Tehničke mjere u informacionoj sigurnosti

Content

• Koreporativne informacije kao željena meta napada
• Tri nove mjere za više sigurnosti informacija
• Brisanje podataka
• Maskiranje podataka
• Spriječavanje curenja podataka
• Tehničke mjere u informacionoj sigurnosti - zaključak
• Šta ažuriranje znači za vašu certifikaciju?
• DQS: Vaš partner za certificiranu sigurnost informacija

Korporativne informacije 

Studija "Wirtschaftsschutz 2022" (Zaštita poslovanja 2022) od njemačkog industrijskog udruženja Bitkom potvrđuje da su hakeri itekako svjesni ekonomske vrijednosti informacija i podataka u današnjem poslovnom svijetu: 36 posto anketiranih kompanija već je pogođeno krađom osjetljivih podataka i digitalnih informacija. Posebno popularni ciljevi su komunikacijski podaci sa 68 posto i podaci o korisnicima sa 45 posto.

Šteta uzrokovana ucjenama, kršenjem patenta i izgubljenom prodajom koja se direktno pripisuje krađi podataka kreće se u rasponu od nekoliko milijardi eura godišnje.

Kompanije i organizacije moraju dodatno ojačati zaštitu prilikom obrade svojih kritičnih podataka. Dodatne smjernice pomažu u daljnjem poboljšanju cjelokupnog koncepta sigurnosti i smanjenju površine napada.

Tri nove tehničke mjere za veću sigurnost informacija

93 mjere u Aneksu A novog ISO/IEC 27001:2022 su reorganizovane u četiri teme:

• Organizacione mjere
• Lične mjere
• Fizičke mjere
• Tehničke mjere

Tri nove mjere za zaštitu informacija koje ćemo detaljnije pogledati u nastavku su iz tematskog područja "Tehničke mjere":

• 8.10 Brisanje informacija
• 8.11 Maskiranje podataka
• 8.12 Spriječavanje curenja podataka

Brisanje informacija

Kontrola 8.10 u ISO 27001 bavi se rizicima koje predstavljaju informacije koje više nisu potrebne, ali se još uvijek nalaze na informacionim sistemima, uređajima ili drugim medijima za skladištenje. Brisanje ovih već nepotrebnih podataka onemogućava njihovo otkrivanje – osiguravajući usklađenost sa zakonskim, statutarnim, regulatornim i ugovornim zahtjevima za brisanje podataka.

Pri tome, kompanije i organizacije treba da uzmu u obzir sljedeće tačke:

• Odabir metode brisanja koja je prikladna u svjetlu poslovnog i pravnog okruženja, kao što je elektronsko prepisivanje ili kriptografsko brisanje
• Dokumentacija o rezultatima
• Pružanje dokaza kada koristite provajdere usluga za brisanje informacija

Ako treća lica preuzmu pohranu podataka u ime vaše kompanije, zahtjevi za brisanjem trebaju biti napisani u ugovoru kako bi se ovo provelo tokom, pa čak i nakon prestanka ovih usluga.

Kako bi se osiguralo pouzdano uklanjanje osjetljivih informacija - istovremeno osiguravajući usklađenost s relevantnim politikama zadržavanja podataka i primjenjivim zakonima i propisima - novi standard predviđa sljedeće procedure, usluge i tehnologije:

• Uspostavljanje namjenskih sistema koji omogućavaju sigurno uništavanje informacija, na primjer, u skladu sa politikama zadržavanja ili na zahtjev pogođenih pojedinaca
• Brisanje zastarjelih verzija, kopija ili privremenih datoteka na svim medijima za pohranu
• Upotreba samo odobrenog i sigurnog softvera za brisanje za trajno i trajno uklanjanje informacija
• Brisanje preko odobrenih i certificiranih pružatelja usluga sigurnog odlaganja
• Korištenje metoda odlaganja prikladnih za određeni medij za skladištenje koji se odlaže, kao što je demagnetizacija tvrdih diskova

Kada koristite usluge u oblaku, važno je provjeriti dopuštenost ponuđenih procedura brisanja. Ako je to dato, organizacija bi trebala koristiti proceduru brisanja ili zatražiti od provajdera u oblaku da izbriše informacije. Ako je moguće, ovi procesi brisanja trebaju biti automatizirani kao dio smjernica specifičnih za predmet.

Kako bi se spriječilo nenamjerno otkrivanje osjetljivih informacija, svu pohranu uređaja vraćenu dobavljačima treba ukloniti prije vraćanja. Na nekim uređajima, kao što su pametni telefoni, uklanjanje podataka moguće je samo uništavanjem ili internim funkcijama (na primjer, vraćanjem fabričkih postavki). U zavisnosti od klasifikacije informacija, važno je odabrati odgovarajući postupak.

Procesi brisanja trebaju biti dokumentirani, ovisno o osjetljivosti, kako bi se moglo dokazati uklanjanje podataka u slučaju sumnje.

Maskiranje podataka

Za niz osjetljivih informacija kao što je obrada ličnih podataka, zahtjevi specifični za kompaniju i industriju ili regulatorni zahtjevi predviđaju maskiranje, pseudonimizaciju ili anonimizaciju informacija. Smjernica za ove mjere je data u Kontroli 8.11.

Tehnike pseudonimizacije ili anonimizacije omogućavaju sakrivanje ličnih podataka, prikrivanje pravih podataka i nejasne unakrsne veze informacija. Da bi se ovo efikasno implementiralo, važno je da se adekvatno pozabave svim relevantnim elementima osjetljivih informacija.

Dok anonimizacija neopozivo mijenja podatke, u slučaju pseudonimizacije sasvim je moguće izvući zaključke o pravom identitetu putem dodatnih unakrsnih informacija. Stoga bi dodatne unakrsne informacije trebale biti odvojene i zaštićene tokom procesa pseudonimizacije.

Druge tehnike za maskiranje podataka uključuju:

• Enkripcija
• Nule ili brisanje znakova
• Različiti brojevi i datumi
• Zamjena - zamjena jedne vrijednosti drugom kako bi se sakrili osjetljivi podaci
• Zamjena vrijednosti sa njihovim hashom

Prilikom implementacije ovih tehničkih mjera za informacionu sigurnost, važno je uzeti u obzir brojne aspekte:

• Korisnici ne bi trebali imati pristup svim podacima, već bi trebali moći vidjeti samo one podatke koji su im zaista potrebni.
• U nekim slučajevima, svi podaci u skupu podataka ne bi trebali biti vidljivi korisnicima. U tom slučaju treba osmisliti i implementirati procedure zamamljivanja podataka. Primjer: podaci o pacijentu u medicinskom kartonu koji ne bi trebali biti vidljivi cijelom osoblju, već samo zaposlenima sa specifičnim ulogama relevantnim za liječenje.
• U nekim slučajevima, zamagljivanje podataka ne bi trebalo biti vidljivo onima koji pristupaju podacima (zamračenje prikrivanja) ako se, na primjer, mogu izvući zaključci o stvarnom datumu putem kategorije podataka (trudnoća, test krvi, itd.).
• Zakonski ili regulatorni zahtjevi, na primjer zahtjev za maskiranje podataka platnih kartica tokom obrade ili skladištenja.

Općenito, maskiranje podataka, pseudonimizacija ili anonimizacija zahtijevaju neke opšte tačke:

• Snaga maskiranja podataka, pseudonimizacije ili anonimizacije u velikoj mjeri ovisi o korištenju obrađenih podataka.
• Pristup obrađenim podacima trebao bi biti osiguran odgovarajućim zaštitnim mehanizmima.
• Razmatranje sporazuma ili ograničenja u vezi sa upotrebom obrađenih podataka.
• Zabrana uparivanja obrađenih podataka s drugim informacijama radi identifikacije subjekta podataka.
• Sigurno pratite i kontrolišite pružanje i prijem obrađenih podataka.

Spriječavanje curenja podataka

Kontrola 8.12 je dizajnirana da spreči curenje podataka i formuliše specifične mjere koje treba primeniti na sve sisteme, mreže i druge uređaje koji obrađuju, čuvaju ili prenose osetljive informacije. Da bi se smanjilo curenje osjetljivih podataka, organizacije bi trebale razmotriti sljedeće:

• Identifikacija i klasifikacija informacija, na primjer, lični podaci, modeli cijena i dizajn proizvoda
• Nadgledanje kanala kroz koje podaci mogu procuriti, kao što su e-mail, prijenos datoteka, mobilni uređaji i mobilni uređaji za pohranu
• Mjere koje sprječavaju curenje podataka, na primjer, stavljanje u karantin e-mailova koje sadrže osjetljive informacije

Kako bi se spriječilo curenje podataka u modernim, složenim IT strukturama sa svojim mnoštvom različitih podataka, organizacijama su također potrebni odgovarajući alati za

• Identificirati i nadzirati osjetljive informacije u opasnosti od neovlaštenog otkrivanja, na primjer, u nestrukturiranim podacima na korisničkom sistemu
• Otkrivanje otkrivanja osjetljivih podataka, kao što je kada se podaci učitavaju na nepouzdane usluge u oblaku trećih strana ili šalju putem e-maila
• Blokirajte radnje korisnika ili mrežne prijenose koji otkrivaju kritične informacije, kao što je sprječavanje kopiranja unosa baze podataka u proračunsku tablicu

Organizacije bi trebale kritički preispitati potrebu da se ograniče korisničke dozvole za kopiranje, lijepljenje ili otpremanje podataka na usluge, uređaje i medije za pohranu izvan organizacije. Također može biti potrebno implementirati odgovarajuće alate kako bi se spriječilo curenje podataka ili kako bi se odgovarajuće konfigurisale postojeće tehnologije.

Na primjer, korisnicima se može dati dozvola da daljinski pregledaju i uređuju podatke - ali ne i dozvolu da ih kopiraju i zalijepe van kontrole vaše organizacije. Ako je izvoz podataka i dalje potreban, vlasnik podataka ga može odobriti od slučaja do slučaja i smatrati korisnike odgovornim za neželjenu aktivnost ako je potrebno.

Spriječavanje curenja podataka izričito se odnosi i na zaštitu povjerljivih informacija ili poslovnih tajni koje se mogu zloupotrebiti u špijunske svrhe ili mogu biti od vitalnog značaja za zajednicu. U ovom slučaju, mjere bi također trebale biti osmišljene tako da zbune napadače - na primjer, zamjenom lažnih informacija, obrnutim društvenim inženjeringom ili korištenjem mamaca za namamljivanje napadača.

Curenje podataka može biti podržano standardnim sigurnosnim kontrolama, na primjer, putem politika specifičnih za temu za kontrolu pristupa i sigurno upravljanje dokumentima (pogledajte također Mjere/kontrole 5.12 i 5.15).

Važno pri korištenju alata za praćenje

Kako bi zaštitili vlastite informacije, mnogi alati također neizbježno prate komunikaciju zaposlenika i aktivnosti na mreži i poruke trećih strana. Ovo praćenje pokreće različita pravna pitanja koja se moraju razmotriti prije korištenja odgovarajućih alata za praćenje. Postoji potreba za balansiranjem nivoa praćenja sa raznim zakonima o privatnosti, zaštiti podataka, zapošljavanju, presretanju podataka i telekomunikacijama.

Tehničke mjere u informacionoj sigurnosti - zaključak

U ukupnom kontekstu ciljeva zaštite informacija integritet, dostupnost i povjerljivost, ovdje opisane procedure obrade podataka igraju ključnu ulogu u poboljšanoj zaštiti osjetljivih podataka.

Uz kontinuirano praćenje toka podataka i informacija, maskiranje osjetljivih informacija i stroge politike brisanja podataka, kompanije mogu održivo poboljšati svoju zaštitu od curenja podataka i gubitka podataka - i suprotstaviti se nenamjernom objavljivanju kritičnih informacija. Osim toga, procedure odlučujuće doprinose sajber sigurnosti cijele kompanije i minimiziraju površinu napada za hakere i industrijsku špijunažu.

Za kompanije i organizacije sada je pitanje uspostavljanja procedura i potrebnih alata na odgovarajući način i njihova integracija u svoje poslovne procese kako bi se demonstrirala implementacija zahtjeva usklađena sa standardima u budućim certifikacijskim auditima.

Sa profesionalnim pogledom naših iskusnih auditora i našom stručnosti u certifikaciji više od 35 godina, preporučujemo se kao vaš kontakt za teme informacione sigurnosti i certifikaciju u skladu sa ISO 27001.

Šta ažuriranje znači za vašu certifikaciju?

ISO/IEC 27001:2022 objavljen je 25. oktobra 2022. Ovo rezultira sljedećim rokovima i periodima za prijelaz za korisnike:

Zadnji datum za inicijalne i recertifikacijske provjere prema "starom" ISO 27001:2013.

• Nakon 30. aprila 2024., DQS će provoditi inicijalne i recertifikacijske audite samo prema novom standardu ISO/IEC 27001:2022

Konverzija svih postojećih certifikata prema "starom" ISO/IEC 27001:2013 u novi ISO/IEC 27001:2022

• Postoji trogodišnji prelazni period koji počinje 31. oktobra 2022. 
• Certifikati izdati prema ISO/IEC 27001:2013 ili EN ISO/IEC 27001:2017 važe najkasnije do 31. oktobra 2025. ili se moraju povući na ovaj datum.

DQS: Vaš partner po pitanju certifikacije sigurnosti informacija

Zahvaljujući prijelaznim periodima, kompanije imaju dovoljno vremena da prilagode svoje upravljanje sigurnošću informacija novim zahtjevima i da ga certificiraju. Međutim, trajanje i trud čitavog procesa promjene ne treba potcijeniti – posebno ako nemate dovoljno specijalizovanog osoblja na raspolaganju. Ako želite biti sigurni, trebali biste se pozabaviti problemom prije nego kasnije i po potrebi pozvati iskusne stručnjake.

Kao stručnjaci za audit i certifikaciju sa preko 35 godina iskustva, rado ćemo vam pružiti podršku tokom delta audita. Saznajte od naših brojnih iskusnih auditora o najvažnijim promjenama i njihovoj važnosti za vašu organizaciju. Radujemo se razgovoru s vama.

Povjerenje i ekspertiza

Naše tekstove pišu isključivo naši interni stručnjaci za sisteme upravljanja i dugogodišnji auditori. Ako imate pitanja za autora, slobodno nas kontaktirajte.