Målet med prinsippet: Virksomheten kontrollerer og beskytter nettverkene sine mot interne og eksterne trusler.
Hvorfor er dette viktig?
Virksomhetens eget nettverk strekker seg ofte ut over kontorlokalet og gjør det utfordrende å definere den fysiske utbredelsen. En virksomhet kan ha flere geografiske lokasjoner, og tjenester kan være satt ut til leverandører.
Skillet mellom innsiden og utsiden av virksomhetens nettverk blir stadig mindre. De ansatte benytter ofte mobile enheter og har behov for å arbeide hjemmefra og på reise. Videre vil mange virksomheter benytte seg av eksterne tjenester som ytterligere kompliserer situasjonen
Tilkobling av virksomhetens nettverk til Internett eller andre nettverk utenfor virksomhetens kontroll eksponerer systemene for nye angrepsflater.
Enheter og datatrafikk kan også angripes fra innsiden: en kompromittert server eller klient (både virksomhetsstyrt, innleid eller privat), en utro tjener, en (kompromittert) leverandører med tilgang til nettverket, svakt sikret trådløse nett eller manglende fysisk sikring av porter/kabler.
Virksomhetens nettverk bør derfor sikres godt mot både interne og eksterne trusler, og enheter bør ikke ukritisk stole på alt som er tilkoblet eget nettverk. Tilgangen til nettverket bør sikres og dataflyt på nettverket bør beskyttes med kryptering.
Tilhørende tiltak
| Tiltak | |
|---|---|
| Nettverksikkerhet er viktig både for maskinvarebasert enheter og virtualiserte enheter («skybasert»). | |
| 2.4.1 - Etabler tilgangskontroll på flest mulige nettverksporter | 8.20 8.21 8.22 |
| 2.4.2 - Krypter alle trådløse og kablede forbindelser | 8.20 8.21 8.22 |
| 2.4.3 - Kartlegg fysisk tilgjengelighet for svitsjer og kabler | 7.12 |
| 2.4.4 - Aktiver brannmur på alle klienter og servere | 8.1 8.9 8.15 8.16 |