9 Kiểm soát truy cập
9.4.6 Sự chia tách trong các mạng
Các mạng ngày càng mở rộng vượt ra ngoài giới hạn những ranh giới tổ chức truyền thống, như những cộng tác thương mại được hình thành mà có thể yêu cầu sự liên kết nối hay chia sẻ các điều kiện xử lí thông tin và nối mạng. Sự mở rộng này có thể làm tăng rủi ro truy cập trái phép tới các hệ thống hiện hành mà sử dụng mạng, một số trong chúng có thể yêu cầu sự bảo vệ từ những người sử dụng mạng khác bởi tính nhạy cảm hay tính quan trọng của chúng. Trong các trường hợp như vậy, việc đưa những kiểm soát vào bên trong mạng, để phân tách các nhóm dịch vụ thông tin, những người dùng và các hệ thống thông tin, nên được quan tâm.
Một phương pháp kiểm soát tính bảo mật của những mạng lớn là chia chúng thành các vùng mạng luận lí riêng biệt, ví dụ, những vùng mạng bên trong của tổ chức và các vùng mạng bên ngoài, mỗi cái được bảo vệ bằng vành đai bảo mật định sẵn. Vành đai này có thể được thực hiện bằng việc cài đặt cổng nối bảo mật giữa 2 mạng được liên kết nối để kiểm soát truy cập và dòng thông tin giữa 2 vùng. Cổng nối này nên được cấu hình để lọc sự liên thông giữa các mạng này (xem 9.4.7 và 9.4.8) và để khoá truy cập trái phép phù hợp với chính sách kiểm soát truy cập của tổ chức (xem 9.1). Một ví dụ của loại cổng nối này là cái mà thông thường được coi là bức tường lửa.
Tiêu chuẩn cho việc phân tách các mạng thành các vùng nên dựa trên chính sách kiểm soát truy cập và các yêu cầu truy cập (xem 9.1), và cũng nên đưa vào trương mục chi phí liên quan và tác động thực hiện của việc kết hợp phân tuyến mạng hay công nghệ cổng nối (xem 9.4.7 và 9.4.8).