ISO 27001 – Liite A.12: Käyttöturvallisuus

Mikä on liitteen A.12.1 tavoite?

Liite A.12.1 koskee toimintamenettelyjä ja vastuita. Tämän liite A -alueen tavoitteena on varmistaa tietojenkäsittelylaitteiden oikea ja turvallinen toiminta. Se on tärkeä osa tietoturvan hallintajärjestelmää (ISMS), varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin. Ymmärrämme nämä vaatimukset ja mitä ne tarkoittavat nyt hieman tarkemmin.

A.12.1.1 Dokumentoidut toimintaohjeet

Käyttöohjeet on dokumentoitava ja asetettava kaikkien niitä tarvitsevien käyttäjien saataville. Dokumentoidut toimintatavat auttavat varmistamaan järjestelmien johdonmukaisen ja tehokkaan toiminnan uudelle henkilökunnalle tai muuttuville resursseille, ja ne voivat usein olla kriittisiä katastrofien palautumiselle, liiketoiminnan jatkuvuudelle ja silloin, kun henkilöstön saatavuus vaarantuu. Kun tietojärjestelmät ovat "pilvipohjaisia", perinteiset operatiiviset toiminnot, kuten järjestelmän käynnistäminen, sammuttaminen, varmuuskopiointi jne., ovat vähemmän merkityksellisiä ja ne voidaan usein ulkoistaa pilvipalveluntarjoajalle. Perinteisemmissä laskentaympäristöissä ja -arkkitehtuureissa käyttömenettelyjä tarvitaan paljon todennäköisemmin.

On tärkeää, että asiakirjat säilytetään oikeassa ja ajantasaisessa kunnossa, ja siksi niihin tulee soveltaa muodollisia muutosten hallinta- ja määräaikaistarkastusmenettelyjä – tämä on avainasemassa, koska tarkastaja haluaa erityisesti nähdä tämän.

Meiltä kysytään usein, kuinka paljon yksityiskohtia tarvitaan ja millä liiketoiminnan osa-alueilla tarvitaan dokumentoituja menettelyjä. Käytä tervettä järkeä. Jos esimerkiksi sinulla on todellinen henkilöstön vakaus, implisiittiset menettelyt ymmärretään erittäin hyvin ja joustavuus on käytössä koko resurssivarastossa, yksinkertaiset luettelomerkit voivat riittää muodostamaan tarkistuslistatyylisen dokumentoidun menettelyn.

Vastaavasti jos menettelytavat kehittyvät tai muuttuvat säännöllisesti esim. nopean kasvun takia, halutaan myös helposti ja nopeasti päivitettävissä olevia menettelytapoja. Jos taas lisätään paljon uutta resurssia ja alueella on riskejä ja monimutkaisuutta, menettelyihin voidaan tarvita enemmän syvyyttä, jotta on yksiselitteistä mitä, milloin, miten, kuka jne.

Liiketoiminnan osa-alueita, jotka on otettava huomioon dokumentoiduissa menettelyissä, tulisi olla, jos tietovarat ovat vaarassa virheellisen toiminnan vuoksi, mikä tietysti tunnistetaan osana riskinarviointia kohdan 6.1 mukaisesti. Tämä voi sisältää ohjelmistokehitystä, IT-hallintaa aina talouskirjanpitoon, asiakashallintaan, konsultointiin tai tuotantoon jne. liiketoiminnan luonteesta riippuen.

A.12.1.2 Muutoksenhallinta

Tietoturvaan vaikuttavia organisaatioita, toimintatapoja, tietojenkäsittelylaitteita ja järjestelmiä on valvottava. Oikein hallittu muutosten hallinta on olennaista useimmissa ympäristöissä sen varmistamiseksi, että muutokset ovat asianmukaisia, tehokkaita, asianmukaisesti valtuutettuja ja että ne toteutetaan siten, että haitallisten tai vahingossa tapahtuvien kompromissien mahdollisuus minimoidaan. Muutoksenhallinta koskee koko organisaatiota, sen prosesseja, tiedonkäsittelylaitteita, verkostoja, järjestelmiä ja sovelluksia.

Tarkastuslokeja vaaditaan osoittamaan muutosmenettelyjen oikea käyttö. Tarkastaja haluaa huomauttaa, että muutosmenettelyjen ei tarvitse olla liian monimutkaisia, vaan niiden on vastattava harkittavan muutoksen luonnetta. Voit yksinkertaisesti kerätä todisteita muutoksista ja versionhallinnan muutoksista edetessäsi tai käyttää paljon syvempää, monimutkaisempaa muutosten hallintaa ja sisältää uudelleenkoulutusta ja viestintää sekä tehdä merkittävämpiä investointeja ja allekirjoittaa prosesseja.

A.12.1.3 Kapasiteetin hallinta

Resurssien käyttöä on seurattava, viritettävä ja tulevaisuuden kapasiteetin vaatimuksista tehtävä ennusteita, jotta varmistetaan liiketoiminnan tavoitteiden edellyttämä järjestelmän suorituskyky. Kapasiteetin hallinnassa tarkastellaan tyypillisesti kolmea ensisijaista tyyppiä; Tietojen tallennuskapasiteetti – (esim. tietokantajärjestelmissä, tiedostojen tallennusalueilla jne.); Prosessointitehokapasiteetti – (esim. riittävä laskentateho oikea-aikaisten käsittelytoimintojen varmistamiseksi); ja Viestintäkapasiteetti – (kutsutaan usein "kaistanleveydeksi", jotta viestintä tapahtuu oikea-aikaisesti).

Kapasiteetin hallinnan on myös oltava; Ennakoiva – esimerkiksi kapasiteettinäkökohtien käyttäminen osana muutoksenhallintaa; Reaktiivinen – esim. laukaisee ja hälyttää kapasiteetin käytön saavuttaessa kriittisen pisteen, jotta voidaan tehdä oikea-aikaisia, väliaikaisia ​​tai pysyviä lisäyksiä.

A.12.1.4 Kehitys-, testaus- ja toimintaympäristöjen erottaminen toisistaan

Hyvät kehitys-, testaus- ja toimintaympäristöjen linjaukset vahvistaisivat, että ne on erotettava toisistaan ​​luvattoman käytön tai toimintaympäristön muutosten riskien vähentämiseksi. Kehitys-, testaus- ja reaaliaikaisten operatiivisten IT-ympäristöjen pitäminen erillään on hyvä käytäntö, koska tämä auttaa tehtävien eriyttämisessä ja luvattomassa pääsyssä live-ympäristöön ja tietoihin. Muutokset ja uudet kehitystyöt tulee testata perusteellisesti erillisellä alueella ennen niiden käyttöönottoa live-toimintaympäristössä.

Ihannetapauksessa kehitystyöntekijöillä ei pitäisi olla pääsyä elävään ympäristöön, mutta tämä ei välttämättä ole mahdollista varsinkaan pienissä organisaatioissa. Erottamisen jälkeen on tärkeää varmistaa, että testaajat eivät vahingossa (tai tarkoituksella) käytä testiympäristöjä livenä. Tarkastaja tarkistaa, että kehitys-, testaus- ja live-ympäristöt on erotettu toisistaan ​​ja että on olemassa muodolliset menettelyt, mukaan lukien asianmukaiset valtuutustasot muutosten ja kehitysten siirtämiseksi ympäristöstä toiseen.

Mikä on liitteen A.12.2 tavoite?

Liite A.12.2 koskee suojaa haittaohjelmilta. Tavoitteena on varmistaa, että tiedot ja tietojenkäsittelylaitteet ovat suojattuja haittaohjelmia vastaan.

A.12.2.1 Haittaohjelmien torjunta

Haittaohjelmilta suojaamiseksi on otettava käyttöön havaitsemis-, ehkäisy- ja palautussäädöt sekä käyttäjien asianmukainen tietoisuus. Tämä on osio, josta useimmilla organisaatioilla on jonkin verran tietoisuutta, ymmärrystä ja täytäntöönpanoa. Haittaohjelmasuojaus voi kuitenkin esiintyä useissa eri muodoissa ilmeisen "virustorjuntaohjelmiston" lisäksi.

Myös muut hallintakeinot, kuten siirrettävien tietovälineiden käyttöä koskevat rajoitukset tai käyttäjien ohjelmiston asentamista koskevat rajoitukset, jotka auttavat estämään luvattoman ohjelmiston käytön, ovat arvokkaita. Myös tunnettujen järjestelmä- ja ohjelmistohaavoittuvuuksien korjaus oikea-aikaisesti on tärkeää. Usein virukset on suunniteltu etsimään korjaamattomia järjestelmiä ja ohjelmistoja, joissa voi olla tunnettuja haavoittuvuuksia. On tärkeää, että haittaohjelmasuojaus pidetään ajan tasalla sekä asiaankuuluvien "allekirjoitustiedostojen" että itse ohjelmiston osalta.

Mikä on liitteen A.12.3 tavoite?

Liite A.12.3 koskee varmuuskopiointia. Tavoitteena on suojautua tietojen katoamiselta.

A.12.3.1 Tietojen varmuuskopiointi

Arvokkaiden tietojen suojaamiseksi katoamiselta hyvä ohjaus kuvaa, kuinka tiedoista, ohjelmistoista ja järjestelmäkuvista otetaan varmuuskopiot ja testataan niitä säännöllisesti sovitun varmuuskopiointipolitiikan mukaisesti.

Varmuuskopiointijärjestelmät on suunniteltava liiketoiminnan vaatimusten ja tietojen puutteeseen liittyvien riskitasojen mukaan, joten on tärkeää varmistaa, että tällaiset järjestelmät tukevat todellisia tarpeita sen sijaan, että ne olisivat vain "teemme varmuuskopioita". Varmuuskopioita otettaessa tiedot tulee suojata vähintään samalla tasolla kuin elävät tiedot ja ne tulee säilyttää erillään elävästä ympäristöstä, jotta minimoidaan riski, että yksi kompromissi tuhoaa sekä elävän ympäristön että varmuuskopiot.

Varmuuskopioiden säännöllinen testaus on ratkaisevan tärkeää sen varmistamiseksi, että palautukset onnistuvat ja saadaan aikaan oikea-aikaisesti. Varmuuskopioiden seuranta ja tallennus tulisi toteuttaa sen varmistamiseksi, että ne tapahtuvat varmuuskopiointipolitiikan mukaisesti. Älykkäät tarkastajat haluavat nähdä raportteja epäonnistuneista varmuuskopioista ja testejä, jotka on tehty varmistaakseen, että ne toimivat odotetulla tavalla. Varmuuskopiointikäytäntöjä on harkittava sen suhteen, mitä, mistä ja minne, kuka, milloin – ottaen huomioon toimisto- ja kotityöntekijät, matkapuhelin jne., kun otetaan huomioon mobiili- ja poistotallennusvarmuuskopiot, jotka ovat lisänneet riskejä mahdollisen katoamisen yhteydessä. käsitellään salauksella tai muilla ohjauksilla.

Mikä on liitteen A.12.4 tavoite?

Liite A.12.4 koskee hakkuita ja seurantaa. Tämän liitteen A alueen tavoitteena on tallentaa tapahtumia ja tuottaa todisteita.

A.12.4.1 Tapahtumaloki

Tapahtumalokit, jotka tallentavat käyttäjien toimintoja, poikkeuksia, vikoja ja tietoturvatapahtumia, on tuotettava, säilytettävä ja tarkistettava säännöllisesti. Kirjaus- ja valvontamekanismit muodostavat tärkeän osan "syvällisen puolustuksen" turvallisuuden hallinnan strategiaa tarjoamalla sekä etsivä- että tutkintavalmiuksia. Kaiken tyyppisiä tapahtumalokeja, kuten järjestelmälokeja, kulunvalvontalokeja jne., voidaan tarvita erityisesti tapahtumien hallinnassa ja auditoinnissa. Lokien on usein tallennettava mahdollisesti valtavia määriä tietoa, joten on tärkeää ottaa huomioon kapasiteettia koskevat näkökohdat.

A.12.4.2 Lokitietojen suojaus

Lokitilat ja lokitiedot on suojattava kajottamiselta ja luvattomalta käytöltä. On myös tärkeää varmistaa, että lokit säilytetään turvallisesti ja väärentämiseltä suojatulla tavalla, jotta niistä saatu näyttö voidaan todistaa todistettavasti. Tämä on erityisen tärkeää kaikissa lokista saatuihin todisteisiin liittyvissä oikeudenkäynneissä. Koska lokit voivat sisältää suuria määriä arkaluonteista tietoa, on tärkeää, että ne on suojattu ja suojattu riittävästi. On myös tärkeää ottaa huomioon, että jos lokit sisältävät henkilökohtaisia ​​tunnistetietoja, joita ne lähes varmasti sisältävät, kuten käyttäjätunnuksen ja kyseisen UID:n suorittamat toimet, ne ovat todennäköisesti tietosuoja- ja yksityisyyslainsäädännön vaatimusten alaisia, mukaan lukien tietojen säilyttäminen. .

A.12.4.3 Järjestelmänvalvojan ja käyttäjän lokit

Hyvä ohjausobjekti kuvaa, kuinka järjestelmänvalvojan ja järjestelmän operaattorin toiminnot on kirjattava ja lokit suojattava ja tarkistettava säännöllisesti. Erityistä huomiota tulisi kiinnittää etuoikeutettujen tilien, kuten järjestelmänvalvojien ja operaattoreiden, kirjaamisen lisäämiseen.

A.12.4.4 Kellon synkronointi

Organisaation tai tietoturva-alueen kaikkien asiaankuuluvien tietojenkäsittelyjärjestelmien kellot on synkronoitava yhteen viiteaikalähteeseen. Järjestelmän kellon synkronointi on tärkeää, varsinkin kun todistetaan tapahtumia osana tutkintaa tai oikeudellista menettelyä, koska usein on mahdotonta tai erittäin vaikeaa todistaa "syy ja seuraus", jos kelloja ei synkronoida oikein. Tarkastaja kiinnittää erityistä huomiota sen varmistamiseen, että tämä on tehty.

Mikä on liitteen A.12.5 tavoite?

Liite A.12.5 koskee käyttöohjelmistojen ohjausta. Tämän liite A -alueen tavoitteena on varmistaa toimintajärjestelmien eheys.

A.12.5.1 Ohjelmiston asennus käyttöjärjestelmiin

Ohjelmistojen asentamisen ohjaamiseksi käyttöjärjestelmiin tulee ottaa käyttöön menettelyt. Kuten minkä tahansa turvallisuuteen liittyvän ohjauksen yhteydessä, on tärkeää, että ohjelmistojen asennus käyttöjärjestelmiin on muodollisesti valvottua. Vaikka tämä ei aina ole mahdollista, etenkään pienissä organisaatioissa, periaate on edelleen totta. Käyttöjärjestelmien ohjelmiston sopimattomaan asennukseen tai vaihtamiseen liittyviä ongelmia voivat olla mm. Haittaohjelmien saastuttamaa ohjelmistoa asennetaan; Kapasiteettiongelmat; tai Ohjelmisto, joka voi mahdollistaa haitallisen sisäpiiritoiminnan asentamisen (esim. hakkerointityökalut). Ohjelmistojen asentamisen rajoittamisen ja rajoittamisen lisäksi käyttöjärjestelmiin on myös tärkeää valvoa muodollisesti laillista asennusta.

Hyvä käytäntö on varmistaa aina kun mahdollista, että esim. Muodollinen muutosten hallinta on tapahtunut, mukaan lukien asianmukaiset valtuutustasot; Palautusmenettelyt ovat käytössä; ja aiemmat ohjelmistoversiot ja muutoshistoriat säilytetään turvallisesti. Jokaisessa muutoksessa tulee huomioida sekä liiketoiminnan vaatimukset että turvallisuusvaatimukset ja riskit muodollisten muutoksenhallintamenettelyjen mukaisesti. Tarkastaja odottaa näkevänsä tallenteet tehdyistä ohjelmistomuutoksista ja asennuksista, jotka hän haluaa tarkastaa/näytteitä ottaa.

Mikä on liitteen A.12.6 tavoite?

Liite A.12.6 koskee teknisten haavoittuvuuksien hallintaa. Tämän liitteen A alueen tavoitteena on estää teknisten haavoittuvuuksien hyödyntäminen.

A.12.6.1 Teknisten haavoittuvuuksien hallinta

Tiedot käytettävien tietojärjestelmien teknisistä haavoittuvuuksista on hankittava ajoissa, organisaatioiden altistuminen tällaisille haavoittuvuuksille on arvioitava ja asianmukaisiin toimenpiteisiin on ryhdyttävä niihin liittyvien riskien käsittelemiseksi. Kaikki haavoittuvuus on heikkous tietoturvassa, ja niitä on käsiteltävä tehokkaasti ja tehokkaasti, jos riskitasoa ei voida hyväksyä. Tekniset haavoittuvuudet ovat olleet monien tiedotusvälineissä raportoitujen suurten tietoturvaloukkausten ytimessä (ja sellaisissa, jotka eivät ole!), ja siksi on olennaista, että muodollisesti hallinnoidut prosessit ovat käytössä riittävällä ja oikeasuhteisella tasolla.

Haavoittuvuuskorjausten mahdollisimman nopea käyttöönotto ja korjaustiedostojen riittävä testaus turvallisuuden välillä on oltava tasapaino järjestelmien jatkuvan käytettävyyden ja eheyden varmistamiseksi sekä yhteensopimattomuuden minimoimiseksi. Tietoisuudella voi myös olla tärkeä rooli, ja siksi on järkevää luoda viestintästrategia, joka liittyy käyttäjien päivittämiseen silloin, kun on olemassa haavoittuvuuksia, joita voidaan hallita jossain määrin käyttäjien käyttäytymisellä. Tarkastaja odottaa näkevän, että haavoittuvuuksien tunnistamis- ja havaitsemisprosessit ovat käytössä, erityisesti kriittisissä järjestelmissä tai niissä, jotka käsittelevät tai tallentavat arkaluonteisia tai turvaluokiteltuja tietoja.

A.12.6.2 Ohjelmiston asennuksen rajoitukset

Säännöt, jotka koskevat käyttäjien asentamia ohjelmistoja, on laadittava ja pantava täytäntöön. Tämä ohjaus liittyy käyttäjien mahdollisuuksien rajoittamiseen asentaa ohjelmistoja erityisesti paikallisiin laitteisiin (työasemat, kannettavat tietokoneet jne.). Ohjelmistojen asentaminen käyttäjien toimesta aiheuttaa useita uhkia ja haavoittuvuuksia, mukaan lukien haittaohjelmien leviämisen uhka ja mahdollinen ohjelmistojen lisensointi-/IPR-lakien rikkominen. Ihannetapauksessa käyttäjät eivät pystyisi asentamaan mitään ohjelmistoja organisaation laitteisiin, mutta voi kuitenkin olla liiketoiminnallisia tai käytännön syitä, miksi tämä ei ole mahdollista.

Jos täysi rajoitus ei ole mahdollista, on hyvä käytäntö "valkoiselle listalle", mitkä ohjelmistot voidaan asentaa. Tarkastaja tarkastaa, mitä rajoituksia käyttäjät ovat asettaneet ohjelmistojen asennukselle. Silloin kun täydellistä rajoitusta ei toteuteta, he haluavat nähdä todisteita siitä, että riskit on arvioitu täysin ja mahdollisuuksien mukaan täydentäviä valvontatoimia, kuten säännöllisiä ohjelmistotarkastuksia, on toteutettu ja niitä käytetään säännöllisesti.

Mikä on liitteen A.12.7 tavoite?

Liite A.12.7 koskee tietojärjestelmiä ja auditointinäkökohtia. Tämän liite A -alueen tavoitteena on minimoida tarkastustoiminnan vaikutukset toimintajärjestelmiin.

A.12.7.1 Tietojärjestelmien tarkastuksen valvonta

Tarkastusvaatimukset ja toimintajärjestelmien varmentamiseen liittyvät toiminnot on suunniteltava huolellisesti ja niistä on sovittava, jotta liiketoimintaprosessien häiriöt voidaan minimoida. Aina suoritettaessa testejä ja auditointeja (esim. haavoittuvuustarkistuksia, tunkeutumistestejä jne.) käyttöjärjestelmille on otettava huomioon, että toimintoihin ei kohdistu kielteisiä vaikutuksia. Lisäksi on määriteltävä testauksen laajuus ja syvyys. Kaikki tällainen toimintajärjestelmien auditointi tai testaus on suoritettava muodollisen ja asianmukaisesti valtuutetun prosessin kautta. Tarkastaja etsii näyttöä siitä, että testien aikataulusta ja testaustasosta on sovittu ja valtuutettu muodollisen prosessin kautta.