom kasnonoćne promjene. Podaci klijenata nisu izgubljeni, ali forenzički tim otkrio je nešto gore od početne pogreške: pet godina staro „privremeno testno” pravilo vatrozida i dalje je dopuštalo široko kretanje između razvoja i produkcije. Da je napadač stekao pristup, mreža bi pružila vrlo slab otpor.

To je trenutak u kojem mnoge organizacije otkriju neugodnu istinu. Možda imaju vatrozide, VLAN-ove, sigurnosne grupe u oblaku i dijagrame, ali nemaju upravljanje segmentacijskim zonama, vlasništvom nad pravilima, privremenim pristupom, odobrenjima promjena, ponovnom certifikacijom i revizijskim dokazima.

U 2026. odgovor „imamo vatrozid” nije dokaziv ni održiv. Revizori, regulatori, klijenti i osiguravatelji traže dokaz da su mreže namjerno razdvojene, da se promet kontrolira prema poslovnoj potrebi, da se rizičnim iznimkama upravlja i da dnevnički zapisi pokazuju da kontrole djeluju.

Zašto je upravljanje vatrozidom sada pitanje za upravni odbor

Segmentacija mreže nekoć se smatrala tehničkom inženjerskom temom. Infrastrukturni timovi bili su odgovorni za VLAN-ove, administratori vatrozida održavali su skupove pravila vatrozida, timovi za oblak upravljali su sigurnosnim grupama, a funkcija usklađenosti tijekom revizija vidjela je samo dijagram.

Taj operativni model više ne funkcionira.

Direktiva NIS2 zahtijeva od ključnih i važnih subjekata provedbu odgovarajućih i razmjernih tehničkih, operativnih i organizacijskih mjera za upravljanje rizicima za mrežne i informacijske sustave. Article 21 uključuje politike za analizu rizika, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, sigurnost pri nabavi i održavanju, procjenu učinkovitosti, osnovnu kibernetičku higijenu, kontrolu pristupa i upravljanje imovinom. Upravljačka tijela moraju odobriti i nadzirati te mjere upravljanja rizicima kibernetičke sigurnosti.

DORA se od 17. siječnja 2025. primjenjuje na mnoge financijske subjekte i pretvara upravljanje IKT rizicima u uređenu i dokumentiranu disciplinu. Articles 5, 6 i 8 zahtijevaju upravljanje, okvir za upravljanje IKT rizicima te identifikaciju poslovnih funkcija koje podupire IKT, informacijske imovine, IKT imovine, ovisnosti, kritične imovine i međupovezanosti. Articles 9, 10 i 11 uređuju zaštitu, prevenciju, otkrivanje, odgovor i oporavak. Articles 24 do 27 zahtijevaju testiranje digitalne operativne otpornosti, uključujući napredno testiranje za određene subjekte. Time segmentacija postaje pitanje otpornosti, a ne samo pitanje vatrozida.

GDPR dodaje sloj odgovornosti za privatnost. Article 32 zahtijeva odgovarajuće tehničke i organizacijske mjere za osiguravanje razine sigurnosti primjerene riziku, uključujući povjerljivost, cjelovitost, dostupnost i otpornost. Article 5(1)(f) zahtijeva cjelovitost i povjerljivost, a Article 5(2) zahtijeva odgovornost. Ako su sustavi s osobnim podacima dostupni s kompromitiranih krajnjih uređaja, gostujućih mreža ili neupravljanih putova trećih strana, nadzorno tijelo može pitati zašto su ti putovi postojali.

ISO/IEC 27001:2022 pruža temelj sustava upravljanja koji povezuje te obveze. Zahtijeva opseg, zahtjeve zainteresiranih strana, procjenu rizika, obradu rizika, Izjavu o primjenjivosti, operativno planiranje i kontrolu, odgovornost vodstva, mjerljive ciljeve, dokumentirane informacije i kontinuirano poboljšavanje. Prilog A, uz smjernice ISO/IEC 27002:2022, uključuje područja kontrola potrebna za rizik dobavljača, usluge u oblaku, zapisivanje događaja, praćenje, sigurnu arhitekturu, razdvajanje okruženja i upravljanje promjenama.

Zaključak je jednostavan: segmentacija mreže i pregled pravila vatrozida sada su dokazi upravljanja.

Clarysecov operativni obrazac: 8.20, 8.22 i 8.32

Clarysec segmentaciju i pregled vatrozida tretira kao jedinstveni operativni obrazac kroz kontrole ISO/IEC 27002:2022, a ne kao izolirane tehničke zadatke.

Tri primarne kontrole su:

Područje ISO/IEC 27002:2022Upravljačko pitanjeDokazi koje revizori očekuju
8.20 Sigurnost mrežeJesu li mreže projektirane, upravljane, praćene i zaštićene prema riziku?Arhitekturni dijagrami, standardi vatrozida, postupci za sigurnu mrežu, dnevnički zapisi praćenja, dokazi IDS/IPS-a, uzorci konfiguracije VPN-a i mreže u oblaku
8.22 Razdvajanje mrežaJesu li zone razdvojene prema osjetljivosti, funkciji i razini povjerenja?Model zona, matrica tokova podataka, dizajn VLAN-ova i podmreža, granice DMZ-a, pravila vatrozida između zona, rezultati testiranja segmentacije
8.32 Upravljanje promjenamaProcjenjuju li se, odobravaju, testiraju, evidentiraju i pregledavaju promjene pravila?Zahtjevi za promjenu, procjene rizika, odobrenja, planovi povrata, postimplementacijski pregledi, zapisi o hitnim promjenama

U Zenith Blueprint: Revizorov plan u 30 koraka [ZB], Clarysec smješta sigurnost mreže u fazu Kontrole u praksi, korak 20: kontrole 8.18 do 8.26. Vodič jasno postavlja temeljno revizijsko pitanje:

„U svojoj srži ova kontrola zahtijeva da organizacije osiguraju da su mreže sigurne po arhitekturi, a ne tek naknadnim dodavanjem vatrozida ili antivirusnog softvera. To znači strateški promišljati segmentaciju mreže, kontrolu pristupa, šifriranje podataka u prijenosu, praćenje i višeslojnu obranu. Počinje jednostavnim pitanjem: tko i što komunicira te bi li trebalo komunicirati?”

To pitanje, „tko i što komunicira te bi li trebalo komunicirati?”, najbolja je praktična početna točka za pregled pravila vatrozida. Razgovor pomiče s tisuća nejasnih ACL zapisa prema tokovima opravdanima poslovnom potrebom.

Isti Zenith Blueprint upućuje timove da procijene mrežnu arhitekturu provjerom jesu li pravila vatrozida, IPS/IDS i konfiguracije udaljenog pristupa ažurni i sigurnosno očvrsnuti te da potvrde podudaraju li se sigurnosne grupe u oblaku, usmjeravanje i VPC ili pravila podmreža s namjeravanom arhitekturom. Također navodi da revizori trebaju očekivati Dokument arhitekture mrežne sigurnosti koji prikazuje vatrozide, VPN pristupnike, DMZ zone, razdvajanje VLAN-ova i granice povjerenja.

Za upravljanje promjenama, Zenith Blueprint smješta kontrolu ISO/IEC 27002:2022 8.32 u fazu Kontrole u praksi, korak 21: kontrole 8.27 do 8.34, i naglašava zašto upravljanje vatrozidom ne uspijeva kada je kontrola promjena slaba:

„Ova kontrola prepoznaje tešku istinu u IT-u: mnogi incidenti nisu uzrokovani napadima, nego loše upravljanim promjenama. Preširoko otvoreno pravilo vatrozida. Ostavljen uključen debug parametar. Zaboravljena ovisnost nakon migracije.”

Upravo tako privremena otvaranja vatrozida postaju trajni putovi napada.

Kako izgleda dobra segmentacija mreže

Zreo program segmentacije ima četiri sloja.

Prvo, ima model zona. Zone nisu proizvoljne podmreže. One su granice povjerenja usklađene s poslovnom funkcijom i osjetljivošću podataka, kao što su DMZ izložen internetu, produkcijski aplikacijski sloj, produkcijski sloj baze podataka, korporativna korisnička mreža, mreža za privilegirano upravljanje, razvojno okruženje, testno okruženje, mreža za sigurnosno kopiranje, gostujući Wi-Fi, OT ili IoT zona i zona za pristup trećih strana.

Drugo, ima matricu tokova. Za svaki par zona organizacija dokumentira dopušteni izvor, odredište, protokol, port, aplikaciju, vlasnika poslovnog procesa, vlasnika sustava, vrstu podataka, opravdanje i zahtjev za zapisivanje događaja.

Treće, ima vlasništvo nad pravilima. Svako pravilo vatrozida, pravilo sigurnosne grupe u oblaku ili politika softverski definiranog perimetra ima vlasnika, datum isteka ili ponovne certifikacije, povezani zahtjev za promjenu i poslovno opravdanje. „Any to any” treba tretirati kao nalaz osim ako je formalno prihvaćen rizik, vremenski ograničen i poduprt kompenzacijskim kontrolama.

Četvrto, ima ponavljajući pregled. Pregled znači više od izvoza baze pravila vatrozida jednom godišnje. Obuhvaća ponovnu certifikaciju vlasnika, usporedbu s opaženim prometom, otkrivanje neiskorištenih pravila, provjeru privremenih iznimaka, pregled izloženosti internetu, testiranje segmentacije i usklađivanje s popisom imovine.

Clarysecova Politika sigurnosti mreže [P-NS] jasno postavlja očekivanje za organizaciju:

„Sav promet između zona mora se kontrolirati vatrozidima ili rješenjima za softverski definirani perimetar, uz izričite konfiguracije koje prema zadanim postavkama odbijaju promet.”

Iz politike za poduzeća, Politika sigurnosti mreže, odjeljak „Upravljački zahtjevi”, točka 5.2.

Ista politika izravno povezuje promjene vatrozida s upravljanjem promjenama:

„Svaka promjena skupova pravila vatrozida, tablica usmjeravanja ili konfiguracija sigurnosnih grupa mora slijediti organizacijsku Politiku upravljanja promjenama (P5), uključujući planove povrata i revizijsko bilježenje.”

Iz politike za poduzeća, Politika sigurnosti mreže, odjeljak „Upravljački zahtjevi”, točka 5.4.

Za MSP-ove i mala i srednja poduzeća, Clarysecova Politika sigurnosti mreže za MSP-ove [P-NS-SME] daje isto načelo operativnim jezikom:

„Pravila koja prema zadanim postavkama odbijaju promet moraju se primjenjivati za sve ulazne veze osim ako su izričito potrebne i odobrene.”

Iz politike za MSP-ove, Politika sigurnosti mreže za MSP-ove, odjeljak „Zahtjevi za provedbu politike”, točka 6.1.2.

A posebno za segmentaciju:

„Promet između segmenata mora se filtrirati, a pristup između segmenata mora slijediti načelo najmanjih privilegija.”

Iz politike za MSP-ove, Politika sigurnosti mreže za MSP-ove, odjeljak „Zahtjevi za provedbu politike”, točka 6.2.3.

Te odredbe politike omogućuju revizoru sljedivost od rizika do kontrole, od kontrole do pravila, od pravila do odobrenja i od odobrenja do dnevničkog zapisa.

Jedan paket dokaza za ISO 27001, NIS2, DORA i GDPR

Pogreška koju mnogi timovi rade jest izrada zasebnih paketa dokaza: jedan za ISO/IEC 27001:2022, jedan za NIS2, jedan za GDPR, jedan za DORA klijente i jedan za kibernetičko osiguranje.

Bolji je pristup izgraditi jedinstveni paket dokaza za upravljanje segmentacijom i vatrozidom koji se mapira kroz više okvira.

Zenith Controls: Vodič za međusobnu usklađenost [ZC] mapira kontrolu ISO/IEC 27002:2022 8.22 Razdvajanje mreža kao preventivnu kontrolu koja podupire povjerljivost, cjelovitost i dostupnost, usklađenu s konceptom kibernetičke sigurnosti Protect i operativnom sposobnošću sigurnosti sustava i mreže. Povezuje 8.22 s 8.20 Sigurnost mreže, 8.21 Sigurnost mrežnih usluga, 8.7 Zaštita od zlonamjernog softvera, 8.27 Sigurna arhitektura sustava i načela inženjeringa te 8.31 Razdvajanje razvojnih, testnih i produkcijskih okruženja.

Vodič ovako objašnjava relevantnost segmentacije za NIS2:

„Razdvajanje mreža izravan je odgovor na te obveze jer smanjuje površinu napada i sprječava lateralno kretanje kroz umrežene sustave.”

Ta rečenica opisuje zašto programi kibernetičke higijene prema NIS2 ne smiju segmentaciju smatrati opcionalnom. Ograničavanje ransomwarea nije samo pitanje zaštite krajnjih uređaja. Riječ je o ograničavanju lateralnog kretanja kada prevencija zakaže.

Za GDPR, Zenith Controls mapira 8.22 na Article 32 i Recital 49, uz napomenu da mrežni dijagrami i politike zona postaju ključni dokazi usklađenosti. Za DORA, Zenith Controls mapira sigurnost mreže i razdvajanje na upravljanje IKT rizicima i ograničavanje incidenata. Testovi segmentacije mogu poduprijeti dokaze o IKT otpornosti, osobito kada dokazuju da se kompromitacija u jednoj zoni ne može slobodno proširiti na kritične financijske usluge, repozitorije osobnih podataka ili privilegirane sustave upravljanja.

Dokazni artefaktPrimjena za ISO/IEC 27001:2022 i ISO/IEC 27002:2022Primjena za NIS2Primjena za DORAPrimjena za GDPR
Dokument arhitekture mrežne sigurnostiPodupire opseg ISMS-a, operativnu kontrolu, 8.20 i 8.22Prikazuje tehničke mjere za sigurnost mrežnih i informacijskih sustavaPrikazuje IKT međupovezanosti i ovisnosti kritičnih uslugaPrikazuje zaštitne granice oko sustava s osobnim podacima
Matrica zona i tokovaDokazuje razdvajanje temeljeno na riziku i načelo najmanjih privilegijaPodupire kibernetičku higijenu i procjenu učinkovitostiPodupire klasifikaciju IKT imovine i ovisnostiPodupire tehničke mjere i odgovornost prema Article 32
Zapisi o pregledima pravila vatrozidaDokaz praćenja kontrola i kontinuiranog poboljšavanjaPokazuje da se mjere pregledavaju i nisu statičnePodupire pregled IKT rizika i testiranje otpornostiDokazuje kontinuiranu sigurnost obrade
Zahtjevi za promjenu za pravila vatrozidaPodupire 8.32 upravljanje promjenamaPodupire sigurno održavanje i sljedivostPodupire kontrolirane IKT promjene i otpornostPokazuje da su promjene koje utječu na sustave s osobnim podacima procijenjene prema riziku
Registar iznimkiPodupire obradu rizika i prihvaćanje preostalog rizikaPokazuje nadzor uprave nad odstupanjimaPodupire toleranciju rizika i upravljanjePokazuje odgovornost za privremenu izloženost
Dnevnički zapisi blokiranog i dopuštenog prometa između zonaPodupire zapisivanje događaja, praćenje i djelotvornost kontrolaPodupire otkrivanje i odgovor na incidentePodupire klasifikaciju incidenata i izvješćivanjePodupire procjenu povrede i očuvanje dokaza

Ova tablica nije samo mapiranje usklađenosti. Ona je plan prikupljanja dokaza.

Pregled pravila vatrozida koji stvarno funkcionira

Pregled pravila vatrozida ne uspijeva kada pita samo: „Je li ovo pravilo još uvijek potrebno?” Vlasnici pravila često odgovaraju potvrdno jer se boje da će nešto prekinuti.

Bolji pregled postavlja šest pitanja:

  1. Koju poslovnu uslugu ovo pravilo podržava?
  2. Koji su vlasnik imovine i vlasnik podataka odobrili tok?
  3. Je li odredište u ispravnoj zoni za te podatke i funkciju?
  4. Dopušta li pravilo više nego što opaženi promet zahtijeva?
  5. Je li zapisivanje događaja omogućeno za tokove visokog rizika?
  6. Ima li pravilo datum pregleda, datum isteka ili zapis o iznimci?

Politika sigurnosti mreže za MSP-ove zahtijeva periodični pregled:

„Pružatelj IT podrške mora provesti godišnji pregled pravila vatrozida, mrežne arhitekture i bežičnih konfiguracija.”

Iz politike za MSP-ove, Politika sigurnosti mreže za MSP-ove, odjeljak „Upravljački zahtjevi”, točka 5.6.1.

Godišnji pregled je polazna osnova, ne gornja granica. Pravila visokog rizika zahtijevaju češću ponovnu certifikaciju.

Kategorija pravilaPrimjerUčestalost pregledaOčekivano odobrenje
Ulazni promet s interneta u produkcijuJavni API prema aplikacijskom pristupnikuTromjesečno ili nakon značajnog izdanjaVlasnik usluge, sigurnost, osoba koja odobrava promjenu
Pristup produkcijskoj bazi podataka između zonaAplikacijski sloj prema sloju baze podatakaTromjesečnoVlasnik aplikacije i vlasnik podataka
Administratorski pristupBastion poslužitelj prema portovima za upravljanje poslužiteljimaMjesečno ili tromjesečnoVlasnik infrastrukture i delegat CISO-a
Pristup trećih stranaVPN dobavljača prema podmreži za podrškuMjesečno ili po ugovornoj etapiVlasnik dobavljača i sigurnost
Privremena iznimkaHitni pristup tijekom migracijePrije isteka, najviše 90 danaVoditelj ISMS-a ili CISO
Standardno interno pravilo niskog rizikaPoslužitelj za praćenje prema upravljanim krajnjim uređajimaGodišnjeVlasnik usluge

Politika sigurnosti mreže izričita je u pogledu iznimaka:

„Zahtjev mora pregledati i odobriti Voditelj ISMS-a ili CISO te se mora evidentirati u registru iznimaka ISMS-a, s najduljim razdobljem odobrenja od 90 dana, obnovljivim nakon preispitivanja.”

Iz politike za poduzeća, Politika sigurnosti mreže, odjeljak „Obrada rizika i iznimke”, točka 7.3.

Za MSP-ove i mala i srednja poduzeća, Politika sigurnosti mreže za MSP-ove zahtijeva da zahtjevi za iznimku sadržavaju nužne minimalne činjenice:

„Zahtjev mora uključivati opravdanje, opseg, trajanje i kompenzacijske kontrole (npr. IP popise dopuštenih, zapisivanje događaja).”

Iz politike za MSP-ove, Politika sigurnosti mreže za MSP-ove, odjeljak „Obrada rizika i iznimke”, točka 7.3.3.

Ta točka pretvara postupanje s iznimkama iz neformalnog razgovora u revizijski provjerljivu obradu rizika.

Praktičan primjer: uklanjanje rizičnog pravila za produkcijsku bazu podataka

Pretpostavimo da tvrtka tijekom pregleda pronađe sljedeće pravilo:

PoljeTrenutačna vrijednost
IzvorKorporativni korisnički VLAN
OdredištePodmreža produkcijske baze podataka
PortTCP 5432
RadnjaDopusti
NapomenaPrivremeni pristup za migraciju izvješćivanja
StvorenoPrije 14 mjeseci
VlasnikNepoznato
Zapisivanje događajaOnemogućeno

To je klasičan revizijski nalaz. Krši načelo najmanjih privilegija, nema jasnog vlasnika, nema isteka, nema trenutačnog opravdanja i nema zapisivanja događaja. Također stvara izloženost prema GDPR Article 32 ako produkcijska baza podataka sadržava osobne podatke klijenata.

Postupak otklanjanja treba stvoriti dokaze, a ne samo ukloniti loše pravilo.

KorakRadnjaClarysec referencaStvoreni revizijski dokaz
1. Mapirati pravilo na model zonaPotvrditi trebaju li korporativni korisnici ikada pristupati podmreži produkcijske baze podatakaZenith Blueprint, Kontrole u praksi, korak 20Ažurirane bilješke pregleda arhitekture i klasifikacija zona
2. Izraditi ili ažurirati zapis tokaDokumentirati izvor, odredište, port, vrstu podataka, vlasnika, opravdanje i rizikZenith Controls, mapiranje 8.22Unos u matricu zona i tokova
3. Otvoriti zahtjev za promjenuPredložiti uklanjanje ili zamjenu kontroliranim putem usluge izvješćivanjaPolitika sigurnosti mreže, točka 5.4Zapis promjene s analizom rizika, planom testiranja i planom povrata
4. Odlučiti o obradiUkloniti široko pravilo ili ga zamijeniti replikom samo za čitanje, bastionom, IP popisima dopuštenih i zapisivanjem događajaPolitika sigurnosti mreže, točka 7.3Odluka o obradi rizika ili vremenski ograničena iznimka
5. Omogućiti zapisivanje događaja za odobrene tokoveSlati događaje vatrozida između zona visokog rizika u sustav praćenjaPolitika zapisivanja događaja i praćenja, točka 6.1.1.6SIEM zapisi, pravila upozorenja i snimke zaslona praćenja
6. Provjeriti segmentacijuTestirati da je podmreža baze podataka nedostupna osim putem odobrenih putovaZenith Blueprint, korak 20Rezultat testiranja segmentacije i zatvaranje korektivne radnje

Clarysecova Politika zapisivanja događaja i praćenja [P-LM] uključuje vanjske komunikacije i okidače pravila vatrozida kao događaje relevantne za zapisivanje:

„Vanjske komunikacije i okidači pravila vatrozida.”

Iz politike za poduzeća, Politika zapisivanja događaja i praćenja, odjeljak „Zahtjevi za provedbu politike”, točka 6.1.1.6.

Za pravila između zona visokog rizika, okidači vatrozida trebaju se slati u SIEM ili platformu za praćenje, uz upozorenja za neuobičajene izvorne domaćine, količine prometa ili vremenske prozore.

Politika za MSP-ove i mala i srednja poduzeća također zahtijeva disciplinu promjena:

„Sve promjene mrežnih konfiguracija (pravila vatrozida, ACL-ovi preklopnika, tablice usmjeravanja) moraju slijediti dokumentirani proces upravljanja promjenama.”

Iz politike za MSP-ove, Politika sigurnosti mreže za MSP-ove, odjeljak „Zahtjevi za provedbu politike”, točka 6.9.1.

Jedno čišćenje ovog pravila stvara dokaze za operativnu kontrolu prema ISO/IEC 27001:2022, ISO/IEC 27002:2022 8.20, 8.22 i 8.32, kibernetičku higijenu prema NIS2, GDPR Article 32 i upravljanje IKT rizicima u stilu DORA.

Oblak, SaaS i hibridne mreže moraju biti uključeni

Suvremena segmentacija nisu samo VLAN-ovi i fizički vatrozidi. Ona uključuje AWS sigurnosne grupe, Azure mrežne sigurnosne grupe, Kubernetes mrežne politike, tablice usmjeravanja u oblaku, SaaS administratorske popise dopuštenih, privatne krajnje točke, VPN-ove, SD-WAN, proxyje svjesne identiteta i kontrole softverski definiranog perimetra.

Za pružatelja SaaS usluga ili reguliranu digitalnu uslugu, pregled pravila vatrozida trebao bi obuhvatiti najmanje:

  • Load balancere i aplikacijske pristupnike izložene internetu
  • Sigurnosne grupe u oblaku i mrežne ACL-ove
  • Tablice usmjeravanja privatnih podmreža
  • Peering veze i putove tranzitnih pristupnika
  • VPN i putove udaljene administracije
  • Administratorska sučelja i upravljačke ravnine
  • Kubernetes ingress i mrežne politike
  • Pristup CI/CD runnera u produkciju
  • Obuhvat zapisivanja događaja za odbijene i dopuštene tokove visokog rizika
  • Pristup podrške trećih strana i putove hitnog pristupa

Ako sigurnosna grupa u oblaku dopušta ulazni promet prema bazi podataka iz širokog korporativnog IP raspona, tretirajte je kao pravilo vatrozida. Treba imati vlasnika, opravdanje, odobrenje, pregled, zapisivanje događaja i istek.

Ovdje prateći ISO standardi dodatno jačaju argumentaciju. ISO/IEC 27017 podupire jasnoću odgovornosti za sigurnost u oblaku. ISO/IEC 27033 pruža dublje smjernice za arhitekturu mrežne sigurnosti, DMZ-ove, segmentacijske zone, filtriranje prometa i sigurnu komunikaciju između mreža. ISO/IEC 27701 jača upravljanje privatnošću kada se osobni podaci koji omogućuju identifikaciju osobe kreću kroz mreže. ISO/IEC 27035 podupire ograničavanje incidenata, a ISO/IEC 27005 podupire odabir segmentacije kao obrade rizika za neovlašteni pristup, širenje zlonamjernog softvera i lateralno kretanje.

Kako revizori različito testiraju istu kontrolu

Jedna od prednosti Zenith Controls jest to što objašnjava kako različite revizijske metodologije ispituju istu kontrolu. Dokazi se mogu ponovno upotrijebiti, ali pitanja se razlikuju.

Revizijska perspektivaVjerojatno pitanjeNajbolji dokaz
Revizor ISO/IEC 27001:2022Je li segmentacija odabrana, implementirana i pregledana na temelju rizika?Procjena rizika, SoA, mrežna politika, dijagrami, zapisi pregleda
Revizor u stilu ISO/IEC 27007Odgovaraju li implementirana pravila vatrozida i VLAN sheme dokumentiranoj politici?Uzorci pravila vatrozida, ACL-ovi usmjerivača, dizajn VLAN-ova, razgovori s administratorima
Pristup certifikacijskoj reviziji ISO/IEC 27006-1:2024Revidiraju li se kritične mrežne granice uz odgovarajuću kompetentnost i planiranje temeljeno na riziku?Plan revizije, tehničko uzorkovanje, dokazi sigurnosnih grupa u oblaku, rezultati testiranja
Revizor usmjeren na NISTProvode li se i prate granice i tokovi informacija?Pravila vatrozida, ACL-ovi, testovi segmentacije, zapisi praćenja
Revizor COBIT 2019Upravlja li se sigurnošću mreže, prati li se i izvješćuje o njoj?Matrica vlasništva, KPI-jevi, izvješćivanje upravi, registar rizika
Revizor ISACA ITAFDjeluju li opće IT kontrole dosljedno?Zahtjevi za promjenu, odobrenja iznimaka, dnevnički zapisi, uzorci ponovne certifikacije pravila
Nadzorno tijelo za GDPRJesu li sustavi s osobnim podacima bili zaštićeni odgovarajućim tehničkim mjerama?Mape toka podataka, izolacija zona s osobnim podacima (PII), pristupni putovi, zapisi vatrozida
Procjenitelj usmjeren na DORAPodupire li segmentacija IKT otpornost i ograničavanje incidenata?Mapa ovisnosti IKT imovine, tokovi kritičnih funkcija, operativne upute za incidente, zapisi testiranja

Procjenitelj usmjeren na DORA može pitati može li se kompromitacija pristupnika za plaćanja proširiti na baze podataka klijenata. Nadležno tijelo za NIS2 može pitati može li ransomware na administratorskoj radnoj stanici dosegnuti temeljne sustave za pružanje usluge. Tijelo za GDPR može pitati koje su mrežne restrikcije štitile sustave koji obrađuju osobne podatke. ISO revizor može jednostavno zatražiti procjenu rizika, SoA, politiku, postupak i dokaze da su pregledi provedeni.

Najbolji programi na sva ta pitanja odgovaraju istim artefaktima.

Metrike koje segmentaciju čine vidljivom vodstvu

NIS2 i DORA naglašavaju odgovornost uprave. ISO/IEC 27001:2022 zahtijeva vodstvo, ciljeve, uloge, resurse, izvješćivanje i kontinuirano poboljšavanje. To znači da segmentacija treba metrike koje vodstvo može razumjeti.

Korisne upravljačke metrike uključuju:

  • Postotak pravila vatrozida s dodijeljenim vlasnikom
  • Postotak pravila s dokumentiranim poslovnim opravdanjem
  • Broj isteklih privremenih pravila
  • Broj pravila s „any” izvorom, odredištem ili uslugom
  • Broj usluga izloženih internetu prema kritičnosti
  • Postotak tokova visokog rizika između zona s omogućenim zapisivanjem događaja
  • Broj hitnih promjena vatrozida po tromjesečju
  • Postotak uzorkovanih pravila povezanih s odobrenim zahtjevima za promjenu
  • Broj neuspjelih testova segmentacije
  • Prosječno vrijeme za otklanjanje rizičnih ili neiskorištenih pravila
  • Broj iznimaka starijih od 90 dana
  • Broj pravila za pristup trećih strana koja su pregledana i ponovno certificirana

Politika sigurnosti mreže navodi „djelotvornost pravila vatrozida” kao razmatranje usklađenosti i provedbe u odjeljku „Provedba i usklađenost”, točka 8.2.2. Ta je fraza važna jer samo postojanje pravila nije dovoljno. Pravila moraju biti djelotvorna, pregledana i usklađena s trenutačnim rizikom.

Izgradite paket dokaza za segmentaciju u 2026.

Praktičan paket dokaza za segmentaciju i pregled pravila vatrozida treba biti spreman prije nego što ga revizor zatraži.

Najmanje održavajte:

  1. Aktualni dijagram mrežne arhitekture, uključujući zone u oblaku i hibridne zone
  2. Standard klasifikacije zona, uključujući osjetljivost i razinu povjerenja
  3. Matricu tokova za kritične usluge i sustave s osobnim podacima
  4. Izvoz pravila vatrozida i sigurnosnih grupa u oblaku
  5. Registar vlasnika pravila i ponovne certifikacije
  6. Postupak pregleda vatrozida i kalendar pregleda
  7. Zapise promjena za uzorkovane izmjene vatrozida
  8. Registar iznimaka s odobrenjima, istekom i kompenzacijskim kontrolama
  9. Rezultate testiranja segmentacije i zapise o korektivnim radnjama
  10. Dokaze zapisivanja događaja i praćenja za tokove visokog rizika
  11. Operativne upute za incidente koje prikazuju ograničavanje po zonama
  12. Metrike izvješćivanja upravi i zapisnike sastanaka

Mapirajte te dokaze na točke ISO/IEC 27001:2022 i područja kontrola iz Priloga A. Zatim ih unakrsno povežite s NIS2 Article 21, GDPR Article 32, zahtjevima za upravljanje IKT rizicima i testiranje prema DORA, ishodima NIST CSF 2.0 kao što su GOVERN, PROTECT, DETECT i RESPOND te praksama upravljanja prema COBIT.

NIST CSF 2.0 posebno je koristan kao komunikacijski sloj prema upravnom odboru. Njegova funkcija GOVERN usmjerena je na pravne, regulatorne i ugovorne zahtjeve, apetit za rizik, uloge, politike i nadzor. Njegovi operativni ishodi obuhvaćaju upravljanje konfiguracijom, zapisivanje događaja, praćenje, zaštitu podataka, odgovor na incidente i oporavak. To pomaže vodstvu razumjeti rizik bez čitanja ACL-ova vatrozida.

Česti nalazi koje Clarysec vidi u revizijama segmentacije

U SaaS okruženjima, fintechu, kod pružatelja upravljanih usluga i reguliranih MSP-ova, isti se nalazi stalno ponavljaju:

  • Ravna mreža između korisničkih krajnjih uređaja i produkcijskih usluga
  • Produkcijske baze podataka dostupne iz razvojnih ili korporativnih mreža
  • Široke sigurnosne grupe u oblaku kopirane iz starih predložaka
  • Privremena pravila za dobavljače bez isteka
  • Promjene vatrozida provedene izvan procesa upravljanja promjenama
  • Pravila bez vlasnika ili poslovnog opravdanja
  • Onemogućeno zapisivanje događaja na dopuštajućim pravilima visokog rizika
  • Gostujući Wi-Fi nije potpuno izoliran
  • Administratorska sučelja dostupna iz općih mreža
  • Dijagrami koji ne odgovaraju stvarnom usmjeravanju
  • Nema dokaza da su pregledi pravila dovršeni
  • Nema testiranja segmentacije nakon značajnih promjena arhitekture
  • Nema mapiranja između sustava s osobnim podacima i mrežnih zona
  • Nema izvješćivanja upravi o mrežnoj izloženosti

Ti nalazi nisu samo tehničke slabosti. Oni narušavaju sposobnost organizacije da dokaže kibernetičku higijenu prema NIS2, operativnu otpornost prema DORA i odgovornost prema GDPR Article 32.

Od reaktivnog čišćenja do dokazive kontrole

Segmentacija mreže i pregled pravila vatrozida mjesto su gdje se sigurnosna arhitektura susreće s revizijskom stvarnošću. Ako možete pokazati model zona temeljen na riziku, kontrolirane tokove između zona, odobrene promjene vatrozida, vremenski ograničene iznimke, dokaze zapisivanja događaja i periodičnu provjeru, možete odgovoriti na širok raspon pitanja iz ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST i COBIT jedinstvenom i dosljednom pričom.

Clarysec vam može pomoći izgraditi tu priču.

Upotrijebite Zenith Blueprint: Revizorov plan u 30 koraka za strukturiranje puta implementacije, osobito Kontrole u praksi, korak 20 za sigurnost mreže i segmentaciju te korak 21 za upravljanje promjenama. Upotrijebite Zenith Controls: Vodič za međusobnu usklađenost za mapiranje kontrola ISO/IEC 27002:2022 8.20, 8.22 i 8.32 kroz revizijska očekivanja za NIS2, DORA, GDPR, NIST i COBIT. Utemeljite operativna pravila u Clarysecovoj Politici sigurnosti mreže, Politici sigurnosti mreže za MSP-ove i Politici zapisivanja događaja i praćenja.

Vaš sljedeći korak je jednostavan i visoke vrijednosti: odaberite jednu kritičnu uslugu, kao što su produkcija za klijente, obrada plaćanja ili upravljanje identitetom, i ovaj tjedan provedite uzorkovni pregled 10 pravila. Za svako pravilo potvrdite vlasnika, opravdanje, izvor, odredište, port, zapisivanje događaja, zahtjev za promjenu i istek. Ako ne možete dokazati tih sedam činjenica, imate početak svojeg plana poboljšanja segmentacije za 2026.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

ISO 27001 SoA za spremnost na NIS2 i DORA

ISO 27001 SoA za spremnost na NIS2 i DORA

Saznajte kako koristiti ISO 27001 Izjavu o primjenjivosti kao revizijski spreman most između NIS2, DORA, GDPR, obrade rizika, dobavljača, odgovora na incidente i dokaza.