Tehničke mjere u informacijskoj sigurnosti

Sadržaj

• Korporativne informacije kao željena meta napada
• Tri nove mjere za veću sigurnost informacija
• Brisanje informacija
• Maskiranje podataka
• Sprječavanje curenja podataka
• Tehničke mjere u informacijskoj sigurnosti - zaključak
• Što ažuriranje znači za vašu certifikaciju?
• DQS: Vaš kompetentan partner za certificiranu informacijsku sigurnost

Korporativne informacije su željena meta napada

Istraživanje " Wirtschaftsschutz 2022 " ( Zaštita poslovanja 2022 ) njemačke industrijske udruge Bitkom potvrđuje da su hakeri itekako svjesni ekonomske vrijednosti informacija i podataka u današnjem poslovnom svijetu: 36 posto anketiranih poduzeća već je bilo pogođeno krađom osjetljivih podataka i digitalnih informacija. Osobito popularne mete su komunikacijski podaci s 68 posto i podaci o korisnicima s 45 posto.

Šteta uzrokovana ucjenama, kršenjem patenata i izgubljenom prodajom koja se izravno može pripisati krađi podataka kreće se u rasponu od nekoliko milijardi eura godišnje.

Poduzeća i organizacije moraju dodatno ojačati zaštitu prilikom obrade svojih kritičnih podataka. Dodatne smjernice pomažu u daljnjem poboljšanju cjelokupnog sigurnosnog koncepta i smanjenju površine napada.

Tri nove tehničke mjere za veću sigurnost informacija

93 mjere u Dodatku A novog ISO/IEC 27001:2022 reorganizirane su u četiri teme:

• Organizacijske mjere
• Osobne mjere
• Fizičke mjere
• Tehničke mjere

Tri nove mjere za zaštitu informacija koje ćemo detaljnije pogledati u nastavku su iz tematskog područja "Tehničke mjere":

• 8.10 Brisanje podataka
• 8.11 Maskiranje podataka
• 8.12 Sprječavanje curenja podataka

Brisanje informacija

Kontrola 8,10 norme ISO 27001 bavi se rizicima koje predstavljaju informacije koje više nisu potrebne, ali se još uvijek nalaze na informacijskim sustavima, uređajima ili drugim medijima za pohranu. Brisanje ovih ionako nepotrebnih podataka sprječava njihovo otkrivanje - osiguravajući usklađenost sa zakonskim, zakonskim, regulatornim i ugovornim zahtjevima za brisanje podataka.

Pritom bi poduzeća i organizacije trebale uzeti u obzir sljedeće točke:

• Odabir metode brisanja koja je prikladna u svjetlu poslovnog i pravnog okruženja, kao što je elektroničko prepisivanje ili kriptografsko brisanje
• Dokumentacija rezultata
• Pružanje dokaza prilikom korištenja pružatelja usluga za brisanje informacija

Ako treće strane preuzmu pohranjivanje podataka u ime vašeg poduzeća, zahtjevi za brisanje trebaju biti upisani u ugovorni ugovor kako bi se to provelo tijekom, pa čak i nakon prekida ovih usluga.

Kako bi se osiguralo pouzdano uklanjanje osjetljivih informacija - istovremeno osiguravajući usklađenost s relevantnim politikama zadržavanja podataka i primjenjivim zakonima i propisima - novi standard predviđa sljedeće postupke, usluge i tehnologije:

• Uspostava namjenskih sustava koji omogućuju sigurno uništavanje informacija, na primjer, prema politikama zadržavanja ili na zahtjev pogođenih pojedinaca
• Brisanje zastarjelih verzija, kopija ili privremenih datoteka na svim medijima za pohranu
• Upotreba samo odobrenog i sigurnog softvera za brisanje za trajno i trajno uklanjanje informacija
• Brisanje putem odobrenih i certificiranih pružatelja usluga sigurnog zbrinjavanja
• Korištenje metoda zbrinjavanja prikladnih za određeni medij za pohranu koji se zbrinjava, kao što je demagnetizacija tvrdih diskova

Prilikom korištenja usluga u oblaku važno je provjeriti odobrenje ponuđenih postupaka brisanja. Ako odobrenja postoje, organizacija bi trebala upotrijebiti postupak brisanja ili zatražiti od pružatelja usluga oblaka da izbriše podatke. Ako je moguće, ti procesi brisanja trebaju biti automatizirani kao dio smjernica za pojedine predmete.

Kako bi se spriječilo nenamjerno otkrivanje osjetljivih informacija, svu pohranu uređaja koja se vraća dobavljačima treba ukloniti prije povrata. Na nekim uređajima, poput pametnih telefona, uklanjanje podataka moguće je samo putem uništavanja ili internih funkcija (na primjer vraćanje tvorničkih postavki). Ovisno o klasifikaciji podataka, važno je odabrati odgovarajući postupak.

Procesi brisanja trebaju biti dokumentirani, ovisno o osjetljivosti, kako bi se u slučaju sumnje moglo dokazati uklanjanje podataka.

Maskiranje podataka

Za niz osjetljivih informacija kao što je obrada osobnih podataka, zahtjevi specifični za poduzeće i industriju ili regulatorni zahtjevi propisuju maskiranje, pseudonimizaciju ili anonimizaciju informacija. Smjernice za ove mjere navedene su u Kontroli 8.11.

Tehnike pseudonimizacije ili anonimizacije omogućuju skrivanje osobnih podataka, prikrivanje pravih podataka i prikrivanje unakrsnih poveznica informacija. Kako bi se to učinkovito provelo, važno je na odgovarajući način koristiti sve relevantne elemente osjetljivih informacija.

Dok anonimizacija nepovratno mijenja podatke, u slučaju pseudonimizacije sasvim je moguće izvesti zaključke o pravom identitetu putem dodatnih unakrsnih informacija. Stoga bi dodatne unakrsne informacije trebale biti odvojene i zaštićene tijekom procesa pseudonimizacije.

Druge tehnike za maskiranje podataka uključuju:

• Šifriranje
• Nule ili brisanje znakova
• Različiti brojevi i datumi
• Zamjena - zamjena jedne vrijednosti drugom kako bi se sakrili osjetljivi podaci
• Zamjena vrijednosti njihovim ključem

Prilikom implementacije ovih tehničkih mjera za informacijsku sigurnost, važno je uzeti u obzir niz aspekata:

• Korisnici ne bi trebali imati pristup svim podacima, već bi trebali moći vidjeti samo podatke koji su im stvarno potrebni.
• U nekim slučajevima svi podaci u skupu podataka ne bi trebali biti vidljivi korisnicima. U tom slučaju treba osmisliti i implementirati postupke maskiranja podataka. Primjer: podaci o pacijentu u zdravstvenom kartonu koji ne bi trebali biti vidljivi cijelom osoblju, već samo zaposlenicima s određenim ulogama relevantnim za liječenje.
• U nekim slučajevima prikrivanje podataka ne bi trebalo biti vidljivo onima koji pristupaju podacima (prikrivanje prikrivanja) ako se, na primjer, mogu zaključiti o stvarnom datumu putem kategorije podataka (trudnoća, test krvi itd.).
• Zakonski ili regulatorni zahtjevi, na primjer zahtjev za maskiranjem podataka o platnoj kartici tijekom obrade ili pohrane.

Općenito, maskiranje podataka, pseudonimizacija ili anonimizacija zahtijevaju neke općenite točke:

• Snaga maskiranja podataka, pseudonimizacije ili anonimizacije uvelike ovisi o upotrebi obrađenih podataka.
• Pristup obrađenim podacima treba osigurati odgovarajućim zaštitnim mehanizmima.
• Razmatranje suglasnosti ili ograničenja u vezi s korištenjem obrađenih podataka.
• Zabrana uspoređivanja obrađenih podataka s drugim informacijama radi identifikacije nositelja podataka.
• Sigurno praćenje i kontrola pružanja i primanja obrađenih podataka.

Sprječavanje curenja podataka

Kontrola 8.12 dizajnirana je za sprječavanje curenja podataka i formulira specifične mjere koje se primjenjuju na sve sustave, mreže i druge uređaje koji obrađuju, pohranjuju ili prenose osjetljive informacije. Kako bi smanjili curenje osjetljivih podataka, organizacije bi trebale razmotriti sljedeće:

• Identificiranje i klasificiranje informacija, na primjer, osobnih podataka, modela cijena i dizajna proizvoda
• Praćenje kanala kroz koje podaci mogu iscuriti, poput e-pošte, prijenosa datoteka, mobilnih uređaja i mobilnih uređaja za pohranu podataka
• Mjere koje sprječavaju curenje podataka, na primjer, stavljanje u karantenu e-pošte koja sadrži osjetljive informacije

Kako bi se spriječilo curenje podataka u modernim, složenim IT strukturama s njihovim mnoštvom različitih podataka, organizacije također trebaju odgovarajuće alate za

• Identifikaciju i nadzor osjetljivih informacije s rizikom od neovlaštenog otkrivanja, na primjer, u nestrukturiranim podacima na korisničkom sustavu
• Uočavanje otkrivanja osjetljivih podataka, primjerice kada se podaci učitaju na nepouzdane usluge u oblaku trećih strana ili se pošalju putem e-pošte
• Blokiranje radnji korisnika ili mrežnih prijenosa koji otkrivaju kritične informacije, poput sprječavanja kopiranja unosa u bazu podataka u proračunsku tablicu

Organizacije bi trebale kritički propitati potrebu ograničavanja dopuštenja korisnika za kopiranje, lijepljenje ili učitavanje podataka na usluge, uređaje i medije za pohranu izvan organizacije. Po potrebi, također može biti potrebno implementirati odgovarajuće alate za sprječavanje curenja podataka ili za odgovarajuću konfiguraciju postojećih tehnologija.

Na primjer, korisnici mogu dobiti dopuštenje za pregled i uređivanje podataka na daljinu - ali ne i dopuštenje za njihovo kopiranje i lijepljenje izvan kontrole vaše organizacije. Ako je izvoz podataka i dalje potreban, vlasnik podataka ga može odobriti od slučaja do slučaja i pozvati korisnike na odgovornost za neželjene aktivnosti ako je potrebno.

Sprječavanje curenja podataka izričito se odnosi i na zaštitu povjerljivih podataka ili poslovne tajne koji se mogu zloupotrijebiti u svrhe špijunaže ili mogu biti od iznimnog značaja za zajednicu. U tom slučaju, također bi trebale biti osmišljene mjere za zbunjivanje napadača - na primjer, zamjenom lažnim informacijama, obrnutim društvenim inženjeringom ili korištenjem zamki za namamljivanje napadača.

Curenje podataka može biti podržano standardnim sigurnosnim kontrolama, na primjer, putem tematskih politika za kontrolu pristupa i sigurno upravljanje dokumentima (vidi također Mjere/Kontrole 5.12 i 5.15).

Važno pri korištenju alata za praćenje

Kako bi zaštitili vlastite podatke, mnogi alati također neizbježno prate komunikaciju zaposlenika i online aktivnosti te poruke trećih strana. Ovo praćenje pokreće različita pravna pitanja koja se moraju razmotriti prije korištenja odgovarajućih alata za praćenje. Postoji potreba za uravnotežavanjem razine nadzora s raznim zakonima o privatnosti, zaštiti podataka, zapošljavanju, presretanju podataka i telekomunikacijama.

Tehničke mjere u informacijskoj sigurnosti - zaključak.

U ukupnom kontekstu ciljeva zaštite informacijske sigurnosti cjelovitosti i dostupnosti povjerljivosti, ovdje opisani postupci obrade podataka igraju ključnu ulogu u poboljšanoj zaštiti osjetljivih podataka.

Kontinuiranim praćenjem protoka podataka i informacija, maskiranjem osjetljivih informacija i strogim politikama brisanja podataka, poduzeća mogu održivo poboljšati svoju zaštitu od curenja i gubitka podataka - i suprotstaviti se nenamjernom objavljivanju kritičnih informacija. Osim toga, postupci daju odlučujući doprinos kibernetičkoj sigurnosti cijelog poduzeća i minimiziraju površinu napada za hakere i industrijsku špijunažu.

Za poduzeća i organizacije, radi se o uspostavljanju procedura i potrebnih alata na odgovarajući način i njihove integracije u svoje poslovne procese kako bi se pokazala implementacija zahtjeva usklađena sa standardima na budućim certifikacijskim auditima.

Uz profesionalni pristup naših iskusnih auditora i našu stručnost u certifikacijama dužu od 35 godina, preporučujemo se kao vaš kontakt za teme informacijske sigurnosti i certifikaciju prema ISO 27001.

Što ažuriranje znači za vašu certifikaciju?

ISO/IEC 27001:2022 objavljen je 25. listopada 2022. To rezultira sljedećim rokovima i razdobljima prijelaza za korisnike:

Zadnji datum za početne i recertifikacijske audite prema "starom" ISO 27001:2013.

• Nakon 30. travnja 2024. DQS će provoditi početne i recertifikacijske audite samo prema novom standardu ISO/IEC 27001:2022

Prijelaz svih postojećih certifikata prema "starom" ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022

• Postoji trogodišnje prijelazno razdoblje koje počinje 31. listopada 2022.
• Certifikati izdani prema normama ISO/IEC 27001:2013 ili EN ISO/IEC 27001:2017 vrijede najkasnije do 31. listopada 2025. ili se na taj datum moraju povući.

DQS: Vaš kompetentan partner u pitanjima certificirane informacijske sigurnosti

Zahvaljujući prijelaznim razdobljima, poduzeća imaju dovoljno vremena da svoje upravljanje informacijskom sigurnošću prilagode novim zahtjevima i da ga certificiraju. Međutim, ne treba podcijeniti trajanje i napor cjelokupnog procesa promjene - pogotovo ako nemate dovoljno specijaliziranog osoblja na raspolaganju. Ako želite biti sigurni, trebali biste se pozabaviti ovim pitanjem što prije i po potrebi pozvati iskusne stručnjake.

Kao stručnjaci za audite i certifikaciju s više od 35 godina stručnosti, rado ćemo vam pružiti podršku tijekom delta audita. Doznajte od naših brojnih iskusnih auditora o najvažnijim promjenama i njihovoj važnosti za vašu organizaciju. Radujemo se vašem javljanju.

Povjerenje i stručnost

Naše tekstove pišu isključivo naši interni stručnjaci za sustave upravljanja i dugogodišnji auditori. Ako imate pitanja za autora, slobodno nas kontaktirajte.