Polityka Bezpieczeństwa Sieci i Systemów
Segmentacja, firewall, IDS/IPS, monitoring, logi i ochrona poczty
1. Architektura Sieciowa i Segmentacja
Organizacja stosuje zasadę segmentacji sieci, ograniczając przepływ ruchu między strefami do niezbędnego minimum (zero trust network access – ZTNA).
| Strefa sieciowa | Opis | Zawartość | Izolacja |
|---|---|---|---|
| Internet / Untrusted | Zewnętrzna – poza kontrolą organizacji | Internet publiczny | Firewall brzegowy |
| DMZ | Strefa zdemilitaryzowana – serwery publiczne | Serwery www, reverse proxy, MX, VPN endpoint | Firewall wewnętrzny i zewnętrzny (dual firewall) |
| Sieć korporacyjna (LAN) | Główna sieć użytkowników | Stacje robocze, laptopy, drukarki | Reguły firewall, VLAN |
| Sieć serwerowa | Serwery aplikacji i baz danych | Serwery AD, ERP, bazy danych | VLAN, ACL, mikrosegmentacja |
| Sieć OT/ICS (jeśli dotyczy) | Sieć systemów przemysłowych | PLC, SCADA, HMI | Fizyczna lub logiczna izolacja od IT (air-gap lub data diode) |
| Sieć zarządzania (Management) | Sieć zarządzania infrastrukturą | IPMI, out-of-band management, SNMP | Odrębny VLAN, dostęp tylko dla adminów |
▸ Organizacja uzupełnia – schemat sieciowy
Schemat sieci (diagram): ▸ [lokalizacja aktualnego diagramu sieciowego]
Technologia VLAN: ▸ [producent/model przełączników]
2. Firewall i Kontrola Ruchu
| Wymaganie | Standard | Realizacja |
|---|---|---|
| Reguły firewalla | Domyślna odmowa (deny all), zezwolenie tylko na wymagany ruch | ▸ [producent/model FW, np. Palo Alto / Fortinet / pfSense] |
| Przegląd reguł firewalla | ▸ co kwartałmin. 2×/rok | ▸ CISO / Admin IT |
| Web Application Firewall (WAF) | Wymagany dla aplikacji webowych publicznych | ▸ [np. ModSecurity / Cloudflare WAF / Azure Application Gateway] |
| IDS/IPS | Wymagany w DMZ i sieci serwerowej | ▸ [np. Suricata / Snort / Zeek / Cisco IPS] |
| Network Access Control (NAC) | Zalecany | ▸ [np. Cisco ISE / ForeScout / 802.1X] |
3. Logowanie i Monitoring – Wymóg KSC
⚠ Krytyczne – obowiązek zbierania logów przez min. 12 miesięcy (KSC)
| Źródło logów | Retencja | Narzędzie SIEM / log management |
|---|---|---|
| Logi systemowe serwerów (OS) | ▸ [12 mies.]min. 12 mies. – KSC | ▸ |
| Logi firewalla / IPS | ▸ [12 mies.]min. 12 mies. | ▸ |
| Logi Active Directory (autentykacje) | ▸ [12 mies.]min. 12 mies. | ▸ |
| Logi VPN | ▸ [12 mies.]min. 12 mies. | ▸ |
| Logi aplikacji webowych | ▸ [12 mies.]min. 12 mies. | ▸ |
| Logi OT/SCADA (jeśli dotyczy) | ▸ [12 mies.]min. 12 mies. | ▸ |
Platforma SIEM: ▸ [np. Microsoft Sentinel / Splunk / Elastic SIEM / OSSIM / Wazuh]
Logi są przechowywane w sposób chroniący je przed modyfikacją: ▸ [TAK / NIE – opis mechanizmu: immutable storage / write-once]
4. Ochrona Stacji Końcowych (Endpoint)
| Kontrola | Wymaganie | Narzędzie |
|---|---|---|
| Antywirus / EDR | WYMAGANY na wszystkich stacjach | ▸ [np. CrowdStrike Falcon / MS Defender / SentinelOne] |
| Zarządzanie poprawkami (endpoint patching) | Wg SLA z DOC-014 | ▸ [np. WSUS / Intune / SCCM / Ansible] |
| Szyfrowanie dysku | WYMAGANE na laptopach i urządzeniach mobilnych | ▸ [np. BitLocker / FileVault] |
| MDM (Mobile Device Management) | Wymagany dla urządzeń mobilnych z dostępem do danych org. | ▸ [np. Microsoft Intune / JAMF] |
| DLP (Data Loss Prevention) | Zalecany dla danych POUFNYCH i TAJNYCH | ▸ [np. Microsoft Purview / Symantec DLP] |
5. Bezpieczeństwo Poczty E-mail
| Mechanizm | Wymaganie | Status wdrożenia |
|---|---|---|
| SPF (Sender Policy Framework) | WYMAGANY | ▸ [Wdrożony / W trakcie] – rekord DNS: ▸ [wartość TXT] |
| DKIM (DomainKeys Identified Mail) | WYMAGANY | ▸ [Wdrożony / W trakcie] |
| DMARC | WYMAGANY – polityka co najmniej quarantine | ▸ [Wdrożony – polityka: quarantine/reject]min. quarantine |
| Filtr antyspamowy / antyphishingowy | WYMAGANY | ▸ [np. MS Defender for Office / Proofpoint / Mimecast] |
| Szyfrowanie e-mail (S/MIME / PGP) | Wymagane dla danych POUFNYCH w poczcie | ▸ [Wdrożony / W trakcie / Nie dotyczy] |
6. Bezpieczeństwo DNS i Sieci Bezprzewodowej
| Element | Wymaganie | Realizacja |
|---|---|---|
| DNS Filtering (ochrona przed malware C2) | Zalecany | ▸ [np. Cisco Umbrella / Cloudflare Gateway / Pi-hole] |
| Wi-Fi korporacyjny | ▸ WPA3 / WPA2-Enterprise (802.1X)min. WPA2-Enterprise | ▸ [np. Aruba / Ubiquiti / Cisco WLC] |
| Sieć gości (Guest Wi-Fi) | Izolacja od sieci korporacyjnej | ▸ [oddzielny SSID z captive portal] |
| Wi-Fi domowe pracowników zdalnych | ▸ [WPA2/WPA3, oddzielna sieć dla urządzeń firmowych] | ▸ [instrukcja dla pracowników] |
Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |
DOC-019 Bezpieczeństwo Sieci i Systemów | v1.0 | NIS2/KSC