Tehničke mere u bezbednosti informacija

Content

• Korporativne informacije su željena meta napada
• Tri nove mere za veću bezbednost informacija
• Brisanje informacija
• Maskiranje podataka
• Prevencija curenja podataka 
• Tehničke mere u bezbednosti informacija - zaključak
• Šta ovo ažuriranje znači za vašu sertifikaciju?
• DQS: Vaš kompetentni partner za sertifikaciju bezbednosti informacija

Korporativne informacije su željena meta napada

Studija "Wirtschaftsschutz 2022" (Business Protection 2022) nemačkog industrijskog udruženja Bitkom potvrđuje da su hakeri veoma svesni ekonomske vrednosti informacija i podataka u današnjem poslovnom svetu: 36 odsto anketiranih kompanija već je pogođeno krađom. osetljivih podataka i digitalnih informacija. Posebno popularni ciljevi su komunikacioni podaci sa 68 procenata i podaci o kupcima sa 45 procenata.

Šteta uzrokovana ucenama, kršenjem patenta i izgubljenom prodajom koja se direktno pripisuje krađi podataka kreće se u rasponu od nekoliko milijardi evra godišnje.

Kompanije i organizacije treba da dodatno ojačaju zaštitu prilikom obrade svojih osetljivih podataka. Dodatne smernice pomažu u daljem poboljšanju celokupnog koncepta bezbednosti i smanjenju površine napada.

Tri nove mere za veću bezbednost informacija

93 mere u Annex A novog new ISO/IEC 27001:2022 su razvertane u četiri celine:

• Organizacione mere
• Lične mere
• Fizičke mere
• Tehničke mere

Tri nove mere za zaštitu informacija koje ćemo detaljnije razmotriti u nastavku su iz oblasti „Tehničke mere“:

• 8.10 Brisanje informacija
• 8.11 Maskiranje informacija
• 8.12 Prevencija curenja podataka

Brisanje informacija

Kontrola 8.10 u ISO 27001  bavi se rizicima koje predstavljaju informacije koje više nisu potrebne, ali se još uvek nalaze na informacionim sistemima, uređajima ili drugim medijumima za skladištenje podataka. Brisanje ovih već nepotrebnih podataka sprečava njihovo otkrivanje – obezbeđujući usklađenost sa zakonskim, statutarnim, regulatornim i ugovornim zahtevima za brisanje podataka.

Pri tome, kompanije i organizacije treba da uzmu u obzir sledeće tačke:

• Odabir metode brisanja koja je odgovarajuća u svetlu poslovnog i pravnog okruženja, kao što je elektronsko prepisivanje ili kriptografsko brisanje
• Dokumentacija o rezultatima
• Pružanje dokaza kada koristite provajdere usluga za brisanje informacija

Ako treća lica preuzmu skladištenje podataka u ime vaše kompanije, zahtevi za brisanje treba da budu napisani u ugovoru kako bi se ovo sprovelo tokom, pa čak i nakon prestanka ovih usluga.

Da bi se obezbedilo pouzdano uklanjanje osetljivih informacija – uz obezbeđivanje usklađenosti sa relevantnim politikama zadržavanja podataka i važećim zakonima i propisima – novi standard predviđa sledeće procedure, usluge i tehnologije:

• Uspostavljanje namenskih sistema koji omogućavaju bezbedno uništavanje informacija, na primer, u skladu sa politikom zadržavanja ili na zahtev pogođenih pojedinaca
• Brisanje zastarelih verzija, kopija ili privremenih datoteka na svim medijumima za skladištenje
• Korišćenje samo odobrenog i bezbednog softvera za brisanje za trajno i trajno uklanjanje informacija
• Brisanje preko odobrenih i sertifikovanih dobavljača usluga bezbednog odlaganja
• Korišćenje metoda odlaganja prikladnih za određeni medijum za skladištenje koji se odlaže, kao što je demagnetizacija čvrstih diskova

Kada koristite usluge u oblaku (cloud), važno je proveriti dozvole ponuđenih procedura brisanja. Ako je ovo dato, organizacija treba da koristi proceduru brisanja ili da zahteva od dobavljača oblaka da izbriše informacije. Ako je moguće, ovi procesi brisanja treba da budu automatizovani kao deo smernica specifičnih za predmet.

Da biste sprečili nenamerno otkrivanje osetljivih informacija, sav prostor za skladištenje uređaja vraćen prodavcima treba da bude uklonjen pre vraćanja. Na nekim uređajima, kao što su pametni telefoni, uklanjanje podataka je moguće samo uništavanjem ili internim funkcijama (na primer, vraćanjem fabričkih podešavanja). U zavisnosti od klasifikacije informacija, važno je izabrati odgovarajući postupak.

Procese brisanja treba dokumentovati, u zavisnosti od osetljivosti, kako bi se moglo dokazati uklanjanje podataka u slučaju sumnje.

Maskiranje podataka

Za niz osetljivih informacija kao što je obrada ličnih podataka, zahtevi specifični za kompaniju i industriju ili regulatorni zahtevi predviđaju maskiranje, pseudonimizaciju ili anonimizaciju informacija. Smernica za ove mere je data u Kontroli 8.11.

Tehnike pseudonimizacije ili anonimizacije omogućavaju sakrivanje ličnih podataka, prikrivanje pravih podataka i nejasne unakrsne veze informacija. Da bi se ovo delotvorno primenilo, važno je da se adekvatno pozabave svim relevantnim elementima osetljivih informacija.

Dok anonimizacija neopozivo menja podatke, u slučaju pseudonimizacije sasvim je moguće izvući zaključke o pravom identitetu putem dodatnih unakrsnih informacija. Stoga, dodatne unakrsne informacije treba da budu odvojene i zaštićene tokom procesa pseudonimizacije.

Druge tehnike za maskiranje podataka uključuju:

• Šifrovanje
• Nule ili brisanje znakova
• Različiti brojevi i datumi
• Zamena – zamena jedne vrednosti drugom da bi se sakrili osetljivi podaci
• Zamena vrednosti sa njihovim hešom

Prilikom implementacije ovih tehničkih mera za bezbednost informacija , važno je razmotriti nekoliko aspekata:

• Korisnici ne bi trebalo da imaju pristup svim podacima, već bi trebalo da mogu da vide samo one podatke koji su im zaista potrebni.
• U nekim slučajevima, svi podaci u skupu podataka ne bi trebalo da budu vidljivi korisnicima. U ovom slučaju, treba osmisliti i primeniti procedure prikrivanja podataka. Primer: podaci o pacijentu u medicinskom kartonu koji ne bi trebalo da budu vidljivi celom osoblju, već samo zaposlenima sa specifičnim ulogama relevantnim za lečenje.
• U nekim slučajevima, zamagljivanje podataka ne bi trebalo da bude očigledno onima koji pristupaju podacima (zamagljivanje prikrivanja) ako se, na primer, mogu izvući zaključci o stvarnom datumu putem kategorije podataka (trudnoća, test krvi, itd.).
• Zakonski ili regulatorni zahtevi, na primer zahtev za maskiranje podataka platne kartice tokom obrade ili skladištenja.

Generalno, maskiranje podataka, pseudonimizacija ili anonimizacija zahtevaju neke opšte tačke:

•  Jačina maskiranja podataka, pseudonimizacije ili anonimizacije u velikoj meri zavisi od upotrebe obrađenih podataka.
• Pristup obrađenim podacima treba da bude obezbeđen odgovarajućim mehanizmima zaštite.
• Razmatranje sporazuma ili ograničenja u vezi sa korišćenjem obrađenih podataka.
• Zabrana uparivanja obrađenih podataka sa drugim informacijama radi identifikacije subjekta podataka.
• Sigurno pratite i kontrolišete davanje i prijem obrađenih podataka.

Prevencija curenja podataka

Kontrola 8.12 je dizajnirana da spreči curenje podataka i formuliše specifične mere koje treba primeniti na sve sisteme, mreže i druge uređaje koji obrađuju, čuvaju ili prenose osetljive informacije. Da bi se smanjilo curenje osetljivih podataka, organizacije treba da razmotre sledeće:

• Identifikovanje i klasifikacija informacija, na primer, lični podaci, modeli cena i dizajn proizvoda
• Nadgledanje kanala kroz koje podaci mogu da procure, kao što su e-pošta, prenos datoteka, mobilni uređaji i mobilni uređaji za skladištenje
• Mere koje sprečavaju curenje podataka, na primer, stavljanje u karantin imejlova koji sadrže osetljive informacije

Da bi se sprečilo curenje podataka u savremenim, složenim IT strukturama sa svojim mnoštvom različitih podataka, organizacijama su takođe potrebni odgovarajući alati da biste mogli da:

• Identifikujte i nadgledajte osetljive informacije koje su izložene riziku od neovlašćenog otkrivanja, na primer, u nestrukturiranim podacima na sistemu korisnika
• Otkrivanje otkrivanja osetljivih podataka, kao što je kada se podaci otpremaju na nepouzdane usluge u oblaku trećih strana ili se šalju putem e-pošte
• Blokirajte radnje korisnika ili mrežne transfere koji otkrivaju kritične informacije, kao što je sprečavanje kopiranja unosa baze podataka u tabelu

Organizacije treba da kritički dovode u pitanje potrebu da se ograniče korisničke dozvole za kopiranje, lepljenje ili otpremanje podataka na usluge, uređaje i medije za skladištenje van organizacije. Ako je potrebno, takođe može biti neophodno primeniti odgovarajuće alate za sprečavanje curenja podataka ili za odgovarajuće konfigurisanje postojećih tehnologija.

Na primer, korisnicima može biti data dozvola da daljinski pregledaju i uređuju podatke – ali ne i dozvolu da ih kopiraju i nalepe van kontrole vaše organizacije. Ako je izvoz podataka i dalje neophodan, vlasnik podataka može da ga odobri pojedinačno,od slučaja do slučaja, i da pozove korisnike na odgovornost za neželjene aktivnosti ako je potrebno.

Sprečavanje curenja podataka izričito se takođe odnosi na zaštitu poverljivih informacija ili poslovnih tajni koje mogu biti zloupotrebljene u svrhu špijunaže ili mogu biti od vitalnog značaja za zajednicu. U ovom slučaju, mere bi takođe trebale biti osmišljene tako da zbune napadače – na primer, zamenom lažnih informacija, obrnutim društvenim inženjeringom ili korišćenjem mamaca da bi namamili napadače.

Curenje podataka može biti podržano standardnim bezbednosnim kontrolama, na primer, putem smernica specifičnih za temu za kontrolu pristupa i bezbedno upravljanje dokumentima (videti takođe Mere/Kontrole 5.12 i 5.15).

Važno kada koristite alate za praćenje

Da bi zaštitili sopstvene informacije, mnogi alati takođe neizbežno prate komunikaciju zaposlenih i onlajn aktivnosti, i poruke trećih strana. Ovo praćenje pokreće različita pravna pitanja koja se moraju razmotriti pre upotrebe odgovarajućih alata za praćenje. Postoji potreba za balansiranjem nivoa praćenja sa raznim zakonima o privatnosti, zaštiti podataka, zapošljavanju, presretanju podataka i telekomunikacijama.

Tehničke mere u bezbednosti informacija – zaključak.

U ukupnom kontekstu ciljeva zaštite bezbednosti informacija, a to su integritet i dostupnost poverljivosti, ovde opisane procedure obrade podataka igraju ključnu ulogu u poboljšanoj zaštiti osetljivih podataka.  

Uz kontinuirano praćenje toka podataka i informacija, maskiranje osetljivih informacija i stroge politike brisanja podataka, kompanije mogu održivo poboljšati svoju zaštitu od curenja podataka i gubitka podataka – i suprotstaviti se nenamernom objavljivanju kritičnih informacija. Pored toga, procedure odlučujuće doprinose sajber bezbednosti cele kompanije i minimiziraju površinu napada za hakere i industrijsku špijunažu.

Za kompanije i organizacije, sada je pitanje uspostavljanja procedura i potrebnih alata na odgovarajući način i njihovog integrisanja u sopstvene poslovne procese kako bi se demonstrirala implementacija u skladu sa zahtevima standardima u budućim sertifikacionim proverama.

Uz profesionalni pogled naših iskusnih auditora i našu stručnost u sertifikaciji više od 35 godina, mi smo vaš optimalni kontakt za teme bezbednosti informacija i  sertifikaciju prema ISO 27001.

Šta ovo ažuriranje znači za vašu sertifikaciju?

ISO/IEC 27001:2022 je objavljen 25. oktobra 2022. Ovo rezultira sledećim rokovima i periodima za prelaz za korisnike:

Poslednji datum za početne i resertifikacione provere prema „starom“ ISO 27001:2013.

• Nakon 30. aprila 2024., DQS će sprovoditi početne i resertifikacione provere samo u skladu sa novim standardom ISO/IEC 27001:2022

Konverzija svih postojećih sertifikata prema „starom“ ISO/IEC 27001:2013 u novi ISO/IEC 27001:2022

• Postoji trogodišnji prelazni rok koji počinje 31. oktobra 2022
• Sertifikati izdati u skladu sa ISO/IEC 27001:2013 ili EN ISO/IEC 27001:2017 važe najkasnije do 31. oktobra 2025. ili moraju biti povučeni na ovaj datum.

DQS: Vaš pouzdani partner po pitanju sertifikacije bezbednosti informacija

Zahvaljujući prelaznim periodima, kompanije imaju dovoljno vremena da svoje upravljanje bezbednošću informacija prilagode novim zahtevima i da ga sertifikuju. Međutim, trajanje i napor čitavog procesa promene ne treba potcenjivati – posebno ako nemate dovoljno specijalizovanog osoblja na raspolaganju. Ako želite da budete sigurni, trebalo bi da se pravovremeno pozabavite problemom i pozovete iskusne eksperte ako vam je potrebna podrška i stručna pomoć.

Kao stručnjaci za reviziju i sertifikaciju sa preko 35 godina iskustva, biće nam drago da vam pružimo podršku tokom delta audit . Saznajte od naših brojnih iskusnih ocenjivača o najvažnijim promenama i njihovoj važnosti za vašu organizaciju. Mi očekujemo kontakt  sa vama.

Poverenje i stručnost

Naše tekstove pišu isključivo DQS interni eksperti za sisteme upravljanja i auditori sa dugogodišnjim iskustvom. Ako imate pitanja za autora, slobodno
​ nas kontaktirajte .