Võrgu turvanõuded
Nõuded lokaalvõrgule
IT-l on õigus jälgida võrguliiklust teenuse tagamise eesmärgil.
Kasutajaõigus peatatakse
Peale kolme ebaõnnestunud sisselogimiskatset.
Kui pole 3 kuud kontot kasutatud.
Kui kasutaja on korduvalt rikkunud kasutajaeeskirja nõudeid.
Kasutajanimi on kujul “eesnimi.perekonnanimi”..
Täpitäneh ja teised diakriitikuga tähed asendatakse vastavate diakriitikuta tähtedega (ä->a, ö->o jne).
Võrguseadmete tarkvara peab olema varustatud viimaste paranduspakettide ja turvapaikadega.
Võrguseadmed võib kasutada ainult kokkulepitud tarkvara.
Tarkvara uuendamisel võib kasutada ainult usaldusväärseid allikaid ja kontrollisa kontrollsummasid.
Võrgus kasutatakse dünaamilist marsruutimist.
Võrguseadme seadistus lähtub whitelist (minetatakse ainult lubatud aadressid) reeglist. Väikesed firmad võivad kasutada ka blacklist reeglit- kõik, mis pole keelatud, on lubatud, ainult „pahad“ aadressid märgutakse üles.
Võrgus peab olema rakendatud DLP (Data Loss Prevention) tarkvara.
Võrgus peab olema rakendatud IDE (Intrusion Detection Software) tarkvara.
Võrguseadmes peavad mittevajalikus pordid olema välja lülitatud.
Kõik mittekasutatavad teenused tuleb välja lülitada.
Mittekasutatavad pordid deaktiveeritakse ja määratakse eraldi VLAN-id.
Lõppseadme portidel peab olema aktiveeritud loop kaitse funktsioon.
Võrguseadmete portide ligipääsuks peab võimalusel kasutama IEEE 802.1X standardit.
SNMP kommuunide pääsuõigused peavad olema minimaalsed.
Võrguseade peab toetama vähemalt Gigabit Ethernet tehnoloogiat.
Igas kohtvõrgu- või laivõrgu sõlmes peab olema võimalik teha pääsunimekirjasid (ACL- Access Contol List).
Võrguseadmed peavad toetama turvalisi andmesideprotokolle (näiteks SSH2).
Võrguseade peab toetama NTP kasutust.
Olulised võrgu sõlmpunktid peavad olema arvestatud piisava andmemahu suurusega.
Olulised sõlmpunktid peavad olema varustatud varuseadmetega rikke puhkus.
Soetatav võrguseade peab omama 20% varuporte tulevaseks kasutamiseks.
Võrguseade peab olema ühildatav olemasoleva haldussüsteemiga.
Võrgus võib teha muudatusi ainult volitatud isik.
Andmesidevõrgu administreerimine kaughaldusena on keelatud.
Võrguseadme haldusseanss peab automaatselt aeguma.
Võrguseadme haldamisel tuleb võimalusel kasutada turvalist autentimist ja krüpteeritud andmesidet.
Andmesidevõrgu kriitiliste sõlmede haldamisel tuleb kasutatada nelja silma printsiipi. Näiteks koht- ja välisvõrgu tulemüüri seadistuseks.
Kaugtöö
Kaugtöö seadme ja ettevõtte võrgu vaheline side luuakse läbi turvalise VPN ühenduse.
VPN konfiguratsioon ei tohi olla kasutaja poolt muudetav.
Peale VPS sideme loomist suunatakse kogu võrguliiklus läbi ettevõtte võrgu ja läbi VPN-i.
VPN-i kasutajal peavad olema õigused ainult tema tööks vajalikele ressurssidele.
Kasutaja töösuhte lõppemisel tuleb viivitamatult sulgeda VPN kasutusõigused.
Kaugtööks tuleb eelistada mobiilset (3G, 4G) internetti avalikule sideühendustele.
WIFI kasutamisel kaugtööks tuleb kasutada vähemalt WPS2 protokolli.
Kaugtööl on kasutaja kohustatud jälgima, et andmeid ei säilitataks kaugtööks kasutatud asutusele mittekuuluvas seadmes.
Võrguseaded, konfiguratsioon ja topoloogia peavad olema dokumenteeritud:
* topoloogia, edastusteed, kaabeldus, võrguosad, asukohad, üleminek kohtvõrgust laivõrku jne.
* Loogilise konfigureerimise konfiguratsioonifailid.
* Füüsilise konfiguratsiooni puhul vastav konfiguratsioon.
* Kasutatavad võrguprotokollid.
* Lubatud pordid ja teenused.
Võrgu muudatused tuleb dokumenteerida
Turvanõuded ja –kontroll:
Turvanõuded peavad olema kehtestatud.
Teavet turvaaukude kohta tuleb jälgida nii tootja suhtluskanalis kui turvaaukudest teavitatavatest portaalidest (soovitatav vähemalt kahest) .
Võrguseadmete paroole tuleb testida pisteliselt vähemalt kord aastas.
Parooli kontrollimiseks kasutatakse vähemalt kaht erinevat parooliskännerit.
Tarkvara uuenduste ja turvapaikade olemasolu tuleb kontrollida vähemalt kord aastas.
Võrguseadme konfiguratsioonide varundamist tuleb kontrollida vähemalt kord aastas.
Vaikeseadete piiramist tuleb kontrollida vähemalt kord aastas.
Võrguseadmeid tuleb inspekteerida pisteliselt vähemalt kord aastas.
Logisid analüüsitakse
Peale turvaintsidenti.
Rikete ja vigade korral.
Pisteliselt vähemalt kord aastas.