Технічні заходи в інформаційній безпеці

Зміст

• Корпоративна інформація як бажана мета атаки
• Три нові заходи для більшої інформаційної безпеки
• Видалення інформації
• Маскування даних
• Запобігання витоку даних
• Технічні заходи в інформаційній безпеці - висновок
• Що означає оновлення для вашої сертифікації?
• DQS: Ваш компетентний партнер для сертифікованої інформаційної безпеки

Корпоративна інформація - бажана мета атаки

Дослідження "Wirtschaftsschutz 2022" (Захист бізнесу 2022) німецької галузевої асоціації Bitkom підтверджує, що хакери добре усвідомлюють економічну цінність інформації та даних у сучасному діловому світі: 36 відсотків опитаних компаній вже постраждали від крадіжки конфіденційних даних та цифрової інформації. Особливо популярними цілями є комунікаційні дані (68%) та дані клієнтів (45%).

Збитки, спричинені шантажем, порушенням патентів і втратою продажів, безпосередньо пов'язаними з крадіжкою даних, становлять кілька мільярдів євро щорічно.

Компаніям і організаціям необхідно ще більше посилити захист при обробці своїх критично важливих даних. Додаткові рекомендації допоможуть ще більше вдосконалити загальну концепцію безпеки і зменшити можливості атаки.

Три нові технічні заходи для більшої інформаційної безпеки

93 заходи в Додатку А нового стандарту ISO/IEC 27001:2022 були реорганізовані в чотири теми:

• Організаційні заходи
• Персональні заходи
• Фізичні заходи
• Технічні заходи

Три нові заходи для захисту інформації, які ми розглянемо більш детально нижче, належать до тематичної області "Технічні заходи":

• 8.10 Видалення інформації
• 8.11 Маскування даних
• 8.12 Запобігання витоку даних

Видалення інформації

Контроль 8.10 в ISO 27001 розглядає ризики, пов'язані з інформацією, яка більше не потрібна, але все ще знаходиться в інформаційних системах, пристроях або інших носіях. Видалення цих вже непотрібних даних запобігає їх розголошенню - забезпечуючи дотримання правових, законодавчих, регуляторних та договірних вимог щодо видалення даних.

При цьому компанії та організації повинні враховувати наступні моменти:

• Вибір методу видалення, який є прийнятним у світлі ділового та правового середовища, наприклад, електронний перезапис або криптографічне стирання
• Документування результатів
• Надання доказів при зверненні до постачальників послуг для видалення інформації

Якщо треті сторони беруть на себе зберігання даних від імені вашої компанії, вимоги щодо видалення повинні бути прописані в контрактній угоді, щоб забезпечити їх дотримання під час і навіть після припинення надання цих послуг.

Для забезпечення надійного видалення конфіденційної інформації - при дотриманні відповідних політик зберігання даних та чинних законів і нормативно-правових актів - новий стандарт передбачає наступні процедури, послуги та технології:

• Створення спеціальних систем, які дозволяють безпечно знищувати інформацію, наприклад, відповідно до політики зберігання або на вимогу постраждалих осіб
• Видалення застарілих версій, копій або тимчасових файлів на всіх носіях інформації
• Використання лише затвердженого та безпечного програмного забезпечення для остаточного та безповоротного видалення інформації
• Видалення за допомогою затверджених та сертифікованих постачальників послуг з безпечного видалення
• Використання методів утилізації, які підходять для конкретного носія інформації, що утилізується, наприклад, розмагнічування жорстких дисків.

При використанні хмарних сервісів важливо перевірити допустимість пропонованих процедур видалення. Якщо така можливість є, організація повинна скористатися процедурою видалення або звернутися до постачальника хмарних послуг з проханням видалити інформацію. Якщо можливо, ці процеси видалення повинні бути автоматизовані в рамках інструкцій для конкретного суб'єкта.

Щоб запобігти ненавмисному розголошенню конфіденційної інформації, на всіх пристроях, що повертаються постачальникам, слід видаляти  інформацію перед поверненням. На деяких пристроях, таких як смартфони, видалення даних можливе лише шляхом знищення або за допомогою внутрішніх функцій (наприклад, відновлення заводських налаштувань). Залежно від класифікації інформації, важливо обрати відповідну процедуру.

Процеси видалення повинні бути задокументовані, залежно від чутливості, щоб мати можливість довести видалення даних у разі виникнення сумнівів.

Маскування даних

Для цілого ряду чутливих даних, таких як обробка персональних даних, специфічні для компанії та галузі або регуляторні вимоги передбачають маскування, псевдонімізацію або анонімізацію інформації. Настанови щодо цих заходів наведені в пункті 8.11.

Методи псевдонімізації або анонімізації дають змогу приховати персональні дані, завуалювати справжні дані та приховати перехресні посилання на інформацію. Для ефективного застосування цих методів важливо належним чином врахувати всі відповідні елементи конфіденційної інформації.

У той час як анонімізація змінює дані безповоротно, у випадку псевдонімізації цілком можливо зробити висновки про справжню особу за допомогою додаткової перехресної інформації. Тому додаткова перехресна інформація повинна зберігатися окремо і бути захищеною під час процесу псевдонімізації.

Інші методи маскування даних включають

• Шифрування
• Нулі або видалення символів
• Різні числа і дати
• Заміна - заміна одного значення іншим, щоб приховати конфіденційні дані
• Заміна значень їхніми хешами

При впровадженні цих Технічних заходів з інформаційної безпеки важливо враховувати ряд аспектів:

• Користувачі не повинні мати доступ до всіх даних, а повинні мати можливість переглядати лише ті дані, які їм дійсно потрібні.
• У деяких випадках не всі дані в наборі даних повинні бути видимими для користувачів. У такому випадку слід розробити та впровадити процедури приховування даних. Приклад: дані про пацієнта в медичній картці, які не повинні бути видимими для всього персоналу, а лише для працівників, які виконують певні функції, пов'язані з лікуванням.
• У деяких випадках приховування даних не повинно бути очевидним для тих, хто має доступ до даних (обфускація обфускації), якщо, наприклад, висновки про фактичну дату можна зробити за категорією даних (вагітність, аналіз крові тощо).
• Законодавчі або регуляторні вимоги, наприклад, вимога маскувати дані платіжних карток під час обробки або зберігання.

Загалом, маскування даних, псевдонімізація або анонімізація вимагають дотримання деяких загальних правил:

• Надійність маскування, псевдонімізації або анонімізації даних значною мірою залежить від використання оброблених даних.
• Доступ до оброблених даних повинен бути забезпечений відповідними механізмами захисту.
• Розгляд угод або обмежень щодо використання оброблених даних.
• Заборона зіставлення оброблених даних з іншою інформацією для ідентифікації суб'єкта даних.
• Надійно відстежувати та контролювати надання та отримання оброблених даних.

Запобігання витоку даних

Контроль 8.12 призначен для запобігання витоку даних і формулює конкретні заходи, які слід застосовувати до всіх систем, мереж та інших пристроїв, що обробляють, зберігають або передають конфіденційну інформацію. Щоб мінімізувати витік конфіденційних даних, організаціям слід врахувати наступне:

• Ідентифікацію та класифікацію інформації, наприклад, персональних даних, моделей ціноутворення та дизайну продуктів
• Моніторинг каналів, через які може статися витік даних, таких як електронна пошта, передача файлів, мобільні пристрої та мобільні пристрої зберігання даних
• Заходи, що запобігають витоку даних, наприклад, карантин електронних листів, що містять конфіденційну інформацію.

Щоб запобігти витоку даних в сучасних складних ІТ-структурах з їх безліччю різних даних, організаціям також потрібні відповідні інструменти для того щоб:

• Ідентифікувати та відстежувати конфіденційну інформацію, яка піддається ризику несанкціонованого розголошення, наприклад, в неструктурованих даних в системі користувача
• Виявляти розкриття конфіденційних даних, наприклад, коли дані завантажуються в ненадійні сторонні хмарні сервіси або надсилаються електронною поштою
• Блокувати дії користувачів або мережеві передачі, які розкривають критично важливу інформацію, наприклад, запобігати копіюванню записів бази даних в електронну таблицю.

Організації повинні критично поставитися до необхідності обмежувати права користувачів на копіювання, вставку або завантаження даних на сервіси, пристрої та носії інформації за межами організації. За необхідності, може також знадобитися впровадити відповідні інструменти для запобігання витоку даних або належним чином налаштувати існуючі технології.

Наприклад, користувачам можна надати дозвіл на віддалений перегляд і редагування даних, але не дозвіл на їх копіювання та вставлення поза межами контролю вашої організації. Якщо експорт даних все ж необхідний, власник даних може схвалити його в кожному конкретному випадку і притягнути користувачів до відповідальності за небажані дії, якщо це необхідно.

Запобігання витоку даних безпосередньо стосується також захисту конфіденційної інформації або комерційної таємниці, яка може бути використана з метою шпигунства або може мати життєво важливе значення для суспільства. У цьому випадку слід також розробити заходи, щоб заплутати зловмисників - наприклад, шляхом підміни неправдивою інформацією, зворотної соціальної інженерії або використання "горщиків з медом" для заманювання зловмисників.

Витокам даних можуть сприяти стандартні засоби контролю безпеки, наприклад, політики контролю доступу та безпечного документообігу для конкретних тем (див. також Заходи/засоби контролю 5.12 та 5.15).

Важливо при використанні інструментів моніторингу

Щоб захистити власну інформацію, багато інструментів також неминуче відстежують комунікації та онлайн-активність співробітників, а також повідомлення третіх осіб. Цей моніторинг порушує різні правові питання, які необхідно враховувати перед використанням відповідних інструментів моніторингу. Існує необхідність збалансувати рівень моніторингу з різноманітними законами про конфіденційність, захист даних, зайнятість, перехоплення даних і телекомунікації.

Технічні заходи в інформаційній безпеці - висновок.

У загальному контексті цілей захисту інформаційної безпеки - конфіденційності, цілісності та доступності - описані тут процедури обробки даних відіграють ключову роль у посиленні захисту конфіденційних даних.

Завдяки постійному моніторингу потоку даних та інформації, маскуванню конфіденційної інформації та суворій політиці видалення даних, компанії можуть стабільно покращувати свій захист від витоку та втрати даних, а також протидіяти ненавмисному оприлюдненню критично важливої інформації. Крім того, ці процедури роблять вирішальний внесок у кібербезпеку всієї компанії та мінімізують поле для атак хакерів і промислового шпигунства.

Для компаній та організацій зараз питання полягає в тому, щоб належним чином встановити процедури та необхідні інструменти та інтегрувати їх у свої бізнес-процеси, щоб продемонструвати відповідність вимогам стандартів під час майбутніх сертифікаційних аудитів.

Завдяки професійним поглядам наших досвідчених аудиторів і нашому більш ніж 35-річному досвіду в галузі сертифікації, ми рекомендуємо себе як вашу контак з питань інформаційної безпеки та сертифікації за стандартом ISO 27001.

Що означає це оновлення для вашої сертифікації?

Стандарт ISO/IEC 27001:2022 був опублікований 25 жовтня 2022 року. Це призводить до наступних термінів і періодів переходу для користувачів:

Остання дата для проведення первинних та ресертифікаційних аудитів за "старим" стандартом ISO 27001:2013.

• Після 30 квітня 2024 року DQS буде проводити початкові та ресертифікаційні аудити тільки за новим стандартом ISO/IEC 27001:2022

Конвертація всіх існуючих сертифікатів відповідно до "старого" ISO/IEC 27001:2013 на новий ISO/IEC 27001:2022

• Передбачено трирічний перехідний період, який починається 31 жовтня 2022 року
• Сертифікати, видані відповідно до ISO/IEC 27001:2013 або EN ISO/IEC 27001:2017, дійсні до 31 жовтня 2025 року або повинні бути скасовані до цієї дати.

DQS: Ваш компетентний партнер у питаннях сертифікованої інформаційної безпеки

Завдяки перехідним періодам компанії мають достатньо часу, щоб адаптувати управління інформаційною безпекою до нових вимог і сертифікувати його. Однак не слід недооцінювати тривалість і зусилля всього процесу змін - особливо якщо у вашому розпорядженні немає достатньої кількості спеціалізованого персоналу. Якщо ви хочете перестрахуватися, вам слід зайнятися цим питанням якомога раніше, а за необхідності звернутися до досвідчених фахівців.

Як експерти з аудиту та сертифікації з більш ніж 35-річним досвідом, ми будемо раді допомогти вам під час проведення дельта-аудиту. Дізнайтеся від наших численних досвідчених аудиторів про найважливіші зміни та їхню актуальність для вашої організації. Ми з нетерпінням чекаємо на вашу відповідь.

Довіра та досвід

Наші тексти написані виключно нашими штатними експертами з систем менеджменту та багаторічними аудиторами. Якщо у вас є запитання до автора, будь ласка, зв'яжіться з нами .