Publisert i januar 2015, ISO / IEC 27040:2015 tilbyr omfattende teknisk veiledning om hvordan organisasjoner bør identifisere et akseptabelt nivå av risikoreduksjon gjennom en velprøvd, konsistent tilnærming til forberedelse, design, dokumentasjon og implementering av datalagringssikkerhet.
Den har som mål å illustrere felles risiko knyttet til sikkerheten, ærlighet og tilgjengelighet av data om forskjellige informasjonslagringsteknologier. ISO 27040 oppfordrer også organisasjoner til å styrke beskyttelsen av sensitiv informasjon med tilstrekkelig informasjonssikkerhetskontroll. Normen bidrar også til å øke sikkerheten ved å oppmuntre til for eksempel vurderinger eller revisjoner av informasjonssikkerhet tiltak som beskytter lagret informasjon.
Lagringssikkerhet refererer til beskyttelse av data der de er lagret. Lagringssikkerhet relaterer seg også til forsvar av overføring av informasjon gjennom kommunikasjonsforbindelser knyttet til lagringen. Sikkerhetslagring inkluderer:
Databeskyttelse er en samling av parametere og innstillinger som gjør dataressurser tilgjengelige og utilgjengelige for andre enheter for godkjente brukere og pålitelige nettverk. Disse kan referere til maskinvare, programmering, kommunikasjonsprotokoller og organisasjonspolitikk.
Det er noen få problemer som er kritiske når du vurderer en sikkerhetsprosess for lagringsområdenettverk (SAN). Lagrede data må være lett tilgjengelige for autoriserte personer, enheter og organisasjoner. Det må også være utfordrende for mulige hackere å utnytte systemet. Infrastrukturen skal være pålitelig og stabil på tvers av ulike miljøer og bruksvolumer.
Online trusler som virus, ormer, trojanere og annen ondsinnet kode bør alltid beskyttes. Sensitiv informasjon må sikres. Unødvendig systemer bør fjernes for å eliminere mulige sikkerhetshull. Applikasjonsleverandøren bør rutinemessig installere oppdateringer til operativsystemet. Duplisering i form av ekvivalent (eller speilvendt) lagringsmedium kan bidra til å unngå katastrofalt tap av data hvis en uforutsett feil oppstår. Alle brukere må være det klar over retningslinjene og retningslinjene knyttet til bruk av et kontrollnettverk.
To komponenter kan bidra til å vurdere ytelsen til lagringssikkerhetsmetoden. For det første bør utgiftene til systemimplementering være en liten brøkdel av den sikrede dataverdien. For det andre bør det koste mer i form av penger og/eller tid å bryte systemet enn sikret data er verdt.
Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.
ISO / IEC 27040:2015 er den første internasjonale spesifikasjonen som tar for seg et bredt spekter av lagringssikkerhetsproblemer. Forskning startet på ISO/IEC 27040 høsten 2010, før SC27-konferansen det året. Prosjektet ble satt på en utvidet frist, noe som ga 48 måneder på å etablere standarden. ISO/IEC 27040-standarden ble utgitt 5. januar 2015.
Et revisjonsprosjekt for ISO 27040 ble startet i 2020. Prosjektet hadde følgende mål:
En betydelig komponent i ISO/IEC 27040-standarden er fokusert på å definere sikkerhetskontroller for ulike lagringssystemer og arkitekturer. Denne inneholder følgende:
Bibliografien er blant de mest omfattende samlingene av datasikkerhetsreferanser. Nedenfor er definisjonene av noen kjernebegreper for ISO 27040.
ISO/IEC 27040:2015 vil endelig bli erstattet av ISO/IEC WD 27040. Den oppdaterte standarden vil følge ISOs bærekraftsmål 9 og 12.
Mål 9 Industri, innovasjon og infrastruktur streber etter å bygge en robust infrastruktur, fremme inkluderende og bærekraftig vekst og fremme innovasjon. Mens mål 12, ansvarlig forbruk og produksjon, søker å skape bærekraftig forbruk og produksjonsmønstre.
Bestill en skreddersydd praktisk økt basert på dine behov og mål.
I informasjonssikkerhet er autentisering handlingen for å bekrefte om noen eller noe faktisk er hvem eller hva de utgir seg for å være. Autentisering bekrefter en person, prosess eller enhets identitet, noen ganger som en forutsetning for å få tilgang til ressurser i et informasjonssystem.
Det er tre autentiseringstyper:
Enkeltfaktorautentisering, ofte kalt primærautentisering, er den enkleste autentiseringsmetoden.
Enkeltfaktorautentisering krever bare én autentiseringsmekanisme (som passord, sikkerhetsnål osv.) for å få tilgang til et system eller en tjeneste. Selv om disse tilnærmingene er mer tilgjengelige, er de ofte koblet til mindre sikkerhetspraksis. Dette er fordi de lett kan være det identifisert eller stjålet i datainnbrudd, phishing eller keylogging-angrep. Tofaktorautentisering (2FA) gir ekstra kompleksitet. 2FA trenger en andre komponent for å bekrefte identiteten. Typiske bruksområder inkluderer registrerte datamaskintokens, engangspassord eller PIN-koder.
Bare eksistensen av to brukerautentiseringsmetoder forbedrer din generelle sikkerhet dramatisk ettersom 2FA vil redusere 80 % av datainnbrudd. Selv om 2FAs sikkerhetsfordeler er velkjente, er bruk et utbredt problem. Siden Google først implementerte alternativet for å legge til 2FA til brukerkontoer, har mindre enn 10 prosent av brukerne tatt i bruk 2FA på 7 år. En av årsakene til hvorfor de ikke brukte 2FA var på grunn av irritasjonen det skapte for brukere, og sa at mindre enn 10 % av brukerne som forsøkte å bruke 2FA ikke skrev inn SMS-bekreftelseskoden riktig.
Multi-Factor Authentication (MFA) er den desidert mest avanserte autentiseringsmekanismen. Den bruker to eller flere uavhengige variabler for å gi brukertilgang til et system. I standardtilfeller går MFA til å bruke minst 2 eller 3 kategorier:
Adgangskontroll er bevisst begrensning av tilgang til et sted, nettsted eller andre ressurser og eiendeler. Tilgang kan innebære behandling, besøk eller bruk av en ressurs. Tillatelse til tilgang til en eiendel kalles autorisasjon.
Autorisasjon er en beskyttelsesmetode som brukes til å definere bruker-/klientrettigheter eller tilgangsnivåer relatert til ressurser, inkludert dataprogrammer, kataloger, tjenester, informasjon og programfunksjoner. Autorisasjon etterfølges vanligvis av autentisering av brukeridentitet.
Vi følte at vi hadde det
det beste fra begge verdenene. Vi var
i stand til å bruke vår
eksisterende prosesser,
& Adopter, Tilpass
innhold ga oss nytt
dybde til vårt ISMS.
En SED er en selvkrypterende harddisk som er en form for harddisk som automatisk og kontinuerlig krypterer data uten brukerintervensjon. En selvkrypterende stasjon har vanligvis en krets innebygd i platestasjonens kontrollerbrikke. Denne brikken koder alle data til det magnetiske mediet og dekrypterer automatisk alle data igjen.
Overraskende nok er en god del harddisker på markedet SED-er. Siden produsenter ikke anser dette for å være en betydelig funksjon, går det ofte tapt i andre generelt mer betydningsfulle aspekter. Selv når du kjøper, installerer og begynner å bruke en SED-stasjon, er krypteringen automatisk, så det er usannsynlig at brukeren vil innse at stasjonen er en SED.
Denne krypteringsprosessen oppnås ved å bruke en unik og tilfeldig datakrypteringsnøkkel (DEK) som stasjonen krever for å kryptere og dekryptere dataene. Når dataene skrives til stasjonen, blir de først kryptert av DEK. På samme måte, når informasjon er lest på stasjonen, dekrypterer DEK den før den sendes til resten av enheten.
Denne prosessen sikrer at all informasjon på stasjonen er kryptert hele tiden. En interessant teknikk som kan oppnås med dette er å slette en harddisk nesten umiddelbart og fullstendig. Alt en bruker vil gjøre er å fortelle SED-en om å opprette en ny DEK, så vil alle dataene på stasjonen umiddelbart bli useriøse og er praktisk talt ugjenopprettelige. Dette skyldes at nøkkelen som kreves for å dekryptere dataene ikke lenger er tilgjengelig. Så hvis du trenger å praktisk og rydde en stasjon på en sikker måte før omplassering eller avhending, SED-er gir en rask og pålitelig måte å gjøre det på. Denne handlingen kalles en rekke navn basert på produsenten, men den blir oftest referert til som "Secure Erase".
Sanitization er den tekniske termen for å sikre at data som er igjen på lagring ved slutten av bruken, gjøres utilgjengelige. Sanitisering sikrer at en organisasjon ikke bryter data når de gjenbruker, selger eller kaster lagringsenheter.
Sanering kan ha ulike former avhengig av både informasjonssensitivitet og hvor mye innsats en potensiell motstander kan bruke på å prøve å hente data. Metoder som brukes i sanitisering varierer fra bare overskriving, kryptografisk nøkkeldestruksjon for krypterte filer, til fysisk ødeleggelse av lagringsenheten.
Omfanget av ISO 27040 dekker:
I tillegg til dette dekker ISO 27040 sikkerheten til informasjonen som overføres på tvers av kommunikasjonslenkene knyttet til lagring.
Standarden beskriver informasjonsrisiko knyttet til datalagring, og kontroller for å redusere risikoene.
Til tross for den økte kapasiteten til personlige datamaskiner og avdelingsarbeidsstasjoner, fortsetter avhengigheten av sentraliserte datasentre på grunn av dataintegreringsbehov, datakontinuitet og datakvalitet. Med en betydelig økning i essensielle datavolumer har mange bedrifter tatt i bruk lagringssentrerte rammer for sin IKT-infrastruktur. Deretter spiller lagringssikkerhet en viktig rolle i å beskytte denne informasjonen og fungerer som den siste forsvarslinjen mot eksterne og interne trusler i mange situasjoner.
Design av lagringssikkerhetsløsninger påvirkes av kritiske sikkerhetskonsepter når man vurderer datasensitivitet, kritikalitet og kostnad. Klausul 6 i ISO 27040, Supporting Controls, gir veiledning om implementering av lagringsrelevante kontroller i den bygde løsningen.
Rådene er videre delt inn i:
Design- og implementeringsbekymringene inkluderer også:
En skreddersydd praktisk økt basert på dine behov og mål
Ettersom ISO/IEC 27040:2015 gir en oversikt over lagringssikkerhetskonsepter, inkluderer standarden veiledning om trusselen, designen og kontrollene knyttet til typiske lagringsscenarier og lagringsteknologiområder som kompletteres av flere andre ISO-standarder. Den gir også referanser til forskjellige standarder som adresserer eksisterende praksis og teknikker som kan brukes til lagringssikkerhet.
ISO / IEC 27040 gir sikkerhetsretningslinjer for lagringssystemer og miljøer og databeskyttelse i disse systemene. Den støtter generelt ISO / IEC 27001 prinsipper. ISO / IEC 27040 gir også klare, omfattende retningslinjer for implementering knyttet til lagringssikkerhet for universelle sikkerhetsprotokoller definert i ISO / IEC 27002, for å nevne noen.
ISO 27040 tilbyr retningslinjer for implementering av informasjonssikkerhetsteknologier innen lagringsnettverksindustrien og råd om bruk av informasjonssikkerhet til lagringssystemer, samt om databeskyttelse og sikkerhetshensyn.
Selv om det ofte overses, er lagringsbeskyttelse viktig for alle som driver med datalagringsenheter, media og nettverk som eier, kjører eller bruker. Dette inkluderer toppledere, innkjøpere av lagringsprodukter og tjenester og andre ikke-tekniske ledere eller brukere, samt ledere og administratorer som har det individuelle ansvaret for informasjonssikkerhet eller lagringssikkerhet, eller som er for det overordnede. informasjonssikkerhet og implementering av sikkerhetspolitikk. Det gjelder også for de som er involvert i planlegging, design og implementering av lagring nettverkssikkerhet arkitektoniske aspekter.
Tilhengerne av denne standarden mente at informasjonsbeskyttelsesdimensjonene til datalagringssystemer og nettverk ble ignorert på grunn av misoppfatninger og mangel på erfaring med lagringsteknologier, eller begrenset kunnskap om iboende risikoer eller sikkerhetsprinsipper.
ISMS.online gjør det så enkelt som mulig å sette opp og administrere ISMS.
ISO 27040 består av syv korte klausuler og tre vedlegg. ISO / IEC 27040-utviklere planla ikke at alle instruksjoner skulle følges, noe som førte til inkludering av de tre vedleggene. Relevante sanitetsdetaljer er presentert i et sett med tabeller i Vedlegg A. Vedlegg B ble utformet for å hjelpe organisasjoner med å velge passende kontroller basert på datasensitivitet (høy eller lav) eller sikkerhetsmål basert på CIA-triaden.
En av vanskelighetene med å designe ISO / IEC 27040 var at det var to distinkte målgrupper: lagringsfagfolk og sikkerhetsfagfolk. Vedlegg C inneholder verdifull opplæringskunnskap for begge grupper om:
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang