Az árukra osztott adatok világában a kiberbiztonsági előírásoknak égig és borotvaélesnek kell lenniük. A legtöbb vállalatnak, még ha nem is azonnal kapcsolódik a technológiához, végül is szükség lesz arra, hogy belülről övezze magát.
Több mint egy évtizeddel ezelőtt a Nemzetközi Szabványügyi Szervezet elfogadta az ISO 27001 elnevezésű specifikációt. Szóval mi is ez pontosan? Mit árulhat el nekünk az ISO 27001 audit a szervezet belső machinációiról? És hogyan dönti el, hogy cégét ellenőrizni kell-e?
Mi az információbiztonsági kezelő rendszer (ISMS)?
Az információbiztonsági irányító rendszer (ISMS) a szervezet fő védelmi vonala adatsértések és más típusú számítógépes fenyegetések kívülről.
A hatékony ISMS biztosítja, hogy a védett információk bizalmasak és biztonságosak maradjanak, hűek legyenek a forráshoz, és hozzáférhetők legyenek azok számára, akik rendelkeznek engedéllyel az együttműködésre.
Gyakori hiba az a feltételezés, hogy az ISMS nem több, mint egy tűzfal vagy más védelmi technikai eszköz. Ehelyett egy teljesen integrált ISMS ugyanúgy jelen van a vállalat kultúrájában és minden alkalmazottban, mérnökben vagy más módon. Messze túlmutat az informatikai részlegen.
Ez a rendszer nem csupán hivatalos irányelvek és eljárások, hanem a csapat képessége a rendszer kezelésére és finomítására is. A végrehajtás és a protokoll tényleges alkalmazása a legfontosabb.
Ez magában foglalja a kockázatkezelés és mérséklés hosszú távú megközelítését. A vállalat igazgatóinak alaposan ismerniük kell az iparral kapcsolatos kockázatokat, amelyekben kifejezetten dolgoznak. Ezzel a belátással felfegyverkezve ennek megfelelően meg tudják majd építeni a falakat maguk körül.
Mi az az ISO 27001, pontosan?
2005-ben a Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Elektrotechnikai A Bizottság (IEC) megújította a BS 7799-et, amely a BSI Csoport által először 10 évre bevezetett biztonsági menedzsment-szabvány korábban.
A hivatalosan ISO / IEC 27001: 2005 néven ismert ISO 27001 a megfelelőség nemzetközi szabványa, amelyet azoknak a vállalatoknak ítélnek oda, akik példamutatóak az információbiztonság kezelésében.
Lényegében szigorú szabványgyűjtemény, amely ellen a vállalat információbiztonsági irányítási rendszere szembeszállhat. Ez a keret lehetővé teszi az auditorok számára, hogy ezután értékeljék a rendszer egészének szívósságát. A vállalatok dönthetnek úgy, hogy auditálnak, amikor meg akarják nyugtatni ügyfeleiket és ügyfeleiket, hogy az adataik biztonságban vannak a falukon belül.
Ebbe a tartalékgyűjteménybe a következők tartoznak: a biztonságpolitikára, az eszközre vonatkozó előírások osztályozás, környezeti biztonság, hálózatkezelés, rendszerfenntartás és üzletmenet folytonosság tervezés.
Az ISO összesítette ezeket a szempontokat az eredeti BSI alapító okiratból, és beillesztette azokat a ma ismert változatba.
Belemerül a házirendbe
Pontosan mit értékelnek, amikor egy vállalat ISO 27001 auditon megy keresztül?
A szabvány célja a hatékony és biztonságos információs politika nemzetközi formalizálása. Ösztönzi a proaktív álláspontot, amely arra törekszik, hogy elkerülje a bajt, mielőtt megtörténne.
Az ISO a biztonságos ISMS három fontos szempontját hangsúlyozza:
1. Folyamatos elemzés és a kockázat tudomásul vétele: ez magában foglalja mind a jelenlegi, mind a jövőben jelentkező kockázatokat.
2. Robusztus és biztonságos rendszer: ez magában foglalja a rendszert, amint az technikai értelemben létezik, valamint minden olyan biztonsági ellenőrzést, amelyet a szervezet a fent említett kockázatokkal szemben megvéd. Ezek nagyon különbözőek lesznek, a vállalattól és az iparágtól függően.
3. Elkötelezett vezetői csapat: ezek azok az emberek lesznek, akik valóban ellenőrzést gyakorolnak a szervezet védelmében. A rendszer csak annyira hatékony, mint az élen dolgozók.
E három kulcsfontosságú tényező elemzése segít a könyvvizsgálónak teljesebb képet festeni az adott vállalat biztonságos működésének képességéről. A fenntarthatóságot előnyben részesítik az ISMS-sel szemben, amely csak a nyers technikai erőre támaszkodik.
Összefüggő: Hogyan lehet megakadályozni, hogy az alkalmazottak távozáskor ellopják a vállalati adatokat
Van egy fontos emberi elem, amelynek jelen kell lennie. Az, hogy a cégen belüli emberek hogyan gyakorolják az adatok és az ISMS feletti ellenőrzést, mindenekelőtt az. Ezek a vezérlők az adatok valójában biztonságban vannak.
Mi az ISO 27001 A. melléklete?
A "kontrollok" konkrét példái az iparágtól függenek. Az ISO 27001 A. melléklete 114 hivatalosan elismert eszközt kínál a vállalatok számára a működésük biztonságának ellenőrzésére.
Ezek a vezérlők a tizennégy osztályozás egyikébe tartoznak:
A.5—Információs és biztonsági politikák: az intézményesített politikák és eljárások, amelyeket a vállalat követ.
A.6—Információbiztonság szervezése: a szervezeten belüli felelősség kiosztása az ISMS keretei és megvalósítása tekintetében. Különös módon ide tartozik a távmunkát és a eszközök használata a vállalaton belül.
A.7—Emberi erőforrások biztonsága: a beszállás, a kiszállás és az alkalmazottak szerepének megváltoztatása a szervezeten belül. Az átvilágítási szabványokat és az oktatás és képzés legjobb gyakorlatait itt is felvázoljuk.
A.8—Vagyonkezelés: magában foglalja a kezelt adatokat. Az eszközöket leltározni, karbantartani és magántulajdonban kell tartani, bizonyos esetekben akár a tanszékeken keresztül is. Az egyes eszközök tulajdonjogát világosan meg kell állapítani; ez a klauzula azt ajánlja a vállalatoknak, hogy dolgozzanak ki egy, az üzletágukra vonatkozó "elfogadható felhasználási politikát".
A.9—Hozzáférés-szabályozás: kinek szabad kezelni az adatait, és hogyan korlátozza a hozzáférést csak az arra felhatalmazott alkalmazottakra? Ez magában foglalhatja a feltételes engedély-meghatározást technikai értelemben, vagy hozzáférést a vállalat campusának lezárt épületeihez.
A.10—Titkosítás: elsősorban a titkosítással és az átvitt adatok védelmének egyéb módjaival foglalkozik. Ezeket a megelőző intézkedéseket aktívan kell irányítani; az ISO visszatartja a szervezeteket attól, hogy a titkosítást mindenki számára megfelelő megoldásnak tekinthessék az adatbiztonsággal kapcsolatos mélyen árnyalt kihívások mindegyikére.
A.11—Fizikai és környezeti biztonság: felméri a fizikai biztonságot bárhol, ahol érzékeny adatok találhatók, akár egy tényleges irodaházban, akár egy kicsi, légkondicionált, szerverekkel teli helyiségben.
A.12—Hadműveletek biztonsági biztosítása: mik a belső biztonsági szabályai, amikor a cég működését illeti? Ezeket az eljárásokat elmagyarázó dokumentációt gyakran karbantartani és felülvizsgálni kell, hogy megfeleljenek az új, felmerülő üzleti igényeknek.
A változásmenedzsment, a kapacitásmenedzsment és a különféle osztályok elkülönítése mind ebbe a fejezetbe tartozik.
A.13—Hálózati biztonság kezelése: a vállalat minden rendszerét összekötő hálózatoknak légmentesen és gondosan kell gondoskodniuk.
A mindenre kiterjedő megoldások, például a tűzfalak, még hatékonyabbá válnak, ha kiegészítik olyanokkal, mint a gyakori ellenőrzési ellenőrző pontok, formalizált átviteli házirendek, vagy a nyilvános hálózatok használatának megtiltása miközben például a vállalata adatait kezeli.
A.14—Rendszerbeszerzés, fejlesztés és karbantartás: ha cégének még nincs ISMS-je, akkor ez a záradék elmagyarázza, hogy az ideális rendszer mit hoz az asztalra. Segít abban, hogy az ISMS hatóköre lefedje a termelés életciklusának minden aspektusát.
A biztonságos fejlesztés belső politikája megadja a mérnököknek azt a kontextust, hogy a munkájuk megkezdésének napjától kezdve meg kell felelniük egy megfelelő terméknek.
A.15—A szállító biztonsági házirendje: Milyen óvintézkedéseket tesz a vállalaton kívüli külső beszállítókkal való üzleti kapcsolatban a velük megosztott adatok szivárgásának vagy megsértésének megakadályozása érdekében?
A.16—Információbiztonsági események kezelése: ha a dolgok rosszra fordulnak, cége valószínűleg biztosít valamilyen keretet a probléma jelentésének, kezelésének és a jövőbeni megelőzésének módjára.
Az ISO olyan megtorló rendszereket keres, amelyek lehetővé teszik a vállalaton belüli tekintélyek számára, hogy egy fenyegetés észlelése után gyorsan és nagy előítéletekkel cselekedhessenek.
A.17—Az üzleti folyamatosság kezelésének információbiztonsági vonatkozásai: katasztrófa vagy más valószínűtlen esemény esetén, amely visszavonhatatlanul megzavarja a működését, terv szükségesnek kell lennie a vállalat jólétének és adatainak megőrzéséig, amíg az üzlet nem folytatódik Normál.
Az elképzelés az, hogy egy szervezetnek szüksége van valamilyen módon a biztonság folytonosságának megőrzésére az ilyen időkben.
A.18—Megfelelés: végül eljutunk a tényleges megállapodásokhoz, amelyeket a vállalatoknak alá kell fizetniük ahhoz, hogy megfeleljenek az ISO 27001 tanúsítás követelményeinek. Kötelezettségeit Ön előtt határozták meg. Csak annyit kell tennie, hogy aláírja a szaggatott vonalat.
Az ISO már nem követeli meg, hogy a kompatibilis vállalatok csak a fent felsorolt kategóriákba illeszkedő vezérlőket alkalmazzanak. A lista remek kiindulópont, ha azonban még csak most kezded el megalapozni céged ISMS-jét.
Összefüggő: Hogyan javíthatja figyelmességét a helyes biztonsági gyakorlatokkal
A cégemet ellenőrizni kell?
Attól függ. Ha nagyon kicsi kezdő vállalkozás vagy egy olyan területen, amely nem érzékeny vagy magas kockázatú, akkor valószínűleg addig tarthat, amíg a jövőre vonatkozó tervei nem lesznek biztosabbak.
Később, a csapat növekedésével a következő kategóriák egyikébe kerülhet:
- Lehet, hogy egy fontos ügyféllel dolgozik, aki felkéri cégét, hogy megbizonyosodjon arról, hogy biztonságban vannak-e Önnel.
- Érdemes a jövőben IPO-ra váltani.
- Máris egy jogsértés áldozatává vált, és újragondolnia kell a vállalat adatainak kezelését és védelmét.
A jövő előrejelzése nem mindig könnyű. Még akkor is, ha nem látja magát a fenti esetek egyikében sem, nem árt proaktívnak lenni, és elkezdeni beépíteni az ISO néhány ajánlott gyakorlatát a rendszerbe.
A hatalom a kezedben van
Az ISMS felkészítése auditra ugyanolyan egyszerű, mint a kellő gondosság figyelembevétele, még ma is. A dokumentációt mindig karbantartani és archiválni kell, amely bizonyítékot szolgáltat Önnek arra vonatkozóan, hogy alátámasztania kell kompetencia-állításait.
Pontosan olyan, mint a középiskolában: elvégzed a házi feladatot, és megkapod az osztályzatot. Az ügyfelek biztonságban és biztonságban vannak, és a főnöke nagyon elégedett veled. Ezek egyszerű tanulási és megtartási szokások. Később meg fogja köszönni magának, amikor a vágólapos férfi végre telefonál.
Itt vannak azok a kibertámadások, amelyekre 2021-ben szemmel kell tartanod, és hogyan kerülheted el az áldozatokat.
Olvassa el a következőt
- Biztonság
- Számítógép biztonság
- Adatbiztonság
Emma Garofalo író jelenleg Pittsburgh-ben (Pennsylvania) él. Amikor egy jobb holnapra vágyakozva nem fáradozik az íróasztalánál, általában a kamera mögött vagy a konyhában található.
Iratkozzon fel hírlevelünkre
Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!
Még egy lépés…!
Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.