ISO 27001 – Liite A.16: Tietoturvahäiriöiden hallinta

Mikä on liitteen A.16.1 tavoite?

Liite A.16.1 koskee tietoturvahäiriöiden, tapahtumien ja heikkouksien hallintaa. Tämän liitteen A alueen tavoitteena on varmistaa johdonmukainen ja tehokas lähestymistapa vaaratilanteiden, tapahtumien ja heikkouksien elinkaareen. ISO 27001:2013 käsittelee elinkaaren selkeästi A.16.1.1 - A.16.1.7 kautta ja se on tärkeä osa tietoturvan hallintajärjestelmää (ISMS), varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin. Ymmärretään nyt vähän tarkemmin noita vaatimuksia ja niiden merkitystä.

A.16.1.1 Vastuut ja menettelyt

Hyvä valvonta kuvaa, kuinka johto määrittää vastuut ja menettelyt varmistaakseen nopean, tehokkaan ja asianmukaisen toiminnan heikkouksien, tapahtumien ja turvallisuuspoikkeamien korjaamiseksi. Yksinkertaisesti sanottuna tapaus tarkoittaa sitä, että luottamuksellisuuden, eheyden tai saatavuuden vuoksi on tapahtunut jonkinlainen menetys.

Esimerkkinä on tilanne, jossa ikkuna jätettiin auki ja varas varasti tärkeän tiedoston pöydällä... Tämän säikeen jälkeen tapahtuma on, jossa ikkuna jätettiin auki, mutta kukaan ei varastanut tiedostoa. Heikkous on, että ikkuna rikkoutuu helposti tai vanhenee ja voi olla ilmeinen sisäänmurtopaikka. Heikkous on myös yleinen riskienhallinta- tai parannusmahdollisuus.

Häiriö-, tapahtuma- ja heikkoustoimien suunnittelumenettelyt on määriteltävä selkeästi ennen tapahtumaa, ja johtosi on hyväksyttävä. Näitä menettelyjä on melko helppo kehittää, koska tämän liitteen A valvonnan loppuosassa ne mainitaan. Tarkastajasi odottaa näkevänsä kaikki nämä viralliset, dokumentoidut menettelyt ja todisteet niiden toimivuudesta.

A.16.1.2 Tietoturvatapahtumien ilmoittaminen

Hyvä valvonta takaa sen, että tietoturvaloukkauksista ja -tapahtumista voidaan raportoida sopivia hallintakanavia pitkin mahdollisimman pian.

Työntekijät ja muut asianomaiset osapuolet (esim. tavarantoimittajat) on saatava tietoisiksi heidän velvollisuudestaan ​​ilmoittaa tietoturvaloukkauksista, ja sinun tulee kattaa se osana yleistä tietoisuuttasi ja koulutustasi. Tehdäkseen tämän hyvin heidän on tiedettävä tarkalleen, mikä on tietoturvan heikkous, tapahtuma tai vaaratilanne, joten se on selvä yllä olevan yksinkertaisen esimerkin perusteella. Jos tietoturvatapahtuma sattuu tai epäillään tapahtuneen, siitä on välittömästi ilmoitettava nimetylle tietoturvavastaavalle ja se on dokumentoitava vastaavasti.

Joitakin mahdollisia syitä tietoturvahäiriön ilmoittamiseen ovat: tehottomat turvatarkastukset; oletetut tietojen eheyden tai luottamuksellisuuden loukkaukset tai saatavuusongelmat, esim. palvelun käyttökyvyttömyys.

Tarkastaja haluaa nähdä ja ottaa näytteitä siitä, että he ovat tietoisia siitä, mikä on heikkous, tapahtuma tai vaaratilanne yleisen henkilöstön keskuudessa, ja tietoisuus tapausten raportoinnin menettelyistä ja vastuista.

A.16.1.3 Tietoturvan heikkouksista ilmoittaminen

Tämä valvonta perustuu yksinkertaisesti tapauksiin ja tapahtumiin, mutta sitä voidaan käsitellä hieman eri tavalla, kun se on raportoitu (katso A.16.1.4). Työntekijöiden on olennaista tiedostaa, että kun he havaitsevat tietoturvaheikkouden, he eivät saa yrittää todistaa kyseistä heikkoutta , testauksena se voidaan tulkita järjestelmän väärinkäytöksi, samalla kun vaarana on järjestelmän ja sen tallennettujen tietojen vahingoittuminen ja turvallisuushäiriöiden aiheuttaminen!

A.16.1.4 Tietoturvatapahtumien arviointi ja niistä päättäminen

Tietoturvatapahtumat on arvioitava ja sitten voidaan päättää, pitäisikö ne luokitella tietoturvaloukkauksiksi, heikkouksien tapahtumiksi. Kun tietoturvatapahtuma on raportoitu ja myöhemmin kirjattu, se on arvioitava, jotta voidaan määrittää paras toimintatapa. Tällä toimenpiteellä on pyrittävä minimoimaan tietojen saatavuuden, eheyden tai luottamuksellisuuden vaarantaminen ja estämään myöhemmät vaaratilanteet. Ihannetapauksessa sillä on mahdollisimman vähän vaikutusta muihin palvelujen käyttäjiin. Myös tässä elinkaaren osassa voidaan harkita tarkasti, kenelle tapahtumasta on tiedotettava, sisäisesti, asiakkaille, toimittajille ja sääntelyviranomaisille.

GDPR ja vuoden 2018 tietosuojalaki tarkoittavat, että joistakin henkilötietoihin liittyvistä tietoturvaloukkauksista on ilmoitettava myös valvontaviranomaiselle, joten myös valvonnassasi on otettava huomioon nämä näkökohdat, jotta ne täyttäisivät säädösten vaatimukset ja vältytään päällekkäisiltä tai aukkoilta.

A.16.1.5 Reagointi tietoturvaloukkauksiin

On aina hyvä nimetä omistajat, olla selkeä toimien ja aikataulujen suhteen, ja kuten kaikessa ISO 27001 -standardin tapauksessa, säilyttää tiedot auditointia varten (myös olennaista, jos sinulla on muita sidosryhmiä ja sääntelyviranomaisia ​​harkittavana). Turvatapahtuman käsittelystä vastaava henkilö on vastuussa normaalin turvallisuustason palauttamisesta samalla;

• todisteiden kerääminen mahdollisimman pian tapahtuman jälkeen;
• tietoturvallisuuden rikosteknisen analyysin tekeminen (pitkä aikaväli, mutta ainakin selvä perimmäinen syy ja siihen liittyvät näkökohdat tai mitä tapahtui ja kuka oli mukana, miksi jne.);
• tarvittaessa eskaloituminen esimerkiksi asiaankuuluville sääntelyviranomaisille;
• varmistamalla, että kaikki asiaan liittyvät vastaustoimet kirjataan oikein myöhempää analysointia varten;
• tietoturvaloukkauksen olemassaolosta tai kaikista asiaan liittyvistä yksityiskohdista tiedottaminen johtajille, jotta ne voidaan tiedottaa edelleen eri henkilöille tai organisaatioille tarpeen mukaan; ja
• käsitellä tietoturvan heikkouksia, joiden on havaittu aiheuttavan tai myötävaikuttavan tapaukseen.

A.16.1.6 Tietoturvahäiriöistä oppiminen

Tämä on tärkeysvalvonta, ja käytäntösi on osoitettava, että tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietoa käytetään auttamaan vähentämään tulevien tapausten todennäköisyyttä tai vaikutusta. Osana sitoutumista jatkuvaan palvelun parantamiseen sinun tulee varmistaa, että opit kaikista tietoturvahäiriöistä saaduista opetuksista, jotta voit kehittää ja mukauttaa ISMS:ää vastaamaan muuttuvaa ympäristöä, jossa työskentelet.

Kun tapaus on ratkaistu, se tulee asettaa tarkastelun ja oppimisen tilaan, jossa tapahtuman johtava vastaaja keskustelee mahdollisista muutoksista, joita tämän seurauksena vaaditaan ISMS-käytäntöjen prosesseihin. Kaikki asiaankuuluvat suositukset tulee sitten esittää ISMS:n hallitukselle lisäkeskusteluja varten. Kun tarkastelu ja oppiminen on suoritettu, käytäntöihin on tehty tarvittavat päivitykset, asianomaiselle henkilökunnalle on ilmoitettava ja tarvittaessa koulutettava uudelleen, ja tietoturvatietoisuuden ja -koulutuksen kierto jatkuu.

A.16.1.7 Todisteiden kerääminen

Organisaation on määriteltävä ja sovellettava valvontaa todisteena käytettävien tietojen tunnistamiseksi, keräämiseksi, hankkimiseksi ja säilyttämiseksi, varsinkin jos tapahtumaan liittyy todennäköisesti rikos- tai siviiliprosessi.

Jos organisaatio epäilee tai tietää, että turvavälikohtaus voi johtaa oikeudellisiin tai kurinpitotoimiin, sen tulee kerätä todisteita huolellisesti, varmistaa hyvä valvontaketju ja välttää uhkaa joutua huonon johdon kiinni.

Tietoturvaloukkausten hallinta on järkevää sitoa selkeästi myös kurinpitomenettelyihin. Kaikkien pitäisi tietää ryhtyä varotoimiin ja samalla olla selvät seuraukset niille, jotka eivät ota sitä vakavasti.