VDA ISA 6.0.2

TISAX® Kapitel 5.2.7
Inwieweit wird das Netzwerk der Organisation verwaltet?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

IT-Systeme in einem Netzwerk sind unterschiedlichen Risiken ausgesetzt oder haben einen unterschiedlichen Schutzbedarf. Um einen ungewollten Datenaustausch oder -Zugriff zwischen diesen IT-Systemen zu erkennen oder zu unterbinden, werden diese in geeignete Segmente unterteilt, und der Zugriff wird durch Sicherheitstechnologien gesteuert und überwacht.

Anforderungen

Muss
Anforderungen zur Verwaltung und Steuerung von Netzwerken sind ermittelt und erfüllt.
Muss
Anforderungen an eine Segmentierung des Netzwerkes sind ermittelt und erfüllt.
Sollte
Verfahren zur Verwaltung und Steuerung der Netzwerke sind definiert.
Sollte
Für eine risikobasierte Segmentierung des Netzwerks werden die folgenden Aspekte berücksichtigt:
Sollte
Beschränkungen bei der Anbindung von IT-Systemen an das Netzwerk
Sollte
Anwendung von Sicherheitstechnologien
Sollte
Betrachtungen hinsichtlich Leistung, Vertrauen, Verfügbarkeit, Informationssicherheit und Funktionssicherheit
Sollte
Begrenzung der Auswirkungen im Falle kompromittierter IT-Systeme
Sollte
Erkennung möglicher Angriffe und der lateralen Bewegung von Angreifern
Sollte
Trennung von Netzwerken mit unterschiedlichem Betriebszweck (z.B. Test- und Entwicklungsnetzwerke, Büronetzwerk, Produktionsnetzwerke)
Sollte
Das erhöhte Risiko aufgrund von Netzwerkdiensten, die über das Internet zugänglich sind
Sollte
Technologiespezifische Trennungsmöglichkeit bei Nutzung externer IT-Dienste
Sollte
Angemessene Trennung zwischen den eigenen Netzwerken und Kundennetzwerken unter Berücksichtigung der Kundenanforderungen
Sollte
Erkennung und Verhinderung von Datenverlust/Datenlecks
Schutzbedarf hoch
Erweiterte Anforderungen an die Verwaltung und Steuerung von Netzwerken sind ermittelt und umgesetzt. Die folgenden Aspekte werden berücksichtigt: (C, I, A)
Schutzbedarf hoch
Authentifizierung von IT-Systemen im Netzwerk
Schutzbedarf hoch
Der Zugriff auf die Managementschnittstellen von IT-Systemen ist eingeschränkt.
Schutzbedarf hoch
Spezielle Risiken (z.B. drahtloser Zugriff und Fernzugriff)

Umsetzung

Management und Steuerung von Netzwerken

Zur Erfüllung der Muss-Anforderungen zur Verwaltung und Steuerung von Netzwerken sollten Unternehmen zunächst alle relevanten Anforderungen identifizieren und dokumentieren. Dazu zählt auch die Segmentierung des Netzwerks, die so gestaltet sein muss, dass sie die Anforderungen des Unternehmens erfüllt. Zur praktischen Umsetzung dieser Anforderungen ist es essenziell, ein umfassendes Konzept zu entwickeln, das sowohl die technischen als auch die organisatorischen Aspekte abdeckt. In diesem Konzept sollten klare Verantwortlichkeiten und Prozesse für die Netzwerkverwaltung festgelegt werden.

Risikobasierte Segmentierung und Netzwerkverwaltung

Für eine adäquate Segmentierung des Netzwerks sollten Aspekte wie die Beschränkungen bei der Anbindung von IT-Systemen und der Anwendung von Sicherheitstechnologien berücksichtigt werden. Unternehmen sollten spezifische Kriterien entwickeln, die sich auf Leistung, Vertrauen, Verfügbarkeit, Informationssicherheit und Funktionssicherheit konzentrieren. Weiterhin ist es wichtig, die Auswirkungen im Falle kompromittierter IT-Systeme zu begrenzen und Mechanismen zur Erkennung potenzieller Angriffe und der lateralen Bewegung von Angreifern zu implementieren. Eine klare Trennung von Netzwerken nach ihrem Betriebszweck erleichtert die Verwaltung und erhöht die Sicherheit. Dabei sollten Unternehmen auch das erhöhte Risiko von Netzwerkdiensten, die über das Internet zugänglich sind, in Betracht ziehen und geeignete Maßnahmen zur Risikominderung ergreifen.

Erweiterte Anforderungen bei hohem Schutzbedarf

Bei hohem Schutzbedarf müssen weitere spezielle Anforderungen an die Netzwerkverwaltung berücksichtigt werden. Dazu gehört die Authentifizierung von IT-Systemen innerhalb des Netzwerks sowie die Einschränkung des Zugriffs auf die Managementschnittstellen dieser Systeme. Um spezielle Risiken, die beispielsweise durch drahtlosen Zugriff und Fernzugriff entstehen, zu minimieren, müssen Unternehmen spezifische Sicherheitsmaßnahmen und -protokolle einführen, die den Zugriff streng regulieren und überwachen.

Verfahren zur effektiven Netzwerksteuerung

Für eine effektive Netzwerksteuerung ist es notwendig, dass Verfahren und Prozesse klar definiert und dokumentiert sind. Dies umfasst die Implementierung von Richtlinien zur Datenverhinderung und -erkennung von Datenlecks sowie die sichere Gestaltung der Netzarchitektur zur Trennung und Abschottung verschiedener Netzsegmente. Dazu sollten Unternehmen technologische Lösungen einsetzen, die eine präzise Kontrolle und Überwachung des Netzwerktraffics ermöglichen und gleichzeitig den Schutz und die Privatsphäre der Nutzer gewährleisten.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde