ISO 27001 – Bilag A.13: Kommunikationssikkerhed

Hvad er formålet med bilag A.13.1?

Bilag A.13.1 handler om netværkssikkerhedsstyring. Formålet med dette bilag er at sikre beskyttelsen af ​​information i netværk og dets understøttende informationsbehandlingsfaciliteter. Det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering.

A.13.1.1 Netværkskontrol

Netværk skal styres og kontrolleres for at beskytte information i systemer og applikationer. Sagt på en enkel måde bør organisationen bruge passende metoder for at sikre, at den beskytter enhver information i sine systemer og applikationer. Disse netværkskontroller bør overveje alle aktiviteter i virksomheden omhyggeligt, være tilstrækkeligt og forholdsmæssigt udformet og implementeret i henhold til forretningskrav, risikovurdering, klassifikationer og adskillelseskrav, alt efter hvad der er relevant.

Nogle mulige eksempler på tekniske kontroller til overvejelse kan omfatte; Forbindelseskontrol og slutpunktsverifikation, firewalls og systemer til registrering af indtrængen/forebyggelse, adgangskontrollister og fysisk, logisk eller virtuel adskillelse. Det er også vigtigt at håndhæve det faktum, at når der oprettes forbindelse til offentlige netværk eller andre organisationers netværk uden for organisatorisk kontrol, at tage højde for de øgede risikoniveauer og at håndtere disse risici med yderligere kontroller efter behov.

Du skal huske på, at revisor vil se efter, at disse implementerede kontroller er effektive og administreres korrekt, herunder brugen af ​​formelle ændringsstyringsprocedurer.

A.13.1.2 Netværkstjenesternes sikkerhed

Sikkerhedsmekanismer, serviceniveauer og styringskrav for alle netværkstjenester skal identificeres og inkluderes i netværkstjenesteaftaler, uanset om disse tjenester leveres internt eller outsourcet. Sagt på en enkel måde bør organisationen inkludere alle de forskellige sikkerhedsforanstaltninger, den træffer for at sikre sine netværkstjenester, i sine netværksserviceaftaler. Din revisor vil gerne se, at designet og implementeringen af ​​netværk tager hensyn til både forretningskrav og sikkerhedskrav, og opnår en balance, der er tilstrækkelig og proportional med begge. De vil lede efter beviser for dette sammen med beviser for en risikovurdering.

A.13.1.3 Adskillelse i netværk

Grupper af informationstjenester, brugere og informationssystemer bør adskilles på netværk. Overvej hvor det er muligt at adskille opgaver i forbindelse med netværksdrift og computer-/systemdrift, f.eks. offentlige domæner, afd x- eller y-domæner. Netværkets design og kontrol skal tilpasses og understøtte informationsklassificeringspolitikker og adskillelseskrav.

Hvad er formålet med bilag A.13.2?

Bilag A.13.2 handler om informationsoverførsel. Formålet med dette bilag er at opretholde sikkerheden for oplysninger, der overføres inden for organisationen og med enhver ekstern enhed, f.eks. en kunde, leverandør eller anden interesseret part.

A.13.2.1 Politikker og procedurer for informationsoverførsel

Formelle overførselspolitikker, procedurer og kontroller skal være på plads for at beskytte overførslen af ​​information ved brug af alle typer kommunikationsfaciliteter. Uanset hvilken type kommunikationsfacilitet der er i brug, er det vigtigt at forstå de involverede sikkerhedsrisici i forhold til oplysningernes fortrolighed, integritet og tilgængelighed, og dette skal tage hensyn til typen, arten, mængden og følsomheden eller klassificeringen af oplysninger, der overføres. Det er især vigtigt at implementere sådanne politikker og procedurer, når oplysninger overføres fra eller ind i organisationen fra tredjeparter. Forskellige, men komplementære kontroller kan være påkrævet for at beskytte oplysninger, der overføres, mod aflytning, kopiering, ændring, fejldirigering og ødelæggelse og bør overvejes holistisk, når man identificerer, hvilke kontroller der skal vælges.

A.13.2.2 Aftaler om informationsoverførsel

Oplysninger kan overføres digitalt eller fysisk, og aftaler skal omhandle sikker overførsel af forretningsoplysninger mellem organisationen og eventuelle eksterne parter. Formelle procedurer for overførselspolitikker og tekniske kontroller bør udvælges, implementeres, drives, overvåges, revideres og revideres for at sikre løbende effektiv sikkerhedsbeskyttelse. Ofte er kommunikations- og overførselssystemer og procedurer på plads uden en reel forståelse af de involverede risici, hvilket derfor skaber sårbarheder og mulige kompromiser. ISO 27002 berører implementeringsovervejelser, herunder overvejelser om notifikationer, sporbarhed, escrow, identifikationsstandarder, chain of custody, kryptografi, adgangskontrol og andre.

A.13.2.3 Elektronisk meddelelse

Enhver information, der er involveret i enhver form for elektronisk meddelelse, skal beskyttes passende. Sagt på en enkel måde, skal den ved brug af elektroniske meddelelser beskyttes for at sikre, at der ikke kan opnås uautoriseret adgang. Organisationen bør udarbejde en politik, som fastlægger, hvilke former for elektronisk meddelelser, der skal bruges til de forskellige typer af information, der overføres, f.eks. på hvor sikre de er. Der skal også tages hensyn til overførsel af tale- og faxkommunikation og fysisk overførsel (f.eks. via postsystemer). Dette bør stemme overens med adgangskontrol og andre sikre godkendelsespolitikker og log-on-procedurer.

A.13.2.4 Aftaler om fortrolighed eller tavshedspligt

En god kontrol beskriver, hvordan kravene til fortrolighed eller tavshedspligt, der afspejler organisationens behov for beskyttelse af oplysninger, skal identificeres, løbende gennemgås og dokumenteres. Som sådan skal organisationen sikre, at enhver information, der skal beskyttes, sker ved brug af fortroligheds- og tavshedspligtaftaler.

Aftaler er normalt specifikke for organisationen og bør udvikles med dens kontrolbehov for øje efter risikoanalysearbejdet. Standardaftaler for fortrolighed og hemmeligholdelse, der kan berettige til overvejelse her, omfatter:

• Generelle tavsheds- og gensidige tavshedspligtaftaler fx ved deling af følsomme oplysninger fx om nye forretningsidéer.
• Kundeaftaler, der anvender standardvilkår og -betingelser - udtrykker fortrolighed i forbindelse med brugen af ​​solgte produkter og eventuelle supplerende tjenester, der er beskrevet i en relateret ordreformular.
• Associate/leverandør/partner aftaler, der anvendes til små leverandører og uafhængige tjenesteudbydere, som organisationen bruger til levering af tjenester.
• Ansættelsesrelaterede vilkår (tilpasset A.7).
• Privatlivspolitikker f.eks. fra e-mail-sidefødder.