ISO 27001 – Bylae A.13: Kommunikasiesekuriteit

Wat is die doel van Aanhangsel A.13.1?

Bylae A.13.1 handel oor netwerksekuriteitbestuur. Die doel van hierdie aanhangsel is om die beskerming van inligting in netwerke en die ondersteunende inligtingverwerkingsfasiliteite daarvan te verseker. Dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS), veral as jy ISO 27001-sertifisering wil behaal.

A.13.1.1 Netwerkkontroles

Netwerke moet bestuur en beheer word om inligting binne stelsels en toepassings te beskerm. In eenvoudige terme, moet die organisasie toepaslike metodes gebruik om te verseker dat dit enige inligting binne sy stelsels en toepassings beskerm. Hierdie netwerkbeheermaatreëls moet alle bedrywighede van die besigheid noukeurig oorweeg, voldoende en proporsioneel ontwerp word, en geïmplementeer word volgens besigheidsvereistes, risikobepaling, klassifikasies en segregasievereistes soos toepaslik.

Enkele moontlike voorbeelde van tegniese kontroles vir oorweging kan insluit; Verbindingsbeheer en eindpuntverifikasie, brandmure en inbraakdetectie/voorkomingstelsels, toegangsbeheerlyste en fisiese, logiese of virtuele segregasie. Dit is ook belangrik om die feit af te dwing dat wanneer u aan openbare netwerke of dié van ander organisasies buite organisatoriese beheer koppel, die verhoogde risikovlakke in ag geneem moet word en om hierdie risiko's te bestuur met bykomende beheermaatreëls soos toepaslik.

Jy sal in gedagte moet hou dat die ouditeur sal kyk om te sien dat hierdie geïmplementeerde beheermaatreëls doeltreffend en toepaslik bestuur word, insluitend die gebruik van formele veranderingsbestuursprosedures.

A.13.1.2 Sekuriteit van netwerkdienste

Sekuriteitsmeganismes, diensvlakke en bestuursvereistes van alle netwerkdienste moet geïdentifiseer word en ingesluit word in netwerkdiensooreenkomste, of hierdie dienste in-huis of uitgekontrakteer word. In eenvoudige terme, moet die organisasie al die verskillende sekuriteitsmaatreëls wat hy neem om sy netwerkdienste te beveilig, in sy netwerkdiensooreenkomste insluit. Jou ouditeur sal wil sien dat die ontwerp en implementering van netwerke beide die besigheidsvereistes en sekuriteitsvereistes in ag neem, om 'n balans te bereik wat voldoende en eweredig aan beide is. Hulle sal na bewyse hiervan soek, saam met bewyse van 'n risikobepaling.

A.13.1.3 Segregasie in netwerke

Groepe inligtingsdienste, gebruikers en inligtingstelsels moet op netwerke geskei word. Oorweeg waar moontlik om pligte van netwerkbedrywighede en rekenaar-/stelselbedrywighede te skei, bv. publieke domeine, dept x- of y-domeine. Die netwerkontwerp en beheer moet ooreenstem met en ondersteun inligtingklassifikasiebeleide en segregasievereistes.

Wat is die doel van Aanhangsel A.13.2?

Bylae A.13.2 handel oor inligtingsoordrag. Die doel in hierdie aanhangsel is om die sekuriteit van inligting wat binne die organisasie en met enige eksterne entiteit oorgedra word, te handhaaf, bv. 'n kliënt, verskaffer of ander belanghebbende party.

A.13.2.1 Beleide en prosedures vir inligtingoordrag

Formele oordragbeleide, prosedures en kontroles moet in plek wees om die oordrag van inligting te beskerm deur die gebruik van alle soorte kommunikasiefasiliteite. Watter tipe kommunikasiefasiliteit ook al in gebruik is, dit is belangrik om die sekuriteitsrisiko's wat betrokke is met betrekking tot die vertroulikheid, integriteit en beskikbaarheid van die inligting te verstaan ​​en dit sal die tipe, aard, hoeveelheid en sensitiwiteit of klassifikasie van die inligting in ag moet neem. inligting wat oorgedra word. Dit is veral belangrik om sulke beleide en prosedures te implementeer wanneer inligting van derde partye uit of na die organisasie oorgedra word. Verskillende maar aanvullende kontroles kan nodig wees om inligting wat oorgedra word teen onderskepping, kopiëring, wysiging, verkeerde roetering en vernietiging te beskerm en moet holisties oorweeg word wanneer geïdentifiseer word watter kontroles gekies moet word.

A.13.2.2 Ooreenkomste oor inligtingoordrag

Inligting kan digitaal of fisies oorgedra word en ooreenkomste moet die veilige oordrag van besigheidsinligting tussen die organisasie en enige eksterne partye aanspreek. Formele oordragbeleidsprosedures en tegniese kontroles moet gekies, geïmplementeer, bedryf, gemonitor, geoudit en hersien word om deurlopende doeltreffende sekuriteitsbeskerming te verseker. Dikwels word kommunikasie- en oordragstelsels en -prosedures in plek gestel, sonder 'n werklike begrip van die betrokke risiko's wat dus kwesbaarhede en moontlike kompromie skep. ISO 27002 raak aan implementeringsoorwegings, insluitend oorweging van kennisgewings, naspeurbaarheid, borg, identifikasiestandaarde, bewaringsketting, kriptografie, toegangsbeheer en ander.

A.13.2.3 Elektroniese boodskappe

Enige inligting wat betrokke is by enige vorm van elektroniese boodskappe moet toepaslik beskerm word. In eenvoudige terme, wanneer elektroniese boodskappe gebruik word, moet dit beskerm word om te verseker dat geen ongemagtigde toegang verkry kan word nie. Die organisasie moet 'n beleid skep wat uiteensit watter vorme van elektroniese boodskappe gebruik moet word vir die verskillende tipes inligting wat oorgedra word, bv. oor hoe veilig hulle is. Oorwegings sal ook gemaak moet word vir stem- en fakskommunikasie-oordrag, en fisiese oordrag (bv. via posstelsels). Dit moet ooreenstem met toegangskontroles en ander veilige stawingbeleide en aanmeldprosedures.

A.13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste

’n Goeie kontrole beskryf hoe die vereistes vir vertroulikheid of nie-openbaarmakingsooreenkomste wat die organisasie se behoeftes vir die beskerming van inligting weerspieël, geïdentifiseer, gereeld hersien en gedokumenteer moet word. As sodanig moet die organisasie verseker dat enige inligting wat beskerm moet word, dit gedoen word deur die gebruik van vertroulikheid en nie-openbaarmakingsooreenkomste.

Ooreenkomste is gewoonlik spesifiek vir die organisasie en moet ontwikkel word met sy beheerbehoeftes in gedagte na aanleiding van die risiko-ontledingswerk. Standaardooreenkomste vir vertroulikheid en nie-openbaarmaking wat oorweging hier kan regverdig, sluit in:

• Algemene nie-openbaarmaking en wedersydse nie-openbaarmakingsooreenkomste bv. wanneer sensitiewe inligting gedeel word bv oor nuwe sake-idees.
• Kliënteooreenkomste wat standaardbepalings en voorwaardes gebruik – wat vertroulikheid uitdruk binne die konteks van die gebruik van produkte wat verkoop word en enige aanvullende dienste wat in 'n verwante bestelvorm uiteengesit word.
• Geassosieerde/verskaffer/vennoot-ooreenkomste wat gebruik word vir klein verskaffers en onafhanklike diensverskaffers wat die organisasie gebruik vir die lewering van dienste.
• Diensverwante terme (belyn met A.7).
• Privaatheidsbeleide, bv. vanaf e-posvoetskrifte.