Målet med prinsippet: Virksomheten har kontroll på informasjonsflyten mellom ulike deler av systemer slik at enheter kun kan kommunisere sammen etter vedtatte regler. Virksomheten har også kontroll på informasjonsflyten inn og ut av virksomheten.
Hvorfor er dette viktig ?
Et dataangrep starter ofte med overtakelse av en mindre viktig datamaskin. En angriper ønsker normalt å bevege seg videre til en annen del av nettverket for å øke sine rettigheter. Det er viktig med kontrollert dataflyt i virksomhetens systemer av flere grunner, blant annet for å:
- hindre at kompromittering av enhet eller sone kan spre seg videre i nettverket. Med god kontroll på dataflyt kan man begrense skaden.
- Tvinge datatrafikk til å gå igjennom virksomhetens sikkerhetstiltak.
- Isolere enheter som er spesielt kritiske, sårbare eller eksponerte.
Tilhørende tiltak
Utdypende informasjon
Hvordan kontrollere dataflyt: For å kontrollere dataflyt brukes bl.a. sone-inndelingen i prinsipp 2.2 - Etabler en sikker IKT-arkitektur. Verktøyene for å kontrollere dataflyt kan f.eks. være svitsjer, rutere, brannmurer (også verts-brannmurer), domeneskiller, proxyer, DMZ-soner og nettverksbaserte deteksjons- (IDS) og beskyttelsessystemer (IPS). Virksomheter med et høyt sikkerhetsbehov bør vurdere å bruke flere verktøy for å ha forsvar i dybden.
Det er viktig at dataflyten oppleves som hensiktsmessig. I motsatt fall risikerer virksomheten at sluttbrukere finner sine egne og gjerne usikre løsninger, for eksempel minnepinner eller privat skylagring.