Verbetering van de beveiliging met ISO 27002 Control 8.22: Netwerksegregatiestrategieën
Wanneer cybercriminelen computernetwerken, -diensten of -apparaten compromitteren, beperken ze zich niet tot de gecompromitteerde activa.
Ze maken gebruik van de initiële inbraak om het volledige netwerk van een organisatie te infiltreren, toegang te krijgen tot gevoelige informatie of om ransomware-aanvallen uit te voeren.
Cybercriminelen kunnen bijvoorbeeld de inloggegevens van personeelszaken (HR) in een ziekenhuis stelen na een succesvolle phishing-aanval en zo toegang krijgen tot personeelssystemen.
Vervolgens kunnen ze dit toegangspunt gebruiken om zich lateraal over het hele netwerk te verplaatsen en netwerken te ontdekken die gevoelige patiëntinformatie hosten. Deze inbreuk kan leiden tot het compromitteren van informatiemiddelen, tot downtime leiden of het ziekenhuis blootstellen aan een ransomware-aanval.
Als het ziekenhuis netwerksegregatietechnieken zou hebben, zoals firewalls, virtuele netwerken of serverisolatie, zou dit waarschijnlijk voorkomen dat indringers toegang krijgen tot gevoelige informatie en de impact van de inbreuk minimaliseren.
Controle 8.22 behandelt hoe organisaties passende technieken voor netwerksegregatie kunnen implementeren en onderhouden om risico's voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatiemiddelen te elimineren.
Doel van de controle 8.22
Controle 8.22 stelt organisaties in staat hun computernetwerken op te splitsen in subnetwerken op basis van het niveau van gevoeligheid en kriticiteit, en de verkeersstroom tussen deze verschillende subnetwerken te beperken.
Dit helpt organisaties de verspreiding van malware of virussen van gecompromitteerde netwerken naar andere netwerken te voorkomen die gevoelige informatie opslaan.
Dit zorgt ervoor dat organisaties de vertrouwelijkheid, integriteit en beschikbaarheid behouden van informatiemiddelen die op kritieke subnetwerken worden gehost.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Attributen Controletabel 8.22
Controle 8.22 is preventief van aard, omdat het vereist dat organisaties een proactieve aanpak hanteren en regels, procedures en passende technieken vaststellen en implementeren om het grotere computernetwerk op te splitsen in kleinere netwerkdomeinen, zodat compromittering van gevoelige netwerken kan worden voorkomen.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Systeem- en netwerkbeveiliging | #Bescherming |
| #Integriteit | ||||
| #Beschikbaarheid |
Eigendom van zeggenschap 8.22
Gezien het feit dat Controle 8.22 segmentatie van netwerken, apparaten en systemen met zich meebrengt op basis van het risiconiveau en ook de implementatie van netwerksegregatietechnieken en -procedures, moet een Informatiebeveiligingsfunctionaris verantwoordelijk worden gehouden voor de naleving ervan.
Algemene richtlijnen voor naleving
Bij het implementeren van netwerksegregatiemaatregelen moeten organisaties proberen een evenwicht te vinden tussen operationele behoeften en beveiligingsproblemen.
Controle 8.22 somt drie aanbevelingen op die in overweging moeten worden genomen bij het implementeren van netwerksegregatie.
Hoe u het netwerk kunt opsplitsen in kleinere subnetwerken
Bij het scheiden van het netwerk in kleinere netwerksubdomeinen moeten organisaties rekening houden met het niveau van gevoeligheid en kriticiteit van elk netwerkdomein. Afhankelijk van deze analyse kunnen netwerksubdomeinen worden toegewezen aan 'publieke domeinen', 'desktopdomeinen', 'serverdomeinen' of 'systemen met een hoog risico'.
Bovendien kunnen organisaties bij het scheiden van het netwerk ook rekening houden met de zakelijke afdelingen zoals HR, marketing en financiën.
Er wordt ook opgemerkt dat organisaties deze twee criteria kunnen combineren en netwerksubdomeinen kunnen toewijzen aan categorieën zoals 'serverdomein dat verbinding maakt met de verkoopafdeling'.
Beveiligingsperimeters en toegangscontrole
Organisaties moeten de omtrek van elk netwerksubdomein duidelijk definiëren. Als er toegang zal zijn tussen twee verschillende netwerkdomeinen, moet deze toegang worden beperkt op perimeterniveau via de gateway, zoals firewalls of filterrouters.
Organisaties moeten de beveiligingsvereisten voor elk specifiek domein beoordelen bij het implementeren van netwerksegregatie en bij het autoriseren van toegang via de gateways.
Deze beoordeling moet worden uitgevoerd in overeenstemming met het toegangscontrolebeleid zoals vereist onder Controle 5.15 en moet ook rekening houden met het volgende:
- Classificatieniveau toegewezen aan informatiemiddelen.
- Kritiek van informatie.
- Kosten en praktische overwegingen voor het gebruik van een bepaalde gatewaytechnologie.
Draadloze netwerken
Gezien het feit dat het definiëren van netwerkbeveiligingsparameters voor draadloze netwerken een uitdaging is, raadt Control 8.22 organisaties aan zich aan de volgende praktijken te houden:
- Het gebruik van technieken voor het aanpassen van de radiodekking om draadloze netwerken te scheiden moet worden beoordeeld.
- Voor gevoelige netwerken kunnen organisaties alle draadloze toegangspogingen als externe verbindingen beschouwen en de toegang tot interne netwerken verhinderen totdat de gatewaycontrole de toegang goedkeurt.
- Als personeel alleen hun eigen apparaten gebruikt in overeenstemming met het beleid van de organisatie, moet de draadloze netwerktoegang voor personeel en gasten gescheiden zijn.
- Het gebruik van Wi-Fi door gasten moet onderworpen zijn aan dezelfde beperkingen en controles als aan het personeel.
Aanvullend richtsnoer voor controle 8.22
Control 8.22 merkt op dat organisaties vaak verschillende zakelijke partnerschappen aangaan met andere bedrijven en hun netwerk, IT-apparaten en andere informatiefaciliteiten delen.
Daarom kunnen gevoelige netwerken worden blootgesteld aan een verhoogd risico op ongeoorloofde toegang door andere gebruikers en moeten organisaties passende maatregelen nemen om dit risico te voorkomen.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
27002:2022/8.22 replaces 27002:2013/(13.1.3)
Hoewel de versies van 2022 en 2013 grotendeels vergelijkbaar zijn, is er één belangrijk verschil.
In tegenstelling tot de versie 2013 bevat de versie 2022 de volgende vereisten voor draadloze netwerken:
- Als personeel alleen hun eigen apparaten gebruikt in overeenstemming met het beleid van de organisatie, moet de draadloze netwerktoegang voor personeel en gasten gescheiden zijn.
- Het gebruik van Wi-Fi door gasten moet onderworpen zijn aan dezelfde beperkingen en controles als aan het personeel.
Nieuwe ISO 27002-controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | NIEUW | Bedreigingsintelligentie |
| 5.23 | NIEUW | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | NIEUW | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 8.9 | NIEUW | Configuratiebeheer |
| 8.10 | NIEUW | Verwijdering van informatie |
| 8.11 | NIEUW | Gegevensmaskering |
| 8.12 | NIEUW | Preventie van gegevenslekken |
| 8.16 | NIEUW | Monitoring activiteiten |
| 8.23 | NIEUW | Web filtering |
| 8.28 | NIEUW | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Hoe ISMS.online helpt
Met ISMS.Online kunt u:
- Documenteer uw processen. Met deze intuïtieve interface kunt u uw processen documenteren zonder software op uw computer of netwerk te installeren.
- Automatiseer uw risicobeoordelingsproces.
- Toon naleving eenvoudig aan met online rapporten en checklists.
- Houd de voortgang bij terwijl u aan certificering werkt.
ISMS.Online biedt een volledig scala aan functies om organisaties en bedrijven te helpen voldoen aan de industriestandaard ISO 27001 en/of ISO 27002 ISMS.
Neem vandaag nog contact met ons op een demo plannen.
