Środki techniczne w zakresie bezpieczeństwa informacji

Treść

• Informacje korporacyjne jako pożądany cel ataku
• Trzy nowe środki zapewniające większe bezpieczeństwo informacji
• Usuwanie informacji
• Maskowanie danych
• Zapobieganie wyciekom danych
• Środki techniczne w zakresie bezpieczeństwa informacji - podsumowanie
• Co aktualizacja oznacza dla certyfikacji?
• DQS: Twój kompetentny partner w zakresie certyfikowanego bezpieczeństwa informacji

Informacje korporacyjne są pożądanym celem ataków

Badanie"Wirtschaftsschutz 2022"(Ochrona biznesu 2022) przeprowadzone przez niemieckie stowarzyszenie branżowe Bitkom potwierdza, że hakerzy są bardzo świadomi ekonomicznej wartości informacji i danych w dzisiejszym świecie biznesu: 36 procent ankietowanych firm zostało już dotkniętych kradzieżą wrażliwych danych i informacji cyfrowych. Szczególnie popularnymi celami są dane komunikacyjne (68%) i dane klientów (45%).

Szkody spowodowane szantażem, naruszeniami patentów i utratą sprzedaży bezpośrednio związaną z kradzieżą danych sięgają kilku miliardów euro rocznie.

Firmy i organizacje muszą jeszcze bardziej wzmocnić ochronę podczas przetwarzania swoich krytycznych danych. Dodatkowe wytyczne pomagają jeszcze bardziej ulepszyć ogólną koncepcję bezpieczeństwa i zmniejszyć powierzchnię ataku.

Trzy nowe środki techniczne dla większego bezpieczeństwa informacji

93 środki w załączniku A do nowej normy ISO/IEC 27001:2022 zostały podzielone na cztery tematy:

• Środki organizacyjne
• Środki osobiste
• Środki fizyczne
• Środki techniczne

Trzy nowe środki ochrony informacji, którym przyjrzymy się bardziej szczegółowo poniżej, pochodzą z obszaru tematycznego "Środki techniczne":

• 8.10 Usuwanie informacji
• 8.11 Maskowanie danych
• 8.12 Zapobieganie wyciekom danych

Usuwanie informacji

Kontrola 8.10 w ISO 27001 odnosi się do ryzyka stwarzanego przez informacje, które nie są już potrzebne, ale nadal znajdują się w systemach informatycznych, urządzeniach lub innych nośnikach pamięci. Usunięcie tych już niepotrzebnych danych zapobiega ich ujawnieniu - zapewniając zgodność z wymogami prawnymi, ustawowymi, regulacyjnymi i umownymi dotyczącymi usuwania danych.

Czyniąc to, firmy i organizacje powinny wziąć pod uwagę następujące punkty:

• Wybór metody usuwania danych, która jest odpowiednia w świetle środowiska biznesowego i prawnego, takiej jak elektroniczne nadpisywanie lub usuwanie kryptograficzne
• Dokumentowanie wyników
• Dostarczenie dowodów w przypadku korzystania z usług usługodawców w celu usunięcia informacji.

Jeśli strony trzecie przejmują przechowywanie danych w imieniu Twojej firmy, wymagania dotyczące usuwania powinny zostać zapisane w umowie, aby egzekwować to w trakcie, a nawet po zakończeniu świadczenia tych usług.

Aby zapewnić niezawodne usuwanie wrażliwych informacji - przy jednoczesnym zapewnieniu zgodności z odpowiednimi politykami przechowywania danych oraz obowiązującymi przepisami ustawowymi i wykonawczymi - nowy standard przewiduje następujące procedury, usługi i technologie:

• Ustanowienie dedykowanych systemów umożliwiających bezpieczne niszczenie informacji, na przykład zgodnie z polityką retencji lub na wniosek osób, których dane dotyczą
• Usuwanie nieaktualnych wersji, kopii lub plików tymczasowych na wszystkich nośnikach pamięci.
• Korzystanie wyłącznie z zatwierdzonego i bezpiecznego oprogramowania do trwałego usuwania informacji
• Usuwanie za pośrednictwem zatwierdzonych i certyfikowanych dostawców usług bezpiecznej utylizacji
• Stosowanie metod utylizacji odpowiednich dla danego nośnika danych, takich jak demagnetyzacja dysków twardych.

W przypadku korzystania z usług w chmurze ważne jest sprawdzenie dopuszczalności oferowanych procedur usuwania danych. Jeśli jest to możliwe, organizacja powinna skorzystać z procedury usuwania lub zwrócić się do dostawcy usług w chmurze o usunięcie informacji. Jeśli to możliwe, te procesy usuwania powinny być zautomatyzowane w ramach wytycznych dla poszczególnych podmiotów.

Aby zapobiec niezamierzonemu ujawnieniu informacji wrażliwych, cała pamięć masowa urządzenia zwrócona dostawcom powinna zostać usunięta przed zwrotem. W przypadku niektórych urządzeń, takich jak smartfony, usunięcie danych jest możliwe tylko poprzez zniszczenie lub funkcje wewnętrzne (na przykład przywrócenie ustawień fabrycznych). W zależności od klasyfikacji informacji ważne jest, aby wybrać odpowiednią procedurę.

Procesy usuwania powinny być udokumentowane, w zależności od wrażliwości, aby w razie wątpliwości móc udowodnić usunięcie danych.

Maskowanie danych

W przypadku szeregu wrażliwych informacji, takich jak przetwarzanie danych osobowych, wymogi firmowe i branżowe lub regulacyjne przewidują maskowanie, pseudonimizację lub anonimizację informacji. Wytyczne dotyczące tych środków znajdują się w Kontroli 8.11.

Techniki pseudonimizacji lub anonimizacji umożliwiają ukrywanie danych osobowych, zaciemnianie prawdziwych danych i zaciemnianie wzajemnych powiązań informacji. Aby skutecznie je wdrożyć, ważne jest, aby odpowiednio uwzględnić wszystkie istotne elementy wrażliwych informacji.

Podczas gdy anonimizacja nieodwracalnie zmienia dane, w przypadku pseudonimizacji całkiem możliwe jest wyciągnięcie wniosków na temat prawdziwej tożsamości za pomocą dodatkowych informacji krzyżowych. Dlatego dodatkowe informacje krzyżowe powinny być przechowywane oddzielnie i chronione podczas procesu pseudonimizacji.

Inne techniki maskowania danych obejmują

• Szyfrowanie
• Zera lub usuwanie znaków
• Różne liczby i daty
• Zastępowanie - zastępowanie jednej wartości inną w celu ukrycia wrażliwych danych
• Zastępowanie wartości ich skrótem

Podczas wdrażania tych środków technicznych w zakresie bezpieczeństwa informacji ważne jest, aby wziąć pod uwagę szereg aspektów:

• Użytkownicy nie powinni mieć dostępu do wszystkich danych, ale powinni mieć możliwość przeglądania tylko tych danych, których naprawdę potrzebują.
• W niektórych przypadkach nie wszystkie dane w zestawie danych powinny być widoczne dla użytkowników. W takim przypadku należy opracować i wdrożyć procedury zaciemniania danych. Przykład: dane pacjenta w dokumentacji medycznej, które nie powinny być widoczne dla całego personelu, ale tylko dla pracowników o określonych rolach związanych z leczeniem.
• W niektórych przypadkach zaciemnianie danych nie powinno być widoczne dla osób uzyskujących dostęp do danych (zaciemnianie zaciemniania), jeśli na przykład można wyciągnąć wnioski na temat rzeczywistej daty za pomocą kategorii danych (ciąża, badanie krwi itp.).
• Wymogi prawne lub regulacyjne, na przykład wymóg maskowania danych kart płatniczych podczas przetwarzania lub przechowywania.

Ogólnie rzecz biorąc, maskowanie danych, pseudonimizacja lub anonimizacja wymagają pewnych ogólnych punktów:

• Siła maskowania danych, pseudonimizacji lub anonimizacji zależy w dużej mierze od sposobu wykorzystania przetwarzanych danych.
• Dostęp do przetwarzanych danych powinien być zabezpieczony odpowiednimi mechanizmami ochrony.
• Rozważenie umów lub ograniczeń dotyczących wykorzystania przetwarzanych danych.
• Zakaz dopasowywania przetwarzanych danych do innych informacji w celu identyfikacji osoby, której dane dotyczą.
• Bezpieczne śledzenie i kontrolowanie dostarczania i otrzymywania przetwarzanych danych.

Zapobieganie wyciekom danych

Kontrola 8.12 ma na celu zapobieganie wyciekom danych i formułuje konkretne środki, które mają być stosowane do wszystkich systemów, sieci i innych urządzeń, które przetwarzają, przechowują lub przesyłają informacje wrażliwe. Aby zminimalizować wyciek wrażliwych danych, organizacje powinny rozważyć następujące kwestie:

• Identyfikowanie i klasyfikowanie informacji, na przykład danych osobowych, modeli cenowych i projektów produktów.
• Monitorowanie kanałów, przez które dane mogą wyciekać, takich jak poczta elektroniczna, transfery plików, urządzenia mobilne i mobilne urządzenia pamięci masowej.
• Środki zapobiegające wyciekom danych, na przykład poddawanie kwarantannie wiadomości e-mail zawierających poufne informacje.

Aby zapobiec wyciekom danych w nowoczesnych, złożonych strukturach IT z ich mnogością różnych danych, organizacje potrzebują również odpowiednich narzędzi do

• identyfikować i monitorować wrażliwe informacje zagrożone nieautoryzowanym ujawnieniem, na przykład w nieustrukturyzowanych danych w systemie użytkownika
• wykrywania ujawnień wrażliwych danych, takich jak przesyłanie danych do niezaufanych usług w chmurze stron trzecich lub wysyłanie ich pocztą elektroniczną
• Blokowanie działań użytkownika lub transferów sieciowych, które ujawniają krytyczne informacje, takie jak zapobieganie kopiowaniu wpisów z bazy danych do arkusza kalkulacyjnego.

Organizacje powinny krytycznie rozważyć potrzebę ograniczenia uprawnień użytkowników do kopiowania, wklejania lub przesyłania danych do usług, urządzeń i nośników pamięci poza organizacją. W razie potrzeby konieczne może być również wdrożenie odpowiednich narzędzi zapobiegających wyciekom danych lub odpowiednie skonfigurowanie istniejących technologii.

Przykładowo, użytkownicy mogą otrzymać uprawnienia do zdalnego przeglądania i edytowania danych, ale nie do kopiowania i wklejania ich poza kontrolą organizacji. Jeśli eksport danych jest nadal wymagany, właściciel danych może zatwierdzić go indywidualnie dla każdego przypadku i w razie potrzeby pociągnąć użytkowników do odpowiedzialności za niepożądane działania.

Zapobieganie wyciekom danych wyraźnie odnosi się również do ochrony informacji poufnych lub tajemnic handlowych, które mogą zostać niewłaściwie wykorzystane do celów szpiegowskich lub mogą mieć kluczowe znaczenie dla społeczności. W tym przypadku środki powinny być również zaprojektowane tak, aby zmylić atakujących - na przykład poprzez zastąpienie fałszywymi informacjami, odwróconą inżynierię społeczną lub użycie honey pots w celu zwabienia atakujących.

Wycieki danych mogą być wspierane przez standardowe mechanizmy kontroli bezpieczeństwa, na przykład poprzez tematyczne zasady kontroli dostępu i bezpiecznego zarządzania dokumentami (patrz także Środki/Kontrole 5.12 i 5.15).

Ważne przy korzystaniu z narzędzi monitorujących

Aby chronić własne informacje, wiele narzędzi nieuchronnie monitoruje również komunikację i działania online pracowników oraz wiadomości osób trzecich. Monitorowanie to wiąże się z różnymi kwestiami prawnymi, które należy rozważyć przed użyciem odpowiednich narzędzi monitorujących. Istnieje potrzeba zrównoważenia poziomu monitorowania z różnymi przepisami dotyczącymi prywatności, ochrony danych, zatrudnienia, przechwytywania danych i telekomunikacji.

Środki techniczne w bezpieczeństwie informacji - podsumowanie.

W ogólnym kontekście celów ochrony bezpieczeństwa informacji, takich jak poufność, integralność i dostępność, opisane tutaj procedury przetwarzania danych odgrywają kluczową rolę w zwiększonej ochronie danych wrażliwych.

Dzięki ciągłemu monitorowaniu przepływu danych i informacji, maskowaniu wrażliwych informacji i rygorystycznym zasadom usuwania danych, firmy mogą trwale poprawić swoją ochronę przed wyciekiem i utratą danych oraz przeciwdziałać niezamierzonej publikacji krytycznych informacji. Ponadto procedury te mają decydujący wpływ na cyberbezpieczeństwo całej firmy i minimalizują powierzchnię ataku dla hakerów i szpiegostwa przemysłowego.

Dla firm i organizacji jest to teraz kwestia odpowiedniego ustanowienia procedur i wymaganych narzędzi oraz zintegrowania ich z procesami biznesowymi w celu wykazania zgodnego z normą wdrożenia wymagań podczas przyszłych audytów certyfikacyjnych.

Dzięki profesjonalnemu spojrzeniu naszych doświadczonych audytorów i naszej ponad 35-letniej wiedzy w zakresie certyfikacji, polecamy się jako osoba kontaktowa w kwestiach bezpieczeństwa informacji i certyfikacji zgodnie z ISO 27001.

Co oznacza aktualizacja dla Twojej certyfikacji?

Norma ISO/IEC 27001:2022 została opublikowana 25 października 2022 roku. Skutkuje to następującymi terminami i okresami przejściowymi dla użytkowników:

Ostatnia data dla audytów początkowych i recertyfikacyjnych zgodnie ze "starą" normą ISO 27001:2013.

• Po 30 kwietnia 2024 r. DQS będzie przeprowadzać audyty początkowe i recertyfikacyjne wyłącznie zgodnie z nową normą ISO/IEC 27001:2022.

Konwersja wszystkich istniejących certyfikatów zgodnie ze "starą" normą ISO/IEC 27001:2013 na nową normę ISO/IEC 27001:2022.

• Obowiązuje trzyletni okres przejściowy rozpoczynający się 31 października 2022 r.
• Certyfikaty wydane zgodnie z ISO/IEC 27001:2013 lub EN ISO/IEC 27001:2017 są ważne najpóźniej do 31 października 2025 r. lub muszą zostać wycofane w tym dniu.

DQS: Twój kompetentny partner w kwestiach certyfikowanego bezpieczeństwa informacji

Dzięki okresom przejściowym firmy mają wystarczająco dużo czasu na dostosowanie zarządzania bezpieczeństwem informacji do nowych wymagań i uzyskanie certyfikatu. Nie należy jednak lekceważyć czasu trwania i wysiłku związanego z całym procesem zmian - zwłaszcza jeśli nie masz do dyspozycji wystarczającej liczby wyspecjalizowanego personelu. Jeśli chcesz być po bezpiecznej stronie, powinieneś zająć się tą kwestią raczej wcześniej niż później i w razie potrzeby zwrócić się do doświadczonych specjalistów.

Jako eksperci w dziedzinie audytów i certyfikacji z ponad 35-letnim doświadczeniem, z przyjemnością udzielimy wsparcia podczas audytu delta. Dowiedz się od naszych licznych doświadczonych audytorów o najważniejszych zmianach i ich znaczeniu dla Twojej organizacji. Z niecierpliwością czekamy na kontakt.

Zaufanie i wiedza specjalistyczna

Nasze teksty są pisane wyłącznie przez naszych wewnętrznych ekspertów ds. systemów zarządzania i wieloletnich audytorów. W przypadku jakichkolwiek pytań do autora, prosimy o kontakt.