ISO 27001 – Vedlegg A.16: Informasjonssikkerhetshendelser

Hva er formålet med vedlegg A.16.1?

Vedlegg A.16.1 handler om håndtering av informasjonssikkerhetshendelser, hendelser og svakheter. Målet i dette vedlegg A-området er å sikre en konsistent og effektiv tilnærming til livssyklusen til hendelser, hendelser og svakheter. ISO 27001:2013 adresserer livssyklusen tydelig gjennom A.16.1.1 til A.16.1.7, og det er en viktig del av styringssystemet for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering. La oss forstå disse kravene og hva de betyr i litt mer dybde nå.

A.16.1.1 Ansvar og prosedyrer

En god kontroll beskriver hvordan ledelsen etablerer ansvar og prosedyrer for å sikre en rask, effektiv og ryddig respons på svakheter, hendelser og sikkerhetshendelser. Enkelt sagt er en hendelse der en form for tap har oppstått rundt konfidensialitet, integritet eller tilgjengelighet.

Et eksempel er hvor et vindu ble stående åpent og en tyv stjal en viktig fil på skrivebordet... Etter denne tråden er en hendelse hvor vinduet ble stående åpent, men ingen stjal filen. En svakhet er at vinduet lett blir knust eller gammelt og kan være et opplagt sted for innbrudd. En svakhet er også en vanlig risikostyring eller forbedringsmulighet.

Prosedyrene for hendelses-, hendelses- og svakhetsresponsplanlegging må være klart definert i forkant av en hendelse og være godkjent av ledelsen. Disse prosedyrene er ganske enkle å utvikle fordi resten av denne vedlegg A-kontrollen staver dem ut. Din revisor vil forvente å se alle disse formelle, dokumenterte prosedyrene på plass, og bevis på at de fungerer.

A.16.1.2 Rapportering av informasjonssikkerhetshendelser

En god kontroll her sikrer at informasjonssikkerhetshendelser og hendelser kan rapporteres gjennom egnede styringskanaler så raskt som mulig.

Ansatte og tilknyttede interesserte parter (f.eks. leverandører) må gjøres oppmerksomme på deres forpliktelser til å rapportere sikkerhetshendelser, og du bør dekke det av som en del av din generelle bevissthet og opplæring. For å gjøre dette godt må de ha bevissthet om nøyaktig hva som utgjør en informasjonssikkerhetssvakhet, hendelse eller hendelse, så vær tydelig på det, basert på det enkle eksemplet ovenfor. Hvis en informasjonssikkerhetshendelse inntreffer eller antas å ha inntruffet, må den umiddelbart rapporteres til den utpekte informasjonssikkerhetsadministratoren, og det må dokumenteres tilsvarende.

Noen av de mulige årsakene til å rapportere en sikkerhetshendelse inkluderer; ineffektive sikkerhetskontroller; antatte brudd på informasjonsintegritet eller konfidensialitet, eller tilgjengelighetsproblemer, for eksempel å ikke få tilgang til en tjeneste.

Revisor vil ønske å se og vil ta prøver for bevis på bevissthet om hva som utgjør en svakhet, hendelse eller hendelse blant generalstaben, og bevissthet om prosedyrer og ansvar for hendelsesrapportering.

A.16.1.3 Rapportering av svakheter i informasjonssikkerhet

Denne kontrollen bygger ganske enkelt på hendelser og hendelser, men kan bli behandlet litt annerledes når de først er rapportert (se A.16.1.4) Det er viktig for ansatte å være klar over det faktum at når de oppdager en sikkerhetssvakhet, må de ikke forsøke å bevise denne svakheten , som testing kan det tolkes som misbruk av systemet, samtidig som det risikerer å skade systemet og dets lagrede informasjon, og forårsake sikkerhetshendelser!

A.16.1.4 Vurdering av og beslutning om informasjonssikkerhetshendelser

Informasjonssikkerhetshendelser skal vurderes og deretter kan det avgjøres om de skal klassifiseres som informasjonssikkerhetshendelser, svakhetshendelser. Når en sikkerhetshendelse har blitt rapportert og deretter loggført, må den vurderes for å bestemme den beste handlingen å ta. Denne handlingen må ta sikte på å minimere ethvert kompromittering av informasjonens tilgjengelighet, integritet eller konfidensialitet og forhindre ytterligere hendelser. Ideelt sett vil det ha minimal innvirkning på andre brukere av tjenestene. Vurdering av nøyaktig hvem som må gjøres oppmerksom på hendelsen, internt, kunder, leverandører, regulatorer kan også finne sted i denne delen av livssyklusen.

GDPR og Data Protection Act 2018 betyr at enkelte informasjonssikkerhetshendelser knyttet til personopplysninger også må rapporteres til tilsynsmyndigheten, så kontrollene dine bør også knyttes inn i disse hensynene for å oppfylle regulatoriske krav og unngå duplisering eller hull i arbeidet.

A.16.1.5 Respons på informasjonssikkerhetshendelser

Det er alltid bra å tildele eiere, være tydelig på handlinger og tidsplaner, og som med alt for ISO 27001, beholde informasjonen for revisjonsformål (også viktig hvis du har andre interessenter og regulatorer å vurdere). Personen som har ansvaret for å håndtere sikkerhetshendelsen vil være ansvarlig for å gjenopprette et normalt sikkerhetsnivå, samtidig som;

• samle bevis så snart som mulig etter hendelsen;
• gjennomføre en etterforskningsanalyse for informasjonssikkerhet (stort begrep, men i det minste være tydelig på grunnårsaken og relaterte aspekter eller hva som skjedde og hvem som var involvert, hvorfor osv.);
• eskalering, om nødvendig, for eksempel til relevante regulatorer;
• sikre at alle involverte responsaktiviteter er riktig logget for senere analyse;
• kommunisere eksistensen av informasjonssikkerhetshendelsen eller eventuelle relevante detaljer til ledelsen slik at de kan kommuniseres videre til ulike individer eller organisasjoner på behov for å vite-basis; og
• håndtere svakheter i informasjonssikkerheten som er funnet å forårsake eller bidra til hendelsen.

A.16.1.6 Lær av informasjonssikkerhetshendelser

Dette er en viktighetskontroll, og retningslinjene dine må demonstrere at kunnskap oppnådd ved å analysere og løse informasjonssikkerhetshendelser vil bli brukt til å redusere sannsynligheten for eller virkningen av fremtidige hendelser. Som en del av forpliktelsen til kontinuerlig tjenesteforbedring, bør du sørge for at du lærer av leksjonene fra enhver sikkerhetshendelse for derfor å bidra til å utvikle og tilpasse ISMS for å møte det skiftende landskapet som arbeides i.

Når en hendelse er løst, bør den plasseres i en status for gjennomgang og læring, der den ledende responderen for den hendelsen vil diskutere eventuelle endringer som kreves i prosessene til ISMS-retningslinjene som et resultat. Eventuelle relevante anbefalinger bør deretter sendes til ISMS-styret for videre diskusjon. Når gjennomgangen og læringen er fullført, har oppdateringer blitt gjort til retningslinjene etter behov, det relevante personalet må varsles og omskoleres om nødvendig, og syklusen med informasjonssikkerhetsbevissthet og utdanning fortsetter.

A.16.1.7 Innsamling av bevis

Organisasjonen må definere og anvende kontroller for identifisering, innsamling, innhenting og bevaring av informasjon, som kan brukes som bevis, spesielt hvis det er sannsynlig at det er strafferettslige eller sivile prosesser fra hendelsen.

Der organisasjonen mistenker eller vet at en sikkerhetshendelse kan føre til juridiske eller disiplinære tiltak, bør de gjennomføre bevisinnsamlingen nøye, sikre en god varetektskjede og unngå enhver trussel om å bli fanget ut av dårlig ledelse.

Det er også fornuftig å knytte informasjonssikkerhetshendelser tydelig til disiplinære prosedyrer. Alle bør vite å ta forholdsregler samtidig som de er tydelige på konsekvensene for de som ikke tar det på alvor.