ISO 27001 – Liite A.13: Viestintäturvallisuus

Mikä on liitteen A.13.1 tavoite?

Liite A.13.1 koskee verkon turvallisuuden hallintaa. Tämän liitteen tavoitteena on varmistaa tietoturva verkoissa ja niitä tukevissa tietojenkäsittelylaitteistoissa. Se on tärkeä osa tietoturvan hallintajärjestelmää (ISMS), varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin.

A.13.1.1 Verkkosäätimet

Verkkoja on hallittava ja ohjattava järjestelmien ja sovellusten tietojen suojaamiseksi. Yksinkertaisesti sanottuna organisaation tulee käyttää asianmukaisia ​​menetelmiä varmistaakseen, että se suojaa järjestelmiensä ja sovelluksiensa sisältämää tietoa. Näissä verkoston ohjauksissa tulee harkita huolellisesti kaikkia liiketoiminnan toimintoja, ne on suunniteltava asianmukaisesti ja suhteellisesti ja ne on toteutettava liiketoiminnan vaatimusten, riskinarvioinnin, luokittelujen ja erotteluvaatimusten mukaisesti.

Joitakin mahdollisia esimerkkejä harkittavista teknisistä ohjauksista voivat olla: Yhteyden ohjaus ja päätepisteiden todentaminen, palomuurit ja tunkeutumisen havainnointi-/estojärjestelmät, kulunvalvontaluettelot ja fyysinen, looginen tai virtuaalinen erottelu. Tärkeää on myös valvoa, että kun liitetään julkisiin verkkoihin tai muiden organisaation ulkopuolisten organisaatioiden verkkoihin, huomioidaan kohonneet riskitasot ja hallitaan näitä riskejä tarvittaessa lisätarkastuksilla.

Sinun on pidettävä mielessä, että tarkastaja pyrkii näkemään, että nämä toteutetut kontrollit ovat tehokkaita ja niitä hallinnoidaan asianmukaisesti, mukaan lukien muodollisten muutoksenhallintamenettelyjen käyttö.

A.13.1.2 Verkkopalvelujen suojaus

Kaikkien verkkopalvelujen suojausmekanismit, palvelutasot ja hallintavaatimukset on tunnistettava ja sisällytettävä verkkopalvelusopimuksiin riippumatta siitä, tarjotaanko näitä palveluita talon sisällä tai ulkoistettuna. Yksinkertaisesti sanottuna organisaation tulisi sisällyttää verkkopalvelusopimuksiinsa kaikki erilaiset turvatoimenpiteet, joita se tekee verkkopalveluidensa turvaamiseksi. Tarkastajasi haluaa nähdä, että verkkojen suunnittelussa ja toteutuksessa otetaan huomioon sekä liiketoiminnan vaatimukset että turvallisuusvaatimukset, jotta saavutetaan molempien kannalta riittävä ja oikeasuhteinen tasapaino. He etsivät todisteita tästä sekä todisteita riskinarvioinnista.

A.13.1.3 Erottelu verkoissa

Tietopalveluiden, käyttäjien ja tietojärjestelmien ryhmät tulisi erottaa verkoissa. Harkitse mahdollisuuksien mukaan verkkotoimintojen ja tietokone-/järjestelmätoimintojen tehtävien eriyttämistä, esim. julkiset verkkotunnukset, osasto x- tai y-alueet. Verkon suunnittelun ja ohjauksen on oltava tietojen luokituskäytäntöjen ja erotteluvaatimusten mukainen ja tuettava.

Mikä on liitteen A.13.2 tavoite?

Liite A.13.2 koskee tiedonsiirtoa. Tämän liitteen tavoitteena on ylläpitää organisaation sisällä ja minkä tahansa ulkoisen tahon, kuten asiakkaan, toimittajan tai muun asianosaisen, kanssa siirrettyjen tietojen turvallisuutta.

A.13.2.1 Tiedonsiirtokäytännöt ja -menettelyt

Muodolliset siirtokäytännöt, -menettelyt ja -valvontatoimenpiteet on oltava käytössä tietojen siirron suojaamiseksi kaikentyyppisten viestintävälineiden avulla. Riippumatta siitä, millaista viestintävälinettä käytetään, on tärkeää ymmärtää tietoturvariskit, jotka liittyvät tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen, ja tässä on otettava huomioon tiedon tyyppi, luonne, määrä ja herkkyys tai luokitus. tietoja siirretään. Tällaisten politiikkojen ja menettelytapojen toteuttaminen on erityisen tärkeää, kun tietoja siirretään organisaation ulkopuolelle tai organisaatioon kolmansilta osapuolilta. Erilaisia, mutta toisiaan täydentäviä valvontatoimia voidaan tarvita suojella siirrettävää tietoa sieppaamiselta, kopioimiselta, muuttamiselta, väärältä reititykseltä ja tuhoamiselta, ja niitä tulee harkita kokonaisvaltaisesti määritettäessä, mitkä hallintalaitteet valitaan.

A.13.2.2 Tiedonsiirtoa koskevat sopimukset

Tietoja voidaan siirtää digitaalisesti tai fyysisesti, ja sopimuksissa tulee käsitellä liiketoimintatietojen suojattua siirtoa organisaation ja ulkopuolisten osapuolten välillä. Muodolliset siirtopolitiikan menettelyt ja tekniset tarkastukset olisi valittava, toteutettava, käytettävä, valvottava, tarkastettava ja tarkistettava jatkuvan tehokkaan turvallisuussuojan varmistamiseksi. Viestintä- ja siirtojärjestelmät ja -menettelyt otetaan usein käyttöön ilman todellista ymmärrystä niihin liittyvistä riskeistä, mikä aiheuttaa haavoittuvuuksia ja mahdollisia kompromisseja. ISO 27002 käsittelee toteutusnäkökohtia, mukaan lukien ilmoitusten huomioiminen, jäljitettävyys, sulkutalletus, tunnistusstandardit, alkuperäketju, salaus, kulunvalvonta ja muut.

A.13.2.3 Sähköinen viestintä

Kaikki sähköiseen viestintään liittyvät tiedot on suojattava asianmukaisesti. Yksinkertaisesti sanottuna sähköistä viestintää käytettäessä se tulee suojata sen varmistamiseksi, että luvaton pääsy ei pääse. Organisaation tulee luoda politiikka, jossa määritellään, mitä sähköisiä viestintämuotoja tulee käyttää erityyppisten siirrettävien tietojen yhteydessä, esim. kuinka turvallisia ne ovat. On myös otettava huomioon puhe- ja faksiviestinnän siirto sekä fyysinen siirto (esim. postijärjestelmien kautta). Tämän pitäisi olla linjassa pääsynvalvontatoimintojen ja muiden suojattujen todennuskäytäntöjen ja kirjautumismenettelyjen kanssa.

A.13.2.4 Luottamuksellisuus- tai salassapitosopimukset

Hyvä kontrolli kuvaa, kuinka organisaation tiedonsuojatarpeita kuvaavat luottamuksellisuus- tai salassapitosopimukset on tunnistettava, tarkistettava ja dokumentoitava säännöllisesti. Sellaisenaan organisaation on varmistettava, että kaikki suojattavat tiedot tehdään luottamuksellisuus- ja salassapitosopimusten avulla.

Sopimukset ovat yleensä organisaatiokohtaisia ​​ja niitä tulee kehittää sen valvontatarpeet huomioon ottaen riskianalyysityön jälkeen. Luottamuksellisuutta ja salassapitoa koskevia vakiosopimuksia, jotka saattavat ansaita harkinnan tässä, ovat:

• Yleiset salassapitosopimukset ja keskinäiset salassapitosopimukset esim. arkaluontoisen tiedon jakamisessa esim. uusista liikeideoista.
• Asiakassopimukset, joissa käytetään vakioehtoja – jotka ilmaisevat luottamuksellisuuden myytyjen tuotteiden ja niihin liittyvissä tilauslomakkeessa mainittujen täydentävien palvelujen käytön yhteydessä.
• Osakkuus-/toimittaja-/kumppanisopimukset, joita käytetään pienille tavarantoimittajille ja riippumattomille palveluntarjoajille, joita organisaatio käyttää palvelujen toimittamiseen.
• Työllisyyteen liittyvät ehdot (yhdenmukaistettu A.7:n kanssa).
• Tietosuojakäytännöt esim. sähköpostin alatunnisteista.