Ugunsmūra noteikumu pārskatīšana ISO 27001, NIS2, DORA un GDPR vajadzībām

Ir pirmdienas rīts, 07:42. Augoša SaaS un finanšu tehnoloģiju pakalpojumu sniedzēja informācijas drošības vadītājs (CISO) skatās uz trim atsevišķiem ziņojumiem.

Pirmais ir no SOC. Kompromitēta izstrādātāja darbstacija naktī mēģināja pieslēgties iekšējam datubāzes apakštīklam. Datplūsma tika bloķēta, bet analītiķis vēlas apstiprinājumu, ka ugunsmūra noteikums ir ieviests apzināti, ir aktuāls un apstiprināts.

Otrais ir no liela korporatīvā klienta. Klients vēlas pierādījumus, ka ražošanas vide, izstrādes vide, korporatīvā vide un atbalsta vide ir segmentētas, ugunsmūra noteikumi tiek pārskatīti un izņēmumiem ir noteikts derīguma termiņš.

Trešais ir no atbilstības funkcijas vadītāja. Organizācijai kā nozīmīgam digitālo pakalpojumu sniedzējam ir NIS2 ietekme, GDPR pienākumi kā apstrādātājam un finanšu pakalpojumu klienti, kas pieprasa DORA tipa IKT risku pierādījumus. Valde vēlas zināt, vai vieni un tie paši ISO/IEC 27001:2022 pierādījumi var atbildēt uz visām trim prasību grupām.

Tad tiek saņemts pēcincidenta pārskats. Vēlu vakarā veiktu izmaiņu laikā izstrādes serveris gandrīz tika eksponēts internetam. Klientu dati netika zaudēti, taču digitālās kriminālistikas komanda atklāja kaut ko sliktāku par sākotnējo kļūdu: piecus gadus vecs “pagaidu testa” ugunsmūra noteikums joprojām ļāva plašu pārvietošanos starp izstrādes un ražošanas vidi. Ja uzbrucējs būtu ieguvis piekļuvi, tīkls būtu izrādījis ļoti nelielu pretestību.

Šajā brīdī daudzas organizācijas atklāj nepatīkamu patiesību. Tām var būt ugunsmūri, VLAN, mākoņa drošības grupas un diagrammas, bet tām nav pārvaldības pār segmentēšanas zonām, noteikumu īpašumtiesībām, pagaidu piekļuvi, izmaiņu apstiprinājumiem, atkārtotu sertificēšanu un audita pierādījumiem.

2026. gadā “mums ir ugunsmūris” nav aizstāvama atbilde. Auditori, regulatori, klienti un apdrošinātāji vēlas pierādījumus, ka tīkli ir apzināti nodalīti, datplūsma tiek kontrolēta atbilstoši biznesa vajadzībai, riskanti izņēmumi tiek pārvaldīti un žurnāli apliecina kontroles pasākumu darbību.

Kāpēc ugunsmūra pārvaldība tagad ir valdes līmeņa jautājums

Tīkla segmentēšana agrāk tika uzskatīta par tehnisku inženierijas jautājumu. Infrastruktūras komandas pārvaldīja VLAN, ugunsmūru administratori uzturēja noteikumu kopas, mākoņkomandas pārvaldīja drošības grupas, savukārt atbilstības funkcija auditu laikā redzēja tikai diagrammu.

Šāds darbības modelis vairs nestrādā.

NIS2 Direktīva pieprasa būtiskām un svarīgām vienībām īstenot atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus tīklu un informācijas sistēmu risku pārvaldībai. Article 21 ietver politikas risku analīzei, incidentu apstrādei, darbības nepārtrauktībai, piegādes ķēdes drošībai, drošībai iegādē un uzturēšanā, efektivitātes izvērtēšanai, kiberdrošības pamathigiēnai, piekļuves kontrolei un aktīvu pārvaldībai. Vadības institūcijām šie kiberdrošības risku pārvaldības pasākumi jāapstiprina un jāuzrauga.

DORA no 2025. gada 17. janvāra attiecas uz daudzām finanšu vienībām un padara IKT risku pārvaldību par pārvaldītu un dokumentētu disciplīnu. Articles 5, 6 un 8 pieprasa pārvaldību, IKT risku pārvaldības ietvaru un IKT atbalstīto biznesa funkciju, informācijas aktīvu, IKT aktīvu, atkarību, kritisko aktīvu un savienojumu identificēšanu. Articles 9, 10 un 11 aptver aizsardzību, novēršanu, atklāšanu, reaģēšanu un atjaunošanu. Articles 24 līdz 27 pieprasa digitālās operacionālās noturības testēšanu, tostarp padziļinātu testēšanu noteiktām vienībām. Tādēļ segmentēšana ir noturības jautājums, nevis tikai ugunsmūra jautājums.

GDPR pievieno privātuma pārskatatbildības slāni. Article 32 pieprasa atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu riskam atbilstošu drošības līmeni, tostarp konfidencialitāti, integritāti, pieejamību un noturību. Article 5(1)(f) pieprasa integritāti un konfidencialitāti, bet Article 5(2) pieprasa pārskatatbildību. Ja personas datu sistēmas ir sasniedzamas no kompromitētām galiekārtām, viesu tīkliem vai nepārvaldītiem trešo pušu ceļiem, uzraudzības iestāde var jautāt, kāpēc šādi ceļi pastāvēja.

ISO/IEC 27001:2022 nodrošina pārvaldības sistēmas pamatu, kas sasaista šos pienākumus. Tas pieprasa darbības jomu, ieinteresēto pušu prasības, risku izvērtēšanu, riska apstrādi, piemērojamības deklarāciju, darbības plānošanu un kontroli, vadības pārskatatbildību, izmērāmus mērķus, dokumentētu informāciju un nepārtrauktu pilnveidi. Annex A, ko papildina ISO/IEC 27002:2022 vadlīnijas, ietver kontroles jomas, kas nepieciešamas piegādātāju riskam, mākoņpakalpojumiem, žurnālfiksēšanai, uzraudzībai, drošai arhitektūrai, vides nodalīšanai un izmaiņu pārvaldībai.

Galvenā doma ir vienkārša: tīkla segmentēšana un ugunsmūra noteikumu pārskatīšana tagad ir pārvaldības pierādījumi.

Clarysec darbības modelis: 8.20, 8.22 un 8.32

Clarysec segmentēšanu un ugunsmūra pārskatīšanu uztver kā vienotu darbības modeli visos ISO/IEC 27002:2022 kontroles pasākumos, nevis kā izolētus tehniskus uzdevumus.

Trīs primārie kontroles pasākumi ir:

Zenith Blueprint: auditora 30 soļu ceļvedī [ZB] Clarysec iekļauj tīkla drošību posmā “Kontroles pasākumi darbībā”, 20. solī: kontroles pasākumi 8.18 līdz 8.26. Ceļvedis skaidri formulē pamata audita jautājumu:

“Pēc būtības šis kontroles pasākums pieprasa organizācijām nodrošināt, ka tīkli ir droši pēc arhitektūras, nevis tikai vēlāk papildināti ar ugunsmūriem vai pretvīrusu programmatūru. Tas nozīmē stratēģiski domāt par tīkla segmentēšanu, piekļuves kontroli, šifrēšanu pārsūtē, uzraudzību un daudzslāņu aizsardzību. Viss sākas ar vienkāršu jautājumu: kas ar ko sazinās, un vai tam tā jānotiek?”

Šis jautājums — “kas ar ko sazinās, un vai tam tā jānotiek?” — ir labākais praktiskais sākumpunkts ugunsmūra noteikumu pārskatīšanai. Tas novirza sarunu prom no tūkstošiem neskaidru ACL ierakstu un virza uz biznesa pamatotām plūsmām.

Tas pats Zenith Blueprint iesaka komandām izvērtēt tīkla arhitektūru, pārbaudot, vai ugunsmūra noteikumi, IPS/IDS un attālās piekļuves konfigurācijas ir aktuālas un droši konfigurētas, kā arī apstiprināt, ka mākoņa drošības grupas, maršrutēšana un VPC vai apakštīklu noteikumi atbilst iecerētajai arhitektūrai. Tas arī norāda, ka auditoriem jāsaņem tīkla drošības arhitektūras dokuments, kurā redzami ugunsmūri, VPN vārtejas, DMZ zonas, VLAN nodalījums un uzticamības robežas.

Izmaiņu pārvaldībai Zenith Blueprint ievieto ISO/IEC 27002:2022 kontroles pasākumu 8.32 posmā “Kontroles pasākumi darbībā”, 21. solī: kontroles pasākumi 8.27 līdz 8.34, un uzsver, kāpēc ugunsmūra pārvaldība izgāžas, ja izmaiņu kontrole ir vāja:

“Šis kontroles pasākums atzīst neērtu patiesību IT jomā: daudzus incidentus izraisa nevis uzbrukumi, bet slikti pārvaldītas izmaiņas. Ugunsmūra noteikums, kas atvērts pārāk plaši. Ieslēgts un aizmirsts atkļūdošanas iestatījums. Aizmirsta atkarība pēc migrācijas.”

Tieši tā pagaidu ugunsmūra atvērumi kļūst par pastāvīgiem uzbrukuma ceļiem.

Kā izskatās laba tīkla segmentēšana

Nobriedušai segmentēšanas programmai ir četri slāņi.

Pirmkārt, tai ir zonu modelis. Zonas nav patvaļīgi apakštīkli. Tās ir uzticamības robežas, kas saskaņotas ar biznesa funkciju un datu sensitivitāti, piemēram, internetam pieejama DMZ, ražošanas lietojumprogrammu slānis, ražošanas datubāzu slānis, korporatīvo lietotāju tīkls, privileģētās pārvaldības tīkls, izstrādes vide, testa vide, rezerves kopiju tīkls, viesu Wi‑Fi, OT vai IoT zona un trešo pušu piekļuves zona.

Otrkārt, tai ir plūsmu matrica. Katram zonu pārim organizācija dokumentē atļauto avotu, galamērķi, protokolu, portu, lietojumprogrammu, biznesa īpašnieku, sistēmas īpašnieku, datu tipu, pamatojumu un žurnālfiksēšanas prasību.

Treškārt, tai ir noteikumu īpašumtiesības. Katram ugunsmūra noteikumam, mākoņa drošības grupas noteikumam vai programmatūras definēta perimetra politikai ir īpašnieks, derīguma termiņš vai atkārtotas sertificēšanas datums, sasaistīts izmaiņu pieteikums un biznesa pamatojums. “Any to any” jāuzskata par audita konstatējumu, ja vien tas nav formāli pieņemts kā risks, nav ierobežots laikā un nav atbalstīts ar kompensējošiem kontroles pasākumiem.

Ceturtkārt, tai ir regulāra pārskatīšana. Pārskatīšana nozīmē vairāk nekā reizi gadā eksportēt ugunsmūra noteikumu bāzi. Tā ietver īpašnieka atkārtotu sertificēšanu, salīdzināšanu ar novēroto datplūsmu, neizmantotu noteikumu identificēšanu, pagaidu izņēmumu validāciju, interneta ekspozīcijas pārskatīšanu, segmentēšanas testēšanu un salīdzināšanu ar aktīvu uzskaiti.

Clarysec Tīkla drošības politika [P-NS] skaidri nosaka uzņēmuma līmeņa prasību:

“Visa starpzonu datplūsma jākontrolē ar ugunsmūriem vai programmatūras definēta perimetra risinājumiem, izmantojot skaidri noteiktas noklusējuma lieguma konfigurācijas.”

No uzņēmuma politikas “Tīkla drošības politika”, sadaļas “Pārvaldības prasības”, clause 5.2.

Tā pati politika tieši sasaista ugunsmūra izmaiņas ar izmaiņu pārvaldību:

“Jebkuras izmaiņas ugunsmūra noteikumu kopās, maršrutēšanas tabulās vai drošības grupu konfigurācijās jāveic saskaņā ar organizācijas Izmaiņu pārvaldības politiku (P5), tostarp izmantojot atcelšanas plānus un audita žurnālu reģistrēšanu.”

No uzņēmuma politikas “Tīkla drošības politika”, sadaļas “Pārvaldības prasības”, clause 5.4.

MVU vajadzībām Clarysec Tīkla drošības politika MVU [P-NS-SME] to pašu principu izsaka operacionālā formā:

“Noklusējuma lieguma noteikumi jāpiemēro visiem ienākošajiem savienojumiem, ja vien tie nav skaidri nepieciešami un apstiprināti.”

No MVU politikas “Tīkla drošības politika MVU”, sadaļas “Politikas ieviešanas prasības”, clause 6.1.2.

Un īpaši par segmentēšanu:

“Datplūsma starp segmentiem jāfiltrē, un starpsegmentu piekļuvei jāievēro minimālo privilēģiju princips.”

No MVU politikas “Tīkla drošības politika MVU”, sadaļas “Politikas ieviešanas prasības”, clause 6.2.3.

Šie politikas punkti ļauj auditoram izsekot ceļu no riska līdz kontroles pasākumam, no kontroles pasākuma līdz noteikumam, no noteikuma līdz apstiprinājumam un no apstiprinājuma līdz žurnāliem.

Viena pierādījumu pakotne ISO 27001, NIS2, DORA un GDPR vajadzībām

Kļūda, ko pieļauj daudzas komandas, ir atsevišķu pierādījumu pakotņu veidošana: viena ISO/IEC 27001:2022 vajadzībām, viena NIS2, viena GDPR, viena DORA klientiem un viena kiberdrošības apdrošināšanai.

Labāka pieeja ir izveidot vienotu segmentēšanas un ugunsmūra pārvaldības pierādījumu pakotni, kas kartēta starp ietvariem.

Zenith Controls: starpatbilstības ceļvedis [ZC] kartē ISO/IEC 27002:2022 kontroles pasākumu 8.22 Segregation of Networks kā preventīvu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību, ir saskaņots ar aizsardzības kiberdrošības konceptu un sistēmu un tīklu drošības operacionālo spēju. Tas sasaista 8.22 ar 8.20 Network Security, 8.21 Security of Network Services, 8.7 Protection Against Malware, 8.27 Secure System Architecture and Engineering Principles un 8.31 Separation of Development, Test and Production Environments.

Ceļvedis NIS2 segmentēšanas nozīmīgumu skaidro šādi:

“Tīklu nodalīšana ir tieša atbilde uz šiem pienākumiem, samazinot uzbrukuma virsmu un novēršot laterālu pārvietošanos tīklotās sistēmās.”

Šis teikums paskaidro, kāpēc NIS2 kiberdrošības higiēnas programmām nevajadzētu uzskatīt segmentēšanu par izvēles pasākumu. Izspiedējprogrammatūras ierobežošana nav tikai galiekārtu aizsardzības jautājums. Tā ir laterālās pārvietošanās ierobežošana brīdī, kad novēršana nav izdevusies.

GDPR kontekstā Zenith Controls kartē 8.22 uz Article 32 un Recital 49, norādot, ka tīkla diagrammas un zonēšanas politikas kļūst par būtiskiem atbilstības pierādījumiem. DORA kontekstā Zenith Controls kartē tīkla drošību un nodalīšanu uz IKT risku pārvaldību un incidentu ierobežošanu. Segmentēšanas testi var atbalstīt IKT noturības pierādījumus, īpaši tad, ja tie pierāda, ka kompromitēšana vienā zonā nevar brīvi pārvietoties uz kritiskiem finanšu pakalpojumiem, personas datu repozitorijiem vai privileģētās pārvaldības sistēmām.

Šī tabula nav tikai atbilstības kartējums. Tā ir pierādījumu vākšanas ceļkarte.

Ugunsmūra noteikumu pārskatīšana, kas patiešām strādā

Ugunsmūra noteikumu pārskatīšana izgāžas, ja tā jautā tikai: “Vai šis noteikums joprojām ir nepieciešams?” Noteikumu īpašnieki bieži atbild “jā”, jo baidās kaut ko salauzt.

Labāka pārskatīšana uzdod sešus jautājumus:

1. Kādu biznesa pakalpojumu šis noteikums atbalsta?
2. Kurš aktīva īpašnieks un datu īpašnieks apstiprināja plūsmu?
3. Vai galamērķis atrodas pareizajā zonā attiecīgajiem datiem un funkcijai?
4. Vai noteikums ir plašāks, nekā prasa novērotā datplūsma?
5. Vai augsta riska plūsmām ir iespējota žurnālfiksēšana?
6. Vai noteikumam ir pārskatīšanas datums, derīguma termiņš vai izņēmuma ieraksts?

Tīkla drošības politika MVU pieprasa periodisku pārskatīšanu:

“IT atbalsta pakalpojumu sniedzējam jāveic ikgadēja ugunsmūra noteikumu, tīkla arhitektūras un bezvadu konfigurāciju pārskatīšana.”

No MVU politikas “Tīkla drošības politika MVU”, sadaļas “Pārvaldības prasības”, clause 5.6.1.

Ikgadēja pārskatīšana ir pamatlīmenis, nevis maksimālā robeža. Augsta riska noteikumiem nepieciešama biežāka atkārtota sertificēšana.

Tīkla drošības politika ir skaidra par izņēmumiem:

“Pieprasījums jāpārskata un jāapstiprina IDPS vadītājam vai informācijas drošības vadītājam (CISO), un tas jāreģistrē ISMS izņēmumu reģistrā; maksimālais apstiprinājuma periods ir 90 dienas, ar iespēju pagarināt pēc atkārtotas izvērtēšanas.”

No uzņēmuma politikas “Tīkla drošības politika”, sadaļas “Risku apstrāde un izņēmumi”, clause 7.3.

MVU vajadzībām Tīkla drošības politika MVU pieprasa, lai izņēmumu pieprasījumos būtu iekļauti pareizie minimālie fakti:

“Pieprasījumā jāiekļauj pamatojums, darbības joma, ilgums un kompensējošie kontroles pasākumi (piemēram, IP iekļaušana atļauto sarakstā, žurnālfiksēšana).”

No MVU politikas “Tīkla drošības politika MVU”, sadaļas “Risku apstrāde un izņēmumi”, clause 7.3.3.

Šis punkts pārvērš izņēmumu pārvaldību no neformālas sarakstes par auditējamu riska apstrādi.

Praktisks piemērs: riskanta ražošanas datubāzes noteikuma noņemšana

Pieņemsim, ka uzņēmums pārskatīšanas laikā atrod šādu noteikumu:

Tas ir klasisks audita konstatējums. Tas pārkāpj minimāli nepieciešamo tiesību principu, tam nav skaidra īpašnieka, nav derīguma termiņa, nav aktuāla pamatojuma un nav žurnālfiksēšanas. Tas arī rada GDPR Article 32 ekspozīciju, ja ražošanas datubāze satur klientu personas datus.

Trūkumu novēršanas procesam jāizveido pierādījumi, nevis tikai jānoņem slikts noteikums.

Clarysec Žurnālfiksēšanas un uzraudzības politika [P-LM] ārējo saziņu un ugunsmūra noteikumu trigerus iekļauj kā žurnālfiksēšanai nozīmīgus notikumus:

“Ārējā saziņa un ugunsmūra noteikumu trigeri”

No uzņēmuma politikas “Žurnālfiksēšanas un uzraudzības politika”, sadaļas “Politikas ieviešanas prasības”, clause 6.1.1.6.

Augsta riska starpzonu noteikumiem ugunsmūra trigeriem jānonāk SIEM vai uzraudzības platformā, ar brīdinājumiem par neierastiem avota resursdatoriem, apjomiem vai laika logiem.

MVU politika prasa arī izmaiņu disciplīnu:

“Visām izmaiņām tīkla konfigurācijās (ugunsmūra noteikumi, komutatoru ACL, maršrutēšanas tabulas) jāievēro dokumentēts izmaiņu pārvaldības process.”

No MVU politikas “Tīkla drošības politika MVU”, sadaļas “Politikas ieviešanas prasības”, clause 6.9.1.

Viena šī noteikuma sakārtošana rada pierādījumus ISO/IEC 27001:2022 darbības kontrolei, ISO/IEC 27002:2022 8.20, 8.22 un 8.32, NIS2 kiberdrošības higiēnai, GDPR Article 32 un DORA tipa IKT risku pārvaldībai.

Jāiekļauj arī mākonis, SaaS un hibrīdtīkli

Mūsdienu segmentēšana nav tikai VLAN un fiziski ugunsmūri. Tā ietver AWS drošības grupas, Azure tīkla drošības grupas, Kubernetes tīkla politikas, mākoņvides maršrutēšanas tabulas, SaaS administratoru atļauto sarakstus, privātos galapunktus, VPN, SD-WAN, identitāti apzinošus starpniekserverus un programmatūras definēta perimetra kontroles pasākumus.

SaaS pakalpojumu sniedzējam vai regulētam digitālajam pakalpojumam ugunsmūra noteikumu pārskatīšanā jāiekļauj vismaz:

• Internetam pieejami slodzes balansētāji un lietojumprogrammu vārtejas
• Mākoņa drošības grupas un tīkla ACL
• Privāto apakštīklu maršrutēšanas tabulas
• Peering un tranzīta vārteju ceļi
• VPN un attālinātās administrēšanas ceļi
• Administratora saskarnes un pārvaldības plaknes
• Kubernetes ingress un tīkla politikas
• CI/CD runner piekļuve ražošanas videi
• Žurnālfiksēšanas pārklājums liegtām un atļautām augsta riska plūsmām
• Trešo pušu atbalsta piekļuve un break-glass ceļi

Ja mākoņa drošības grupa atļauj ienākošu datubāzes datplūsmu no plaša korporatīvā IP diapazona, izturieties pret to kā pret ugunsmūra noteikumu. Tam nepieciešamas īpašumtiesības, pamatojums, apstiprinājums, pārskatīšana, žurnālfiksēšana un derīguma termiņš.

Šeit stāstu nostiprina arī atbalstošie ISO standarti. ISO/IEC 27017 palīdz skaidri noteikt atbildību par mākoņdrošību. ISO/IEC 27033 sniedz padziļinātas vadlīnijas par tīkla drošības arhitektūru, DMZ, segmentēšanas zonām, datplūsmas filtrēšanu un drošu saziņu starp tīkliem. ISO/IEC 27701 stiprina privātuma pārvaldību gadījumos, kad personu identificējoša informācija pārvietojas pa tīkliem. ISO/IEC 27035 atbalsta incidentu ierobežošanu, savukārt ISO/IEC 27005 atbalsta segmentēšanas izvēli kā riska apstrādi nesankcionētai piekļuvei, ļaunatūras izplatībai un laterālai pārvietošanai.

Kā auditori atšķirīgi testē vienu un to pašu kontroles pasākumu

Viena no Zenith Controls stiprajām pusēm ir skaidrojums, kā dažādas audita metodoloģijas pārbauda vienu un to pašu kontroles pasākumu. Pierādījumus var izmantot atkārtoti, bet jautājumi atšķiras.

Uz DORA fokusēts izvērtētājs var jautāt, vai kompromitēšana maksājumu vārtejā var pāriet uz klientu datubāzēm. NIS2 kompetentā iestāde var jautāt, vai izspiedējprogrammatūra administratīvajā darbstacijā var sasniegt pamatpakalpojumu sniegšanas sistēmas. GDPR iestāde var jautāt, kādi tīkla līmeņa ierobežojumi aizsargāja sistēmas, kas apstrādā personas datus. ISO auditors var vienkārši pieprasīt risku izvērtēšanu, SoA, politiku, procedūru un pierādījumus, ka pārskatīšanas ir notikušas.

Labākās programmas uz visiem šiem jautājumiem atbild ar vieniem un tiem pašiem artefaktiem.

Metrikas, kas padara segmentēšanu redzamu vadībai

NIS2 un DORA abas pastiprina vadības pārskatatbildību. ISO/IEC 27001:2022 pieprasa vadību, mērķus, lomas, resursus, ziņošanu un nepārtrauktu pilnveidi. Tas nozīmē, ka segmentēšanai nepieciešamas metrikas, ko vadība saprot.

Noderīgas vadības metrikas ietver:

• Ugunsmūra noteikumu īpatsvars ar piešķirtu īpašnieku
• Noteikumu īpatsvars ar dokumentētu biznesa pamatojumu
• Beigušos pagaidu noteikumu skaits
• Noteikumu skaits ar “any” avotu, galamērķi vai pakalpojumu
• Internetā eksponēto pakalpojumu skaits pēc kritiskuma
• Augsta riska starpzonu plūsmu īpatsvars ar iespējotu žurnālfiksēšanu
• Ārkārtas ugunsmūra izmaiņu skaits ceturksnī
• Izlasē iekļauto noteikumu īpatsvars, kas sasaistīti ar apstiprinātiem izmaiņu pieteikumiem
• Segmentēšanas testu atteiču skaits
• Vidējais laiks riskantu vai neizmantotu noteikumu trūkumu novēršanai
• Izņēmumu skaits, kas vecāki par 90 dienām
• Pārskatīto un atkārtoti sertificēto trešo pušu piekļuves noteikumu skaits

Tīkla drošības politika identificē “ugunsmūra noteikumu efektivitāti” kā atbilstības un politikas piemērošanas apsvērumu sadaļā “Ievērošana un atbilstība”, clause 8.2.2. Šai frāzei ir nozīme, jo ar noteikumu esamību nepietiek. Noteikumiem jābūt efektīviem, pārskatītiem un saskaņotiem ar aktuālo risku.

Izveidojiet 2026. gada segmentēšanas pierādījumu pakotni

Praktiskai segmentēšanas un ugunsmūra noteikumu pārskatīšanas pierādījumu pakotnei jābūt gatavai, pirms auditors to pieprasa.

Vismaz jāuztur:

1. Aktuāla tīkla arhitektūras diagramma, tostarp mākoņa un hibrīdās zonas
2. Zonu klasifikācijas standarts, tostarp sensitivitāte un uzticamības līmenis
3. Plūsmu matrica kritiskajiem pakalpojumiem un personas datu sistēmām
4. Ugunsmūra un mākoņa drošības grupu noteikumu eksports
5. Noteikumu īpašnieku un atkārtotas sertificēšanas reģistrs
6. Ugunsmūra pārskatīšanas procedūra un pārskatīšanas kalendārs
7. Izmaiņu ieraksti izlasē iekļautām ugunsmūra modifikācijām
8. Izņēmumu reģistrs ar apstiprinājumiem, derīguma termiņu un kompensējošiem kontroles pasākumiem
9. Segmentēšanas testu rezultāti un trūkumu novēršanas ieraksti
10. Žurnālfiksēšanas un uzraudzības pierādījumi augsta riska plūsmām
11. Incidentu rokasgrāmatas, kas parāda ierobežošanu pa zonām
12. Vadības ziņošanas metrikas un sanāksmju protokoli

Kartējiet šos pierādījumus uz ISO/IEC 27001:2022 punktiem un Annex A kontroles jomām. Pēc tam sasaistiet tos ar NIS2 Article 21, GDPR Article 32, DORA IKT risku pārvaldības un testēšanas prasībām, NIST CSF 2.0 rezultātiem, piemēram, GOVERN, PROTECT, DETECT un RESPOND, kā arī COBIT pārvaldības praksēm.

NIST CSF 2.0 ir īpaši noderīgs kā valdes komunikācijas slānis. Tā GOVERN funkcija koncentrējas uz tiesiskajām, regulatīvajām un līgumiskajām prasībām, riska apetīti, lomām, politikām un pārraudzību. Tā operacionālie rezultāti aptver konfigurāciju pārvaldību, žurnālfiksēšanu, uzraudzību, datu aizsardzību, reaģēšanu uz incidentiem un atjaunošanu. Tas palīdz vadībai saprast risku, nelasot ugunsmūra ACL.

Biežākie konstatējumi, ko Clarysec redz segmentēšanas auditos

SaaS, fintech, pārvaldīto pakalpojumu sniedzēju un regulētu MVU vidē atkārtoti parādās tie paši konstatējumi:

• Plakans tīkls starp lietotāju galiekārtām un ražošanas pakalpojumiem
• Ražošanas datubāzes ir sasniedzamas no izstrādes vai korporatīvajiem tīkliem
• Plašas mākoņa drošības grupas, kas kopētas no vecām veidnēm
• Pagaidu piegādātāju noteikumi bez derīguma termiņa
• Ugunsmūra izmaiņas veiktas ārpus izmaiņu procesa
• Noteikumi bez īpašnieka vai biznesa pamatojuma
• Žurnālfiksēšana atspējota augsta riska atļaujošiem noteikumiem
• Viesu Wi‑Fi nav pilnībā izolēts
• Administratora saskarnes sasniedzamas no vispārējiem tīkliem
• Diagrammas neatbilst faktiskajai maršrutēšanai
• Nav pierādījumu, ka noteikumu pārskatīšana ir pabeigta
• Pēc būtiskām arhitektūras izmaiņām nav veikta segmentēšanas testēšana
• Nav kartējuma starp personas datu sistēmām un tīkla zonām
• Nav vadības ziņošanas par tīkla ekspozīciju

Šie konstatējumi nav tikai tehniskas vājās vietas. Tie grauj organizācijas spēju pierādīt NIS2 kiberdrošības higiēnu, DORA operacionālo noturību un GDPR Article 32 pārskatatbildību.

No reaģējošas sakārtošanas līdz aizstāvamam kontroles pasākumam

Tīkla segmentēšana un ugunsmūra noteikumu pārskatīšana ir vieta, kur drošības arhitektūra sastopas ar audita realitāti. Ja varat parādīt uz risku balstītu zonu modeli, kontrolētas starpzonu plūsmas, apstiprinātas ugunsmūra izmaiņas, laikā ierobežotus izņēmumus, žurnālfiksēšanas pierādījumus un periodisku validāciju, jūs varat ar vienu saskaņotu stāstu atbildēt uz plašu ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST un COBIT jautājumu loku.

Clarysec var palīdzēt jums šo stāstu izveidot.

Izmantojiet Zenith Blueprint: auditora 30 soļu ceļvedi, lai strukturētu ieviešanas ceļu, īpaši “Kontroles pasākumi darbībā” 20. soli tīkla drošībai un segmentēšanai un 21. soli izmaiņu pārvaldībai. Izmantojiet Zenith Controls: starpatbilstības ceļvedi, lai kartētu ISO/IEC 27002:2022 kontroles pasākumus 8.20, 8.22 un 8.32 uz NIS2, DORA, GDPR, NIST un COBIT audita gaidām. Nostipriniet darbības noteikumus Clarysec Tīkla drošības politikā, Tīkla drošības politikā MVU un Žurnālfiksēšanas un uzraudzības politikā.

Nākamais solis ir vienkāršs un ar augstu vērtību: izvēlieties vienu kritisku pakalpojumu, piemēram, klientu ražošanas vidi, maksājumu apstrādi vai identitāšu pārvaldību, un šonedēļ veiciet 10 noteikumu izlases pārskatīšanu. Katram noteikumam apstipriniet īpašnieku, pamatojumu, avotu, galamērķi, portu, žurnālfiksēšanu, izmaiņu pieteikumu un derīguma termiņu. Ja nevarat pierādīt šos septiņus faktus, tas ir sākums jūsu 2026. gada segmentēšanas uzlabošanas plānam.