Gepubliseer in Januarie 2015, ISO / IEC 27040:2015 bied omvattende tegniese leiding oor hoe organisasies 'n aanvaarbare vlak van risikovermindering moet identifiseer deur 'n goed bewese, konsekwente benadering tot databerging sekuriteit voorbereiding, ontwerp, dokumentasie en implementering.
Dit het ten doel om algemene te illustreer risiko's wat verband hou met die sekuriteit, eerlikheid en beskikbaarheid van data oor verskillende inligtingstoortegnologieë. ISO 27040 moedig ook organisasies aan om hul beskerming van sensitiewe inligting te versterk met voldoende inligtingsekuriteitskontroles. Die norm help ook om versekering te verbeter deur byvoorbeeld assesserings of oudits van aan te moedig inligting-sekuriteit maatreëls wat gestoor inligting beskerm.
Bergingsekuriteit verwys na die beskerming van data waar dit gestoor word. Bergingsekuriteit hou ook verband met die verdediging van die oordrag van inligting deur kommunikasieskakels wat met die berging verband hou. Sekuriteitberging sluit in:
Die beskerming van data is 'n versameling parameters en instellings wat databronne toeganklik en ontoeganklik maak vir ander entiteite vir goedgekeurde gebruikers en vertroude netwerke. Dit kan verwys na hardeware, programmering, kommunikasieprotokolle en organisatoriese beleid.
Daar is 'n paar kwessies wat van kritieke belang is wanneer 'n sekuriteitsproses vir stoorareanetwerk (SAN) oorweeg word. Gestoorde data moet geredelik beskikbaar wees vir gemagtigde individue, entiteite en organisasies. Dit moet ook uitdagend wees vir moontlike kuberkrakers om die stelsel uit te buit. Die infrastruktuur moet betroubaar en stabiel wees oor verskillende omgewings en gebruiksvolumes heen.
Aanlyn bedreigings soos virusse, wurms, trojans en ander kwaadwillige kode moet altyd beskerm word. Sensitiewe inligting moet beveilig word. Onnodig stelsels moet verwyder word om moontlike sekuriteitsgapings uit te skakel. Die aansoekverskaffer moet gereeld installeer opdaterings vir die bedryfstelsel. Duplisering in die vorm van ekwivalent (of weerspieël) bergingsmedia kan help om katastrofiese verlies van data te voorkom as 'n onvoorsiene mislukking plaasvind. Alle gebruikers moet wees bewus van die riglyne en beleide verband hou met die gebruik van 'n beheernetwerk.
Twee komponente kan help om die werkverrigting van bergingsveiligheidsmetodologie te bepaal. Eerstens moet stelselimplementeringskoste 'n klein fraksie van die veilige datawaarde wees. Tweedens behoort dit meer in terme van geld en/of tyd te kos om die stelsel te oortree as wat veilige data werd is.
Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
ISO / IEC 27040:2015 is die eerste internasionale spesifikasie wat 'n wye reeks bergingssekuriteitskwessies aanspreek. Navorsing het in die herfs van 27040 oor ISO/IEC 2010 begin, wat die SC27-konferensie daardie jaar voorafgegaan het. Die projek is op 'n verlengde sperdatum geplaas, wat 48 maande verskaf het om die standaard te vestig. Die ISO/IEC 27040-standaard is op 5 Januarie 2015 vrygestel.
'n Hersieningsprojek vir ISO 27040 is in 2020 begin. Die projek het die volgende doelwitte gehad:
'n Beduidende komponent van ISO/IEC 27040-standaard is gefokus op die definisie van sekuriteitskontroles vir verskeie bergingstelsels en argitekture. Dit bevat die volgende:
Die bibliografie is een van die mees uitgebreide versamelings van datasekuriteitsverwysings. Hieronder is die definisies van sommige kernterme vir ISO 27040.
ISO/IEC 27040:2015 sal uiteindelik vervang word deur ISO/IEC WD 27040. Die bygewerkte standaard sal voldoen aan ISO se Volhoubare Ontwikkelingsdoelwitte 9 en 12.
Doelwit 9 Nywerheid, innovasie en infrastruktuur streef daarna om 'n robuuste infrastruktuur te bou, wat inklusiewe en volhoubare groei bevorder en innovasie bevorder. Terwyl Doelwit 12, verantwoordelike verbruik en produksie, poog om volhoubare verbruik en produksiepatrone te skep.
Bespreek 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.
In inligtingsekuriteit is verifikasie die handeling om te bevestig of iemand of iets werklik is wie of wat hulle beweer om te wees. Stawing verifieer 'n persoon, proses of toestel se identiteit, soms as 'n voorvereiste vir toegang tot hulpbronne in 'n inligtingstelsel.
Daar is drie tipes verifikasie:
Enkelfaktor-verifikasie, wat dikwels primêre verifikasie genoem word, is die eenvoudigste metode van verifikasie.
Enkelfaktor-verifikasie vereis slegs een verifikasiemeganisme (soos wagwoord, sekuriteitspen, ens.) om toegang tot 'n stelsel of diens te verkry. Alhoewel hierdie benaderings meer toeganklik is, is dit dikwels gekoppel aan minder sekuriteitspraktyke. Dit is omdat hulle maklik kan wees geïdentifiseer of gesteel in data-oortredings, uitvissing of keylogging-aanvalle. Twee-faktor-verifikasie (2FA) voeg bykomende kompleksiteit by. 2FA benodig 'n tweede komponent om identiteit te bevestig. Tipiese gebruike sluit in geregistreerde rekenaartokens, eenmalige wagwoorde of PIN's.
Die blote bestaan van twee gebruikersverifikasiemetodes verhoog u algehele sekuriteit dramaties, aangesien 2FA 80% van data-oortredings sal versag. Alhoewel 2FA se sekuriteitsvoordele welbekend is, is gebruik 'n wydverspreide probleem. Sedert Google die eerste keer die opsie geïmplementeer het om 2FA by gebruikersrekeninge te voeg, het minder as 10 persent van gebruikers 2FA in 7 jaar aangeneem. Een van die oorsake waarom hulle nie 2FA gebruik het nie, was as gevolg van die ergernis wat dit vir gebruikers veroorsaak het, wat sê dat minder as 10% van gebruikers wat probeer het om 2FA te gebruik, nie die SMS-bevestigingskode korrek ingevoer het nie.
Multi-Factor Authentication (MFA) is verreweg die mees gevorderde stawingsmeganisme. Dit gebruik twee of meer onafhanklike veranderlikes om gebruikers toegang tot 'n stelsel toe te laat. In standaard gevalle, MFA benaderings om ten minste 2 of 3 kategorieë te gebruik:
Toegangsbeheer is die doelbewuste beperking van toegang tot 'n ligging, webwerf of ander hulpbronne en bates. Toegang kan verwerking, besoek of gebruik van 'n bate behels. Toestemming om toegang tot 'n bate te verkry word na verwys as magtiging.
Magtiging is 'n beskermingsmetode wat gebruik word om gebruiker-/kliëntregte of toegangsvlakke te definieer wat verband hou met hulpbronne, insluitend rekenaarprogramme, gidse, dienste, inligting en programkenmerke. Magtiging word gewoonlik gevolg deur verifikasie van gebruikersidentiteit.
Ons het gevoel soos ons het
die beste van twee wêrelde. Ons was
ons kan gebruik
bestaande prosesse,
& die Aanneem, Pas aan
inhoud het ons nuut gegee
diepte aan ons ISMS.
'n SED is 'n self-enkripteer hardeskyf wat 'n vorm van hardeskyf is wat data outomaties en deurlopend enkripteer sonder gebruikersingryping. 'n Self-enkripteer-aandrywer het gewoonlik 'n stroombaan wat in die skyfaandrywer-kontroleerderskyfie ingebou is. Hierdie skyfie kodeer alle data na die magnetiese media en dekripteer alle data outomaties weer.
Verbasend genoeg is 'n redelike hoeveelheid hardeskywe wat tans op die mark is, SED's. Aangesien vervaardigers dit nie as 'n beduidende kenmerk beskou nie, gaan dit dikwels verlore in ander algemeen meer beduidende aspekte. Selfs wanneer jy 'n SED-skyf koop, installeer en begin gebruik, is die enkripsie outomaties, so dit is onwaarskynlik dat die gebruiker sal besef dat die skyf 'n SED is.
Hierdie enkripsieproses word bereik deur 'n unieke en ewekansige data-enkripsiesleutel (DEK) te gebruik wat die aandrywer benodig om die data te enkripteer en te dekripteer. Wanneer die data na die skyf geskryf word, word dit eers deur die DEK geënkripteer. Net so, sodra inligting op die stasie gelees is, dekripteer die DEK dit voordat dit na die res van die toestel gestuur word.
Hierdie proses verseker dat al die inligting op die skyf deurgaans geïnkripteer is. Een interessante tegniek wat hiermee bereik kan word, is om 'n hardeskyf feitlik onmiddellik en heeltemal uit te vee. Al wat 'n gebruiker sal doen, is om die SED te vertel om 'n nuwe DEK te skep, dan sal al die data op die skyf dadelik brabbel word en is feitlik onherstelbaar. Dit is as gevolg van die sleutel wat nodig is om die data te dekripteer nie meer beskikbaar is nie. So as jy nodig het om gerieflik en maak 'n rit veilig skoon voor herontplooiing of wegdoening, SED's bied 'n vinnige en betroubare manier om dit te doen. Hierdie handeling word 'n verskeidenheid name genoem op grond van die vervaardiger, maar dit word meestal na verwys as "Secure Erase."
Sanitisering is die tegniese term om te verseker dat data wat aan die einde van die gebruik daarvan op stoor gelaat word, onbeskikbaar gemaak word. Sanitisering verseker dat 'n organisasie nie data oortree wanneer bergingstoestelle hergebruik, verkoop of weggegooi word nie.
Sanitisering kan verskillende vorme aanneem, afhangende van beide inligtingsensitiwiteit en die hoeveelheid moeite wat 'n potensiële teenstander kan spandeer om data te probeer herwin. Metodes wat in ontsmetting gebruik word, wissel van bloot oorskryf, vernietiging van kriptografiese sleutels vir geïnkripteer lêers, tot fisiese vernietiging van die stoortoestel.
Die omvang van ISO 27040 dek:
Daarbenewens dek ISO 27040 die sekuriteit van die inligting wat oorgedra word oor die kommunikasieskakels wat met berging geassosieer word.
Die standaard beskryf inligtingsrisiko's wat verband hou met databerging, en kontroles om die risiko's te versag.
Ten spyte van die verhoogde kapasiteit van persoonlike rekenaars en departementele werkstasies, bly afhanklikheid van gesentraliseerde datasentrums as gevolg van data-integrasiebehoeftes, datakontinuïteit en datakwaliteit. Met 'n aansienlike toename in noodsaaklike datavolumes, het baie maatskappye berginggesentreerde raamwerke vir hul IKT-infrastruktuur omhels. Gevolglik speel bergingsekuriteit 'n belangrike rol in die beskerming van hierdie inligting en dien dit as die laaste verdedigingslinie teen eksterne en interne bedreigings in baie situasies.
Die ontwerp van bergingsekuriteitsoplossings word deur kritieke sekuriteitskonsepte beïnvloed wanneer datasensitiwiteit, kritiekheid en koste oorweeg word. Klousule 6 van die ISO 27040, Ondersteunende kontroles, gee leiding oor die implementering van stoor-relevante kontroles in die geboude oplossing.
Die advies word verder geskei in:
Die ontwerp- en implementeringskwessies sluit ook in:
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Aangesien ISO/IEC 27040:2015 'n oorsig van bergingsekuriteitskonsepte bied, bevat die standaard leiding oor die bedreiging, ontwerp en kontroles wat verband hou met tipiese bergingscenario's en bergingstegnologie-areas wat deur verskeie ander ISO-standaarde aangevul word. Dit verskaf ook verwysings na verskillende standaarde wat bestaande praktyke en tegnieke aanspreek wat op bergingsekuriteit toegepas kan word.
ISO / IEC 27040 verskaf sekuriteitsriglyne vir bergingstelsels en -omgewings en databeskerming in hierdie stelsels. Dit ondersteun algemene ISO / IEC 27001 beginsels. ISO / IEC 27040 verskaf ook duidelike, omvattende riglyne oor implementering wat verband hou met bergingsekuriteit vir universele sekuriteitsprotokolle gedefinieer in ISO / IEC 27002, om 'n paar te noem.
ISO 27040 bied riglyne vir die implementering van inligtingsekuriteitstegnologieë binne die bergingsnetwerkbedryf en advies oor die aanvaarding van inligtingversekering vir bergingstelsels, asook oor databeskerming en sekuriteitskwessies.
Alhoewel dit dikwels oor die hoof gesien word, is bergingbeskerming belangrik vir almal wat betrokke is by databergingstoestelle, media en netwerke wat besit, loop of gebruik. Dit sluit senior bestuurders, bergingsproduk- en -diensverkrygers en ander nie-tegniese bestuurders of gebruikers in, sowel as bestuurders en administrateurs wat die individuele verantwoordelikheid vir inligtingsekuriteit of bergingsekuriteit het, of wat vir die algehele inligtingsekuriteit en sekuriteitsbeleidimplementering. Dit is ook van toepassing op diegene wat betrokke is by die beplanning, ontwerp en implementering van berging netwerk sekuriteit argitektoniese aspekte.
Hierdie standaard se voorstanders het gedink dat die inligtingbeskermingsdimensies van databergingstelsels en -netwerke geïgnoreer is weens wanopvattings en 'n gebrek aan ervaring met bergingstegnologieë, of 'n beperkte kennis van inherente risiko's of sekuriteitsbeginsels.
ISMS.online maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
ISO 27040 bestaan uit sewe kort klousules en drie bylaes. ISO / IEC 27040-ontwikkelaars het nie beplan dat alle instruksies gevolg moet word nie, wat lei tot die insluiting van die drie aanhangsels. Relevante ontsmettingsbesonderhede word in 'n stel tabelle in Aanhangsel A. Bylae B is ontwerp om organisasies te help om toepaslike kontroles te kies gebaseer op datasensitiwiteit (hoog of laag) of sekuriteitsdoelwitte gebaseer op die CIA-triade.
Een van die probleme met die ontwerp van ISO / IEC 27040 was dat daar twee afsonderlike gehore was: bergingspersoneel en sekuriteitspersoneel. Bylae C bevat waardevolle tutoriaalkennis vir beide groepe oor:
100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering