Bezpečnost komunikačních sítí

Smyslem tohoto bezpečnostního opatření je zajištění ochrany komunikačních sítí poskytovatele regulované služby pomocí vhodné síťové segmentace a zajištění ochrany sítě na jejím komunikačním perimetru.

Segmentace komunikační sítě a oddělení provozu

Komunikační síť by měla být segmentována, například:

  • podle účelu použití technických aktiv vzhledem k organizačním jednotkám (segment s koncovými stanicemi účtárny, segment pro tiskárny, serverový segment),
  • podle specifických požadavků na bezpečnost (segment s přímým přístupem do veřejného internetu DMZ),
  • podle nutnosti komunikovat se specifickými technologiemi (dispečerské stanice průmyslových technologií), nebo
  • podle jiné vhodné kombinace dle požadavků organizace.

Segmentace se vztahuje i na jednotlivá provozovaná prostředí (oddělení produkčního prostředí od okolí, zálohovací řešení, prostředí aplikačního vývoje, testovací prostředí). 

Uvedené oddělení může být technicky realizováno jak na fyzické síti, tak i na vyšší logické komunikační vrstvě. Je třeba zajistit i vhodný způsob řízení komunikace (mezi interně provozovanými segmenty a prostředími, řízení komunikace směrem k síťovému perimetru či externě provozovaným sítím), aby nebylo možné například šíření škodlivého kódu či potenciálního útočníka mezi jednotlivými segmenty.

Příklady plnění:

  • Pokročilá segmentace, mikrosegmentace, řízení provozu, oddělení záloh.
  • Řízení provozu mezi segmenty.
  • Zaveden segment pro průmyslová zařízení a související aktiva ve výrobě.
  • Základní rozdělení interní sítě na segmenty: kancelářská síť, servery a zálohy.

Omezení komunikace perimetru sítě na nezbytně nutnou

Cílem je zajistit, aby síťová komunikace, procházející přes bezpečnostní perimetr, byla v příchozím i odchozím směru omezena tak, aby byl zajištěn průchod pouze pro tu komunikaci, která je nezbytně nutná k zajištění poskytování regulované služby. Pro ostatní typy komunikací, které nejsou pro chod regulované služby nezbytně nutné, by mělo dojít k posouzení jejich nutnosti. Poskytovatel regulované služby by dále měl také zvážit jejich případné zablokování dle stanovených pravidel.

Ačkoli je požadavek na poskytovatele regulované služby v režimu nižších povinností formálně vztažen pouze k perimetru komunikační sítě, je doporučeno aplikovat toto opatření i v interní síti. Jde o běžnou praxi v souladu s principy zero-trust, která pomáhá omezit šíření škodlivého kódu nebo útočníka uvnitř prostředí a tím zvyšuje úroveň kybernetické bezpečnosti.

Příklady plnění:

  • Organizace využívá bezpečnostní řešení pro řízení komunikace mezi technickými aktivy a síťovým perimetrem, například perimetrový firewall nebo nástroje pro správu a monitoring segmentu DMZ. U těchto řešení je kontrolováno zajištění technické podpory výrobce (aktualizace FW/SW), periodicky se kontroluje nastavení a konfigurace bezpečnostních pravidel vzhledem k aktuálním potřebám provozovaných aktiv.
  • Organizace řídí komunikace k technickým aktivům exponovaným do veřejného internetu pomocí omezení služeb a portů na veřejných IP adresách.

Používání bezpečných komunikačních protokolů

Poskytovatel regulované služby by měl vědět, jaké druhy síťových protokolů jsou pro komunikaci jím provozovaných aktiv využívány. Bezpečnostní opatření má zajistit používání pouze takových síťových komunikačních protokolů, které jsou v době svého použití bezpečné a odolné. Je-li nutné k provozu aktiv využívat i méně odolné komunikační protokoly, je třeba zvážit dodatečné zabezpečení pomocí dalších technických prostředků.

Příklady plnění:

  • Organizace má díky analýze síťového provozu na perimetru i v interní komunikační síti povědomí o tom, prostřednictvím jakých síťových protokolů probíhá komunikace na úrovni sítě.
  • Dochází k pravidelnému vyhodnocování používaných síťových protokolů a jejich parametrů (například jejich verzí a použitých kryptografických prostředků).
  • Organizace má základní přehled o tom, že nejsou používány nešifrované a neodolné síťové komunikační protokoly (například HTTP).
  • Organizace provozuje v sousedním areálu průmyslová zařízení, u kterých zjistila výskyt síťových protokolů komunikujících v otevřené nechráněné podobě. Bylo zavedeno vhodné náhradní technické opatření zapouzdřující uvedené komunikace do síťového tunelu, chráněného kryptografickou šifrou, odolnou dle doporučení Úřadu.

Vzdálená připojení

Potřebuje-li poskytovatel regulované služby zřizovat vzdálené připojení či správu, musí být tyto vzdálené přístupy vhodným způsobem omezeny na takovou úroveň, která umožní jejich využití pouze k nezbytně nutnému účelu pro vykonání požadované vzdálené činnosti. 

Požadavky na vzdálené připojení:

  • zajištění důvěrnosti a integrity všech přenášených dat přes vzdálené připojení,
  • vedení přehledu o uživatelích a administrátorech, kteří mají oprávnění využívat vzdálené připojení, a
  • zvýšená ochrana přístupů dostupných z veřejného internetu, jelikož jsou více ohrožené. 
Vzdáleným připojením nemusí být pouze obvykle myšlený vzdálený VPN přístup, ale jakákoliv forma přístupu, která není lokální, např. přístup z uživatelského počítače prostřednictvím webového prohlížeče k online informačnímu systému organizace.

Příklady plnění:

  • Je vedena evidence zařízení a uživatelů, kteří mají umožněn vzdálený přístup.
  • Vzdálené připojování do interní sítě je povoleno pouze z řízených koncových stanic (například pod správou MDM (mobil device management)), u kterých je kontrolováno splnění bezpečnostních požadavků před připojením (aktuální verze operačního systému, ochrana před škodlivým kódem atd.).
  • Vzdálená připojení dodavatelů jsou smluvně ošetřena, řízena a technicky připravena (přidělení certifikátů, identit a vícefaktorová autentizace), připojení je na straně organizace povoleno pouze po předchozí komunikaci s dodavatelem, kterému není umožněn neomezený přístup do sítě organizace.
  • K aktivům organizace je dodavateli umožněn přístup pouze skrze pro tento účel vytvořenou stanici (tzv. jump), která zajišťuje bezpečnostní monitoring nad prováděnými činnostmi.
  • Vzdálené připojování ke správě technických aktiv mimo interní síť je podmíněné vícefaktorovu autentizací.
  • V případě absence relevantních technických aktiv není vzdálené připojování do interní sítě umožněno.
  • Vzdálené připojování a správa technických aktiv pomocí SW pro vzdálenou správu nebo jinými způsoby je organizací řízeno a zaměstnanci i dodavatelé jsou poučeni o podmínkách použití těchto nástrojů.