ISO 27001 – נספח A.16: ניהול אירועי אבטחת מידע

מהי המטרה של נספח A.16.1?

נספח A.16.1 עוסק בניהול אירועי אבטחת מידע, אירועים וחולשות. המטרה באזור נספח א' זה היא להבטיח גישה עקבית ויעילה למחזור החיים של אירועים, אירועים וחולשות. ISO 27001:2013 מתייחס בבירור למחזור החיים דרך A.16.1.1 עד A.16.1.7 וזה חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001. בואו נבין את הדרישות האלה ואת המשמעות שלהן קצת יותר לעומק עכשיו.

A.16.1.1 אחריות ונהלים

בקרה טובה מתארת ​​כיצד ההנהלה קובעת אחריות ונהלים על מנת להבטיח מענה מהיר, יעיל ומסודר לטיפול בחולשות, אירועים ואירועי אבטחה. במילים פשוטות אירוע הוא המקום בו התרחשה אובדן כלשהו סביב סודיות, יושרה או זמינות.

דוגמה לכך היא מקום שבו חלון נשאר פתוח וגנב גנב תיק חשוב שישב על השולחן... בעקבות השרשור הזה, אירוע הוא שבו החלון נשאר פתוח אבל אף אחד לא גנב את התיק. חולשה היא שהחלון נשבר בקלות או ישן ויכול להיות מקום ברור לפריצה. חולשה היא גם הזדמנות נפוצה לניהול סיכונים או לשיפור.

הנהלים לתכנון תגובת אירוע, אירוע וחולשה יצטרכו להיות מוגדרים בבירור לפני התרחשות תקרית ויאושרו על ידי ההנהגה שלך. נהלים אלה די קלים לפיתוח מכיוון ששאר פקד נספח A זה מפרט אותם. המבקר שלך יצפה לראות את כל הנהלים הפורמליים והמתועדים הללו, והוכחות לכך שהם פועלים.

A.16.1.2 דיווח על אירועי אבטחת מידע

בקרה טובה כאן מבטיחה שניתן יהיה לדווח על אירועי אבטחת מידע ואירועים דרך ערוצי ניהול מתאימים בהקדם האפשרי.

עובדים ובעלי עניין קשורים (למשל ספקים) צריכים להיות מודעים לחובות שלהם לדווח על אירועי אבטחה ועליכם לכסות זאת כחלק מהמודעות וההכשרה הכללית שלכם. על מנת לעשות זאת בצורה טובה, הם יצטרכו להיות בעלי מודעות למה בדיוק מהווה חולשה, אירוע או אירוע אבטחת מידע, אז היה ברור לגבי זה, בהתבסס על הדוגמה הפשוטה לעיל. אם מתרחש או סבורים שהתרחש אירוע אבטחת מידע, יש לדווח על כך מיד למנהל אבטחת המידע המיועד ויש לתעד בהתאם.

חלק מהסיבות האפשריות לדיווח על אירוע אבטחה כוללות; בקרות אבטחה לא אפקטיביות; הפרות משוערות של שלמות המידע או סודיות המידע, או בעיות זמינות, למשל אי-יכולת לגשת לשירות.

המבקר ירצה לראות וידגום עדות למודעות למה שמהווה חולשה, אירוע או תקרית בקרב הצוות הכללי, והמודעות לנוהלי דיווח האירועים ואחריות.

A.16.1.3 דיווח על חולשות באבטחת מידע

בקרה זו פשוט מתבססת על תקריות ואירועים, אך עשויה להיות מטופלת מעט שונה לאחר הדיווח (ראה A.16.1.4). חיוני לעובדים להיות מודעים לעובדה שכאשר מגלים חולשת אבטחה, אסור להם לנסות להוכיח את החולשה הזו. , שכן בדיקה היא עלולה להתפרש כשימוש לרעה במערכת, תוך סיכון לפגיעה במערכת ובמידע המאוחסן שלה, ולגרום לאירועי אבטחה!

A.16.1.4 הערכה והחלטה לגבי אירועי אבטחת מידע

יש להעריך אירועי אבטחת מידע ואז ניתן להחליט אם יש לסווג אותם כאירועי אבטחת מידע, אירועי חולשה. לאחר שדווח על אירוע אבטחה ונרשם לאחר מכן, יהיה צורך להעריך אותו כדי לקבוע את דרך הפעולה הטובה ביותר לנקוט. פעולה זו חייבת לכוון למזער כל פגיעה בזמינות, שלמות או סודיות המידע ולמנוע מקרים נוספים. באופן אידיאלי תהיה לכך השפעה מינימלית על משתמשים אחרים של השירותים. שיקול של מי בדיוק צריך להיות מודע לאירוע, פנימי, לקוחות, ספקים, רגולטורים יכולה להתקיים גם בחלק זה של מחזור החיים.

GDPR וחוק הגנת מידע 2018 פירושם שחלק מאירועי אבטחת מידע הנוגעים לנתונים אישיים צריכים להיות מדווחים גם לרשות הפיקוח, כך שהבקרות שלך צריכות להתחבר גם לשיקולים אלה כדי לעמוד בדרישות הרגולטוריות ולמנוע כפילות או פערים בעבודה.

A.16.1.5 תגובה לאירועי אבטחת מידע

תמיד טוב להקצות בעלים, להיות ברור לגבי פעולות ולוחות זמנים, וכמו בכל דבר עבור ISO 27001, לשמור את המידע למטרות ביקורת (חיוני גם אם יש לך בעלי עניין ורגולטורים אחרים שיש לקחת בחשבון). הפרט המופקד על הטיפול באירוע האבטחה יהיה אחראי על החזרת רמת האבטחה הרגילה תוך כדי;

• איסוף ראיות בהקדם האפשרי לאחר ההתרחשות;
• ביצוע ניתוח פורנזי של אבטחת מידע (מונח גדול אבל לפחות ברור לגבי שורשי והיבטים קשורים או מה קרה ומי היה מעורב, למה וכו');
• הסלמה, במידת הצורך, למשל לרגולטורים רלוונטיים;
• להבטיח שכל פעילויות התגובה המעורבות נרשמות כראוי לניתוח מאוחר יותר;
• העברת קיומו של אירוע אבטחת המידע או כל פרט רלוונטי להנהגה על מנת שיועברו הלאה לאנשים או ארגונים שונים על בסיס צורך לדעת; ו
• התמודדות עם חולשות אבטחת מידע שנמצאו כגורמות או תורמות לאירוע.

A.16.1.6 למידה מתקריות אבטחת מידע

זוהי בקרת חשיבות, והמדיניות שלך צריכה להוכיח שהידע שנצבר מניתוח ופתרון אירועי אבטחת מידע ישמש כדי לעזור להפחית את הסבירות או ההשפעה של תקריות עתידיות כלשהן. כחלק מהמחויבות לשיפור מתמיד בשירות, עליך לוודא שאתה לומד מהלקחים של כל אירוע אבטחה כדי לעזור לפיכך להתפתח ולהתאים את ה-ISMS כדי לעמוד בנוף המשתנה שבו עובדים.

לאחר פתרון תקרית, יש להציבו במצב של סקירה ולמידה, כאשר המשיב הראשי לאותו אירוע ידון בכל השינויים הנדרשים לתהליכי מדיניות ה-ISMS כתוצאה מכך. לאחר מכן יש להגיש כל המלצות רלוונטיות למועצה של ISMS לדיון נוסף. לאחר השלמת הסקירה והלמידה, בוצעו עדכונים במדיניות כנדרש, יש להודיע ​​לצוות הרלוונטי ולהכשיר מחדש במידת הצורך, ומעגל המודעות והחינוך לאבטחת מידע נמשך.

A.16.1.7 איסוף ראיות

על הארגון להגדיר ולהפעיל בקרות לזיהוי, איסוף, רכישה ושימור של מידע, שיכול לשמש כראיה, במיוחד אם יש הליכים פליליים או אזרחיים שעלולים לקרות מהאירוע.

כאשר הארגון חושד או יודע שאירוע ביטחוני עלול להוביל להליכים משפטיים או משמעתיים, עליהם לבצע את איסוף הראיות בזהירות, להבטיח שרשרת משמורת טובה ולהימנע מכל איום להיתפס על ידי הנהלה לקויה.

זה הגיוני לקשור באופן ברור גם את ניהול אירועי אבטחת המידע להליכים משמעתיים. כולם צריכים לדעת לנקוט באמצעי זהירות תוך שהוא ברור גם לגבי ההשלכות על מי שלא מתייחס לזה ברצינות.