Technikai intézkedések az információbiztonság területén

Tartalom

• A vállalati információk mint a támadások áhított célpontjai
• Három új intézkedés a nagyobb információbiztonság érdekében
• Az információk törlése
• Az adatok elfedése
• Az adatszivárgás megelőzése
• Technikai intézkedések az információbiztonságban - következtetés
• Mit jelent a frissítés az Ön tanúsítása szempontjából?
• DQS: Az Ön kompetens partnere a tanúsított információbiztonság terén

A vállalati információk a támadások áhított célpontjai

A Bitkom német ipari szövetség "Wirtschaftsschutz 2022" (Vállalkozásvédelem 2022) című tanulmánya megerősíti, hogy a hekkerek nagyon is tisztában vannak az információk és adatok gazdasági értékével a mai üzleti világban: a megkérdezett vállalatok 36 százalékát érintette már érzékeny adatok és digitális információk ellopása. Különösen népszerű célpontok a kommunikációs adatok 68 százalékban és az ügyféladatok 45 százalékban.

A zsarolás, a szabadalomsértések és a közvetlenül az adatlopásoknak tulajdonítható elmaradt eladások által okozott kár évente több milliárd euróra rúg.

A vállalatoknak és szervezeteknek tovább kell erősíteniük a védelmet kritikus adataik feldolgozása során. A további iránymutatások segítenek az általános biztonsági koncepció további javításában és a támadási felület csökkentésében.

Három új technikai intézkedés a nagyobb információbiztonság érdekében

Az új ISO/IEC 27001:2022 A. mellékletében szereplő 93 intézkedést négy témakörbe szervezték át:

• Szervezeti intézkedések
• Személyes intézkedések
• Fizikai intézkedések
• Technikai intézkedések

Az információvédelem három új intézkedése, amelyeket az alábbiakban részletesebben megvizsgálunk, a "Technikai intézkedések" témakörből származik:

• 8.10 Az információk törlése
• 8.11 Adatmaszkolás
• 8.12 Az adatszivárgás megakadályozása

Az információk törlése

Az ISO 27001 szabvány 8.10. ellenőrzése az olyan információk által jelentett kockázatokkal foglalkozik, amelyekre már nincs szükség, de még mindig az információs rendszerekben, eszközökön vagy más adathordozókon vannak. Ezeknek a már szükségtelenné vált adatoknak a törlése megakadályozza azok nyilvánosságra hozatalát - biztosítva az adatok törlésére vonatkozó jogi, jogszabályi, szabályozási és szerződéses követelményeknek való megfelelést.

Ennek során a vállalatoknak és szervezeteknek a következő pontokat kell figyelembe venniük:

• Az üzleti és jogi környezet fényében megfelelő törlési módszer kiválasztása, például elektronikus felülírás vagy kriptográfiai törlés.
• Az eredmények dokumentálása
• Bizonyítéknyújtás, ha szolgáltatókat vesznek igénybe az információk törléséhez

Ha harmadik felek vállalják át az adattárolást a vállalat nevében, a törlésre vonatkozó követelményeket bele kell írni a szerződéses megállapodásba, hogy ezt a szolgáltatások megszűnése alatt és után is érvényesíteni lehessen.

Az érzékeny információk megbízható eltávolításának biztosítása érdekében - a vonatkozó adatmegőrzési irányelveknek és az alkalmazandó törvényeknek és rendeleteknek való megfelelés biztosítása mellett - az új szabvány a következő eljárásokat, szolgáltatásokat és technológiákat írja elő:

• Olyan célzott rendszerek létrehozása, amelyek lehetővé teszik az információk biztonságos megsemmisítését, például a megőrzési irányelveknek megfelelően vagy az érintett személyek kérésére.
• Az elavult verziók, másolatok vagy ideiglenes fájlok törlése minden adathordozón.
• Kizárólag jóváhagyott és biztonságos törlőszoftverek használata az információk végleges eltávolítására.
• Törlés jóváhagyott és tanúsított biztonságos megsemmisítési szolgáltatókon keresztül.
• a megsemmisítésre kerülő adathordozónak megfelelő ártalmatlanítási módszerek alkalmazása, például a merevlemezek mágnesezhetetlenné tétele.

Felhőszolgáltatások igénybevételekor fontos ellenőrizni a felkínált törlési eljárások megengedhetőségét. Ha ez adott, a szervezetnek alkalmaznia kell a törlési eljárást, vagy fel kell kérnie a felhőszolgáltatót az adatok törlésére. Ha lehetséges, ezeket a törlési eljárásokat az alanyi iránymutatások részeként automatizálni kell.

Az érzékeny információk véletlen nyilvánosságra hozatalának megelőzése érdekében a szállítóknak visszaküldött összes eszköztárolót a visszaküldés előtt el kell távolítani. Egyes eszközök, például okostelefonok esetében az adatok eltávolítása csak megsemmisítéssel vagy belső funkciókkal (például a gyári beállítások visszaállításával) lehetséges. Az információ minősítésétől függően fontos a megfelelő eljárás kiválasztása.

A törlési folyamatokat az érzékenységtől függően dokumentálni kell, hogy kétség esetén bizonyítani lehessen az adatok eltávolítását.

Adatmaszkírozás

Egy sor érzékeny információ, például a személyes adatok feldolgozása esetében a vállalati és ágazatspecifikus vagy szabályozási követelmények előírják az információk maszkolását, álnevesítését vagy anonimizálását. Az ilyen intézkedésekre vonatkozó iránymutatást a 8.11. ellenőrzés tartalmazza.

Az álnevesítési vagy anonimizálási technikák lehetővé teszik a személyes adatok elrejtését, a valódi adatok elfedését és az információk kereszthivatkozásainak elfedését. Ennek hatékony megvalósításához fontos, hogy az érzékeny információk minden releváns elemét megfelelően kezeljék.

Míg az anonimizálás visszavonhatatlanul megváltoztatja az adatokat, addig az álnevesítés esetében további keresztinformációk révén könnyen le lehet vonni következtetéseket a valódi személyazonosságra vonatkozóan. Ezért a további keresztinformációkat az álnevesítés során elkülönítve kell tartani és védeni.

Az adatmaszkírozás egyéb technikái közé tartoznak:

• Titkosítás
• Nulla vagy karakterek törlése
• különböző számok és dátumok
• Helyettesítés - egy érték helyettesítése egy másikkal az érzékeny adatok elrejtése érdekében.
• Az értékek helyettesítése a hash-értékkel

Ezen információbiztonsági technikai intézkedések bevezetésekor számos szempontot kell figyelembe venni:

• A felhasználók ne férjenek hozzá minden adathoz, hanem csak azokat az adatokat láthassák, amelyekre valóban szükségük van.
• Bizonyos esetekben egy adathalmazban nem minden adatnak kell láthatónak lennie a felhasználók számára. Ebben az esetben az adatok elhomályosítására szolgáló eljárásokat kell megtervezni és végrehajtani. Példa: betegadatok egy orvosi nyilvántartásban, amelyek nem lehetnek láthatóak az összes munkatárs számára, hanem csak a kezelés szempontjából releváns, meghatározott szerepkörrel rendelkező alkalmazottak számára.
• Bizonyos esetekben az adatok elhomályosítása nem lehet nyilvánvaló az adatokhoz hozzáférők számára (az elhomályosítás elhomályosítása), ha például az adatkategórián keresztül következtetni lehet a tényleges dátumra (terhesség, vérvizsgálat stb.).
• Jogi vagy szabályozási követelmények, például a bankkártyaadatok elfedésének követelménye a feldolgozás vagy tárolás során.

Általánosságban elmondható, hogy az adatok maszkolásához, álnevesítéséhez vagy anonimizálásához néhány általános pontra van szükség:

• Az adatmaszkírozás, álnevesítés vagy anonimizálás erőssége nagymértékben függ a feldolgozott adatok felhasználásától.
• A feldolgozott adatokhoz való hozzáférést megfelelő védelmi mechanizmusokkal kell biztosítani.
• A feldolgozott adatok felhasználására vonatkozó megállapodások vagy korlátozások figyelembevétele.
• A feldolgozott adatok más információkkal való összevetésének megtiltása az érintett azonosítása érdekében.
• A feldolgozott adatok rendelkezésre bocsátásának és átvételének biztonságos nyomon követése és ellenőrzése.

Az adatszivárgás megelőzése

A 8.12. ellenőrzés célja az adatszivárgás megelőzése, és konkrét intézkedéseket fogalmaz meg, amelyeket minden olyan rendszerre, hálózatra és egyéb eszközre alkalmazni kell, amely érzékeny információkat dolgoz fel, tárol vagy továbbít. Az érzékeny adatok kiszivárgásának minimalizálása érdekében a szervezeteknek a következőket kell figyelembe venniük:

• Az információk azonosítása és osztályozása, például személyes adatok, árképzési modellek és terméktervek.
• Az olyan csatornák ellenőrzése, amelyeken keresztül az adatok kiszivároghatnak, például e-mail, fájlátvitel, mobil eszközök és mobil tárolóeszközök.
• Az adatszivárgást megakadályozó intézkedések, például az érzékeny információkat tartalmazó e-mailek karanténba helyezése.

Az adatszivárgások megelőzése érdekében a modern, összetett IT-struktúrákban, amelyekben rengeteg különböző adat található, a szervezeteknek megfelelő eszközökre is szükségük van a következőkhöz

• A jogosulatlan nyilvánosságra hozatal kockázatának kitett érzékeny információk azonosítása és nyomon követése, például a felhasználó rendszerében lévő strukturálatlan adatokban
• az érzékeny adatok nyilvánosságra hozatalának felderítése, például amikor az adatokat nem megbízható harmadik fél felhőszolgáltatásaiba töltik fel vagy e-mailben küldik el.
• Olyan felhasználói műveletek vagy hálózati átvitelek blokkolása, amelyek kritikus információkat tárnak fel, például az adatbázis-bejegyzések táblázatkezelőbe történő másolásának megakadályozása.

A szervezeteknek kritikusan meg kell kérdőjelezniük annak szükségességét, hogy korlátozzák a felhasználók engedélyeit az adatok másolására, beillesztésére vagy feltöltésére a szervezeten kívüli szolgáltatásokra, eszközökre és adathordozókra. Szükség esetén az adatszivárgás megakadályozására megfelelő eszközök bevezetésére vagy a meglévő technológiák megfelelő konfigurálására is szükség lehet.

A felhasználóknak például engedélyt lehet adni az adatok távoli megtekintésére és szerkesztésére - de nem engedélyezheti az adatok másolását és beillesztését a szervezeten kívülre. Ha mégis szükség van adatexportra, az adatok tulajdonosa eseti alapon jóváhagyhatja azt, és szükség esetén felelősségre vonhatja a felhasználókat a nem kívánt tevékenységért.

Az adatszivárgás megelőzése kifejezetten vonatkozik a bizalmas információk vagy üzleti titkok védelmére is, amelyekkel kémkedési célokra visszaélhetnek, vagy amelyek létfontosságúak lehetnek a közösség számára. Ebben az esetben az intézkedéseket úgy is kell kialakítani, hogy a támadókat megzavarják - például hamis információkkal való helyettesítéssel, fordított social engineeringgel vagy a támadók becsalogatására szolgáló honey potok használatával.

Az adatszivárgást szabványos biztonsági ellenőrzésekkel lehet támogatni, például a hozzáférés-szabályozásra és a biztonságos dokumentumkezelésre vonatkozó témaspecifikus szabályzatokon keresztül (lásd még az 5.12. és 5.15. intézkedést/ellenőrzést).

Fontos a felügyeleti eszközök használatakor

A saját információk védelme érdekében számos eszköz elkerülhetetlenül figyelemmel kíséri az alkalmazottak kommunikációját és online tevékenységeit, valamint a harmadik féltől érkező üzeneteket is. Ez a felügyelet különböző jogi kérdéseket vet fel, amelyeket a megfelelő felügyeleti eszközök használata előtt figyelembe kell venni. A megfigyelés szintjét egyensúlyba kell hozni a különböző magánéletre, adatvédelemre, foglalkoztatásra, adatlehallgatásra és távközlésre vonatkozó jogszabályokkal.

Technikai intézkedések az információbiztonságban - következtetés

A bizalmas jelleg, integritás és rendelkezésre állás információbiztonsági védelmi céljainak általános összefüggésében az itt ismertetett adatfeldolgozási eljárások kulcsszerepet játszanak az érzékeny adatok fokozott védelmében.

Az adat- és információáramlás folyamatos nyomon követésével, az érzékeny információk elfedésével és szigorú adattörlési irányelvekkel a vállalatok fenntarthatóan javíthatják az adatszivárgás és adatvesztés elleni védelmet - és ellensúlyozhatják a kritikus információk nem szándékos közzétételét. Ezen túlmenően az eljárások döntően hozzájárulnak a vállalati szintű kiberbiztonsághoz, és minimalizálják a hackerek és az ipari kémkedés támadási felületét.

A vállalatok és szervezetek számára most az eljárások és a szükséges eszközök megfelelő kialakítása és üzleti folyamataikba való integrálása a feladat, hogy a jövőbeni tanúsítási auditok során bizonyítani tudják a követelmények szabványnak megfelelő végrehajtását.

Tapasztalt auditoraink szakmai szemléletével és több mint 35 éves tanúsítási szakértelmünkkel az információbiztonság és az ISO 27001 szerinti tanúsítás témakörében az Ön kapcsolattartójának ajánljuk magunkat.

Mit jelent a frissítés az Ön tanúsítása szempontjából?

Az ISO/IEC 27001:2022 szabványt 2022. október 25-én tették közzé. Ez a felhasználók számára a következő határidőket és átállási időszakokat eredményezi:

A "régi" ISO 27001:2013 szerinti első és újratanúsítási auditok utolsó időpontja.

• 2024. április 30. után a DQS kizárólag az új ISO/IEC 27001:2022 szabvány szerinti kezdeti és újratanúsítási auditokat végez.

A "régi" ISO/IEC 27001:2013 szabvány szerinti összes meglévő tanúsítvány átállítása az új ISO/IEC 27001:2022 szabványra.

• 2022. október 31-től kezdődően hároméves átmeneti időszak áll rendelkezésre.
• Az ISO/IEC 27001:2013 vagy EN ISO/IEC 27001:2017 szerint kiadott tanúsítványok legkésőbb 2025. október 31-ig érvényesek, vagy ezen a napon vissza kell vonni őket.

DQS: Az Ön kompetens partnere a tanúsított információbiztonsággal kapcsolatos kérdésekben

Az átmeneti időszakoknak köszönhetően a vállalatoknak elegendő idejük van arra, hogy információbiztonsági menedzsmentjüket az új követelményekhez igazítsák és tanúsíttassák. Nem szabad azonban alábecsülni a teljes átállási folyamat időtartamát és erőfeszítéseit - különösen akkor, ha nem áll rendelkezésére elegendő szakképzett személyzet. Ha biztosra akar menni, inkább előbb, mint utóbb foglalkozzon a kérdéssel, és szükség esetén hívjon tapasztalt szakembereket.

Több mint 35 éves tapasztalattal rendelkező auditálási és tanúsítási szakértőként szívesen támogatjuk Önt egy delta audit során. Számos tapasztalt auditorunktól tájékozódjon a legfontosabb változásokról és azok jelentőségéről az Ön szervezetére nézve. Várjuk, hogy jelentkezzen.

Bizalom és szakértelem

Szövegeinket kizárólag házon belüli irányítási rendszerekkel foglalkozó szakértőink és régóta dolgozó auditoraink írják. Ha bármilyen kérdése van a szerzőhöz, forduljon hozzánk bizalommal.