ISO 27001 – Bylae A.16: Bestuur van inligtingsekuriteitsinsidente

Wat is die doel van Aanhangsel A.16.1?

Bylae A.16.1 handel oor die bestuur van inligtingsekuriteitsinsidente, gebeure en swakhede. Die doelwit in hierdie Bylae A-area is om 'n konsekwente en doeltreffende benadering tot die lewensiklus van voorvalle, gebeure en swakhede te verseker. ISO 27001:2013 spreek die lewensiklus duidelik aan deur A.16.1.1 tot A.16.1.7 en dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS), veral as jy ISO 27001-sertifisering wil behaal. Kom ons verstaan ​​nou daardie vereistes en wat dit beteken in 'n bietjie meer diepte.

A.16.1.1 Verantwoordelikhede en prosedures

'n Goeie kontrole beskryf hoe bestuur verantwoordelikhede en prosedures daarstel ten einde 'n vinnige, effektiewe en ordelike reaksie te verseker om swakhede, gebeure en sekuriteitsinsidente aan te spreek. In eenvoudige terme is 'n voorval waar een of ander vorm van verlies plaasgevind het rondom vertroulikheid, integriteit of beskikbaarheid.

'n Voorbeeld is waar 'n venster oopgelaat is en 'n dief 'n belangrike lêer gesteel het wat op die lessenaar gesit het ... Na aanleiding van daardie draad is 'n gebeurtenis waar die venster oopgelaat is, maar niemand het die lêer gesteel nie. 'n Swakheid is dat die venster maklik gebreek of oud is en 'n ooglopende plek vir inbraak kan wees. 'n Swakheid is ook 'n algemene risikobestuur- of verbeteringsgeleentheid.

Die prosedures vir insident-, gebeurtenis- en swakheidsreaksiebeplanning sal duidelik gedefinieer moet word voordat 'n voorval plaasvind en deur jou leierskap goedgekeur moet word. Daardie prosedures is redelik maklik om te ontwikkel omdat die res van hierdie Bylae A-kontrole hulle uitspel. Jou ouditeur sal verwag om al hierdie formele, gedokumenteerde prosedures in plek te sien, en bewyse dat hulle werk.

A.16.1.2 Rapporteer inligtingsekuriteitsgebeurtenisse

’n Goeie beheer hier verseker dat inligtingsekuriteitsinsidente en -gebeure so gou moontlik deur geskikte bestuurskanale aangemeld kan word.

Werknemers en geassosieerde belanghebbende partye (bv. verskaffers) moet bewus gemaak word van hul verpligtinge om sekuriteitsinsidente aan te meld en jy moet dit dek as deel van jou algemene bewusmaking en opleiding. Om dit goed te kan doen, sal hulle bewus moet wees van presies wat 'n inligtingsekuriteitswakheid, gebeurtenis of insident uitmaak, so wees duidelik daaroor, gebaseer op die eenvoudige voorbeeld hierbo. Indien 'n inligtingsekuriteitsgebeurtenis plaasvind of vermoedelik plaasgevind het, moet dit onmiddellik aan die genomineerde inligtingsekuriteitsadministrateur gerapporteer word en dit moet dienooreenkomstig gedokumenteer word.

Sommige van die moontlike redes om 'n sekuriteitsvoorval aan te meld, sluit in; oneffektiewe sekuriteitskontroles; veronderstelde skendings van inligtingsintegriteit of vertroulikheid, of beskikbaarheidskwessies, bv. om nie toegang tot 'n diens te kry nie.

Die ouditeur sal wil sien en sal 'n steekproef neem vir bewyse van bewustheid van wat 'n swakheid, gebeurtenis of insident onder algemene personeel uitmaak, en die bewustheid van insidentverslagdoeningsprosedures en -verantwoordelikhede.

A.16.1.3 Rapportering van swakhede in inligtingsekuriteit

Hierdie beheer bou bloot op voorvalle en gebeure, maar kan effens anders hanteer word sodra dit aangemeld is (sien A.16.1.4). Dit is noodsaaklik vir werknemers om bewus te wees van die feit dat wanneer hulle 'n sekuriteitswakheid ontdek, hulle nie moet probeer om daardie swakheid te bewys nie. , as toetsing kan dit geïnterpreteer word as 'n misbruik van die stelsel, terwyl dit ook die risiko loop om die stelsel en sy gestoorde inligting te beskadig, wat sekuriteitsinsidente veroorsaak!

A.16.1.4 Assessering van en besluit oor inligtingsekuriteitsgebeurtenisse

Inligtingsekuriteitsgebeurtenisse moet beoordeel word en dan kan besluit word of dit as inligtingsekuriteitsinsidente, gebeurtenisse van swakhede geklassifiseer moet word. Sodra 'n sekuriteitsgebeurtenis gerapporteer is en daarna aangeteken is, sal dit dan geassesseer moet word om te bepaal wat die beste manier is om te neem. Hierdie aksie moet daarop gemik wees om enige kompromie van die beskikbaarheid, integriteit of vertroulikheid van inligting te minimaliseer en teen verdere voorvalle te voorkom. Ideaal gesproke sal dit die minimum impak op ander gebruikers van die dienste hê. Oorweging van presies wie van die voorval bewus gemaak moet word, intern, kliënte, verskaffers, reguleerders kan ook in hierdie deel van die lewensiklus plaasvind.

GDPR en die Databeskermingswet 2018 beteken dat sommige inligtingsekuriteitsvoorvalle met betrekking tot persoonlike data ook aan die Toesighoudende Owerheid gerapporteer moet word, so jou kontroles moet ook in hierdie oorwegings aansluit om aan regulatoriese vereistes te voldoen en duplisering of leemtes in werk te vermy.

A.16.1.5 Reaksie op inligtingsekuriteitsinsidente

Dit is altyd goed om eienaars toe te wys, duidelik te wees oor aksies en tydskale, en soos met alles vir ISO 27001, behou die inligting vir ouditdoeleindes (ook noodsaaklik as jy ander belanghebbendes en reguleerders het om te oorweeg). Die individu wat in beheer geplaas is om die sekuriteitsgebeurtenis te hanteer, sal verantwoordelik wees vir die herstel van 'n normale vlak van sekuriteit terwyl ook;

• die insameling van bewyse so gou as moontlik na die voorval;
• die uitvoer van 'n inligtingsekuriteit forensiese analise (groot term, maar ten minste duidelik oor die oorsaak en verwante aspekte of wat gebeur het en wie betrokke was, hoekom ens);
• eskalasie, indien nodig, byvoorbeeld na relevante reguleerders;
• om te verseker dat alle betrokke reaksie-aktiwiteite behoorlik aangeteken word vir latere ontleding;
• om die bestaan ​​van die inligtingsekuriteitsvoorval of enige relevante besonderhede aan die leierskap te kommunikeer sodat hulle verder aan verskeie individue of organisasies gekommunikeer kan word op 'n behoefte-om-te-weet-basis; en
• hantering van inligtingsekuriteitswakhede wat gevind is om die voorval te veroorsaak of daartoe by te dra.

A.16.1.6 Leer uit inligtingsekuriteitsinsidente

Dit is 'n belangrikheidskontrole, en jou beleid moet demonstreer dat kennis wat verkry is uit die ontleding en oplossing van inligtingsekuriteitsinsidente gebruik sal word om te help om die waarskynlikheid of impak van enige toekomstige voorvalle te verminder. As deel van die verbintenis tot deurlopende diensverbetering, behoort jy te verseker dat jy uit die lesse van enige sekuriteitsinsident leer om dus te help om die ISMS te ontwikkel en aan te pas om te voldoen aan die veranderende landskap waarin gewerk word.

Sodra 'n voorval opgelos is, moet dit in 'n status van hersiening en leer geplaas word, waar die hoofreaksie vir daardie voorval enige veranderinge wat as gevolg daarvan aan die prosesse van die ISMS-beleide vereis word, sal bespreek. Enige relevante aanbevelings moet dan aan die ISMS-raad voorgelê word vir verdere bespreking. Sodra die hersiening en leer voltooi is, opdaterings aan die beleide gemaak is soos vereis, moet die betrokke personeel in kennis gestel word en heropgelei word indien nodig, en die siklus van inligtingsekuriteitbewustheid en -opvoeding gaan voort.

A.16.1.7 Insameling van bewyse

Die organisasie moet beheermaatreëls definieer en toepas vir die identifisering, versameling, verkryging en bewaring van inligting, wat as bewyse gebruik kan word, veral as daar waarskynlik kriminele of siviele verrigtinge uit die voorval sal plaasvind.

Waar die organisasie vermoed of weet dat 'n veiligheidsvoorval regs- of dissiplinêre stappe tot gevolg kan hê, moet hulle die insameling van bewyse versigtig uitvoer, 'n goeie ketting van bewaring verseker en enige dreigement om deur swak bestuur uitgevang te word vermy.

Dit is sinvol om inligtingsekuriteitvoorvalbestuur ook duidelik aan dissiplinêre prosedures te koppel. Almal moet weet om voorsorgmaatreëls te tref en ook duidelik te wees oor die gevolge vir diegene wat versuim om dit ernstig op te neem.