ISO 27001 – נספח A.13: אבטחת תקשורת

מהי המטרה של נספח A.13.1?

נספח A.13.1 עוסק בניהול אבטחת רשת. המטרה בנספח זה היא להבטיח את ההגנה על מידע ברשתות ובמתקני עיבוד המידע התומכים בה. זהו חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001.

A.13.1.1 בקרות רשת

רשתות חייבות להיות מנוהלות ובקרה על מנת להגן על מידע בתוך מערכות ויישומים. במילים פשוטות, על הארגון להשתמש בשיטות מתאימות על מנת להבטיח שהוא מגן על כל מידע בתוך המערכות והיישומים שלו. בקרות הרשת הללו צריכות לשקול את כל הפעולות של העסק בקפידה, להיות מתוכננות בצורה נאותה ופרופורציונלית, ויושמו בהתאם לדרישות העסקיות, להערכת סיכונים, לסיווגים ולדרישות ההפרדה בהתאם.

כמה דוגמאות אפשריות של בקרות טכניות לשיקול עשויות לכלול; בקרת חיבור ואימות נקודות קצה, חומות אש ומערכות זיהוי/מניעת חדירה, רשימות בקרת גישה והפרדה פיזית, לוגית או וירטואלית. כמו כן, חשוב לאכוף את העובדה כי בעת חיבור לרשתות ציבוריות או של ארגונים אחרים מחוץ לשליטה ארגונית, להתחשב ברמות הסיכון המוגברות ולנהל סיכונים אלו עם בקרות נוספות בהתאם לצורך.

תצטרך לזכור שהמבקר יחפש לראות שבקרות אלו מיושמות אפקטיביות ומנוהלות כראוי, כולל שימוש בהליכי ניהול שינויים פורמליים.

A.13.1.2 אבטחת שירותי רשת

מנגנוני אבטחה, רמות שירות ודרישות ניהול של כל שירותי הרשת צריכים להיות מזוהים ולהיכלל בהסכמי שירותי רשת, בין אם שירותים אלה ניתנים בבית או במיקור חוץ. במילים פשוטות, על הארגון לכלול את כל אמצעי האבטחה השונים שהוא נוקט על מנת לאבטח את שירותי הרשת שלו, בהסכמי שירותי הרשת שלו. המבקר שלך ירצה לראות שהתכנון והטמעת הרשתות לוקחים בחשבון הן את הדרישות העסקיות והן את דרישות האבטחה, ומשיגים איזון הולם ופרופורציונלי לשניהם. הם יחפשו ראיות לכך, יחד עם ראיות להערכת סיכונים.

A.13.1.3 הפרדה ברשתות

קבוצות של שירותי מידע, משתמשים ומערכות מידע צריכות להיות מופרדות ברשתות. במידת האפשר שקול להפריד בין חובות של פעולות רשת ופעולות מחשב/מערכת, למשל תחום ציבורי, תחום x או y y. התכנון והבקרה של הרשת חייבים להתאים ולתמוך במדיניות סיווג מידע ודרישות הפרדה.

מהי המטרה של נספח A.13.2?

נספח A.13.2 עוסק בהעברת מידע. המטרה בנספח זה היא לשמור על אבטחת המידע המועבר בתוך הארגון ועם כל גורם חיצוני כגון לקוח, ספק או בעל עניין אחר.

A.13.2.1 מדיניות ונהלים להעברת מידע

מדיניות העברה פורמלית, נהלים ובקרות חייבות להיות במקום כדי להגן על העברת המידע באמצעות שימוש בכל סוגי מתקני התקשורת. בכל סוג של מתקן תקשורת שנמצא בשימוש, חשוב להבין את סיכוני האבטחה הכרוכים ביחס לסודיות, שלמות וזמינות המידע, וזה יצטרך לקחת בחשבון את הסוג, האופי, הכמות והרגישות או הסיווג של המידע. מידע שמועבר. חשוב במיוחד ליישם מדיניות ונהלים כאלה כאשר מידע מועבר מחוץ לארגון או אל תוך הארגון מצדדים שלישיים. בקרות שונות אך משלימות עשויות להידרש כדי להגן על מידע המועבר מפני יירוט, העתקה, שינוי, ניתוב שגוי והרס ויש לשקול אותן בצורה הוליסטית כאשר מזהים אילו בקרות יש לבחור.

A.13.2.2 הסכמים בנושא העברת מידע

ניתן להעביר מידע באופן דיגיטלי או פיזי והסכמים חייבים להתייחס להעברה מאובטחת של מידע עסקי בין הארגון לבין כל גורם חיצוני. יש לבחור, ליישם, להפעיל, לנטר, לבחון ולבדוק נהלי מדיניות העברה ובקרות טכניות כדי להבטיח הגנה אפקטיבית מתמשכת. לעתים קרובות, מערכות ונהלי תקשורת והעברה מופעלים, ללא הבנה אמיתית של הסיכונים הכרוכים בכך, מה שיוצר אפוא נקודות תורפה ופשרה אפשרית. ISO 27002 נוגע בשיקולי יישום, לרבות שיקול של הודעות, מעקב, נאמנות, תקני זיהוי, שרשרת משמורת, קריפטוגרפיה, בקרת גישה ואחרים.

A.13.2.3 העברת הודעות אלקטרוניות

כל מידע שמעורב בכל צורה של הודעות אלקטרוניות צריך להיות מוגן כראוי. במילים פשוטות, בעת שימוש בהודעות אלקטרוניות, יש להגן עליהן כדי להבטיח שלא ניתן להשיג גישה בלתי מורשית. הארגון צריך ליצור מדיניות הקובעת באילו צורות של הודעות אלקטרוניות יש להשתמש עבור סוגי המידע השונים המועברים, למשל, בהתאם על כמה הם בטוחים. כמו כן, יהיה צורך לעשות שיקולים לגבי העברת תקשורת קולית ופקס, והעברה פיזית (למשל באמצעות מערכות דואר). זה אמור להתיישר עם בקרות הגישה ומדיניות אימות מאובטחת ונהלי כניסה אחרים.

A.13.2.4 הסכמי סודיות או סודיות

בקרה טובה מתארת ​​כיצד יש לזהות, לבחון ולתעד באופן קבוע את הדרישות להסכמי סודיות או סודיות המשקפים את צורכי הארגון להגנה על מידע. ככזה הארגון צריך להבטיח שכל מידע שצריך להגן, נעשה זאת באמצעות שימוש בהסכמי סודיות ואי גילוי.

הסכמים בדרך כלל ספציפיים לארגון ויש לפתחם תוך התחשבות בצרכי הבקרה שלו בעקבות עבודת ניתוח הסיכונים. הסכמים סטנדרטיים לסודיות ואי חשיפה שעשויים להצדיק התייחסות כאן כוללים:

• הסכמי סודיות כלליים והסכמי סודיות הדדיים, למשל בעת שיתוף מידע רגיש, למשל על רעיונות עסקיים חדשים.
• הסכמי לקוחות תוך שימוש בתנאים והגבלות סטנדרטיים - הבעת סודיות בהקשר של השימוש במוצרים הנמכרים וכל שירות משלים המפורט בטופס הזמנה קשור.
• הסכמי שותף/ספק/שותפים המשמשים לספקים קטנים ונותני שירות עצמאיים שהארגון משתמש בהם לאספקת שירותים.
• תנאים הקשורים לתעסוקה (מתואמים ל-A.7).
• מדיניות פרטיות למשל מכותרות תחתונות בדוא"ל.