Udgivet i januar 2015, ISO / IEC 27040:2015 tilbyder omfattende teknisk vejledning om, hvordan organisationer bør identificere et acceptabelt niveau af risikoreduktion gennem en velafprøvet, ensartet tilgang til datalagringssikkerhed forberedelse, design, dokumentation og implementering.
Det har til formål at illustrere fælles risici forbundet med sikkerheden, ærlighed og tilgængelighed af data om forskellige informationslagringsteknologier. ISO 27040 opfordrer også organisationer til at styrke deres beskyttelse af følsomme oplysninger med passende informationssikkerhedskontroller. Normen er også med til at øge sikkerheden ved at tilskynde til f.eks. vurderinger eller revisioner af informationssikkerhed foranstaltninger til beskyttelse af lagrede oplysninger.
Opbevaringssikkerhed henviser til beskyttelsen af data, hvor de opbevares. Lagersikkerhed vedrører også forsvar af transmission af information gennem kommunikationsforbindelser forbundet med lageret. Sikkerhedsopbevaring inkluderer:
Databeskyttelse er en samling af parametre og indstillinger, der gør dataressourcer tilgængelige og utilgængelige for andre enheder for godkendte brugere og betroede netværk. Disse kan referere til hardware, programmering, kommunikationsprotokoller og organisationspolitik.
Der er et par problemer, der er kritiske, når man overvejer en SAN-sikkerhedsproces (Storage Area Network). Lagrede data skal være let tilgængelige for autoriserede personer, enheder og organisationer. Det skal også være udfordrende for mulige hackere at udnytte systemet. Infrastrukturen skal være pålidelig og stabil på tværs af forskellige miljøer og brugsmængder.
Onlinetrusler som virus, orme, trojanske heste og anden ondsindet kode bør altid beskyttes. Følsomme oplysninger skal sikres. Unødvendig systemer bør fjernes for at eliminere mulige sikkerhedshuller. Applikationsudbyderen bør rutinemæssigt installere opdateringer til operativsystemet. Duplikering i form af tilsvarende (eller spejlvendt) lagringsmedier kan hjælpe med at undgå katastrofalt tab af data, hvis der opstår en uforudset fejl. Det skal alle brugere være kendskab til retningslinjer og politikker relateret til brugen af et kontrolnetværk.
To komponenter kan hjælpe med at vurdere lagringssikkerhedsmetodens ydeevne. For det første bør omkostningerne til systemimplementering være en lille brøkdel af den sikrede dataværdi. For det andet burde det koste mere i form af penge og/eller tid at bryde systemet, end sikret data er værd.
Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.
ISO / IEC 27040:2015 er den første internationale specifikation, der adresserer en bred vifte af opbevaringssikkerhedsproblemer. Forskning startede på ISO/IEC 27040 i efteråret 2010, forud for SC27-konferencen samme år. Projektet blev sat på en forlænget deadline, hvilket gav 48 måneder til at etablere standarden. ISO/IEC 27040-standarden blev udgivet den 5. januar 2015.
Et revisionsprojekt for ISO 27040 blev startet i 2020. Projektet havde følgende mål:
En væsentlig del af ISO/IEC 27040-standarden er fokuseret på at definere sikkerhedskontroller for forskellige lagersystemer og arkitekturer. Denne indeholder følgende:
Bibliografien er blandt de mest omfattende samlinger af datasikkerhedsreferencer. Nedenfor er definitionerne af nogle kerneudtryk for ISO 27040.
ISO/IEC 27040:2015 vil endelig blive erstattet af ISO/IEC WD 27040. Den opdaterede standard vil overholde ISO's Sustainable Development Goals 9 og 12.
Mål 9 Industri, innovation og infrastruktur stræber efter at opbygge en robust infrastruktur, der fremmer inklusiv og bæredygtig vækst og fremmer innovation. Hvorimod mål 12, ansvarligt forbrug og produktion, søger at skabe bæredygtigt forbrug og produktionsmønstre.
Book en skræddersyet hands-on session baseret på dine behov og mål.
Inden for informationssikkerhed er autentificering handlingen til at bekræfte, om nogen eller noget faktisk er, hvem eller hvad de hævder at være. Godkendelse verificerer en person, proces eller enheds identitet, nogle gange som en forudsætning for at få adgang til ressourcer i et informationssystem.
Der er tre godkendelsestyper:
Enkeltfaktorgodkendelse, ofte kaldet primær autentificering, er den enkleste godkendelsesmetode.
Enkeltfaktorgodkendelse kræver kun én godkendelsesmekanisme (såsom adgangskode, sikkerhedsnål osv.) for at få adgang til et system eller en tjeneste. Selvom disse tilgange er mere tilgængelige, er de ofte forbundet med mindre sikkerhedspraksis. Det kan de nemlig sagtens være identificeret eller stjålet i forbindelse med databrud, phishing eller keylogging-angreb. Two Factor Authentication (2FA) tilføjer yderligere kompleksitet. 2FA har brug for en anden komponent for at bekræfte identiteten. Typiske anvendelser omfatter registrerede computertokens, engangsadgangskoder eller pinkoder.
Alene eksistensen af to brugergodkendelsesmetoder forbedrer din generelle sikkerhed dramatisk, da 2FA vil afbøde 80 % af databrud. Selvom 2FAs sikkerhedsfordele er velkendte, er brug et udbredt problem. Siden Google første gang implementerede muligheden for at tilføje 2FA til brugerkonti, har mindre end 10 procent af brugerne taget 2FA til sig på 7 år. En af årsagerne til, hvorfor de ikke brugte 2FA, skyldtes den irritation, det skabte for brugerne, og sagde, at mindre end 10 % af brugerne, der forsøgte at bruge 2FA, ikke indtastede SMS-bekræftelseskoden korrekt.
Multi-Factor Authentication (MFA) er langt den mest avancerede autentificeringsmekanisme. Den bruger to eller flere uafhængige variabler for at give brugeradgang til et system. I standardtilfælde går MFA til at bruge mindst 2 eller 3 kategorier:
Adgangskontrol er den bevidste begrænsning af adgang til en lokation, hjemmeside eller andre ressourcer og aktiver. Adgang kan involvere behandling, besøg eller brug af et aktiv. Tilladelse til at få adgang til et aktiv kaldes autorisation.
Autorisation er en beskyttelsesmetode, der bruges til at definere bruger-/klientrettigheder eller adgangsniveauer relateret til ressourcer, herunder computerprogrammer, mapper, tjenester, information og programfunktioner. Autorisation efterfølges normalt af autentificering af brugeridentitet.
Vi følte, at vi havde
det bedste fra begge verdener. Vi var
kunne bruge vores
eksisterende processer,
& Adopter, Tilpas
indhold gav os nyt
dybde til vores ISMS.
En SED er en selvkrypterende harddisk, der er en form for harddisk, der automatisk og kontinuerligt krypterer data uden brugerindblanding. Et selvkrypterende drev har normalt et kredsløb indbygget i diskdrevets controller-chip. Denne chip koder alle data til det magnetiske medie og dekrypterer automatisk alle data igen.
Overraskende nok er en hel del harddiske på markedet i øjeblikket SED'er. Da producenterne ikke anser dette for at være en væsentlig egenskab, går det ofte tabt i andre generelt mere væsentlige aspekter. Selv når du køber, installerer og begynder at bruge et SED-drev, er krypteringen automatisk, så det er usandsynligt, at brugeren vil indse, at drevet er et SED.
Denne krypteringsproces opnås ved at bruge en unik og tilfældig Data Encryption Key (DEK), som drevet kræver for at kryptere og dekryptere dataene. Når dataene skrives til drevet, krypteres de først af DEK. På samme måde, når information er læst på drevet, dekrypterer DEK det, før det sendes til resten af enheden.
Denne proces sikrer, at al information på drevet er krypteret hele tiden. En interessant teknik, der kan opnås med dette, er at slette en harddisk næsten øjeblikkeligt og helt. Det eneste, en bruger vil gøre, er at fortælle SED'en om at oprette en ny DEK, så vil alle data på drevet øjeblikkeligt blive vrøvl og er praktisk talt uoprettelige. Dette skyldes, at den nøgle, der kræves for at dekryptere dataene, ikke længere er tilgængelig. Så hvis du har brug for bekvemt og Ryd sikkert et drev før omplacering eller bortskaffelse, SED'er giver en hurtig og pålidelig måde at gøre det på. Denne handling kaldes en række navne baseret på producenten, men den omtales oftest som "Sikker sletning".
Sanitization er den tekniske betegnelse for at sikre, at data, der efterlades på lagring efter endt brug, gøres utilgængelige. Sanering sikrer, at en organisation ikke bryder data, når de genbruger, sælger eller smider lagerenheder væk.
Sanering kan antage forskellige former afhængigt af både informationsfølsomhed og mængden af indsats en potentiel modstander kan bruge på at forsøge at hente data. Metoder, der bruges til desinficering, varierer fra simpel overskrivning, destruktion af kryptografisk nøgle for krypterede filer til fysisk ødelæggelse af lagerenheden.
Omfanget af ISO 27040 dækker:
Ud over dette dækker ISO 27040 sikkerheden af de oplysninger, der overføres på tværs af kommunikationsforbindelser, der er forbundet med lagring.
Standarden beskriver informationsrisici relateret til datalagring og kontroller for at mindske risiciene.
På trods af den øgede kapacitet på personlige computere og afdelingsarbejdsstationer er afhængigheden af centraliserede datacentre fortsat på grund af dataintegrationsbehov, datakontinuitet og datakvalitet. Med en betydelig stigning i væsentlige datamængder har mange virksomheder omfavnet storage-centrerede rammer for deres IKT-infrastruktur. Efterfølgende spiller lagringssikkerhed en afgørende rolle i at beskytte disse oplysninger og fungerer som den sidste forsvarslinje mod eksterne og interne trusler i mange situationer.
Design af lagringssikkerhedsløsninger er påvirket af kritiske sikkerhedskoncepter, når datafølsomhed, kritikalitet og omkostninger tages i betragtning. Klausul 6 i ISO 27040, Supporting Controls, giver vejledning om implementering af lagerrelevante kontroller i den byggede løsning.
Rådgivningen er yderligere opdelt i:
Design- og implementeringsproblemerne omfatter også:
En skræddersyet hands-on session baseret på dine behov og mål
Da ISO/IEC 27040:2015 giver et overblik over opbevaringssikkerhedskoncepter, indeholder standarden vejledning om truslen, design og kontroller forbundet med typiske storage-scenarier og storageteknologiområder, der suppleres af flere andre ISO-standarder. Det giver også referencer til forskellige standarder, der adresserer eksisterende praksis og teknikker, der kan anvendes til opbevaringssikkerhed.
ISO / IEC 27040 giver sikkerhedsretningslinjer for lagringssystemer og -miljøer og databeskyttelse i disse systemer. Det understøtter generelt ISO / IEC 27001 principper. ISO / IEC 27040 giver også klare, omfattende retningslinjer for implementering relateret til lagersikkerhed for universelle sikkerhedsprotokoller defineret i ISO / IEC 27002, for at nævne nogle få.
ISO 27040 tilbyder retningslinjer for implementering af informationssikkerhedsteknologier inden for lagringsnetværksindustrien og rådgivning om indførelse af informationssikring til lagringssystemer, samt om databeskyttelse og sikkerhedshensyn.
Selvom det ofte overses, er lagerbeskyttelse vigtig for alle, der engagerer sig i datalagringsenheder, medier og netværk, der ejer, kører eller bruger. Dette omfatter seniorledere, lagervare- og serviceindkøbere og andre ikke-tekniske ledere eller brugere, samt ledere og administratorer, der har det individuelle ansvar for informationssikkerhed eller lagersikkerhed, eller som er for den overordnede informationssikkerhed og implementering af sikkerhedspolitik. Det gælder også for dem, der er involveret i planlægning, design og implementering af opbevaring netværkssikkerhedsarkitektoniske aspekter.
Fortalere for denne standard mente, at informationsbeskyttelsesdimensionerne af datalagringssystemer og netværk blev ignoreret på grund af misforståelser og manglende erfaring med lagringsteknologier eller en begrænset viden om iboende risici eller sikkerhedsprincipper.
ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.
ISO 27040 består af syv korte klausuler og tre bilag. ISO/IEC 27040-udviklere planlagde ikke, at alle instruktioner skulle følges, hvilket førte til medtagelsen af de tre bilag. Relevante desinficeringsdetaljer er præsenteret i et sæt tabeller i Bilag A. Bilag B er designet til at hjælpe organisationer med at vælge passende kontroller baseret på datafølsomhed (høj eller lav) eller sikkerhedsmål baseret på CIA-triaden.
En af vanskelighederne ved at designe ISO / IEC 27040 var, at der var to adskilte målgrupper: lagerfagfolk og sikkerhedsprofessionelle. Bilag C indeholder værdifuld tutorial viden for begge grupper om:
100 % af vores brugere opnår ISO 27001-certificering første gang