ISO 27001 – Vedlegg A.13: Kommunikasjonssikkerhet

Hva er formålet med vedlegg A.13.1?

Vedlegg A.13.1 handler om administrasjon av nettverkssikkerhet. Målet i dette vedlegget er å sikre beskyttelse av informasjon i nettverk og dets støttende informasjonsbehandlingsfasiliteter. Det er en viktig del av styringssystemet for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering.

A.13.1.1 Nettverkskontroller

Nettverk må administreres og kontrolleres for å beskytte informasjon i systemer og applikasjoner. Enkelt sagt bør organisasjonen bruke passende metoder for å sikre at den beskytter all informasjon i sine systemer og applikasjoner. Disse nettverkskontrollene bør vurdere all virksomhet i virksomheten nøye, være tilstrekkelig og proporsjonalt utformet og implementert i henhold til forretningskrav, risikovurdering, klassifiseringer og krav til segregering.

Noen mulige eksempler på tekniske kontroller for vurdering kan omfatte; Tilkoblingskontroll og endepunktverifisering, brannmurer og inntrengningsdeteksjons-/forebyggende systemer, tilgangskontrolllister og fysisk, logisk eller virtuell segregering. Det er også viktig å håndheve det faktum at når du kobler til offentlige nettverk eller de til andre organisasjoner utenfor organisasjonskontroll, å vurdere de økte risikonivåene og å håndtere disse risikoene med ytterligere kontroller etter behov.

Du må huske på at revisor vil se etter at disse implementerte kontrollene er effektive og administrert på riktig måte, inkludert bruk av formelle prosedyrer for endringshåndtering.

A.13.1.2 Sikkerhet for nettverkstjenester

Sikkerhetsmekanismer, tjenestenivåer og administrasjonskrav for alle nettverkstjenester må identifiseres og inkluderes i nettverkstjenesteavtaler, enten disse tjenestene leveres internt eller outsourcet. Enkelt sagt bør organisasjonen inkludere alle de ulike sikkerhetstiltakene den tar for å sikre sine nettverkstjenester, i sine nettverkstjenesteavtaler. Din revisor vil se at utformingen og implementeringen av nettverk tar hensyn til både forretningskrav og sikkerhetskrav, og oppnår en balanse som er tilstrekkelig og proporsjonal med begge. De vil se etter bevis på dette, sammen med bevis på en risikovurdering.

A.13.1.3 Segregering i nettverk

Grupper av informasjonstjenester, brukere og informasjonssystemer bør adskilles på nettverk. Når det er mulig, vurder å skille plikter for nettverksdrift og datamaskin/systemdrift, f.eks. offentlige domener, avd x- eller y-domener. Nettverksdesign og kontroll må tilpasses og støtte retningslinjer for informasjonsklassifisering og segregeringskrav.

Hva er formålet med vedlegg A.13.2?

Vedlegg A.13.2 handler om informasjonsoverføring. Målet i dette vedlegget er å opprettholde sikkerheten til informasjon som overføres innen organisasjonen og med enhver ekstern enhet, f.eks. en kunde, leverandør eller annen interessert part.

A.13.2.1 Retningslinjer og prosedyrer for informasjonsoverføring

Formelle retningslinjer, prosedyrer og kontroller for overføring må være på plass for å beskytte overføringen av informasjon gjennom bruk av alle typer kommunikasjonsfasiliteter. Uansett hvilken type kommunikasjonsfasiliteter som er i bruk, er det viktig å forstå sikkerhetsrisikoen som er involvert i forhold til konfidensialitet, integritet og tilgjengelighet av informasjonen, og dette må ta hensyn til typen, arten, mengden og sensitiviteten eller klassifiseringen av informasjonen. informasjon som overføres. Det er spesielt viktig å implementere slike retningslinjer og prosedyrer når informasjon overføres ut av eller inn i organisasjonen fra tredjeparter. Ulike, men komplementære kontroller kan være nødvendig for å beskytte informasjon som overføres fra avlytting, kopiering, modifikasjon, feilruting og ødeleggelse, og bør vurderes helhetlig når man identifiserer hvilke kontroller som skal velges.

A.13.2.2 Avtaler om informasjonsoverføring

Informasjon kan overføres digitalt eller fysisk og avtaler må omhandle sikker overføring av forretningsinformasjon mellom organisasjonen og eventuelle eksterne parter. Formelle prosedyrer for overføringspolicyer og tekniske kontroller bør velges, implementeres, driftes, overvåkes, revideres og gjennomgås for å sikre kontinuerlig effektiv sikkerhetsbeskyttelse. Ofte settes kommunikasjons- og overføringssystemer og prosedyrer på plass, uten en reell forståelse av risikoene som er involvert som derfor skaper sårbarheter og mulige kompromisser. ISO 27002 berører implementeringshensyn, inkludert vurdering av varsler, sporbarhet, deponering, identifikasjonsstandarder, kjede av forvaring, kryptografi, tilgangskontroll og andre.

A.13.2.3 Elektroniske meldinger

All informasjon som er involvert i noen form for elektronisk meldingsutsendelse må beskyttes på passende måte. Enkelt sagt, når du bruker elektroniske meldinger, bør den beskyttes for å sikre at ingen uautorisert tilgang kan oppnås. Organisasjonen bør lage en policy som fastsetter hvilke former for elektronisk meldingsutveksling som skal brukes for de ulike typene informasjon som overføres, f.eks. på hvor sikre de er. Det må også tas hensyn til overføring av tale- og fakskommunikasjon og fysisk overføring (f.eks. via postsystemer). Dette bør samsvare med tilgangskontroller og andre sikre autentiseringspolicyer og påloggingsprosedyrer.

A.13.2.4 Avtaler om konfidensialitet eller taushetsplikt

En god kontroll beskriver hvordan kravene til konfidensialitet eller taushetsplikt som reflekterer organisasjonens behov for beskyttelse av informasjon skal identifiseres, jevnlig gjennomgås og dokumenteres. Som sådan må organisasjonen sikre at all informasjon som må beskyttes, gjøres dette gjennom bruk av konfidensialitet og taushetserklæring.

Avtaler er vanligvis spesifikke for organisasjonen og bør utvikles med tanke på dens kontrollbehov etter risikoanalysearbeidet. Standardavtaler for konfidensialitet og taushetsplikt som kan kreve vurdering her inkluderer:

• Generelle taushetserklæringer og gjensidige taushetserklæringer f.eks. ved deling av sensitiv informasjon f.eks om nye forretningsideer.
• Kundeavtaler som bruker standard vilkår og betingelser – uttrykker konfidensialitet i sammenheng med bruken av solgte produkter og eventuelle tilleggstjenester som er skissert i et relatert bestillingsskjema.
• Partner-/leverandør-/partneravtaler som brukes for små leverandører og uavhengige tjenesteleverandører som organisasjonen bruker for levering av tjenester.
• Ansettelsesrelaterte vilkår (tilpasset A.7).
• Personvernregler, f.eks. fra bunntekster på e-post.