TISAX® Kapitel 5.2.7
Inwieweit wird das Netzwerk der Organisation verwaltet?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser Vorlagenpaket für TISAX®.
Ziel
IT-Systeme in einem Netzwerk sind unterschiedlichen Risiken ausgesetzt oder haben einen unterschiedlichen Schutzbedarf. Um einen ungewollten Datenaustausch oder -Zugriff zwischen diesen IT-Systemen zu erkennen oder zu unterbinden, werden diese in geeignete Segmente unterteilt, und der Zugriff wird durch Sicherheitstechnologien gesteuert und überwacht.
Anforderungen
- Muss
- Anforderungen zur Verwaltung und Steuerung von Netzwerken sind ermittelt und erfüllt.
- Muss
- Anforderungen an eine Segmentierung des Netzwerkes sind ermittelt und erfüllt.
- Sollte
- Verfahren zur Verwaltung und Steuerung der Netzwerke sind definiert.
- Sollte
- Für eine risikobasierte Segmentierung des Netzwerks werden die folgenden Aspekte berücksichtigt:
- Sollte
- Beschränkungen bei der Anbindung von IT-Systemen an das Netzwerk
- Sollte
- Anwendung von Sicherheitstechnologien
- Sollte
- Betrachtungen hinsichtlich Leistung, Vertrauen, Verfügbarkeit, Informationssicherheit und Funktionssicherheit
- Sollte
- Begrenzung der Auswirkungen im Falle kompromittierter IT-Systeme
- Sollte
- Erkennung möglicher Angriffe und der lateralen Bewegung von Angreifern
- Sollte
- Trennung von Netzwerken mit unterschiedlichem Betriebszweck (z.B. Test- und Entwicklungsnetzwerke, Büronetzwerk, Produktionsnetzwerke)
- Sollte
- Das erhöhte Risiko aufgrund von Netzwerkdiensten, die über das Internet zugänglich sind
- Sollte
- Technologiespezifische Trennungsmöglichkeit bei Nutzung externer IT-Dienste
- Sollte
- Angemessene Trennung zwischen den eigenen Netzwerken und Kundennetzwerken unter Berücksichtigung der Kundenanforderungen
- Sollte
- Erkennung und Verhinderung von Datenverlust/Datenlecks
- Schutzbedarf hoch
- Erweiterte Anforderungen an die Verwaltung und Steuerung von Netzwerken sind ermittelt und umgesetzt. Die folgenden Aspekte werden berücksichtigt: (C, I, A)
- Schutzbedarf hoch
- Authentifizierung von IT-Systemen im Netzwerk
- Schutzbedarf hoch
- Der Zugriff auf die Managementschnittstellen von IT-Systemen ist eingeschränkt.
- Schutzbedarf hoch
- Spezielle Risiken (z.B. drahtloser Zugriff und Fernzugriff)
Umsetzung
Management und Steuerung von Netzwerken
Zur Erfüllung der Muss-Anforderungen zur Verwaltung und Steuerung von Netzwerken sollten Unternehmen zunächst alle relevanten Anforderungen identifizieren und dokumentieren. Dazu zählt auch die Segmentierung des Netzwerks, die so gestaltet sein muss, dass sie die Anforderungen des Unternehmens erfüllt. Zur praktischen Umsetzung dieser Anforderungen ist es essenziell, ein umfassendes Konzept zu entwickeln, das sowohl die technischen als auch die organisatorischen Aspekte abdeckt. In diesem Konzept sollten klare Verantwortlichkeiten und Prozesse für die Netzwerkverwaltung festgelegt werden.
Risikobasierte Segmentierung und Netzwerkverwaltung
Für eine adäquate Segmentierung des Netzwerks sollten Aspekte wie die Beschränkungen bei der Anbindung von IT-Systemen und der Anwendung von Sicherheitstechnologien berücksichtigt werden. Unternehmen sollten spezifische Kriterien entwickeln, die sich auf Leistung, Vertrauen, Verfügbarkeit, Informationssicherheit und Funktionssicherheit konzentrieren. Weiterhin ist es wichtig, die Auswirkungen im Falle kompromittierter IT-Systeme zu begrenzen und Mechanismen zur Erkennung potenzieller Angriffe und der lateralen Bewegung von Angreifern zu implementieren. Eine klare Trennung von Netzwerken nach ihrem Betriebszweck erleichtert die Verwaltung und erhöht die Sicherheit. Dabei sollten Unternehmen auch das erhöhte Risiko von Netzwerkdiensten, die über das Internet zugänglich sind, in Betracht ziehen und geeignete Maßnahmen zur Risikominderung ergreifen.
Erweiterte Anforderungen bei hohem Schutzbedarf
Bei hohem Schutzbedarf müssen weitere spezielle Anforderungen an die Netzwerkverwaltung berücksichtigt werden. Dazu gehört die Authentifizierung von IT-Systemen innerhalb des Netzwerks sowie die Einschränkung des Zugriffs auf die Managementschnittstellen dieser Systeme. Um spezielle Risiken, die beispielsweise durch drahtlosen Zugriff und Fernzugriff entstehen, zu minimieren, müssen Unternehmen spezifische Sicherheitsmaßnahmen und -protokolle einführen, die den Zugriff streng regulieren und überwachen.
Verfahren zur effektiven Netzwerksteuerung
Für eine effektive Netzwerksteuerung ist es notwendig, dass Verfahren und Prozesse klar definiert und dokumentiert sind. Dies umfasst die Implementierung von Richtlinien zur Datenverhinderung und -erkennung von Datenlecks sowie die sichere Gestaltung der Netzarchitektur zur Trennung und Abschottung verschiedener Netzsegmente. Dazu sollten Unternehmen technologische Lösungen einsetzen, die eine präzise Kontrolle und Überwachung des Netzwerktraffics ermöglichen und gleichzeitig den Schutz und die Privatsphäre der Nutzer gewährleisten.
Verwandte TISAX-Kapitel
- Kapitel 5.1.2 – Übertragungsschutz – Verschlüsselung im Netzwerk.
- Kapitel 5.3.2 – Netzwerkdienste – Anforderungen an Netzwerkdienste definieren.
