Tammikuussa 2015 julkaistu ISO / IEC 27040:2015 tarjoaa kattavat tekniset ohjeet siitä, kuinka organisaatioiden tulisi tunnistaa hyväksyttävä riskinvähennystaso käyttämällä hyväksi todettua, johdonmukaista lähestymistapaa tietotallennusturvan valmisteluun, suunnitteluun, dokumentointiin ja toteutukseen.
Sen tarkoituksena on havainnollistaa yleistä turvallisuuteen liittyviä riskejä, rehellisyys ja eri tiedontallennustekniikoiden tietojen saatavuus. ISO 27040 kehottaa myös organisaatioita vahvistamaan arkaluonteisten tietojen suojaa riittävillä tietoturvatoimilla. Normi auttaa myös lisäämään varmuutta rohkaisemalla esimerkiksi arviointeja tai auditointeja tietoturva toimenpiteet tallennetun tiedon suojaamiseksi.
Tallennusturvallisuus tarkoittaa tietojen suojaamista siellä, missä ne on tallennettu. Tallennusturvallisuus liittyy myös tiedonsiirron suojaamiseen varastoon liittyvien viestintälinkkien kautta. Suojausmuisti sisältää:
Tietosuoja on kokoelma parametreja ja asetuksia, jotka tekevät tietoresursseista muiden yksiköiden käytettävissä ja saavuttamattomissa hyväksytyille käyttäjille ja luotetuille verkoille. Nämä voivat viitata laitteistoon, ohjelmointiin, tietoliikenneprotokolliin ja organisaatiopolitiikkaan.
On olemassa muutamia kysymyksiä, jotka ovat kriittisiä, kun harkitaan tallennusalueen verkon (SAN) suojausprosessia. Tallennettujen tietojen on oltava valtuutettujen henkilöiden, yhteisöjen ja organisaatioiden helposti saatavilla. Järjestelmän hyödyntämisen on myös oltava haastavaa mahdollisille hakkereille. Infrastruktuurin on oltava luotettava ja vakaa eri ympäristöissä ja käyttömäärissä.
Online-uhat, kuten virukset, madot, troijalaiset ja muut haitalliset koodit, tulee aina suojata. Arkaluonteiset tiedot on suojattava. Tarpeetonta järjestelmät olisi poistettava mahdollisten tietoturva-aukkojen poistamiseksi. Sovelluksen tarjoajan tulisi rutiininomaisesti asentaa päivitykset käyttöjärjestelmään. Kopiointi vastaavan (tai peilatun) muodossa tallennusväline voi auttaa välttämään katastrofaalisen tietojen menetyksen, jos tapahtuu odottamaton vika. Kaikkien käyttäjien on oltava tietoinen ohjeista ja käytännöistä liittyvät ohjausverkon käyttöön.
Kaksi komponenttia voivat auttaa arvioimaan tallennusturvamenetelmien suorituskykyä. Ensinnäkin järjestelmän käyttöönottokustannusten tulee olla pieni osa suojatun datan arvosta. Toiseksi järjestelmän murtamisesta pitäisi maksaa enemmän rahaa ja/tai aikaa kuin suojattujen tietojen arvo on.
Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
ISO / IEC 27040:2015 on ensimmäinen kansainvälinen spesifikaatio, joka käsittelee monenlaisia tallennusturvakysymyksiä. ISO/IEC 27040:n tutkimus aloitettiin syksyllä 2010, ennen saman vuoden SC27-konferenssia. Hankkeelle asetettiin pidennetty määräaika, joka antoi 48 kuukautta standardin laatimiseen. ISO/IEC 27040 -standardi julkaistiin 5. tammikuuta 2015.
ISO 27040 -standardin tarkistusprojekti aloitettiin vuonna 2020. Projektilla oli seuraavat tavoitteet:
Merkittävä osa ISO/IEC 27040 -standardia keskittyy erilaisten tallennusjärjestelmien ja arkkitehtuurien suojausohjaimien määrittelyyn. Tämä sisältää seuraavat:
Kirjallisuusluettelo on yksi laajimmista tietoturvaviitteiden kokoelmista. Alla on joidenkin ISO 27040 -standardin ydintermien määritelmät.
ISO/IEC 27040:2015 korvataan vihdoin ISO/IEC WD 27040:lla. Päivitetty standardi noudattaisi ISO:n kestävän kehityksen tavoitteita 9 ja 12.
Tavoite 9 Teollisuus, innovaatio ja infrastruktuuri pyrkivät rakentamaan vankan infrastruktuurin, joka edistää osallistavaa ja kestävää kasvua ja innovaatioita. Tavoite 12, vastuullinen kulutus ja tuotanto, pyrkii luomaan kestävää kulutusta ja tuotantomalleja.
Varaa räätälöity käytännönläheinen istunto tarpeidesi ja tavoitteidesi mukaan.
Tietoturvassa todennus on toimenpide, jolla varmistetaan, onko joku tai jokin todella se, mitä hän väittää olevansa. Todennus varmistaa henkilön, prosessin tai laitteen identiteetin, joskus tietojärjestelmän resurssien käytön edellytyksenä.
Todennustyyppejä on kolme:
Yksitekijätodennus, jota usein kutsutaan ensisijaiseksi todennusksi, on yksinkertaisin todennusmenetelmä.
Yksitekijätodennus vaatii vain yhden todennusmekanismin (kuten salasanan, PIN-koodin jne.) päästäkseen järjestelmään tai palveluun. Vaikka nämä lähestymistavat ovat helpommin saavutettavia, ne liittyvät usein heikompiin tietoturvakäytäntöihin. Tämä johtuu siitä, että ne voivat helposti olla tunnistettu tai varastettu tietomurtojen, tietojenkalastelu- tai näppäinlokihyökkäysten yhteydessä. Kaksitekijäinen todennus (2FA) lisää monimutkaisuutta. 2FA tarvitsee toisen komponentin henkilöllisyyden vahvistamiseksi. Tyypillisiä käyttötarkoituksia ovat rekisteröidyt tietokonetunnukset, kertakäyttöiset salasanat tai PIN-koodit.
Pelkästään kahden käyttäjän todennusmenetelmän olemassaolo parantaa dramaattisesti yleistä turvallisuuttasi, sillä 2FA lieventää 80 % tietomurroista. Vaikka 2FA:n turvallisuusedut ovat hyvin tiedossa, käyttö on laajalle levinnyt ongelma. Siitä lähtien, kun Google otti ensimmäisen kerran käyttöön mahdollisuuden lisätä 2FA:ta käyttäjätileihin, alle 10 prosenttia käyttäjistä on ottanut 2FA:n käyttöön seitsemässä vuodessa. Yksi syy siihen, miksi he eivät käyttäneet 7FA:ta, johtui sen käyttäjille aiheuttamasta ärsytyksestä, jonka mukaan alle 2 % käyttäjistä, jotka yrittivät käyttää 10FA:ta, eivät syöttäneet tekstiviestivahvistuskoodia oikein.
Multi-Factor Authentication (MFA) on ylivoimaisesti edistynein todennusmekanismi. Se käyttää kahta tai useampaa riippumatonta muuttujaa mahdollistamaan käyttäjien pääsyn järjestelmään. Vakiotapauksissa MFA käyttää vähintään 2 tai 3 luokkaa:
Kulunvalvonta on tarkoituksellinen pääsyn rajoittaminen sijaintiin, verkkosivustoon tai muihin resursseihin ja resursseihin. Käyttöön voi sisältyä aineiston käsittely, vierailu tai käyttö. Lupaa käyttää omaisuutta kutsutaan valtuutukseksi.
Valtuutus on suojausmenetelmä, jolla määritellään käyttäjän/asiakkaan oikeudet tai käyttöoikeustasot, jotka liittyvät resursseihin, mukaan lukien tietokoneohjelmat, hakemistot, palvelut, tiedot ja ohjelman ominaisuudet. Valtuutusta seuraa yleensä käyttäjän identiteetin todennus.
Tunsimme, että meillä oli
ihanneratkaisu. Olimme
osaa käyttää meidän
olemassa olevat prosessit,
& Adoptoida, mukauttaa
sisältö antoi meille uutta
syvyys ISMS:ään.
SED on itsesalaava kiintolevy, joka on kiintolevyn muoto, joka salaa tiedot automaattisesti ja jatkuvasti ilman käyttäjän toimia. Itsesalaavassa asemassa on yleensä piiri, joka on sisäänrakennettu levyaseman ohjainpiiriin. Tämä siru koodaa kaikki tiedot magneettiselle tietovälineelle ja purkaa automaattisesti kaiken tiedon uudelleen.
Yllättäen melkoinen määrä tällä hetkellä markkinoilla olevista kiintolevyistä on SED-levyjä. Koska valmistajat eivät pidä tätä merkittävänä ominaisuutena, se usein katoaa muista yleisesti merkittävimmistä näkökohdista. Vaikka ostat, asennat ja alat käyttää SED-asemaa, salaus on automaattinen, joten on epätodennäköistä, että käyttäjä ymmärtää aseman olevan SED.
Tämä salausprosessi saavutetaan käyttämällä ainutlaatuista ja satunnaista datan salausavainta (DEK), jota asema vaatii tietojen salaamiseen ja salauksen purkamiseen. Kun tiedot kirjoitetaan asemaan, DEK salaa ne ensin. Vastaavasti kun tiedot on luettu asemalta, DEK purkaa sen salauksen ennen kuin ne lähetetään muulle laitteelle.
Tämä prosessi varmistaa, että kaikki aseman tiedot on salattu koko ajan. Yksi mielenkiintoinen tekniikka, joka voidaan saavuttaa tällä, on tyhjentää kiintolevy lähes välittömästi ja kokonaan. Käyttäjä ei voi muuta kuin käskeä SED:ää luomaan uuden DEK:n, jolloin kaikki asemalla olevat tiedot muuttuvat välittömästi hölynpölyksi ja niitä ei käytännössä voida palauttaa. Tämä johtuu siitä, että tietojen salauksen purkamiseen tarvittava avain ei ole enää saatavilla. Joten jos tarvitset kätevästi ja tyhjennä asema turvallisesti ennen uudelleensijoittamista tai hävittämistä, SED:t tarjoavat nopean ja luotettavan tavan tehdä se. Tätä toimintoa kutsutaan useilla nimillä valmistajan perusteella, mutta sitä kutsutaan yleisimmin "Secure Erase".
Desinfiointi on tekninen termi, jolla varmistetaan, että käytön päätyttyä tallennustilaan jääneet tiedot eivät ole käytettävissä. Sanitaatio varmistaa, että organisaatio ei loukkaa tietoja, kun se käyttää, myy tai heittää pois tallennuslaitteita.
Desinfiointi voi tapahtua eri muodoissa riippuen sekä tiedon herkkyydestä että ponnisteluista, joita mahdollinen vastustaja saattaa käyttää tietojen hakemiseen. Puhdistamiseen käytetyt menetelmät vaihtelevat yksinkertaisesti päällekirjoittamisesta, salattujen tiedostojen salausavaimen tuhoamisesta tallennuslaitteen fyysiseen tuhoamiseen.
ISO 27040 -standardin soveltamisala kattaa:
Tämän lisäksi ISO 27040 kattaa tallennukseen liittyvien viestintälinkkien kautta siirrettävän tiedon turvallisuuden.
Standardi kuvaa tiedon tallentamiseen liittyviä tietoriskejä ja toimenpiteitä riskien vähentämiseksi.
Henkilökohtaisten tietokoneiden ja osastojen työasemien kapasiteetin kasvusta huolimatta riippuvuus keskitetyistä datakeskuksista jatkuu tiedon integrointitarpeiden, tiedon jatkuvuuden ja tiedon laadun vuoksi. Olennaisten tietomäärien merkittävän kasvun myötä monet yritykset ovat omaksuneet ICT-infrastruktuurinsa tallennuskeskeiset puitteet. Myöhemmin tallennusturvalla on tärkeä rooli näiden tietojen suojaamisessa ja se toimii viimeisenä puolustuslinjana ulkoisia ja sisäisiä uhkia vastaan monissa tilanteissa.
Tallennusturvaratkaisujen suunnitteluun vaikuttavat kriittiset tietoturvakonseptit, kun otetaan huomioon tietojen herkkyys, kriittisyys ja kustannukset. ISO 6:n lauseke 27040, Supporting Controls, antaa ohjeita varastointiin liittyvien ohjainten käyttöönotosta rakennetussa ratkaisussa.
Neuvo on jaettu edelleen:
Suunnitteluun ja toteutukseen liittyviä kysymyksiä ovat myös:
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
Koska ISO/IEC 27040:2015 tarjoaa yleiskatsauksen tallennusturvakonsepteihin, standardi sisältää ohjeita tyypillisiin tallennusskenaarioihin ja tallennusteknologia-alueisiin liittyvistä uhista, suunnittelusta ja ohjauksista, joita täydentävät useat muut ISO-standardit. Se tarjoaa myös viittauksia erilaisiin standardeihin, jotka koskevat olemassa olevia käytäntöjä ja tekniikoita, joita voidaan soveltaa tallennusturvaan.
ISO / IEC 27040 tarjoaa turvallisuusohjeet tallennusjärjestelmille ja -ympäristöille sekä näiden järjestelmien tietosuojalle. Se tukee yleistä ISO / IEC 27001 periaatteita. ISO / IEC 27040 tarjoaa myös selkeät ja kattavat ohjeet ISO / IEC 27002:ssa määriteltyjen yleisten suojausprotokollien tallennusturvallisuuteen liittyvistä toteutuksista.
ISO 27040 tarjoaa ohjeita tietoturvateknologioiden käyttöönotosta tallennusverkkoteollisuudessa ja neuvoja tiedonvarmistuksen käyttöönotosta tallennusjärjestelmissä sekä tietosuoja- ja turvallisuusnäkökohdat.
Vaikka tallennustilan suojaus jätetään usein huomiotta, se on tärkeää kaikille, jotka käyttävät tietojen tallennuslaitteita, mediaa ja verkkoja, jotka omistavat, käyttävät tai käyttävät. Tämä sisältää ylemmän tason johtajat, tallennustuotteiden ja -palveluiden hankkijat ja muut ei-tekniset johtajat tai käyttäjät sekä johtajat ja järjestelmänvalvojat, joilla on henkilökohtainen vastuu tietoturvasta tai tallennusturvasta tai jotka ovat yleisestä vastuusta. tietoturva ja turvallisuuspolitiikan täytäntöönpano. Se soveltuu myös niille, jotka ovat mukana varastoinnin suunnittelussa, suunnittelussa ja toteutuksessa verkkoturvallisuuden arkkitehtoniset näkökohdat.
Tämän standardin kannattajat katsoivat, että tietojen tallennusjärjestelmien ja -verkkojen tietosuojausulottuvuus jätettiin huomiotta väärinkäsitysten ja tallennusteknologioiden kokemuksen puutteen tai luontaisten riskien tai turvallisuusperiaatteiden rajallisen tuntemuksen vuoksi.
ISMS.online tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
ISO 27040 koostuu seitsemästä lyhyestä lausekkeesta ja kolmesta liitteestä. ISO / IEC 27040 -kehittäjät eivät suunnitelleet kaikkien ohjeiden noudattamista, mikä johti kolmen liitteen sisällyttämiseen. Asiaankuuluvat desinfiointitiedot on esitetty taulukoissa Liite A. Liite B suunniteltiin auttamaan organisaatioita valitsemaan sopivat kontrollit tietojen herkkyyden (korkea tai matala) tai turvallisuustavoitteita perustuu CIA-kolmioon.
Yksi ISO / IEC 27040 -standardin suunnittelun vaikeuksista oli se, että yleisöä oli kaksi: tallennusammattilaiset ja tietoturva-ammattilaiset. Liite C sisältää arvokasta opetustietoa molemmille ryhmille aiheesta:
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa