11 нови механизми за контрол в ISO/IEC 27001:2022

Ако отговаряте за системата за управление на сигурността на информацията, вероятно се чудите какво още трябва да направите предвид новото издание на стандарт ISO/IEC 27001:2022.

В тази статия ще обърна внимание на 11 нови механизми за контрол, въведени в ISO/IEC 27001. За обща информация относно промените в ISO/IEC 27001:2022, вижте статия: Какво ново в ISO/IEC 27001:2022?

Кои са 11 нови контроли представени в стандарт ISO/IEC 27001:2022?

• A.5.7 Threat intelligence*
• A.5.23 Information security for use of cloud services
• A.5.30 ICT readiness for business continuity
• A.7.4 Physical security monitoring
• A.8.9 Configuration management
• A.8.10 Information deletion
• A.8.11 Data masking
• A.8.12 Data leakage prevention
• A.8.16 Monitoring activities
• A.8.23 Web filtering
• A.8.28 Secure coding

*Наименованията са представени на английки език, тъй като към датата на написване на публикацията, стандартите не са преведени на български език.

На пръв поглед се забелязва, че някои от тези нови механизми за контрол са много подобни на стари от изданието от 2013 г., въпреки това, тъй като тези контроли са категоризирани като нови в ISO/IEC 27002:2022, в тази статия ще обърна внимание на всяка една от тях.

Като основен източник за тази статия използвах насоките дадени от стандарт ISO/IEC 27002:2022 и ако искате да научите повече за прилагането на маханизмите за контрол ви препоръчвам да го използвате. Имайте предвид, че ISO/IEC 27002 е стандарт който дава насоки, а не поставя изисквания, така че представената информация няма задължителен характер.

И накрая, имайте предвид, че тези механизми за контрол не са задължителни. ISO/IEC 27001 позволява да се изключат контроли, за които на първо място сте установили, че няма свързани рискове и на второ няма законови/регулаторни/договорни изисквания за тяхното прилагане.

И така, нека прегледаме 11-те механизми за контрол по-подробнo.

A.5.7 Threat intelligence

Описание. Тази контрола изисква да се събира информация за заплахи и да се анализира, за да се предприемат подходящи действия за тяхното смекчаване. Тази информация може да бъде за конкретни атаки, за методите и технологиите, които нападателите използват, и/или за тенденциите на атаките. Информацията може да се събира от вътрешни и външни източници.

Действия. Необходимо е да се създаде процес за събиране и анализиране на информацията за заплахи за сигурността, като се определят:

• какви ще бъдат целите на проучването на информацията за заплахи;
• как ще бъдат определени, проверени и избрани източниците на информация – вътрешни и външни;
• как ще се събира информацията от избраните източници;
• каква подготовка на информацията ще е необходима за целите на анализа – превод, формат, потвърждение;
• как ще се извършва анализът на информацията;
• как ще се разпространи информацията на лицата, които имат отношение към нея.

Информацията от анализа е важен входен елемент при оценяването на риска, определянето на превантивни действия(защитни стени, системи за откриване на проникване, прилагане на решения срещу злонамерен софтуер) и за тестване на сигурността.

За да се подобри вътрешния и външния обмен на информация относно заплахите е необходимо:

• служителите да осъзнават важността на изпращането на сигнали за заплахи и да са наясно как и на кого да се съобщава тази информация;
• споделянето на информацията за заплахи с други организации.

В повечето случаи организациите получават и използват информация за заплахи, отколкото да генерират такава. Основните доставчици на такъв вид информация са доставчици на различни решения за защита, правителствени агенции или специализирани групи.

Документация. ISO/IEC 27001:2022 не изисква документирана информация за процеса, но въпреки това можете да включите правила относно събирането и анализа на информацията за заплахите в следните документи:

• политика за сигурност при взаимоотношения с доставчици – как информацията за заплахите се комуникира между организацията и нейните доставчици и партньори;
• политика за управление на инциденти – как информацията за заплахи се комуникира вътрешно в организацията;
• оперативни политики за сигурност – как се събира и обработва информацията за заплахите.

A.5.23 Information security for use of cloud services

Описание. Тази контрола изисква да се определят изискванията за управление на сигурността на информацията при използване на облачни услуги, с цел осигуряване на по-добра защита на информацията в облака. Това включва закупуване, използване, управление и прекратяване на използването на облачните услуги.

Действия. Необходимо е да се създаде процес за използване на облачни услуги, в който да се определят:

• изисквания за сигурност на използването на облачни услуги;
• критериите за избор и обхват на използваните облачни услуги;
• роли и отговорности за използване и управление на облачните услуги;
• кои контроли за сигурност ще се управляват от доставчика и кои от организацията;
• как ще се управляват услугите, когато организацията използва няколко облачни услуги от различни доставчици;
• изисквания при промяна и спиране използването на облачните услуги.

Важен момент тук е да се определи как организацията възнамерява да управлява рисковете за сигурността на информацията, свързани с използването на облачните услуги. Това означава, че е необходимо да се определи и оцени риска от използването на облачни услуги. В тази връзка е необходимо организациите да прегледат споразуменията си с доставчиците на облачни услуги като се обърне внимание на поверителността, целостта и наличността на информацията. В повечето случаи, споразуменията с доставчиците на облачни услуги са предварително дефинирани и не подлежат на договаряне, което може да доведе до смяна на доставчик на облачни услуги, закупуване или настройване на допълнителни функции за сигурност. В ISO/IEC 27002:2022 е описано подробно какво е необходимо да съдържа споразумението с доставчика на облачни услуги, за да се осигури защитата на информацията на организацията.

Не трябва да се забравя да се информират служителите за рисковете за сигурността при използване на облачни услуги и да се обучат как да използват техните функции за сигурност.

Допълнителна информация, свързана с облачните услуги можете да намерите в стандарти:

• ISO/IEC 27017 Информационни технологии. Методи за сигурност. Кодекс за добра практика за управление на сигурността на информацията, базиран на ISO/IEC 27002, за услуги в облак;
• ISO/IEC 27018 Информационни технологии. Методи за сигурност. Кодекс за добра практика за защита на личната информация за идентифициране (ЛИИ) в обществени облаци, действащи като обработващи лични данни.

Документация. ISO/IEC 27001:2022 не изисква документирана информация за процеса, но въпреки това можете да включите правила относно използването на облачни услуги в политиката за сигурност при взаимоотношения с доставчици или в отделна политика, която да се фокусира конкретно върху сигурността при използване на облачни услуги(подходящо за по-големи организации).

A.5.30 ICT readiness for business continuity

Описание. Тази контрола изисква информационната и комуникационната технология(ICT) на организацията да бъде в готовност за потенциални прекъсвания, така че необходимата информация и активи да са налични по време на тези прекъсвания. Това включва планиране, внедряване, поддържане и тестване на готовността.

Действия. Осигуряването на готовност за потенциални прекъсвания е важна част от управление непрекъсността на бизнеса и ако до този момент не сте инвестирали в решения, които да осигуряват устойчивост и резервиране на системите, може да се наложи да въведете такива. Решенията трябва да се планират въз основа на оценката на риска и колко бързо се нуждаете от възстановяване на данните и системите.

Според ISO/IEC 27002:2022 е необходимо извършването на анализ на въздействието върху бизнеса(BIA), чиято цел е да се оцени въздействието от прекъсването върху  бизнес процесите. Резултатите от анализа дават информация за приоритетните дейности, за които е необходимо да се определят:

• целево време за възстановяване(RTO);
• необходими ресурси за поддържане;
• цел на точката за възтановяване(RPO) на информацията.

На базата на информацията от анализа(BIA) и оценката на риска, организацията ще може да определи и избере своите стратегии за непрекъснатост на ICT. За целта е необходимо да се разработи, внедри и тества план за непрекъснатост на ICT.

Допълнителна информация по темата можете да намерите в стандарти:

• ISO/IEC 27031 Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity;
• ISO 22301 Сигурност и устойчивост. Системи за управление на непрекъснатостта на дейността. Изисквания;
• ISO/TS 22317 Security and resilience — Business continuity management systems — Guidelines for business impact analysis.

Документация. ISO/IEC 27001:2022 не изисква документирана информация, като за малките организации е подходящо включването на готовността на ICT в плана за непрекъснатост на бизнеса, а за по-големите организации документирането на готовността се извършва чрез анализ на въздействието върху бизнеса(BIA), стратегии и план за непрекъснатост на бизнеса, резултати от тестване.

A.7.4 Physical security monitoring

Описание. Тази контрола изисква постоянно наблюдение на чувствителни зони(помещения) с цел откриване и предотвратяване на неоторизиран физически достъп.

Действия.  В зависимост от оценката на риска, наблюдението може да включва използването на различни форми и системи за наблюдение – охрана, аларми за нарушители, видео наблюдение, система за достъп и др.

Информацията за проектирането на системата за наблюдение трябва да бъде конфиденциална, за да се избегнат незабелязани прониквания.

Системите за наблюдение трябва да се използват в съответствие с приложимото законодателство, включително и за защита на PII(Personally Identifiable Information), особено по отношение на наблюдението на персонала.

Документация. ISO/IEC 27001:2022 не изисква документирана информация, но въпреки това можете да включите информация относно наблюдението на физическата сигурност в следните документи:

• политика за физическа сигурност – информация за това какво ще се наблюдава и кой отговаря за наблюдението;
• политика за управление на инциденти – как ще се докладват и управляват инциденти, свързани с физическата сигурност.

A.8.9 Configuration management

Описание. Тази контрола изисква да се управлява целия процес на конфигурация на сигурността – на хардуер, софтуер, услуги и мрежи, за да се осигури правилно функциониране с необходимите настройки за сигурност и да се избегнат всякакви неоторизирани или неправилни промени. Това включва дефиниране на конфигурацията, внедряване, наблюдение и преглед.

Действия. Изискванията включват определяне и внедряване на процеси и инструменти за прилагане на дефинираните конфигурации за хардуер, софтуер, услуги и мрежи, за новоинсталирани системи, както и за операционните системи през целия им живот на действие.

Установените конфигурации и всички промени по тях трябва да се записват. Тези записи трябва да бъдат защитени.

Конфигурациите трябва да се наблюдават чрез използването на различни инструменти (програми за поддръжка, софтуер за архивиране и възстановяване) и редовно да се преглеждат, за да се проверят настройките на конфигурацията и да се оценят извършените дейности.

Документация. ISO/IEC 27001:2022 изисква този процес да бъде документиран. За малки организации е подходящо правилата за конфигуриране да бъдат включени в съответните оперативни политики за сигурност, докато за по-големи е подходящо да бъдат описани в отделна политика.

A.8.10 Information deletion

Описание.  Тази контрола изисква съхраняваната информация да се изтрива, когато вече не е необходима, с цел да се избегне нежелано разкриване на чувствителна информация и да се осигури съответствие със законовите изисквания. Това може да включва изтриване на информация в информационни системи, преносими носители или облачни пространства.

Действия. Когато се изтрива информация е необходимо да се определят:

• какъв ще бъде метода на изтриване;
• какви записи от резултатите от изтриване ще се съхраняват;
• какви доказателства за изтриване на информация ще се събират, когато се използват доставчици на услуги.

Организациите трябва да използват сигурни методи за изтриване, които са в съответствие със законовите изисквания и оценката на риска.

Когато се използват облачни услуги, организацията трябва да провери дали методът за изтриване, предоставен от доставчика на облачни услуги е приемлив. Ако се изтрива чувствителна информация, процесът на изтриване трябва да се проследи и потвърди.

Допълнителна информация за изтриването на PII можете да намерите в ISO/IEC 27555:2021 Information security, cybersecurity and privacy protection — Guidelines on personally identifiable information deletion.

Документация. ISO/IEC 27001:2022 не изисква документирана информация, но въпреки това можете да включите подходяща информация за изтриването в съответните оперативни политики за сигурност:

• колко време е необходимо да се запазва информацията и кога трябва да бъде изтрита;
• как потребителите трябва да изтриват чувствителна информация на своите устройства;
• как администраторите трябва да изтриват чувствителна информация;
• как се изтрива информация на преносим носител;
• как се изтрива информация на устройства, които подлежат на унищожаване и т.н.

A.8.11 Data masking

Описание. Тази контрола изисква да се маскират данните и да се контролира достъпа, за да се ограничи излагането на чувствителна информация. Обикновенно това се отнася до лични данни, тъй като те са силно регулирани от законодателството.

Действия. Организациите могат да използват различни техники за защита на чувствителна информация – маскиране на данни, псевдонимизиране, анонимизиране, криптиране и др., но преди това трябва да се определи:

• кои данни трябва да бъдат маскирани;
• кой има достъп до такъв тип данни;
• какви методи ще се използват;
• съществуват ли споразумения или ограничения върху използването на обработваните данни;
• как ще се проследява предоставянето и получаването на данни за процеса.

Допълнителна информация за анонимизирането и псевдонимизиране на PII можете да намерите в раздел друга информация на ISO/IEC 27002:2022.

Документация. ISO/IEC 27001:2022 не изисква документирана информация, но въпреки това можете да включите правила за маскиране на данни в следните документи:

• политика за класифициране на информацията – кои данни са чувствителни и кои трябва да бъдат маскирани;
• политика за контрол на достъпа – кой има достъп до какъв тип маскирани данни;
• оперативни политики за сигурност/поверителност/защита на личните данни – метод на маскиране на данни.

A.8.12 Data leakage prevention

Описание. Тази контрола изисква да се прилагат мерки за предотвратяване на изтичане на данни, с цел да се открие и предотврати неоторизирано разкриване и извличане на информация от лица или системи. Това включва информация в системи, мрежи и всякакви други устройства, които обработват, съхраняват или предават чувствителна информация.

Действия. Организацията трябва да определи какви са рисковете от изтичане на информация и какви мерки ще предприеме с цел тяхното минимизиране. Стандартът препоръчва да се използват:

• системи за наблюдение на потенциалните канали за изтичане на информация като имейли, сменяеми устройства, мобилни устройства и др.;
• системи, които предотвратяват изтичането като карантина на имейли, ограничаване на копирането и качването на данни към външни системи и др.

Предотвратяването на изтичане на данни трябва да се има предвид при действия на хакер с цел получаване на поверителна или секретна информация (геополитическа, човешка, финансова, търговска, научна или друга), която може да бъде критична за организацията или за общността. В този случай, действията за предотвратяване изтичането на данни могат да бъдат насочени към объркване на решенията на противника, например чрез замяна на автентична информация с невярна информация,  използване на honeypots и др.

Документация. ISO/IEC 27001:2022 не изисква документирана информация, но въпреки това можете да включите информация в съответните оперативни политики за сигурност за използваните системи за наблюдение и превенция.

A.8.16 Monitoring activities

Описание. Тази контрола изисква мрежите, системите и приложенията да се наблюдават за необичайно поведение и да се предприемат подходящи действия за оценяване на потенциални инциденти, свързани със сигурността на информацията.

Действия. Организацията трябва да създаде процес за наблюдение като определи следното:

• какъв ще е обхватът и нивото на наблюдението;
• кои системи ще бъдат наблюдавани;
• отговорностите и задълженията относно наблюдението;
• методите за наблюдение;
• базовата линия за необичайно поведение.

Системата за наблюдение може да включва наблюдение на:

• входящ и изходящ трафик – мрежи, системи и приложения;
• достъп до системи, сървъри, мрежово оборудване, системи за мониторинг, критични приложения;
• системни и мрежови конфигурационни файлове на ниво администратор;
• log-ове от инструменти за сигурност – антивирусни програми, уеб филтри, защитни стени, защита от изтичане на данни;
• log-ове, свързани със системни и мрежови дейности;
• използване на ресурсите и др.

В зависимост от потребностите и възможностите на организацията могат да се използват различни инструменти за наблюдение в реално време или на определени интервали от време. Когато се използва софтуер за автоматизиран мониторинг е необходимо той да бъде конфигуриран да генерира предупреждения при превишаване на предварително зададени прагове. Важен момент тук е обучението на персонал за правилното разбиране и реагиране на предупрежденията.

Документация. ISO/IEC 27001:2022 не изисква документирана информация, но въпреки това можете да включите информация за процеса на наблюдение в съответните оперативни политики за сигурност. Освен това би било полезно да се съхраняват записи от дейностите по наблюдение.

A.8.23 Web filtering

Описание. Тази контрола изисква да се управлява достъпа до външни уебсайтове, с цел да се защитят системите от зловреден софтуер и да се предотврати достъпът до неоторизирани уеб ресурси.

Действия. Организацията трябва да намали риска от използването на уебсайтове, които съдържат нелегална информация или вируси чрез използването на различни техники като блокиране на достъпа до контретни IP адреси или домейни на уебсайтове, съставяне на списък със забранени/разрешени уебсайтове и др. За целта е необходимо създаването на правила за безопасно и подходящо използване на онлайн ресурси, за които персоналът следва да бъде обучен.

Документация. ISO/IEC 27001:2022 не изисква документирана информация, но въпреки това можете да включите информация за правилата за уеб филтриране в съответните оперативни политики за сигурност. За по-големи организации е подходящо създаването на отделна политика за сигурност, която да описва процеса на уеб филтриране.

A.8.28 Secure coding

Описание. Тази контрола изисква да се прилагат принципи за сигурно създаване на код при разработване на софтуер, с цел да се намалят потенциалните уязвимости в сигурността на софтуера. Това трябва да включва дейности преди, по време на и след кодирането.

Действия. Организацията трябва осигури процес на сигурно създаване на код като установи и приложи минимална сигурна базова линия. Освен това, процесът трябва да е приложим за софтуерни компоненти създадени от трети страни и за софтуер с отворен код и да включва:

• процес на наблюдение на възникващи заплахи;
• съвети относно сигурно създаване на код;
• процес за определяне на подходящи външни инструменти и библиотеки;
• дейности преди, по време на и след създаването на код(преглед и поддръжка);
• дейности при модификация на софтуера.

Документация. ISO/IEC 27001:2022 не изисква документирана информация, но въпреки това можете да включите информация за правилата за сигурно кодиране в съответните оперативни политики за сигурност. За по-големи организации е подходящо създаването на отделни политики за сигурно кодиране за всеки проект за разработка на софтуер.

 

Източник на изображението