ISO 27001 – Bilag A.16: Informationssikkerhed Incident Management

Hvad er formålet med bilag A.16.1?

Bilag A.16.1 handler om håndtering af informationssikkerhedshændelser, hændelser og svagheder. Målet i dette bilag A-område er at sikre en konsekvent og effektiv tilgang til livscyklussen af ​​hændelser, hændelser og svagheder. ISO 27001:2013 adresserer livscyklussen klart gennem A.16.1.1 til A.16.1.7, og det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering. Lad os forstå disse krav, og hvad de betyder i lidt mere dybde nu.

A.16.1.1 Ansvar og procedurer

En god kontrol beskriver, hvordan ledelsen etablerer ansvar og procedurer for at sikre en hurtig, effektiv og velordnet reaktion på svagheder, hændelser og sikkerhedshændelser. Enkelt sagt er en hændelse, hvor en form for tab er opstået omkring fortrolighed, integritet eller tilgængelighed.

Et eksempel er, hvor et vindue blev efterladt åbent, og en tyv stjal en vigtig fil på skrivebordet... Efter denne tråd er en begivenhed, hvor vinduet blev efterladt åbent, men ingen stjal filen. En svaghed er, at ruden let knuses eller er gammel og kunne være et oplagt sted for indbrud. En svaghed er også en almindelig risikostyring eller forbedringsmulighed.

Procedurerne for planlægning af hændelse, hændelse og svaghed skal være klart defineret forud for en hændelse, og de skal være godkendt af din ledelse. Disse procedurer er ret lette at udvikle, fordi resten af ​​denne bilag A-kontrol præciserer dem. Din revisor vil forvente at se alle disse formelle, dokumenterede procedurer på plads og bevis for, at de virker.

A.16.1.2 Rapportering af informationssikkerhedshændelser

En god kontrol her sikrer, at informationssikkerhedshændelser og hændelser hurtigst muligt kan rapporteres gennem passende ledelseskanaler.

Medarbejdere og tilknyttede interesserede parter (f.eks. leverandører) skal gøres opmærksomme på deres forpligtelser til at rapportere sikkerhedshændelser, og det bør du dække som en del af din generelle bevidsthed og træning. For at gøre dette godt skal de have bevidsthed om præcis, hvad der udgør en informationssikkerhedssvaghed, hændelse eller hændelse, så vær klar over det, baseret på det enkle eksempel ovenfor. Hvis en informationssikkerhedshændelse opstår eller menes at være indtruffet, skal den straks rapporteres til den udpegede informationssikkerhedsadministrator, og det skal dokumenteres i overensstemmelse hermed.

Nogle af de mulige årsager til at rapportere en sikkerhedshændelse omfatter; ineffektiv sikkerhedskontrol; formodede brud på informationsintegritet eller fortrolighed, eller tilgængelighedsproblemer, f.eks. ikke at kunne få adgang til en tjeneste.

Revisor vil gerne se og vil tage stikprøver for bevis for bevidsthed om, hvad der udgør en svaghed, hændelse eller hændelse blandt generalstaben, og bevidstheden om hændelsesrapporteringsprocedurer og -ansvar.

A.16.1.3 Rapportering af svagheder i informationssikkerheden

Denne kontrol bygger ganske enkelt på hændelser og hændelser, men kan blive behandlet lidt anderledes, når de først er rapporteret (se A.16.1.4). Det er vigtigt for medarbejdere at være opmærksomme på, at når de opdager en sikkerhedssvaghed, må de ikke forsøge at bevise denne svaghed , da test kan tolkes som misbrug af systemet, mens det også risikerer at beskadige systemet og dets lagrede informationer, hvilket forårsager sikkerhedshændelser!

A.16.1.4 Vurdering af og beslutning om informationssikkerhedshændelser

Informationssikkerhedshændelser skal vurderes, og så kan det besluttes, om de skal klassificeres som informationssikkerhedshændelser, hændelser med svagheder. Når en sikkerhedshændelse er blevet rapporteret og efterfølgende logget, skal den vurderes for at bestemme den bedste fremgangsmåde. Denne handling skal sigte mod at minimere enhver kompromittering af tilgængeligheden, integriteten eller fortroligheden af ​​oplysninger og forhindre yderligere hændelser. Ideelt set vil det have minimal indvirkning på andre brugere af tjenesterne. Overvejelse af præcis, hvem der skal gøres opmærksom på hændelsen, internt, kunder, leverandører, regulatorer kan også finde sted i denne del af livscyklussen.

GDPR og Data Protection Act 2018 betyder, at nogle informationssikkerhedshændelser i forbindelse med persondata også skal rapporteres til tilsynsmyndigheden, så dine kontroller bør også hænge sammen med disse overvejelser for at opfylde regulatoriske krav og undgå dobbeltarbejde eller huller i arbejdet.

A.16.1.5 Reaktion på informationssikkerhedshændelser

Det er altid godt at tildele ejere, være klar over handlinger og tidsskalaer, og som med alt for ISO 27001, opbevare oplysningerne til revisionsformål (også vigtigt, hvis du har andre interessenter og regulatorer at overveje). Den person, der er ansvarlig for at håndtere sikkerhedshændelsen, vil være ansvarlig for at genoprette et normalt sikkerhedsniveau, samtidig med at;

• indsamling af beviser så hurtigt som muligt efter hændelsen;
• at udføre en informationssikkerhedskriminalteknisk analyse (stort udtryk, men i det mindste være klar over årsagen og relaterede aspekter eller hvad der skete, og hvem der var involveret, hvorfor osv.);
• eskalering, hvis det er nødvendigt, for eksempel til relevante regulatorer;
• at sikre, at alle involverede responsaktiviteter er korrekt logget til senere analyse;
• at kommunikere eksistensen af ​​informationssikkerhedshændelsen eller eventuelle relevante detaljer til ledelsen, så de kan videreformidles til forskellige enkeltpersoner eller organisationer på et behov for at vide-basis; og
• håndtering af informationssikkerhedssvagheder, der er fundet at forårsage eller bidrage til hændelsen.

A.16.1.6 Lær af informationssikkerhedshændelser

Dette er en vigtig kontrol, og din politik skal vise, at viden opnået ved at analysere og løse informationssikkerhedshændelser vil blive brugt til at hjælpe med at reducere sandsynligheden for eller virkningen af ​​fremtidige hændelser. Som en del af forpligtelsen til kontinuerlig serviceforbedring bør du sikre, at du lærer af lektien af ​​enhver sikkerhedshændelse for derfor at hjælpe med at udvikle og tilpasse ISMS'et til at imødekomme det skiftende landskab, der arbejdes i.

Når en hændelse er blevet løst, bør den placeres i en status for gennemgang og læring, hvor den ledende responder for den hændelse vil diskutere eventuelle ændringer, der kræves af processerne i ISMS-politikkerne som følge heraf. Eventuelle relevante anbefalinger skal derefter forelægges ISMS Board til yderligere drøftelse. Når gennemgangen og læringen er afsluttet, er der blevet foretaget opdateringer af politikkerne efter behov, det relevante personale skal underrettes og omuddannes, hvis det er nødvendigt, og cyklussen af ​​informationssikkerhedsbevidsthed og uddannelse fortsætter.

A.16.1.7 Indsamling af beviser

Organisationen skal definere og anvende kontroller til identifikation, indsamling, erhvervelse og bevarelse af oplysninger, som kan bruges som bevismateriale, især hvis der er sandsynlighed for, at der er strafferetlige eller civile sager som følge af hændelsen.

Hvor organisationen har mistanke om eller ved, at en sikkerhedshændelse kan resultere i juridiske eller disciplinære handlinger, bør de udføre indsamlingen af ​​beviser omhyggeligt, sikre en god varetægtskæde og undgå enhver trussel om at blive fanget af dårlig ledelse.

Det er også fornuftigt at knytte informationssikkerhedshændelser klart til disciplinære procedurer. Alle bør vide at tage forholdsregler, samtidig med at de er klar over konsekvenserne for dem, der undlader at tage det alvorligt.