Новите механизми за контрол от приложение „А“ на стандарта ISO/IEC 27001:2022
С АНЕКС/ПРИЛОЖЕНИЕ „А“ към новото трето издание на стандарта за сигурност на информацията – ISO/IEC 27001:2022 са добавени нови 11 контроли – 3 от група организационни контроли, 1 свързана с физическата сигурност и по – голяма част от новите контроли– 7, попадат в четвъртата група, т. е. технологични контроли.
В настоящата публикация ще разгледаме изцяло новите контроли въведени с ISO/IEC 27001:2022.
- 5.7 Разузнаване/проучване на заплахи
Тази контрола изисква събирането на информация за потенциални заплахи и техния анализ, с цел предприемане на подходящи действия за смекчаване на неблагоприятното им въздействие. Тази информация може да бъде за конкретни атаки, за методите и технологиите, които нападателите използват или за тенденциите на атаките. Информацията може да бъде събрана вътрешно, както и от външни източници – отчети на доставчици, съобщения на правителствени агенции и други.
За внедряването на тази контрола, по-големите компании могат да вземат решение за придобиването или надграждането на съществуващите системи, които да ги известяват за нови заплахи. Във всяка организация трябва да бъдат установени процеси за това как да се събира и използва информацията за заплахите, за да се въведе превантивен контрол и да се подобри оценката на риска, като се въведат нови методи за тестване на сигурността.
Важен фактор за проучването на заплахите за сигурността на информацията е служителите на компанията да осъзнаят важността на изпращането на известия за заплахи и реда, по който те трябва да бъдат докладвани. Въпреки липсата на изрично изискване в ISO 27001 за създаването на документация, организациите могат да разработят свои правила относно проучването на заплахите, в т.ч. такива биха могли да се съдържат в Оперативните процедури за сигурност на информацията, в Политиката за сигурност на доставчиците или в Процедурата за управление на инциденти.
- А. 5.23 Информационна сигурност при използване на облачни услуги
Тази контрола има превантивен характер, насочена е към запазването на поверителността, целостта и наличността на информацията при използването на облачни услуги, в т.ч. при закупуване, управление и прекратяване на използването на облачни услуги. Голяма част от облачните услуги вече имат функции за сигурност, което не налага въвеждането на нови технологии. Анализът на рисковете за сигурността на информацията по – скоро би могъл да наложи въвеждането на мерки за оптималното им използване. От организациите се очаква да надградят своите вече съществуващи процеси за подбор на доставчици със специфични изисквания към предоставянето на облачни услуги и да се определят критериите за избор на такъв. Наред с това е необходимо да бъде дефиниран процес за определяне на приемлива употреба на облака, както и изисквания за сигурност при отмяна на използването на облачна услуга. Внедряването на контролата налага по – високо ниво на информираност на персонала относно използването на облачните услуги и най – вече на тяхната функционалност, обезпечаваща сигурността им. ISO 27001 не поставя изисквания за разработването на допълнителна документация, но правила относно използването на облачните услуги биха могли да бъдат включени в Политиката за сигурност на доставчиците или друг документ, или по преценка на ръководството на компанията би могла да бъде разработена самостоятелна политика, с фокус върху сигурността на облачните услуги.
- А. 5.30 ИКТ готовност за непрекъснатост на бизнеса.
Изискванията на тази контрола са насочени към обезпечаването на информационни и комуникационни технологии, гарантиращи наличност на информацията и активите при потенциални прекъсвания. Тези изисквания обхващат процесите на планиране, внедряване, поддръжка и тестване. За изпълнението на контролата е възможно да бъдат планирани и реализирани решения, които да гарантират по – висока степен на устойчивост и резервиране на системите, в т.ч. архивиране на данни, наличие на резервни комуникационни връзки и др. Тези решения трябва да се планират въз основа на оценката на риска и съобразно необходимостта от бързо възстановяване на данни и системи. Изискванията за непрекъснатостта към ИКТ трябва да бъде разглеждана като част от изискванията за осигуряване на непрекъснатостта на бизнеса. В т. см. освен процеса на планиране, трябва да бъдат надградени процесите на поддръжка на технологиите, както и този по тестване на плановете за възстановяване след бедствие и тези, осигуряващи непрекъснатост на бизнес процесите. Персоналът на компанията трябва да е запознат с потенциалните смущения, които биха могли да възникнат и да бъде обучен относно поддръжката на технологията и реакцията му при евентуални проблеми. Независимо от липсата на императивни изисквания относно разработването на нова документация, изисквания свързани с непрекъсваемостта на ИКТ и бизнеса биха могли да бъдат включени в Плана за възстановяване след бедствие или други стратегически документи, разработени съобразно изискванията на ISO 22301 „Системи за управление на непрекъснатостта на дейността“, като Анализ на въздействието върху бизнеса, Стратегия за непрекъснатост на бизнеса, План за непрекъснатост на бизнеса, План и отчет за тестване на непрекъснатостта на бизнеса и др.
- А. 7.4 Мониторинг на физическата сигурност
Това е единствената нова контрола от групата контроли, обезпечаваща физическата сигурност на информацията и информационните активи. Тя е насочена към наблюдение на чувствителните зони, за да се гарантира достъп до тях само на оторизирани лица. В зависимост от рисковете организацията може да внедри алармени системи или видео наблюдение, физическа охрана на тези зони и други мерки, обезпечаващи тяхната сигурност. За чувствителните зони следва да бъдат определени отговорни лица и ясни правила за комуникация, в т.ч. и при възникване на инцидент. Персоналът трябва да е подробно информиран за рисковете от неоторизиран достъп в тези зони и относно технологията за наблюдение. Правилата и изискванията относно мониторинга на сигурните зони могат да бъдат част от общите процедури, които регулират физическата сигурност и от процедурите за управление на инциденти.
- А. 8.9 Управление на конфигурацията
Тази контрола изисква да се управлява целия цикъл на конфигурация на сигурността на технологията, за да се осигури подходящо ниво на сигурност и да се избегнат всякакви неоторизирани промени. Това включва дефиниране на конфигурация, внедряване, наблюдение и преглед. Технологията, чиято конфигурация трябва да се управлява, може да включва софтуер, хардуер, услуги или мрежи. По-малките компании вероятно ще могат да се справят с управлението на конфигурацията без никакви допълнителни инструменти, докато по-големите компании вероятно ще имат необходимост от софтуер, който налага определени конфигурации.
Изпълнението на тази контрола предполага внедряването или надграждането на процес за предлагане, преглед и одобряване на конфигурации за защита, както и на процес за управление и наблюдение на конфигурациите. Служителите на организациите трябва да са информирани и да съзнават важността на строгия контрол на конфигурацията за сигурност и да бъдат обучени как да дефинират и прилагат конфигурациите за сигурност.
ISO 27001 изисква този контрол да бъде документиран. Ако компанията е малка, правилата за конфигуриране могат да се документират в Оперативни процедури за сигурност, но за по- големите компании е наложително разработването на отделна процедура, която да регламентира процеса на конфигуриране, в т.ч. настъпили промени в конфигурациите и тяхното регистриране.
- т. 8.10 Изтриване на информация
Тази контрола е свързана с киберзащитата и поставя изискване по отношение изтриването на данни, при отпадане на необходимостта от тях, с цел предотвратяване изтичането на чувствителна информация. Прилагането на мерки за изтриване на информация допринася за спазването на изискванията за запазване на нейната поверителност. Практически изтриването на информация може да включва изтриване на същата в ИТ системи, в облачна среда или в преносими носители. Всяка организация трябва да идентифицира инструменти за сигурно изтриване в съответствие с регулаторните или договорните изисквания или в съответствие с оценката на риска. В организационен аспект е необходимо да се внедри процес, който да определя кои данни трябва да бъдат изтрити и кога, да определя отговорностите и методите за изтриване. Правила за изтриване на информация могат да бъдат включени в Правилата за допустима употреба, в политиката за сигурно унищожаване, в оперативни процедури за информационна сигурност и др. ISO 27001 не въвежда изрично изискване за разработване на самостоятелна документация.
- А. 8.11 Заличаване/прикриване на данни
Контролата е свързана с осигуряването на киберзащита и най- вече, но не само със защита на лични данни, обект на засилена регулация и друга чувствителна информация. Възможните технологии, които организациите могат да използват са разнообразни инструменти за псевдонимизиране или анонимизиране, криптиране или обфускация/obfuscate – заличаване на програмен код/. Преди всичко в компаниите трябва да са внедрени процеси, които да определят кои данни трябва да бъдат заличени/прикрити, кой ще има достъп до какъв тип данни и кои методи ще се използват за заличаване/прикриване на данните.
Правилата за заличаване на данни могат да бъдат инкорпорирани в съществуващите политики за класифициране на информацията, за контрол на достъпа или в Политиката за защита на личните данни, в случаите в които към организацията има изисквания, свързани със спазването на Общия регламент за защита на данните на Европейския съюз (GDPR).
- А. 8.12 Предотвратяване изтичането на данни
Този контролен механизъм налага прилагането на многообразни мерки, предотвратяващи изтичане на данни, имащи приложение към системи, мрежи и други активи, свързани с обработване, съхраняване или предаване на чувствителна информация. Технологично компаниите биха могли да използват системи за наблюдение на потенциални канали за изтичане, включително имейли, сменяеми устройства за съхранение, мобилни устройства, както и системи, които предотвратяват изтичането на информация – карантина на имейли, ограничаване на копирането и поставянето на данни, криптиране и ограничаване на качването на данни към външни системи и пр. За прилагането на тези мерки в организациите следва да има процеси, които определят уязвимостта на данните, оценяват рисковете при използването на различни технологии, процеси, свързани с наблюдение на каналите с потенциал за изтичане на данни, както и на използваните технологии, блокиращи разкриването на чувствителни данни. Служителите е необходимо да бъдат информирани относно вида на чувствителните данни, обработвани от организацията, както и за важността на действията си за предотвратяване на подобни събития и да съзнават своите отговорности.
Правилата за предотвратяване на изтичането на данни могат да бъдат включени в различни фирмени политики и оперативни процедури за сигурност – за класифициране на информацията, за допустима употреба на активи и др.
- А. 8.16 Дейности по наблюдение /мониторинг/
Прилагането на този контролен механизъм поставя изискване за наблюдение на мрежите, системите и приложенията, за да бъдат установени дейности с необичаен характер и при необходимост, за да се осигури адекватна реакция за предотвратяването на инцидент. Обект на наблюдение биха могли да бъдат регистрационни файлове на инструмента за сигурност, регистрационни файлове на събития, кой има достъп, до какво, дейности на основните администратори, входящ и изходящ трафик, правилно изпълнение на кода и др.
В компаниите трябва да има установен процес, който определя кои системи ще бъдат наблюдавани, отговорните за мониторинга лица и методите за наблюдение. Администраторите на информационните технологии е необходимо да имат нужната експертност и познания за използването на инструментите за наблюдение. Правилата за мониторинг могат да бъдат регламентирани в самостоятелни процедури или като част от оперативните процедури на организацията. Записите от мониторинг трябва да се съхраняват съобразно установените в организацията срокове и правила.
- А. 23 Уеб филтриране
Целта на тази контрола е защита на системите от злонамерен софтуер и предотвратяване на достъпа до неоторизирани ресурси. Функцията й е основно превантивна и насочена към осигуряването на киберсигурността в дадена организация. За реализирането й биха могли да се използват инструменти, които блокират достъпа до конкретни IP адреси, използването на софтуер против зловреден софтуер, разработването на указания до персонала и списъци със забранени уебсайтове.
В организационен план е необходимо да съществуват процеси, чрез които да бъдат определени типове или конкретни уебсайтове, забранени за достъпване, както и изисквания, свързани с поддържането на инструментите за уеб филтриране. Отговорностите на персонала трябва да са ясно дефинирани, а системните администратори трябва да имат необходимото ниво на познания и практически умения за извършване на уеб филтриране. Правилата за уеб филтриране могат да намерят отражение в оперативните процедури за сигурност, в правилата за приемливо използване или в самостоятелна процедура, при оценена необходимост за това.
- А. 8.28 Сигурно кодиране
Този контролен механизъм също е насочен към киберсигурността и по – конкретно той въвежда изисквания към безопасното кодиране при разработката на софтуер. Целта на контролата е да се намалят до минимум уязвимостите в сигурността на софтуера, като организацията следва да планира и реализира мерки предхождащи, съпътстващи или последващи кодирането на софтуера- опис на библиотеки и инструменти за тяхното поддържане, за защита на изходния код от подправяне, за регистриране на грешки или атаки, за тестване и др. Приложимо към целите на контролата е използването на компоненти за сигурност като удостоверяване, криптиране и др.
В организационен план компанията трябва да има установени процеси за определяне на минималната базова линия на защитено кодиране, както по отношение на своите собствени разработки, така и по отношение разработвания и предоставян от външни изпълнители /доставчици/ софтуер, за наблюдение на заплахи и др. Персоналът, в частност софтуерните разработчици е необходимо да осъзнаят важността на използването на принципите за сигурно кодиране и да бъдат обучени на методи и инструменти за това. Правилата за сигурно кодиране могат да се съдържат и да допълват установени до този момент в организацията Политики, а могат да се регламентират и в самостоятелни процедури към всеки конкретен проект за разработка на софтуер.
ISO 27001 не поставя изрично изискване към документирането на правилата за сигурно кодиране.
Оставете коментар