Technické opatrenia v oblasti informačnej bezpečnosti

Obsah

• Podnikové informácie ako vyhľadávaný cieľ útoku
• Tri nové opatrenia na zvýšenie bezpečnosti informácií
• Vymazanie informácií
• Maskovanie údajov
• Zabránenie úniku údajov
• Technické opatrenia v oblasti informačnej bezpečnosti - záver
• Čo znamená aktualizácia pre vašu certifikáciu?
• DQS: Váš kompetentný partner pre certifikovanú bezpečnosť informácií

Podnikové informácie sú vyhľadávaným cieľom útokov

Štúdia"Wirtschaftsschutz 2022"(Ochrana podnikov 2022) nemeckého priemyselného združenia Bitkom potvrdzuje, že hackeri si veľmi dobre uvedomujú ekonomickú hodnotu informácií a údajov v dnešnom podnikateľskom svete: 36 % opýtaných spoločností už bolo postihnutých krádežou citlivých údajov a digitálnych informácií. Obzvlášť obľúbeným cieľom sú komunikačné údaje v 68 percentách a údaje o zákazníkoch v 45 percentách.

Škody spôsobené vydieraním, porušovaním patentov a stratou predaja, ktoré možno priamo pripísať krádeži údajov, sa pohybujú v rozsahu niekoľkých miliárd eur ročne.

Spoločnosti a organizácie musia ďalej posilňovať ochranu pri spracúvaní svojich kritických údajov. Ďalšie usmernenia pomáhajú ďalej zlepšovať celkovú koncepciu bezpečnosti a zmenšovať priestor na útoky.

Tri nové technické opatrenia na zvýšenie bezpečnosti informácií

93 opatrení v prílohe A novej normy ISO/IEC 27001:2022 bolo reorganizovaných do štyroch tém:

• Organizačné opatrenia
• Osobné opatrenia
• Fyzické opatrenia
• Technické opatrenia

Tri nové opatrenia na ochranu informácií, ktorým sa budeme ďalej podrobnejšie venovať, sú z tematickej oblasti "Technické opatrenia":

• 8.10 Vymazanie informácií
• 8.11 Maskovanie údajov
• 8.12 Zabránenie úniku údajov

Vymazanie informácií

Kontrola 8.10 v norme ISO 27001 sa zaoberá rizikami, ktoré predstavujú informácie, ktoré už nie sú potrebné, ale stále sa nachádzajú v informačných systémoch, zariadeniach alebo iných pamäťových médiách. Vymazanie týchto už nepotrebných údajov zabraňuje ich zverejneniu - zabezpečuje súlad s právnymi, zákonnými, regulačnými a zmluvnými požiadavkami na vymazanie údajov.

Spoločnosti a organizácie by pritom mali zvážiť nasledujúce body:

• Výber metódy vymazania, ktorá je vhodná vzhľadom na obchodné a právne prostredie, napríklad elektronické prepisovanie alebo kryptografické vymazanie.
• Dokumentácia výsledkov
• Poskytovanie dôkazov pri využívaní poskytovateľov služieb na vymazanie informácií

Ak tretie strany prevezmú ukladanie údajov v mene vašej spoločnosti, požiadavky na vymazanie by mali byť zapísané v zmluvnej dohode, aby bolo možné ich presadzovať počas a aj po ukončení poskytovania týchto služieb.

Na zabezpečenie spoľahlivého odstránenia citlivých informácií - pri zabezpečení súladu s príslušnými politikami uchovávania údajov a platnými zákonmi a predpismi - nový štandard stanovuje nasledujúce postupy, služby a technológie:

• vytvorenie špecializovaných systémov, ktoré umožňujú bezpečné zničenie informácií, napríklad v súlade s politikami uchovávania alebo na žiadosť dotknutých osôb
• vymazanie zastaraných verzií, kópií alebo dočasných súborov na všetkých pamäťových médiách
• Používanie len schváleného a bezpečného softvéru na vymazávanie informácií na trvalé a neodstrániteľné odstránenie informácií
• vymazanie prostredníctvom schválených a certifikovaných poskytovateľov služieb bezpečnej likvidácie
• používanie metód likvidácie vhodných pre konkrétne likvidované pamäťové médium, ako je demagnetizácia pevných diskov

Pri používaní cloudových služieb je dôležité skontrolovať prípustnosť ponúkaných postupov vymazávania. Ak je to dané, organizácia by mala použiť postup vymazania alebo požiadať poskytovateľa cloudových služieb o vymazanie informácií. Ak je to možné, tieto postupy vymazávania by mali byť automatizované ako súčasť usmernení pre jednotlivé subjekty.

Aby sa zabránilo neúmyselnému zverejneniu citlivých informácií, všetky úložné zariadenia vrátené predajcom by sa mali pred vrátením odstrániť. V prípade niektorých zariadení, ako sú napríklad smartfóny, je odstránenie údajov možné len prostredníctvom zničenia alebo interných funkcií (napríklad obnovenie továrenských nastavení). V závislosti od klasifikácie informácií je dôležité zvoliť vhodný postup.

Procesy odstraňovania by mali byť v závislosti od citlivosti zdokumentované, aby bolo možné v prípade pochybností dokázať odstránenie údajov.

Maskovanie údajov

Pri celom rade citlivých informácií, ako je spracovanie osobných údajov, sa v podnikových a odvetvových alebo regulačných požiadavkách stanovuje maskovanie, pseudonymizácia alebo anonymizácia informácií. Usmernenie pre tieto opatrenia je uvedené v časti Kontrola 8.11.

Techniky pseudonymizácie alebo anonymizácie umožňujú skryť osobné údaje, zahmliť skutočné údaje a zakryť vzájomné prepojenia informácií. Na ich účinné vykonávanie je dôležité primerane riešiť všetky relevantné prvky citlivých informácií.

Zatiaľ čo anonymizácia mení údaje nenávratne, v prípade pseudonymizácie je celkom možné vyvodiť závery o skutočnej identite prostredníctvom dodatočných krížových informácií. Preto by sa dodatočné krížové informácie mali počas procesu pseudonymizácie uchovávať oddelene a chrániť.

Medzi ďalšie techniky maskovania údajov patria napr:

• Šifrovanie
• Nuly alebo vymazanie znakov
• Rôzne čísla a dátumy
• Substitúcia - nahradenie jednej hodnoty inou s cieľom skryť citlivé údaje
• Nahradenie hodnôt ich hash

Pri zavádzaní týchto technických opatrení pre informačnú bezpečnosť je dôležité zohľadniť niekoľko aspektov:

• Používatelia by nemali mať prístup ku všetkým údajom, ale mali by mať možnosť zobraziť len tie údaje, ktoré skutočne potrebujú.
• V niektorých prípadoch by používatelia nemali vidieť všetky údaje v súbore údajov. V takom prípade by sa mali navrhnúť a implementovať postupy zakrývania údajov. Príklad: údaje o pacientovi v lekárskom zázname, ktoré by nemali byť viditeľné pre všetkých zamestnancov, ale len pre zamestnancov so špecifickými úlohami relevantnými pre liečbu.
• V niektorých prípadoch by zastretie údajov nemalo byť viditeľné pre osoby, ktoré k údajom pristupujú (zastretie zastretých údajov), ak napríklad možno vyvodiť závery o aktuálnom dátume prostredníctvom kategórie údajov (tehotenstvo, krvný test atď.).
• Právne alebo regulačné požiadavky, napríklad požiadavka maskovať údaje o platobných kartách počas spracovania alebo uchovávania.

Vo všeobecnosti si maskovanie údajov, pseudonymizácia alebo anonymizácia vyžadujú niektoré všeobecné body:

• Sila maskovania údajov, pseudonymizácie alebo anonymizácie závisí do veľkej miery od použitia spracúvaných údajov.
• Prístup k spracúvaným údajom by mal byť zabezpečený vhodnými ochrannými mechanizmami.
• Zváženie dohôd alebo obmedzení týkajúcich sa používania spracúvaných údajov.
• Zákaz porovnávania spracúvaných údajov s inými informáciami s cieľom identifikovať dotknutú osobu.
• Bezpečné sledovanie a kontrola poskytovania a prijímania spracúvaných údajov.

Predchádzanie úniku údajov

Kontrola 8.12 je určená na predchádzanie úniku údajov a formuluje konkrétne opatrenia, ktoré sa majú uplatňovať na všetky systémy, siete a iné zariadenia, ktoré spracúvajú, uchovávajú alebo prenášajú citlivé informácie. Na minimalizáciu úniku citlivých údajov by organizácie mali zvážiť nasledujúce opatrenia:

• Identifikáciu a klasifikáciu informácií, napríklad osobných údajov, cenových modelov a návrhov produktov
• Monitorovanie kanálov, ktorými môžu údaje uniknúť, napríklad e-mail, prenosy súborov, mobilné zariadenia a mobilné úložné zariadenia
• opatrenia, ktoré zabraňujú úniku údajov, napríklad umiestnenie e-mailov obsahujúcich citlivé informácie do karantény

Na to, aby sa zabránilo úniku údajov v moderných komplexných IT štruktúrach s množstvom rôznych údajov, potrebujú organizácie aj vhodné nástroje na

• identifikáciu a monitorovanie citlivých informácií, pri ktorých hrozí riziko neoprávneného zverejnenia, napríklad v neštruktúrovaných údajoch v systéme používateľa
• odhaliť zverejnenie citlivých údajov, napríklad pri odosielaní údajov do nedôveryhodných cloudových služieb tretích strán alebo pri odosielaní údajov prostredníctvom e-mailu
• blokovať činnosti používateľa alebo sieťové prenosy, ktoré odhaľujú kritické informácie, napríklad zabrániť kopírovaniu záznamov z databázy do tabuľky

Organizácie by sa mali kriticky zamyslieť nad potrebou obmedziť oprávnenia používateľov na kopírovanie, vkladanie alebo odosielanie údajov do služieb, zariadení a pamäťových médií mimo organizácie. V prípade potreby môže byť tiež potrebné zaviesť vhodné nástroje na zabránenie úniku údajov alebo vhodne nakonfigurovať existujúce technológie.

Používatelia môžu mať napríklad oprávnenie na vzdialené zobrazovanie a úpravu údajov - nie však oprávnenie na ich kopírovanie a vkladanie mimo kontroly vašej organizácie. Ak je export údajov napriek tomu potrebný, vlastník údajov ho môže schváliť v jednotlivých prípadoch a v prípade potreby vyvodiť zodpovednosť voči používateľom za nežiaduce aktivity.

Predchádzanie úniku údajov sa výslovne vzťahuje aj na ochranu dôverných informácií alebo obchodných tajomstiev, ktoré môžu byť zneužité na špionážne účely alebo môžu mať pre spoločnosť zásadný význam. V tomto prípade by sa mali navrhnúť aj opatrenia na zmätenie útočníkov - napríklad zámenou s falošnými informáciami, spätným sociálnym inžinierstvom alebo použitím medových hrncov na nalákanie útočníkov.

Únik údajov možno podporiť štandardnými bezpečnostnými kontrolami, napríklad prostredníctvom tematických politík na kontrolu prístupu a bezpečnú správu dokumentov (pozri aj opatrenia/kontroly 5.12 a 5.15).

Dôležité pri používaní monitorovacích nástrojov

Na ochranu vlastných informácií mnohé nástroje nevyhnutne monitorujú aj komunikáciu a online aktivity zamestnancov a správy tretích strán. Toto monitorovanie vyvoláva rôzne právne otázky, ktoré je potrebné zvážiť pred použitím vhodných monitorovacích nástrojov. Je potrebné vyvážiť úroveň monitorovania s rôznymi právnymi predpismi v oblasti ochrany súkromia, ochrany údajov, zamestnanosti, zachytávania údajov a telekomunikácií.

Technické opatrenia v informačnej bezpečnosti - záver.

V celkovom kontexte cieľov ochrany informačnej bezpečnosti, ktorými sú dôvernosť, integrita a dostupnosť, zohrávajú opísané postupy spracovania údajov kľúčovú úlohu pri zvýšenej ochrane citlivých údajov.

Vďaka nepretržitému monitorovaniu toku údajov a informácií, maskovaniu citlivých informácií a prísnym zásadám vymazávania údajov môžu spoločnosti trvalo zlepšiť svoju ochranu pred únikom a stratou údajov - a čeliť neúmyselnému zverejneniu kritických informácií. Okrem toho tieto postupy rozhodujúcim spôsobom prispievajú k celopodnikovej kybernetickej bezpečnosti a minimalizujú priestor na útok hackerov a priemyselnú špionáž.

Pre spoločnosti a organizácie je teraz otázkou vhodného zavedenia postupov a požadovaných nástrojov a ich začlenenia do svojich podnikových procesov, aby mohli pri budúcich certifikačných auditoch preukázať implementáciu požiadaviek v súlade s normou.

Vďaka profesionálnemu pohľadu našich skúsených audítorov a našim viac ako 35-ročným skúsenostiam v oblasti certifikácie sa vám odporúčame ako kontaktná osoba pre témy informačnej bezpečnosti a certifikácie podľa normy ISO 27001.

Čo znamená aktualizácia pre vašu certifikáciu?

Norma ISO/IEC 27001:2022 bola zverejnená 25. októbra 2022. Z toho vyplývajú nasledujúce termíny a obdobia prechodu pre používateľov:

Posledný dátum pre počiatočné a recertifikačné audity podľa "starej" normy ISO 27001:2013.

• Po 30. apríli 2024 bude DQS vykonávať počiatočné a recertifikačné audity len podľa novej normy ISO/IEC 27001:2022.

Konverzia všetkých existujúcich certifikátov podľa "starej" normy ISO/IEC 27001:2013 na novú normu ISO/IEC 27001:2022

• Od 31. októbra 2022 je trojročné prechodné obdobie
• Certifikáty vydané podľa normy ISO/IEC 27001:2013 alebo EN ISO/IEC 27001:2017 sú platné najneskôr do 31. októbra 2025 alebo musia byť k tomuto dátumu zrušené.

DQS: Váš kompetentný partner v otázkach certifikovanej informačnej bezpečnosti

Vďaka prechodným obdobiam majú spoločnosti dostatok času na to, aby prispôsobili svoje riadenie informačnej bezpečnosti novým požiadavkám a nechali si ho certifikovať. Trvanie a náročnosť celého procesu zmien však netreba podceňovať - najmä ak nemáte k dispozícii dostatok špecializovaných pracovníkov. Ak chcete byť na bezpečnej strane, mali by ste sa touto problematikou zaoberať radšej skôr ako neskôr a v prípade potreby sa obrátiť na skúsených odborníkov.

Ako odborníci na audit a certifikáciu s viac ako 35-ročnou praxou vám radi pomôžeme počas delta auditu. Od našich početných skúsených audítorov sa dozviete o najdôležitejších zmenách a ich význame pre vašu organizáciu. Tešíme sa na vaše odpovede.

Dôvera a odborné znalosti

Naše texty píšu výlučne naši interní odborníci na systémy riadenia a dlhoroční audítori. Ak máte na autora akékoľvek otázky, neváhajte nás kontaktovať .