ISO 27040

מה זה ISO 27040

פורסם בינואר 2015, ISO / IEC 27040:2015 מציע הדרכה טכנית מקיפה כיצד ארגונים צריכים לזהות רמה מקובלת של הפחתת סיכונים באמצעות גישה מוכחת ועקבית להכנה, עיצוב, תיעוד ויישום אבטחת אחסון נתונים.

מטרתו להמחיש משותף סיכונים הקשורים לאבטחה, כנות וזמינות של נתונים על טכנולוגיות שונות לאחסון מידע. ISO 27040 גם קורא לארגונים לחזק את ההגנה שלהם על מידע רגיש באמצעות בקרות אבטחת מידע נאותות. הנורמה גם מסייעת לשפר את הביטחון על ידי עידוד, למשל, הערכות או ביקורת של אבטחת מידע אמצעים להגנה על מידע מאוחסן.

מהי אבטחת אחסון?

אבטחת אחסון מתייחסת להגנה על הנתונים שבהם הוא מאוחסן. אבטחת אחסון מתייחסת גם להגנה על העברת מידע באמצעות קישורי תקשורת הקשורים לאחסון. אחסון אבטחה כולל:

• אבטחת מכשירים ומדיה
• הגנה על מכשירים ושיטות ניהול מדיה
• אבטחת אפליקציות ושירותים
• אבטחה הקשורה למשתמשי קצה במהלך אורך החיים של מכשירים ומדיה ולאחר השימוש

הגנה על נתונים הוא אוסף של פרמטרים והגדרות שהופכים את משאבי הנתונים לנגישים ולבלתי נגישים לגופים אחרים למשתמשים מאושרים ולרשתות מהימנות. אלה יכולים להתייחס לחומרה, תכנות, פרוטוקולי תקשורת ומדיניות ארגונית.

ישנן מספר בעיות קריטיות כאשר שוקלים תהליך אבטחת רשת שטח אחסון (SAN). נתונים מאוחסנים חייבים להיות זמינים בקלות לאנשים מורשים, ישויות וארגונים. זה חייב להיות גם מאתגר עבור האקרים אפשריים לנצל את המערכת. התשתית חייבת להיות אמינה ויציבה על פני סביבות שונות ונפחי שימוש שונים.

יש להגן תמיד על איומים מקוונים כמו וירוסים, תולעים, סוסים טרויאנים וקוד זדוני אחר. מידע רגיש חייב להיות מאובטח. מְיוּתָר יש להסיר מערכות כדי לבטל פערי אבטחה אפשריים. ספק האפליקציה צריך באופן שוטף להתקין עדכונים למערכת ההפעלה. שכפול בצורה של שווה ערך (או שיקוף) אחסון מדיה יכול לעזור למנוע אובדן קטסטרופלי של נתונים אם מתרחש כשל בלתי צפוי. כל המשתמשים חייבים להיות מודעים להנחיות ולמדיניות הקשורים לשימוש ברשת בקרה.

שני מרכיבים עשויים לסייע בהערכת ביצועי מתודולוגיית אבטחת האחסון. ראשית, הוצאות הטמעת המערכת אמורות להיות חלק קטן מערך הנתונים המאובטחים. שנית, זה אמור לעלות יותר במונחים של כסף ו/או זמן לפרוץ את המערכת ממה ששווה נתונים מאובטחים.

ההיסטוריה של ISO/IEC 27040:2015

ISO / IEC 27040:2015 הוא המפרט הבינלאומי הראשון המתייחס למגוון רחב של בעיות אבטחת אחסון. המחקר החל על ISO/IEC 27040 בסתיו 2010, לפני כנס SC27 באותה שנה. הפרויקט קיבל תאריך יעד מוארך, תוך מתן 48 חודשים לביסוס התקן. תקן ISO/IEC 27040 שוחרר ב-5 בינואר 2015.

ISO/IEC WD 27040

פרויקט עדכון עבור ISO 27040 החל בשנת 2020. לפרויקט היו המטרות הבאות:

• הפנה את תשומת הלב לסיכונים עבור מידע בתחום זה
• עזרו לארגונים לשפר את האבטחה של נתונים מאוחסנים על ידי שיפור והרחבה של הנחיות ISO 27002
• לסייע לאחראים על תכנון, הערכה וביקורת של אבטחת אחסון מידע

מושגי מפתח של ISO 27040

מרכיב משמעותי בתקן ISO/IEC 27040 מתמקד בהגדרת בקרות אבטחה עבור מערכות אחסון וארכיטקטורות שונות. זה מכיל את הדברים הבאים:

• הנחיות לאחסון מצורף ישירות (DAS).
• כיסוי מקיף של טכנולוגיות וטופולוגיות רשת אחסון המתמקדות ברשתות שטח אחסון (SAN) ואחסון מחובר ברשת (NAS)
• זיהוי בעיות אבטחה קריטיות והמלצות אחסון
  הגנה על מערכת אחסון מבוססת בלוק עם ממשקי Fibre Channel וממשקי IP שחורגים מחומרי רשת אחסון
• הגנה על התקני אחסון מבוססי קבצים עם ממשקי NFS, SMB/CIFS ו-pNFS
• הגנת אחסון בענן, OSD ואחסון ניתן להתייחסות לתוכן (CAS)
  הנחיות לניהול מערכת כולל חיטוי, סודיות נתונים והפחתת נתונים

הביבליוגרפיה היא בין האוספים הנרחבים ביותר של הפניות לאבטחת מידע. להלן ההגדרות של כמה מונחי ליבה עבור ISO 27040.

ISO/IEC 27040:2015 יוחלף סוף סוף ב-ISO/IEC WD 27040. התקן המעודכן יעמוד ביעדי פיתוח בר קיימא 9 ו-12 של ISO.

יעד 9 תעשייה, חדשנות ותשתיות שואפת לבנות תשתית איתנה, לטפח צמיחה כוללת ובת קיימא וקידום חדשנות. ואילו יעד 12, צריכה וייצור אחראיים, מבקש ליצור צריכה ודפוסי ייצור ברי קיימא.

אימות

באבטחת מידע, אימות הוא הפעולה של אישור האם מישהו או משהו הוא באמת מי או מה שהם טוענים שהוא. אימות מאמת את זהותו של אדם, תהליך או מכשיר, לפעמים כתנאי מוקדם לגישה למשאבים במערכת מידע.

ישנם שלושה סוגי אימות:

• אימות עם גורם יחיד
• אימות דו-גורמי
• אימות רב פקטור

אימות גורם יחיד, הנקרא לעתים קרובות אימות ראשי, הוא השיטה הפשוטה ביותר לאימות.

אימות גורם יחיד דורש רק מנגנון אימות אחד (כגון סיסמה, סיכת אבטחה וכו') כדי לקבל גישה למערכת או שירות. למרות שגישות אלה נגישות יותר, הן קשורות לעתים קרובות לשיטות אבטחה פחותות. זה בגלל שהם יכולים להיות בקלות זוהה או נגנב בהפרצות נתונים, התחזות או התקפות רישום מפתחות. אימות דו-גורמי (2FA) מוסיף מורכבות נוספת. 2FA צריך רכיב שני כדי לאשר את הזהות. שימושים טיפוסיים כוללים אסימוני מחשב רשומים, סיסמאות חד פעמיות או קוד PIN.

עצם קיומן של שתי שיטות אימות משתמש משפר באופן דרמטי את האבטחה הכוללת שלך מכיוון ש-2FA יפחית 80% מהפרצות לנתונים. למרות שיתרונות האבטחה של 2FA ידועים היטב, השימוש הוא נושא נרחב. מאז שגוגל הטמיעה לראשונה את האפשרות להוסיף 2FA לחשבונות משתמש, פחות מ-10 אחוז מהמשתמשים אימצו את 2FA ב-7 שנים. אחת הסיבות לכך שהם לא השתמשו ב-2FA נובעת מהמטרד שהוא יצר עבור המשתמשים, שקבע שפחות מ-10% מהמשתמשים שניסו להשתמש ב-2FA לא הזינו את קוד האישור של ה-SMS בצורה נכונה.

Multi-Factor Authentication (MFA) הוא ללא ספק מנגנון האימות המתקדם ביותר. הוא משתמש בשני משתנים בלתי תלויים או יותר כדי לאפשר למשתמש גישה למערכת. במקרים סטנדרטיים, MFA גישות להשתמש לפחות ב-2 או 3 קטגוריות:

• משהו שאתה יודע (סיסמה או סיכה)
• משהו שיש לך (טלפון נייד או אסימון אבטחה)
• משהו שאתה (טביעת אצבע או זיהוי פנים)
• משהו שאתה עושה (קצב הקלדה, מיקום וכו')

בקרת גישה והרשאה

בקרת גישה היא הגבלה מכוונת של גישה למיקום, אתר אינטרנט או משאבים ונכסים אחרים. גישה יכולה לכלול עיבוד, ביקור או שימוש בנכס. הרשאה לגישה לנכס מכונה הרשאה.

הרשאה היא שיטת הגנה המשמשת להגדרת זכויות משתמש/לקוח או רמות גישה הקשורות למשאבים, לרבות תוכניות מחשב, ספריות, שירותים, מידע ותכונות תוכנית. הרשאה מלווה בדרך כלל על ידי אימות של זהות המשתמש.

קשר עם תקנים אחרים

מכיוון ש-ISO/IEC 27040:2015 מספק סקירה כללית של מושגי אבטחת אחסון, התקן כולל הנחיות לגבי האיום, העיצוב והבקרות הקשורים לתרחישי אחסון טיפוסיים ולתחומי טכנולוגיית אחסון אשר משלימים על ידי מספר תקני ISO אחרים. כמו כן, הוא מספק הפניות לסטנדרטים שונים העוסקים בשיטות וטכניקות קיימות שניתן ליישם באבטחת אחסון.

ISO / IEC 27040 מספק הנחיות אבטחה למערכות אחסון וסביבות והגנה על נתונים במערכות אלו. זה תומך כללי ISO / IEC 27001 עקרונות. ISO / IEC 27040 מספק גם הנחיות ברורות ומקיפות לגבי הטמעה הקשורה לאבטחת אחסון עבור פרוטוקולי אבטחה אוניברסליים המוגדרים ב-ISO / IEC 27002, אם להזכיר כמה.

מי יכול ליישם את ISO 27040

ISO 27040 מציע הנחיות ליישום טכנולוגיות אבטחת מידע בתעשיית רשתות האחסון וייעוץ לגבי אימוץ אבטחת מידע למערכות אחסון, וכן בנושאי דאגות הגנת מידע ואבטחה.

למרות שלעתים קרובות מתעלמים ממנה, הגנת אחסון חשובה לכל מי שעוסק בהתקני אחסון נתונים, מדיה ורשתות שבבעלותם, פועלים או משתמשים בהם. זה כולל מנהלים בכירים, רוכשי מוצרי אחסון ושירותים, ומנהלים או משתמשים שאינם טכניים אחרים, כמו גם מנהלים ומנהלים שיש להם את האחריות האישית לאבטחת מידע או אבטחת אחסון, או שהם עבור הכלל. אבטחת מידע ויישום מדיניות אבטחה. זה ישים גם למי שעוסק בתכנון, עיצוב ויישום אחסון היבטים ארכיטקטוניים של אבטחת רשת.

תומכי התקן הזה חשבו שמתעלמים מממדי הגנת המידע של מערכות ורשתות אחסון נתונים עקב תפיסות שגויות וחוסר ניסיון בטכנולוגיות אחסון, או ידע מוגבל של סיכונים או עקרונות אבטחה מובנים.