ISO 27001 – Bylae A.12: Bedryfsekuriteit

Wat is die doel van Aanhangsel A.12.1?

Bylae A.12.1 handel oor operasionele prosedures en verantwoordelikhede. Die doel van hierdie Bylae A-area is om korrekte en veilige werking van inligtingverwerkingsfasiliteite te verseker. Dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS), veral as jy ISO 27001-sertifisering wil behaal. Kom ons verstaan ​​​​die vereistes en wat dit beteken nou in 'n bietjie meer diepte.

A.12.1.1 Gedokumenteerde Bedryfsprosedures

Bedryfsprosedures moet gedokumenteer word en dan beskikbaar gestel word aan alle gebruikers wat dit nodig het. Gedokumenteerde bedryfsprosedures help om konsekwente en effektiewe werking van stelsels vir nuwe personeel of veranderende hulpbronne te verseker, en kan dikwels van kritieke belang wees vir rampherstel, besigheidskontinuïteit en vir wanneer personeelbeskikbaarheid in die gedrang kom. Waar inligtingstelsels "wolk-gebaseerd" is, word tradisionele operasionele aktiwiteite soos stelselbegin, -afskakeling, rugsteun, ens. minder relevant en kan dikwels aan 'n wolkverskaffer uitgekontrakteer word. In meer tradisionele rekenaaromgewings en argitekture is dit baie meer waarskynlik dat bedryfsprosedures vereis word.

Dit is belangrik dat dokumente in 'n korrekte en huidige toestand gehou word en moet dus onderhewig wees aan formele veranderingsbestuur en periodieke hersieningsprosedures – dit is die sleutel, aangesien die ouditeur spesifiek daarna sal kyk.

Ons word dikwels gevra oor hoeveel besonderhede benodig word, en watter areas van die besigheid nodig het om gedokumenteerde prosedures te hê. Neem 'n gesonde verstand benadering. Byvoorbeeld, as jy werklike personeelstabiliteit het, die implisiete prosedures baie goed verstaan ​​word en veerkragtigheid in plek is oor daardie hulpbronpoel, kan eenvoudige kolpunte genoeg wees om 'n kontrolelysstyl-gedokumenteerde prosedure te vorm.

Net so, as prosedures ontwikkel of gereeld verander, bv as gevolg van vinnige groei, wil jy prosedures hê wat ook maklik en vinnig opgedateer kan word. Weereens, as baie nuwe hulpbron bygevoeg word en die gebied het risiko en kompleksiteit rondom dit, dan kan meer diepte aan die prosedures nodig wees, sodat dit ondubbelsinnig is oor wat, wanneer, hoe, wie ens.

Die areas van die besigheid wat oorweeg moet word vir gedokumenteerde prosedures moet wees waar jou inligtingsbates in gevaar is deur verkeerde werking, wat natuurlik geïdentifiseer sal word as deel van die risiko-assessering in ooreenstemming met 6.1. Dit kan sagteware-ontwikkeling, IT-bestuur, deur na finansiële rekeningkunde, kliëntebestuur, konsultasie- of vervaardigingswerk, ens, insluit, afhangende van die aard van die besigheid.

A.12.1.2 Veranderingsbestuur

Die organisasie, besigheidsprosedures, inligtingverwerkingsfasiliteite en stelsels wat inligtingsekuriteit beïnvloed, moet beheer word. Behoorlik beheerde veranderingsbestuur is noodsaaklik in die meeste omgewings om te verseker dat veranderinge toepaslik, doeltreffend, behoorlik gemagtig is en op so 'n wyse uitgevoer word dat die geleentheid vir óf kwaadwillige óf toevallige kompromie tot die minimum beperk word. Veranderingsbestuur geld regoor die organisasie, sy prosesse, inligtingverwerkingsfasiliteite, netwerke, stelsels en toepassings.

Ouditlogboeke word vereis om bewys te lewer van die korrekte gebruik van veranderingsprosedures. Die ouditeur sal daarop wys dat veranderingsprosedures nie te ingewikkeld hoef te wees nie, maar gepas moet wees vir die aard van verandering wat oorweeg word. Jy kan bloot bewyse van wysigings en weergawebeheerveranderinge vaslê soos jy gaan, of baie dieper en meer komplekse veranderingsbestuur bedryf en heropleiding en kommunikasie insluit, asook meer beduidende beleggings- en aftekenprosesse hê.

A.12.1.3 Kapasiteitsbestuur

Die gebruik van hulpbronne moet gemonitor, ingestel en projeksies gemaak word van toekomstige kapasiteitsvereistes om die vereiste stelselprestasie te verseker om die besigheidsdoelwitte te bereik. Kapasiteitsbestuur kyk tipies na drie primêre tipes; Databergingskapasiteit – (bv. in databasisstelsels, lêerstoorareas, ens.); Verwerkingskragkapasiteit – (bv. voldoende rekenaarkrag om tydige verwerkingsoperasies te verseker.); en Kommunikasiekapasiteit – (dikwels na verwys as "bandwydte" om te verseker dat kommunikasie betyds gedoen word).

Kapasiteitsbestuur moet ook wees; Pro-aktief – byvoorbeeld die gebruik van kapasiteitsoorwegings as deel van veranderingsbestuur; Heraktief – bv snellers en waarskuwings vir wanneer kapasiteitsgebruik 'n kritieke punt bereik sodat tydelike verhogings, tydelik of permanent gemaak kan word.

A.12.1.4 Skeiding van ontwikkeling, toetsing en bedryfsomgewings

Goeie beleide vir ontwikkeling, toetsing en bedryfsomgewings sal bevestig dat hulle geskei moet word om die risiko's van ongemagtigde toegang of veranderinge aan die bedryfsomgewing te verminder. Om ontwikkeling, toetsing en lewendige operasionele IT-omgewings apart te hou, is goeie praktyk aangesien dit help met skeiding van pligte en ongemagtigde toegang tot die lewendige omgewing en data. Veranderinge en nuwe ontwikkelings moet deeglik in 'n aparte area getoets word voordat dit na die lewendige bedryfsomgewing ontplooi word.

Ideaal gesproke behoort ontwikkelingspersoneel nie toegang tot die lewende omgewing te hê nie, maar dit is dalk nie moontlik nie, veral in klein organisasies. Sodra dit geskei is, is dit belangrik om seker te maak dat toetsers nie per ongeluk (of doelbewus) toetsomgewings as lewendig gebruik nie. Die ouditeur sal nagaan om te sien dat ontwikkeling-, toets- en lewendige omgewings geskei is en dat daar formele prosedures is, insluitend toepaslike vlakke van magtiging om veranderinge en ontwikkelings van een omgewing na 'n ander te verskuif.

Wat is die doel van Aanhangsel A.12.2?

Bylae A.12.2 handel oor beskerming teen wanware. Die doel hier is om te verseker dat inligting en inligtingverwerkingsfasiliteite teen wanware beskerm word.

A.12.2.1 Kontroles teen wanware

Bespeurings-, voorkomings- en herstelkontroles om teen wanware te beskerm moet geïmplementeer word, gekombineer met die toepaslike gebruikerbewustheid. Hierdie is 'n afdeling waaroor die meeste organisasies 'n mate van bewustheid, begrip en implementering het. Beskerming van wanware kan egter 'n aantal verskillende vorme aanneem, afgesien van die ooglopende "anti-virus sagteware".

Ander beheermaatreëls soos beperkings rondom die gebruik van verwyderbare media of beperkings op die installering van sagteware deur gebruikers – wat help om die gebruik van ongemagtigde sagteware te voorkom – is ook waardevol. Dit is ook van kritieke belang om bekende stelsel- en sagteware-kwesbaarhede betyds te herstel. Dikwels is virusse ontwerp om te soek na ongeklaarde stelsels en sagteware waarin bekende kwesbaarhede kan voorkom. Dit is belangrik dat enige wanwarebeskerming op datum gehou word, beide in terme van relevante "handtekeninglêers" en die sagteware self.

Wat is die doel van Aanhangsel A.12.3?

Bylae A.12.3 handel oor rugsteun. Die doel is om te beskerm teen verlies van data.

A.12.3.1 Rugsteun van inligting

Om die waardevolle inligting teen verlies te beskerm, beskryf 'n goeie kontrole hoe rugsteunkopieë van inligting, sagteware en stelselbeelde geneem en gereeld getoets moet word in ooreenstemming met 'n ooreengekome rugsteunbeleid.

Rugsteunregimes moet ontwerp word volgens besigheidsvereistes en risikovlakke wat verband hou met onbeskikbaarheid van inligting, so dit is belangrik om te verseker dat sulke regimes wel werklike behoeftes ondersteun eerder as om bloot "ons doen rugsteun" te wees. Wanneer rugsteun geneem word, moet die inligting minstens op dieselfde vlak as die lewendige data beskerm word en moet dit weg van die lewendige omgewing gestoor word om die risiko te verminder dat 'n enkele kompromie beide die lewendige omgewing en die rugsteun afneem.

Gereelde toetsing van rugsteun is van kardinale belang om te verseker dat herstelwerk suksesvol sal wees en betyds bereik sal word. Monitering en optekening van rugsteun moet geïmplementeer word om te verseker dat dit in ooreenstemming met die rugsteunbeleid plaasvind. Slim ouditeure sal verslae wil sien oor mislukte rugsteun en toetse wat gedoen word om te verseker dat hulle werk soos verwag. Rugsteunbeleide moet oorweeg word rondom wat, waar vandaan en waarheen, wie, wanneer – met inagneming van kantoor- en huiswerkers, selfoon, ens. waar daar oorwegings is oor mobiele en verwyderingsberging-rugsteun wat verhoogde risiko's inhou in die geval van verlies wat mag wees aangespreek deur enkripsie of ander kontroles.

Wat is die doel van Aanhangsel A.12.4?

Bylae A.12.4 handel oor aanteken en monitering. Die doel in hierdie Bylae A-area is om gebeurtenisse op te teken en bewyse te genereer.

A.12.4.1 Gebeurtenisregistrasie

Gebeurtenislogboeke wat gebruikersaktiwiteite, uitsonderings, foute en inligtingsekuriteitsgebeurtenisse aanteken, moet gereeld geproduseer, gehou en hersien word. Teken- en moniteringsmeganismes vorm 'n belangrike deel van 'n "verdediging-in-diepte" strategie vir sekuriteitsbestuur deur beide speur- en ondersoekvermoëns te verskaf. Gebeurtenisloglêers van alle soorte, bv. stelsellogboeke, toegangsbeheerloglêers, ens., kan vereis word, veral met betrekking tot voorvalbestuur en ouditering. Logs sal dikwels potensieel groot hoeveelhede inligting moet stoor, so dit is belangrik dat kapasiteitsoorwegings gemaak word.

A.12.4.2 Beskerming van loginligting

Tekenfasiliteite en loginligting moet beskerm word teen gepeuter en ongemagtigde toegang. Dit is ook van kritieke belang om te verseker dat logs op 'n veilige en peutervrye wyse gestoor word sodat enige bewyse wat daaruit verkry is, op 'n bewysbare wyse bewys kan word. Dit is veral belangrik in enige vorm van regsgedinge wat verband hou met bewyse uit die logboek. Omdat logs potensieel groot hoeveelhede sensitiewe data bevat, is dit belangrik dat hulle voldoende beskerm en beveilig word. Dit is ook belangrik om in ag te neem dat indien die logboeke persoonlik identifiseerbare inligting bevat, wat hulle byna seker sal sal, soos gebruikers-ID en die aksies wat deur daardie UID uitgevoer word, hulle waarskynlik onder die vereistes van databeskerming en privaatheidswetgewing sal val, insluitend databehoud .

A.12.4.3 Administrateur- en operateurlogboeke

'n Goeie kontrole beskryf hoe enige stelseladministrateur en stelseloperateuraktiwiteite aangeteken moet word en die logboeke beskerm en gereeld hersien moet word. Spesiale oorweging moet gegee word aan groter vlakke van aanteken vir bevoorregte rekeninge soos stelseladministrateurs en operateurs.

A.12.4.4 Kloksinkronisasie

Die horlosies van alle relevante inligtingverwerkingstelsels binne 'n organisasie of sekuriteitsdomein moet met 'n enkele verwysingstydbron gesinchroniseer word. Stelselkloksinchronisasie is belangrik, veral wanneer gebeure as deel van 'n ondersoek of regsprosedure bewys word, aangesien dit dikwels onmoontlik of baie moeilik is om "oorsaak en gevolg" te bewys as horlosies nie korrek gesinchroniseer is nie. Die ouditeur sal spesiale aandag gee om te verseker dat dit gedoen is.

Wat is die doel van Aanhangsel A.12.5?

Bylae A.12.5 handel oor beheer van operasionele sagteware. Die doelwit in hierdie Bylae A-gebied is om die integriteit van bedryfstelsels te verseker.

A.12.5.1 Installering van sagteware op bedryfstelsels

Prosedures moet geïmplementeer word om die installering van sagteware op bedryfstelsels te beheer. Soos met enige sekuriteitsverwante beheer is dit belangrik dat die installering van sagteware op bedryfstelsels formeel beheer word. Alhoewel dit nie altyd moontlik is nie, veral in klein organisasies, bly die beginsel waar. Kwessies wat verband hou met die onvanpaste installering of verandering van sagteware op bedryfstelsels kan insluit; wanware-geïnfekteerde sagteware wat geïnstalleer word; Kapasiteitskwessies; of Sagteware wat dit moontlik maak dat kwaadwillige insideraktiwiteite geïnstalleer word (bv. inbraaknutsgoed). Behalwe om die installering van sagteware op bedryfstelsels te beperk en te beperk, is dit ook belangrik om die wettige installasie formeel te beheer.

Dit is goeie praktyk om waar moontlik te verseker dat bv; Formele veranderingsbestuur het plaasgevind, insluitend toepaslike vlakke van magtiging; Terugrolprosedures is in plek; en Vorige weergawes van sagteware en veranderingsgeskiedenis word veilig bewaar. Elke verandering moet beide die besigheidsvereistes en die sekuriteitsvereistes en risiko's in ag neem in ooreenstemming met formele veranderingsbestuursprosedures. Die ouditeur sal verwag om rekords te sien van sagtewareveranderings en installasies wat gehou is, wat hulle sal wil inspekteer/monster.

Wat is die doel van Aanhangsel A.12.6?

Bylae A.12.6 handel oor tegniese kwesbaarheidsbestuur. Die doel in hierdie Bylae A-gebied is om uitbuiting van tegniese kwesbaarhede te voorkom.

A.12.6.1 Bestuur van Tegniese Kwesbaarhede

Inligting oor tegniese kwesbaarhede van inligtingstelsels wat gebruik word, moet betyds verkry word, die organisasie se blootstelling aan sulke kwesbaarhede geëvalueer en toepaslike maatreëls getref word om die gepaardgaande risiko aan te spreek. Enige kwesbaarheid is 'n swakheid in sekuriteitsbeskerming en moet doeltreffend en doeltreffend hanteer word waar risikovlakke onaanvaarbaar is. Tegniese kwesbaarhede was die kern van baie groot sekuriteitsoortredings wat in die media aangemeld is (en dié wat nie is nie!) en daarom is dit noodsaaklik dat formele bestuurde proses op 'n voldoende en proporsionele vlak in plek is.

Daar moet 'n balans wees tussen die sekuriteitsvereiste van die implementering van kwesbaarheidregstellings so vinnig as moontlik en die sekuriteitsvereiste van die toets van pleisters voldoende om voortgesette beskikbaarheid en integriteit van stelsels te verseker en die minimalisering van onversoenbaarheid. Bewustheid kan ook 'n belangrike rol speel en dit is dus sinvol om 'n kommunikasiestrategie te hê wat verband hou met die opdatering van gebruikers wanneer kwesbaarhede bestaan ​​wat tot 'n mate deur gebruikersgedrag bestuur kan word. Die ouditeur sal verwag om te sien dat prosesse vir die identifisering en opsporing van kwesbaarhede in plek is, veral op kritieke stelsels of dié wat sensitiewe of geklassifiseerde inligting verwerk of berg.

A.12.6.2 Beperkings op sagteware-installasie

Reëls wat die installering van sagteware deur gebruikers beheer, moet vasgestel en geïmplementeer word. Hierdie beheer hou verband met die beperking van die vermoë van gebruikers om sagteware te installeer, veral op plaaslike toestelle (werkstasies, skootrekenaars, ens.). Die installering van sagteware deur gebruikers veroorsaak 'n aantal bedreigings en kwesbaarhede, insluitend die bedreiging van die bekendstelling van wanware en die potensiële oortreding van sagtewarelisensiëring/IPR-wette. Ideaal gesproke sal gebruikers nie enige sagteware op organisatoriese toerusting kan installeer nie, maar daar kan besigheids- of praktiese redes wees waarom dit nie moontlik is nie.

Waar volle beperking nie moontlik is nie, is dit goeie praktyk om die sagteware wat geïnstalleer mag word, te "witlys". Die ouditeur sal nagaan om te sien watter beperkings op die installering van sagteware deur gebruikers geplaas is. Dan, waar volle beperking nie geïmplementeer word nie, sal hulle bewyse wil sien dat die risiko's volledig geassesseer is en waar moontlik aanvullende kontroles soos gereelde sagteware-oudits geïmplementeer is en gereeld gebruik word.

Wat is die doel van Aanhangsel A.12.7?

Bylae A.12.7 handel oor inligtingstelsels en ouditoorwegings. Die doel in hierdie Bylae A-area is om die impak van ouditaktiwiteite op bedryfstelsels te minimaliseer.

A.12.7.1 Inligtingstelselouditkontroles

Ouditvereistes en aktiwiteite wat die verifikasie van bedryfstelsels behels, moet noukeurig beplan en ooreengekom word om ontwrigtings in die besigheidsprosesse te minimaliseer. Wanneer toetse en ouditaktiwiteite (bv. kwesbaarheidskanderings, penetrasietoetse, ens.) op bedryfstelsels uitgevoer word, moet oorweging gegee word om te verseker dat bedrywighede nie negatief beïnvloed word nie. Daarbenewens moet die omvang en diepte van toetsing gedefinieer word. Enige sodanige ouditering of toetsing van bedryfstelsels moet deur 'n formele en toepaslik gemagtigde proses geskied. Die ouditeur sal bewyse soek dat die skedulering van toetse en die vlak van toetsing ooreengekom en deur 'n formele proses gemagtig is.