ISO 27701 – סעיף 6.13 – ניהול אירועי אבטחת מידע

הבנת ISO 27701 סעיף 6.13: מדריך לניהול תקריות

ניהול אירועי מידע פרטיות עוסק במקרים של אירועי אבטחה שהוסלמו תקריות – מבחינת זיהוים, פתרונם, מתן ראיות והשפעה על שינוי באמצעות ניתוח שורש.

לאירועי פרטיות יש פוטנציאל להשפיע באופן דרסטי על המוניטין והמעמד הפיננסי של הארגון. ככזה, חשוב מאוד לפעול עם מערך חזק של נהלי ניהול אירועים שניתן לתקשר בקלות ומובנים היטב לכל הנוגעים בדבר.

מה מכוסה בסעיף 27701 של ISO 6.13

ISO 27701 סעיף 6.13 מכיל 7 תתי סעיפים העוסקים בניהול אירועי אבטחת מידע ושיפורים, כאשר כל בקרה מכילה נקודות הדרכה מ- ISO 27002, אם כי בהקשר של הגנת הפרטיות:

• ISO 27701 6.13.1.1 - אחריות ונהלים (ISO 27002 בקרה 5.24)
• ISO 27701 6.13.1.2 - דיווח על אירועי אבטחת מידע (ISO Control 27002 6.8)
• ISO 27701 6.13.1.3 - דיווח על חולשות באבטחת מידע (ISO 27002 בקרה 6.8)
• ISO 27701 6.13.1.4 - הערכה והחלטות לגבי אירועי אבטחת מידע (ISO 27002 בקרה 5.25)
• ISO 27701 6.13.1.5 - תגובה לאירועי אבטחת מידע (ISO 27002 בקרה 5.26)
• ISO 27701 6.13.1.6 - למידה מתקריות אבטחת מידע (ISO 27002 בקרה 5.27)
• ISO 27701 6.13.1.7 - איסוף ראיות (ISO 27002 בקרה 5.28)

ניהול אירוע הוא נושא רחב ומגוון, כיוון שכך, מספר סעיפי משנה מכילים הנחיות נוספות מבקרות הקשורות במסגרת ISO 27002.

רק סעיף משנה אחד (ISO 27701 6.13.1.1) מכיל מידע שרלוונטי לאזורים בבריטניה GDPR חקיקה - סיפקנו את מספרי המאמרים מתחת לנקודות ההנחיה, לנוחיותך.

ISO 27701 סעיף 6.13.1.1 - אחריות ונהלים

הפניות ISO 27002 בקרה 5.24

תפקידים ואחריות

על מנת ליצור מדיניות ניהול אירועים מגובשת ומתפקדת היטב, אשר שומרת על הזמינות והשלמות של מידע פרטיות במהלך אירועים קריטיים, ארגונים צריכים:

• היצמד לשיטה לדיווח על אירועי אבטחת מידע פרטיות.
• קבע סדרה של תהליכים המנהלים אירועים הקשורים לאבטחת מידע פרטיות ברחבי העסק, כולל:
• מינהל.
• תיעוד.
• איתור.
• טריאז'.
• עדיפות.
• ניתוח.
• תִקשׁוֹרֶת.
• נסח נוהל תגובה לאירוע המאפשר לארגון להעריך, להגיב וללמוד מתקריות.
• ודא שהתקריות מנוהלות על ידי צוות מיומן ומוכשר הנהנה מתכניות הכשרה והסמכה מתמשכות במקום העבודה.

ניהול אירועים

הצוות המעורב בתקריות אבטחת מידע פרטיות צריך להבין:

1. הזמן שצריך לקחת כדי לפתור תקרית.
2. כל השלכות אפשריות.
3. חומרת האירוע.

כאשר עוסקים באירועי אבטחת מידע פרטיות, הצוות צריך:

• הערכת אירועים בהתאם לקריטריונים מחמירים המאמתים אותם כאירועים מאושרים.
• סיווג אירועי אבטחת מידע פרטיות ל-5 נושאי משנה:
• ניטור (ראה ISO 27002 בקרות 8.15 ו-8.16).
• איתור (ראה ISO 27002 בקרה 8.16).
• סיווג (ראה ISO 27002 בקרה 5.25).
• ניתוח.
• דיווח (ראה ISO 27002 בקרה 6.8).
• בעת פתרון אירועי אבטחת מידע פרטיות, ארגונים צריכים:
• תגובה והסלמה של בעיות (ראה ISO 27002 בקרה 5.26) בהתאם לסוג האירוע.
• הפעל תוכניות לניהול משברים והמשכיות עסקית.
• להשפיע על התאוששות מנוהלת מתקרית המפחיתה נזקים תפעוליים ו/או כספיים.
• להבטיח תקשורת יסודית של אירועים הקשורים לאירועים לכל הצוות הרלוונטי.
• עסוק בעבודה משותפת (ראה ISO 27002 בקרות 5.5 ו-5.6).
• רישום את כל הפעילויות המבוססות על אירועים מנוהלים.
• היה אחראי לטיפול בראיות הקשורות לאירועים (ראה ISO 27002 בקרה 5.28).
• בצעו ניתוח שורש יסודי, כדי למזער את הסיכון שהאירוע יקרה שוב, כולל הצעות לשינויים בתהליכים כלשהם.

פעילויות הדיווח צריכות להתרכז סביב 4 תחומים מרכזיים:

1. פעולות שיש לבצע ברגע שמתרחש אירוע אבטחת מידע.
2. טפסי אירוע המתעדים מידע לאורך אירוע.
3. תהליכי משוב מקצה לקצה לכל הצוות הרלוונטי.
4. דוחות תקריות המפרטים מה התרחש לאחר פתרון תקרית.

מאמרי GDPR ישימים

• סעיף 5 – (1)(ו)
• סעיף 33 – (1), (3)(א), (3)(ב), (3)(ג), (3)(ד), (4), (5)
• סעיף 34 – (1), (2), (3)(א), (3)(ב), (3)(ג), (4)

בקרות ISO 27002 רלוונטיות

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

ISO 27701 סעיף 6.13.1.2 – דיווח על אירועי אבטחת מידע

הפניות ISO 27002 בקרה 6.8

ארגונים צריכים להבטיח שאירועי מידע פרטיות ידווחו בזמן וביעילות.

יש לספק לצוות דרכים מהירות וקלות לדווח על אירועי מידע פרטיות, וצריך להיות מודע לחלוטין למהי הפרה.

אירועי מידע פרטיות יכולים לכלול:

• בקרות אבטחת מידע לא אפקטיביות של פרטיות.
• הפרת סודיות המידע, יושרה או זמינות.
• טעות אנוש או התערבויות זדוניות.
• אי ציות למדיניות אבטחת מידע פרטיות (ספציפית לנושא וכללי).
• הפרות של בקרות אבטחה פיזיות.
• שינויים לא מורשים במערכת.
• תקלות תוכנה.
• הפרות גישה פיזיות והגיוניות.
• נקודות תורפה שונות.
• זיהומים של תוכנות זדוניות (חשודות או ממשיות).

ISO 27701 סעיף 6.13.1.3 – דיווח על חולשות באבטחת מידע

הפניות ISO 27002 בקרה 6.8

ראה ISO 27701 סעיף 6.13.1.2

ISO 27701 סעיף 6.13.1.4 - הערכה והחלטות לגבי אירועי אבטחת מידע

הפניות ISO 27002 בקרה 5.25

ארגונים צריכים לאמץ גישה איכותית לניהול אירועי אבטחת מידע פרטיות הכוללת 4 נקודות מפתח:

• ניסוח מערכת סיווג ברורה שמסלימה את אבטחת המידע הפרטיות אירועים לאבטחת מידע פרטיות תקריות.
• רישום נקודת קשר שמעריכה אירועי אבטחת מידע פרטיות באמצעות מערכת קפדנית של כללי סיווג.
• להבטיח שצוותים טכניים מיומנים ומצוידים מספיק כדי לפתור תקריות אבטחת מידע פרטיות.
• רישום כל השיחות ופעילות הפתרון לצורך שיקול עתידי, וכדי למזער את הסיכון להתרחשויות דומות.

ISO 27701 סעיף 6.13.1.5 - תגובה לאירועי אבטחת מידע

הפניות ISO 27002 בקרה 5.26

ארגונים צריכים להבטיח שאירועי אבטחת מידע פרטיות יטופלו על ידי צוות טכני ייעודי עם הכישורים והמשאבים להשפיע על פתרון מהיר (ראה ISO 27002 בקרה 5.24).

ארגונים צריכים:

• מכיל איומים הקשורים לפרטיות הנובעים מהבעיה המקורית.
• אסוף אוסף של ראיות לאורך תהליך הפתרון.
• כלול הסלמה, פעילויות BUDR ותכנון המשכיות בכל מאמצי פתרון (ראה ISO 27002 בקרות 5.29 ו-5.30).
• רישום את כל הפעילות הקשורה לאירועים.
• ודא שהצוות פועל על בסיס "צריך לדעת" בעת התמודדות עם אירועי מידע פרטיות.
• היו מודעים ללא הרף לאחריותם כלפי לקוחותיהם וארגונים חיצוניים, בעת העברת אירועי פרטיות והפרות מידע.
• סגור אירועים למערכת נוקשה של קריטריונים לפתרון.
• בצע ניתוח משפטי (ראה ISO 27002 בקרה 5.28), לפי הצורך.
• חפשו לקבוע את הגורם הבסיסי לאירוע, לאחר שנפתרה (ראה ISO 27002 בקרה 5.27).
• נקוט בפעולה מתקנת בכל תהליכים, בקרות, מדיניות ונהלים הקשורים, כדי לחזק את הגנת הפרטיות הארגונית לאחר פתרון אירוע.

מאמרי GDPR ישימים

• סעיף 33 – (1), (2), (3)(א), (3)(ב), (3)(ג), (3)(ד), (4), (5)
• סעיף 34 – (1), (2)

בקרות ISO 27002 רלוונטיות

• ISO 27002 5.24
• ISO 27002 5.27
• ISO 27002 5.28
• ISO 27002 5.29
• ISO 27002 5.30

ISO 27701 סעיף 6.13.1.6 - למידה מתקריות אבטחת מידע

הפניות ISO 27002 בקרה 5.26

על ארגונים ליצור נהלים לניהול אירועים העוסקים בשלושה מרכיבים עיקריים של אירועי אבטחת מידע פרטיות:

• סוג אירוע.
• נפח משוער.
• עלות חזויה.

אירועי אבטחת מידע בנושא פרטיות צריכים ליהנות מהליכים ש:

• לחזק את מסגרת ניהול האירועים הקיימת של הארגון (ראה ISO 27002 בקרה 5.24).
• שפר את תהליכי הערכת סיכונים במידע הפרטיות של הארגון.
• שיפור מודעות המשתמש - ניתן להשיג זאת על ידי מתן דוגמאות מהעולם האמיתי של תרחישים וכיצד לטפל בהם.

בקרות ISO 27002 רלוונטיות

• ISO 27702 5.24

ISO 27701 סעיף 6.13.1.7 – איסוף ראיות

הפניות ISO 27002 בקרה 5.28

ארגונים צריכים לאסוף ראיות סביב פעילות אירוע במטרה מפורשת למלא את חובותיהם החוקיות, הרגולטוריות, החוזיות והמשמעתיות.

מאמצי איסוף הראיות צריכים להבטיח שמספר גופים רגולטוריים וחוקי חוק יוכלו לבחון את פעילות האירוע באמצעות (אך לא רק):

• אחסון מדיה.
• נכסים ומכשירים.
• מצב מכשיר.

ארגונים לא צריכים להניח הנחות כלשהן לגבי הראיות שהם צריכים לאסוף - במיוחד כשמדובר במידע פרטיות - וארגונים צריכים לערב רשויות משפטיות בהזדמנות המוקדמת ביותר אם יש ספק לגבי מה שצריך להתרחש.

בעת מתן ראיות לגופים חיצוניים, ארגונים צריכים להוכיח כי:

• רישומי האירועים מלאים וללא הפרעות.
• ראיות אלקטרוניות משקפות את מקבילה הפיזי.
• למערכות התקשוב הייתה את היכולת לתעד כראוי את כל העדויות הרלוונטיות.
• הצוות הטכני המעורב באיסוף ראיות הוא בעל כישורים מתאימים ומוכשרים מספיק כדי לבצע את תפקידם.
• יש להם את היכולת המשפטית לאסוף ראיות.

בקרות תומכות מ-ISO 27002 ו-GDPR

כיצד ISMS.online עוזר

עם ISMS.online, אתה יכול בקלות להשיג תאימות ל-ISO 27701 על ידי שימוש בפתרון ניהול מידע מבוסס ענן.

בנוסף, מומחי אבטחת המידע והמשאבים שלנו זמינים כדי לסייע לך בתהליך ההסמכה של ISO 27701.

למידע נוסף על ידי הזמנת הדגמה.