ISO 27002:2022, kontroll 7.10, lagringsmedier

Sikker lagringsmedieadministrasjon: Beskyttelse av sensitiv informasjon

Bruk av lagringsmedieenheter som solid-state-stasjoner (SSD), USB-pinner, eksterne stasjoner og mobiltelefoner er avgjørende for mange kritiske informasjonsbehandlingsoperasjoner som sikkerhetskopiering av data, datalagring og informasjonsoverføring.

Imidlertid lagring av sensitive og kritiske informasjon om disse enhetene introduserer risikoer for integriteten, konfidensialitet og tilgjengelighet av informasjonsressurser. Disse risikoene kan omfatte tap eller tyveri av lagringsmedier som inneholder sensitiv informasjon, spredning av skadelig programvare til alle bedriftens datanettverk via lagringsmediene, og feil og forringelse av lagringsmedieenheter som brukes til sikkerhetskopiering av data.

Kontroll 7.10 tar for seg hvordan organisasjoner kan etablere passende prosedyrer, retningslinjer og kontroller for å opprettholde sikkerheten til lagringsmedier gjennom hele livssyklusen, fra anskaffelse til avhending.

Formål med kontroll 7.10

Kontroll 7.10 gjør det mulig for organisasjoner å eliminere og redusere risikoen for uautorisert tilgang til, bruk, sletting, modifikasjon og overføring av sensitiv informasjon som ligger på lagringsmedieenheter ved å fastsette prosedyrer for håndtering av lagringsmedier gjennom hele livssyklusen.

Attributttabell for kontroll 7.10

Kontroll 7.10 er en forebyggende type kontroll som krever at organisasjoner oppretter, implementerer og vedlikeholder prosedyrer og tiltak for å sikre sikkerheten til lagringsmedieenheter fra anskaffelse til avhending.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Beskytte	#Fysisk sikkerhet	#Beskyttelse
	#Integritet		# Asset Management
	#Tilgjengelighet

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din

Hvilket lagringsmedium dekker Control 7.10?

Kontroll 7.10 gjelder både digitale og fysiske lagringsmedier. For eksempel lagring av informasjon på fysiske filer er også omfattet av kontroll 7.10.

I tillegg til de flyttbare lagringsmediene er faste lagringsmedier som harddisker også underlagt kontroll 7.10.

Eierskap til kontroll 7.10

Kontroll 7.10 krever at organisasjoner oppretter og implementerer hensiktsmessige prosedyrer, tekniske kontroller og organisasjonsomfattende retningslinjer for bruk av lagringsmedier basert på organisasjonens eget klassifiseringsskjema og dens datahåndteringskrav som juridiske og kontraktsmessige forpliktelser.

Med tanke på dette bør informasjonssikkerhetsledere være ansvarlige for hele compliance-prosessen.

Generell veiledning om samsvar

Flyttbare lagringsmedier

Selv om flyttbare lagringsmedier er avgjørende for mange forretningsoperasjoner, og de brukes ofte av de fleste ansatte, utgjør de den høyeste grad av risiko for den sensitive informasjonen.

Kontroll 7.10 viser ti krav som organisasjoner bør overholde for administrasjon av flyttbare lagringsmedier gjennom hele livssyklusen:

Organisasjoner bør etablere en temaspesifikk policy for anskaffelse, autorisasjon, bruk og avhending av flyttbare lagringsmedier. Denne policyen bør kommuniseres til alt personell og til alle relevante parter.
Hvis det er praktisk og nødvendig, bør organisasjoner etablere autorisasjonsprosedyrer for hvordan flyttbare lagringsmedier kan tas ut av bedriftens lokaler. Videre bør organisasjoner føre loggoppføringer over fjerning av lagringsmedier for revisjonssporformål.
Alle flyttbare lagringsmedier bør lagres på et sikkert område, for eksempel en safe, med tanke på informasjonsklassifiseringsnivået som er tildelt informasjonen og de miljømessige og fysiske truslene mot lagringsmedier.
Hvis konfidensialitet og integritet til informasjonen på flyttbare lagringsmedier er av avgjørende betydning, bør kryptografiske teknikker brukes for å beskytte lagringsmediene mot uautorisert tilgang.
Mot risikoen for forringelse av flyttbare lagringsmedier og tap av informasjon som er lagret på mediet, bør informasjonen overføres til en ny lagringsmedieenhet før slik risiko oppstår.
Kritisk og sensitiv informasjon bør kopieres og lagres på flere lagringsmedier for å minimere risikoen for tap av kritisk informasjon.
For å redusere risikoen for fullstendig tap av informasjon, kan registrering av flyttbare lagringsmedieenheter være et alternativ å vurdere.
Med mindre det er en forretningsrelatert grunn til å bruke flyttbare lagringsmedieporter som USB-porter eller SD-kortspor, bør de ikke tillates.
Det må være en overvåkingsmekanisme på plass for overføring av informasjon til flyttbare lagringsmedieenheter.
Når informasjon i fysiske medier som papirer overføres via bud eller post, er det stor risiko for uautorisert tilgang til denne informasjonen. Derfor bør passende tiltak iverksettes.

Veiledning om sikker gjenbruk og avhending av lagringsmedier

Kontroll 7.10 gir egen veiledning for sikker gjenbruk og avhending av lagringsmedier slik at organisasjoner kan redusere og eliminere risikoen for kompromittering av konfidensialiteten til informasjon.

Kontroll 7.10 fremhever at organisasjoner bør definere og anvende prosedyrer for gjenbruk og avhending av lagringsmedier, under hensyntagen til sensitivitetsnivået til informasjonen i lagringsmediet.

Ved å etablere disse prosedyrene bør organisasjoner vurdere følgende:

Hvis et lagringsmedium skal gjenbrukes av en intern part i en organisasjon, bør den sensitive informasjonen som ligger på det lagringsmediet slettes irreversibelt eller formateres på nytt før den godkjennes for gjenbruk.
Lagringsmedier som er vert for sensitiv informasjon bør destrueres på en sikker måte når den ikke lenger er nødvendig. For eksempel kan papirdokumenter makuleres og digitalt utstyr kan ødelegges fysisk.
Det bør være en prosedyre for identifisering av lagringsmedieelementer som må kasseres.
Når organisasjoner velger å samarbeide med en ekstern part for å håndtere innsamling og avhending av lagringsmedier, bør de gjennomføre pga omhu for å sikre at den valgte leverandøren er kompetent og den implementerer passende kontroller.
Opprettholde en oversikt over alle kasserte gjenstander for revisjonsspor.
Når flere lagringsmedier skal kastes sammen, bør akkumuleringseffekten tas i betraktning: Kombinering av ulike informasjonsbiter fra hvert lagringsmedium kan forvandle ikke-sensitiv informasjon til sensitiv informasjon.

Sist men ikke minst krever Control 7.10 at organisasjoner utfører en risikovurdering på skadet utstyr som lagrer konfidensiell informasjon å avgjøre om utstyret skal destrueres i stedet for å repareres.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

27002:2022/7.10 erstatter 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Det er fire hovedforskjeller som må fremheves:

Strukturelle endringer

Mens 2013-versjonen inneholdt tre separate kontroller på ledelsen av media, avhending av media og fysisk medieoverføring, kombinerer 2022-versjonen disse tre kontrollene under kontroll 7.10.

2022-versjonen inkluderer krav til gjenbruk av lagringsmedier

I motsetning til 2013-versjonen som kun tok for seg sikker avhending av lagringsmedier, omhandler 2022-versjonen også sikker gjenbruk av lagringsmedier.

2013-versjonen inneholder mer omfattende krav til fysisk overføring av lagringsmedier

2013-versjonen innebar mer omfattende krav til fysisk overføring av lagringsmedier. For eksempel inkluderte 2013-versjonen regler om ID-verifisering for kurerer og emballasjestandarder.

Kontroll 7.10 i 2022-versjonen sa derimot bare at organisasjoner skulle opptre med aktsomhet når de velger tjenesteleverandører som kurerer.

2022-versjonen krever en emnespesifikk policy for flyttbare lagringsmedier

Mens 2022- og 2013-versjonene i stor grad ligner på krav til flyttbare lagringsmedier, introduserer 2022-versjonen kravet om å etablere en emnespesifikk policy for flyttbare lagringsmedier. 2013-versjonen dekket derimot ikke dette kravet.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Ocuco ISMS.online plattform bruker en risikobasert tilnærming kombinert med bransjeledende beste praksis og maler for å hjelpe deg med å identifisere risikoene organisasjonen står overfor og kontrollene som er nødvendige for å håndtere disse risikoene. Dette lar deg systematisk redusere både risikoeksponeringen og etterlevelseskostnadene.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt