The organization must maintain up-to-date documentation of all communication protocols used within its network segments, with special focus on those connected to supply-critical systems. This documentation should include:

• A list of all protocols in use (e.g., TCP, UDP, Modbus, OPC UA, HTTPS, SNMP) within each network segment.
• The purpose and justification for each protocol, including whether it is essential for operations.
• Security properties of each protocol (e.g., encryption, authentication, integrity protection).
• Points of access and boundaries where these protocols communicate with other segments or external parties.

Protocols must be regularly reviewed to ensure only necessary and secure protocols remain in use. Any insecure or outdated protocols should be identified, risk-assessed, and either mitigated or phased out.

Changes to protocol usage must go through the organization’s change management process and be approved by the network owner or security team.

Arkkitehtuurikaavioiden ja verkkojärjestelmädokumentaation laatimiseksi ja ylläpitämiseksi organisaatio ryhtyy esimerkiksi ylläpitämään kattavaa luetteloa tietojärjestelmistä.

Organisaatio nimeää omistajat, jotka ovat vastuussa asiaan liittyvän dokumentaation ja turvatoimien loppuunsaattamisesta, ja varmistaa, että sitä tarkistetaan ja päivitetään säännöllisesti.

Tietojärjestelmien välisten rajapintojen ja yhteyksien dokumentointia ylläpidetään huolellisesti ja tarkistetaan mahdollisten muutosten integroimiseksi.

Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.

Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:

• luottamustason (esim. julkinen, työasemat, palvelin)
• organisaatioyksiköiden (esim. HR, taloushallinto)
• tai jonkin yhdistelmän mukaan (esim. palvelimen verkkoalue, joka on yhdistetty useisiin organisaatioyksiköihin)

Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

• Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
• Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
• Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
• Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
• Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
• Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
• Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
• Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
• Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
• Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.