Technická opatření v oblasti bezpečnosti informací

Obsah

• Podnikové informace jako vyhledávaný cíl útoku
• Tři nová opatření pro větší bezpečnost informací
• Vymazání informací
• Maskování dat
• Prevence úniku dat
• Technická opatření v oblasti bezpečnosti informací - závěr
• Co znamená aktualizace pro vaši certifikaci?
• DQS: Váš kompetentní partner pro certifikovanou bezpečnost informací

Firemní informace jsou vyhledávaným cílem útoků

Studie"Wirtschaftsschutz 2022"(Ochrana podniků 2022) německého průmyslového sdružení Bitkom potvrzuje, že hackeři si velmi dobře uvědomují ekonomickou hodnotu informací a dat v dnešním podnikatelském světě: 36 % dotázaných společností již bylo postiženo krádeží citlivých dat a digitálních informací. Obzvláště oblíbeným cílem jsou komunikační data - 68 procent a údaje o zákaznících - 45 procent.

Škody způsobené vydíráním, porušováním patentových práv a ztrátou tržeb, které lze přímo přičíst krádežím dat, se pohybují v řádu několika miliard eur ročně.

Společnosti a organizace musí dále posílit ochranu při zpracování svých kritických dat. Další pokyny pomáhají dále zlepšovat celkovou koncepci zabezpečení a zmenšovat plochu útoku.

Tři nová technická opatření pro větší bezpečnost informací

V příloze A nové normy ISO/IEC 27001:2022 bylo 93 opatření přeorganizováno do čtyř témat:

• Organizační opatření
• Personální opatření
• Fyzická opatření
• Technická opatření

Tři nová opatření pro ochranu informací, kterým se budeme věnovat podrobněji níže, jsou z tematické oblasti "Technická opatření":

• 8.10 Vymazání informací
• 8.11 Maskování údajů
• 8.12 Zabránění úniku údajů

Vymazání informací

Kontrola 8.10 v normě ISO 27001 se zabývá riziky, která představují informace, které již nejsou potřebné, ale stále se nacházejí v informačních systémech, zařízeních nebo jiných paměťových médiích. Vymazání těchto již nepotřebných údajů zabraňuje jejich zveřejnění - zajišťuje soulad s právními, zákonnými, regulačními a smluvními požadavky na vymazání údajů.

Podniky a organizace by přitom měly vzít v úvahu následující body:

• Výběr metody výmazu, která je vhodná s ohledem na obchodní a právní prostředí, například elektronický přepis nebo kryptografický výmaz.
• Dokumentace výsledků
• Poskytování důkazů v případě, že k vymazání informací využíváte poskytovatele služeb

Pokud ukládání dat jménem vaší společnosti přebírají třetí strany, měly by být požadavky na výmaz zapsány do smluvního ujednání, aby bylo možné je vymáhat během poskytování těchto služeb a i po jejich ukončení.

Pro zajištění spolehlivého odstranění citlivých informací - při současném zajištění souladu s příslušnými zásadami uchovávání údajů a platnými zákony a předpisy - stanoví nový standard následující postupy, služby a technologie:

• zřízení specializovaných systémů, které umožňují bezpečné zničení informací, například v souladu s politikami uchovávání nebo na žádost dotčených osob
• vymazání zastaralých verzí, kopií nebo dočasných souborů na všech paměťových médiích
• Používání pouze schváleného a bezpečného softwaru pro mazání informací za účelem jejich trvalého a trvalého odstranění.
• vymazání prostřednictvím schválených a certifikovaných poskytovatelů bezpečného odstraňování informací
• používání metod likvidace vhodných pro konkrétní likvidované paměťové médium, jako je demagnetizace pevných disků.

Při používání cloudových služeb je důležité ověřit přípustnost nabízených postupů mazání. Pokud je to dáno, měla by organizace použít postup vymazání nebo požádat poskytovatele cloudových služeb o vymazání informací. Pokud je to možné, měly by být tyto postupy výmazu automatizované jako součást pokynů pro jednotlivé subjekty.

Aby se zabránilo neúmyslnému zveřejnění citlivých informací, měla by být všechna úložiště zařízení vrácená prodejcům před vrácením odstraněna. U některých zařízení, jako jsou chytré telefony, je odstranění dat možné pouze zničením nebo interními funkcemi (například obnovením továrního nastavení). V závislosti na klasifikaci informací je důležité zvolit vhodný postup.

Procesy odstraňování by měly být v závislosti na citlivosti zdokumentovány, aby bylo možné v případě pochybností prokázat odstranění dat.

Maskování dat

Pro řadu citlivých informací, jako je zpracování osobních údajů, stanovují podnikové a oborové nebo regulační požadavky maskování, pseudonymizaci nebo anonymizaci informací. Pokyny pro tato opatření jsou uvedeny v části Kontrola 8.11.

Techniky pseudonymizace nebo anonymizace umožňují skrýt osobní údaje, zastřít skutečné údaje a zastřít vzájemné vazby informací. Pro účinné provedení je důležité odpovídajícím způsobem řešit všechny relevantní prvky citlivých informací.

Zatímco anonymizace údaje nevratně mění, v případě pseudonymizace je zcela možné vyvodit závěry o skutečné identitě prostřednictvím dalších křížových informací. Proto by měly být dodatečné křížové informace během procesu pseudonymizace odděleny a chráněny.

Mezi další techniky maskování údajů patří např:

• Šifrování
• Nuly nebo vymazání znaků
• Různá čísla a data
• Substituce - nahrazení jedné hodnoty jinou za účelem skrytí citlivých údajů
• Nahrazení hodnot jejich hashem

Při zavádění těchto technických opatření pro bezpečnost informací je důležité vzít v úvahu řadu aspektů:

• Uživatelé by neměli mít přístup ke všem údajům, ale měli by mít možnost zobrazit pouze ty údaje, které skutečně potřebují.
• V některých případech by uživatelé neměli vidět všechna data v souboru dat. V takovém případě by měly být navrženy a implementovány postupy obfuskace dat. Příklad: údaje o pacientovi ve zdravotnické dokumentaci, které by neměly být viditelné pro všechny zaměstnance, ale pouze pro zaměstnance se specifickými rolemi relevantními pro léčbu.
• V některých případech by zastření údajů nemělo být pro osoby, které k údajům přistupují, zřejmé (zastření zastření), pokud lze například prostřednictvím kategorie údajů (těhotenství, krevní test atd.) vyvodit závěry o skutečném datu.
• Právní nebo regulační požadavky, například požadavek na maskování údajů o platebních kartách při zpracování nebo uchovávání.

Obecně platí, že maskování údajů, pseudonymizace nebo anonymizace vyžadují několik obecných bodů:

• Síla maskování údajů, pseudonymizace nebo anonymizace do značné míry závisí na použití zpracovávaných údajů.
• Přístup ke zpracovávaným údajům by měl být zajištěn vhodnými ochrannými mechanismy.
• Zvážení dohod nebo omezení týkajících se používání zpracovávaných údajů.
• Zákaz porovnávání zpracovávaných údajů s jinými informacemi za účelem identifikace subjektu údajů.
• Bezpečné sledování a kontrola poskytování a přijímání zpracovávaných údajů.

Prevence úniku údajů

Kontrola 8.12 je určena k prevenci úniku údajů a formuluje konkrétní opatření, která se mají uplatňovat na všechny systémy, sítě a další zařízení, která zpracovávají, uchovávají nebo přenášejí citlivé informace. Pro minimalizaci úniku citlivých dat by organizace měly zvážit následující:

• identifikaci a klasifikaci informací, například osobních údajů, cenových modelů a návrhů produktů.
• Sledování kanálů, kterými mohou data uniknout, například e-mail, přenosy souborů, mobilní zařízení a mobilní paměťová zařízení.
• opatření, která zabrání úniku dat, například karanténování e-mailů obsahujících citlivé informace

Aby bylo možné zabránit úniku dat v moderních komplexních IT strukturách s množstvím různých dat, potřebují organizace také vhodné nástroje, které jim umožní

• identifikaci a monitorování citlivých informací, u nichž hrozí riziko neoprávněného vyzrazení, například v nestrukturovaných datech v systému uživatele
• odhalit prozrazení citlivých údajů, například při nahrávání dat do nedůvěryhodných cloudových služeb třetích stran nebo při jejich odesílání e-mailem
• Blokovat uživatelské akce nebo síťové přenosy, které odhalují kritické informace, například zabránit kopírování databázových záznamů do tabulkového procesoru.

Organizace by měly kriticky zvažovat potřebu omezit oprávnění uživatelů kopírovat, vkládat nebo odesílat data do služeb, zařízení a úložných médií mimo organizaci. V případě potřeby může být také nutné zavést vhodné nástroje, které zabrání úniku dat, nebo vhodně nakonfigurovat stávající technologie.

Uživatelé mohou mít například oprávnění ke vzdálenému prohlížení a úpravám dat - nikoli však oprávnění ke kopírování a vkládání dat mimo kontrolu organizace. Pokud je export dat přesto vyžadován, může jej vlastník dat schválit případ od případu a v případě potřeby pohnat uživatele k odpovědnosti za nežádoucí aktivity.

Prevence úniku dat se výslovně vztahuje také na ochranu důvěrných informací nebo obchodních tajemství, které mohou být zneužity ke špionážním účelům nebo mohou mít zásadní význam pro společnost. V takovém případě by měla být navržena i opatření, která útočníky zmatou - například záměnou za falešné informace, zpětným sociálním inženýrstvím nebo použitím medových hrnců k nalákání útočníků.

Únik dat lze podpořit standardními bezpečnostními kontrolami, například prostřednictvím tématicky specifických politik pro řízení přístupu a bezpečnou správu dokumentů (viz také opatření/kontroly 5.12 a 5.15).

Důležité při používání monitorovacích nástrojů

V zájmu ochrany vlastních informací mnoho nástrojů také nevyhnutelně monitoruje komunikaci zaměstnanců a jejich online aktivity a zprávy třetích stran. Toto monitorování vyvolává různé právní otázky, které je třeba zvážit před použitím vhodných monitorovacích nástrojů. Je třeba vyvážit úroveň monitorování s různými právními předpisy o ochraně soukromí, ochraně údajů, zaměstnanosti, odposlechu dat a telekomunikacích.

Technická opatření v oblasti bezpečnosti informací - závěr.

V celkovém kontextu cílů ochrany bezpečnosti informací, kterými jsou důvěrnost, integrita a dostupnost, hrají zde popsané postupy zpracování údajů klíčovou roli při zvýšené ochraně citlivých údajů.

Díky průběžnému monitorování toku dat a informací, maskování citlivých informací a přísným zásadám mazání dat mohou společnosti trvale zlepšit svou ochranu před únikem a ztrátou dat - a čelit neúmyslnému zveřejnění kritických informací. Kromě toho tyto postupy rozhodujícím způsobem přispívají k celopodnikové kybernetické bezpečnosti a minimalizují útočný prostor pro hackery a průmyslovou špionáž.

Pro podniky a organizace je nyní otázkou vhodného zavedení postupů a požadovaných nástrojů a jejich začlenění do podnikových procesů, aby mohly při budoucích certifikačních auditech prokázat implementaci požadavků v souladu s normou.

Díky profesionálnímu pohledu našich zkušených auditorů a našim více než 35letým zkušenostem v oblasti certifikace se doporučujeme jako kontaktní osoba pro témata bezpečnosti informací a certifikace podle ISO 27001.

Co znamená aktualizace pro vaši certifikaci?

Norma ISO/IEC 27001:2022 byla zveřejněna 25. října 2022. Z toho vyplývají pro uživatele následující lhůty a přechodná období:

Poslední datum pro úvodní a recertifikační audity podle "staré" normy ISO 27001:2013.

• Po 30. dubnu 2024 bude DQS provádět počáteční a recertifikační audity pouze podle nové normy ISO/IEC 27001:2022.

Převod všech stávajících certifikátů podle "staré" normy ISO/IEC 27001:2013 na novou normu ISO/IEC 27001:2022.

• Počínaje 31. říjnem 2022 je stanoveno tříleté přechodné období.
• Certifikáty vydané podle ISO/IEC 27001:2013 nebo EN ISO/IEC 27001:2017 jsou platné nejpozději do 31. října 2025, nebo musí být k tomuto datu zrušeny.

DQS: Váš kompetentní partner v otázkách certifikované bezpečnosti informací

Díky přechodným obdobím mají společnosti dostatek času přizpůsobit své řízení bezpečnosti informací novým požadavkům a nechat si je certifikovat. Délku a náročnost celého procesu změny však není radno podceňovat - zejména pokud nemáte k dispozici dostatečný počet specializovaných pracovníků. Pokud chcete být na bezpečné straně, měli byste se touto problematikou zabývat raději dříve než později a v případě potřeby povolat zkušené odborníky.

Jako odborníci na audit a certifikaci s více než 35letou praxí vám rádi poskytneme podporu při delta auditu. Od našich četných zkušených auditorů se dozvíte o nejdůležitějších změnách a jejich významu pro vaši organizaci. Těšíme se na vaše dotazy.

Důvěra a odborné znalosti

Naše texty píší výhradně naši interní odborníci na systémy řízení a dlouholetí auditoři. Pokud máte na autora nějaké dotazy, neváhejte se na nás obrátit .