ISO 27001 – Bijlage A.13: Communicatiebeveiliging

Wat is het doel van bijlage A.13.1?

Bijlage A.13.1 gaat over netwerkbeveiligingsbeheer. Het doel van deze bijlage is het waarborgen van de bescherming van informatie in netwerken en de ondersteunende informatieverwerkingsfaciliteiten. Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen.

A.13.1.1 Netwerkcontroles

Netwerken moeten worden beheerd en gecontroleerd om informatie binnen systemen en applicaties te beschermen. Simpel gezegd: de organisatie moet geschikte methoden gebruiken om ervoor te zorgen dat alle informatie binnen haar systemen en applicaties wordt beschermd. Deze netwerkcontroles moeten zorgvuldig rekening houden met alle activiteiten van het bedrijf, adequaat en proportioneel zijn ontworpen en, indien van toepassing, worden geïmplementeerd in overeenstemming met de bedrijfsvereisten, risicobeoordeling, classificaties en scheidingsvereisten.

Enkele mogelijke voorbeelden van technische controles ter overweging kunnen zijn: Verbindingscontrole en eindpuntverificatie, firewalls en systemen voor inbraakdetectie/preventie, toegangscontrolelijsten en fysieke, logische of virtuele scheiding. Het is ook belangrijk om af te dwingen dat wanneer u verbinding maakt met openbare netwerken of die van andere organisaties buiten de controle van de organisatie, u rekening moet houden met de verhoogde risiconiveaus en deze risico's moet beheersen met aanvullende controles, indien nodig.

U moet er rekening mee houden dat de auditor erop zal toezien dat deze geïmplementeerde controles effectief zijn en op de juiste manier worden beheerd, inclusief het gebruik van formele procedures voor verandermanagement.

A.13.1.2 Beveiliging van netwerkdiensten

Beveiligingsmechanismen, serviceniveaus en beheervereisten van alle netwerkdiensten moeten worden geïdentificeerd en opgenomen in overeenkomsten voor netwerkdiensten, ongeacht of deze diensten intern of uitbesteed worden geleverd. Simpel gezegd: de organisatie moet alle verschillende beveiligingsmaatregelen die zij neemt om haar netwerkdiensten te beveiligen, opnemen in haar netwerkdienstenovereenkomsten. Uw auditor zal willen zien dat bij het ontwerp en de implementatie van netwerken rekening wordt gehouden met zowel de bedrijfsvereisten als de beveiligingsvereisten, waardoor een evenwicht wordt bereikt dat adequaat en proportioneel is voor beide. Ze zullen op zoek gaan naar bewijs hiervan, samen met bewijs van een risicobeoordeling.

A.13.1.3 Segregatie in netwerken

Groepen informatiediensten, gebruikers en informatiesystemen moeten in netwerken worden gescheiden. Overweeg waar mogelijk om de taken van netwerkactiviteiten en computer-/systeemactiviteiten te scheiden, bijvoorbeeld publieke domeinen, afdeling x- of y-domeinen. Het netwerkontwerp en de controle moeten aansluiten bij het informatieclassificatiebeleid en de segregatievereisten en deze ondersteunen.

Wat is het doel van bijlage A.13.2?

Bijlage A.13.2 gaat over informatieoverdracht. Het doel van deze bijlage is het handhaven van de veiligheid van informatie die wordt overgedragen binnen de organisatie en met externe entiteiten, bijvoorbeeld een klant, leverancier of andere belanghebbende partij.

A.13.2.1 Beleid en procedures voor informatieoverdracht

Er moeten formele beleidslijnen, procedures en controles op het gebied van overdracht bestaan ​​om de overdracht van informatie door het gebruik van alle soorten communicatiefaciliteiten te beschermen. Welk type communicatiefaciliteit er ook wordt gebruikt, het is belangrijk om de veiligheidsrisico's te begrijpen die gepaard gaan met de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie. Hierbij moet rekening worden gehouden met het type, de aard, de hoeveelheid en de gevoeligheid of classificatie van de informatie. informatie die wordt overgedragen. Het is vooral belangrijk om dergelijk beleid en dergelijke procedures te implementeren wanneer informatie van derden uit of naar de organisatie wordt overgedragen. Er kunnen verschillende, maar complementaire controles nodig zijn om de overgedragen informatie te beschermen tegen onderschepping, kopiëren, wijzigen, verkeerde routering en vernietiging, en deze moeten holistisch worden overwogen bij het identificeren van de controles die moeten worden geselecteerd.

A.13.2.2 Afspraken over informatieoverdracht

Informatie kan digitaal of fysiek worden overgedragen en overeenkomsten moeten de veilige overdracht van bedrijfsinformatie tussen de organisatie en eventuele externe partijen regelen. Formele procedures en technische controles op het gebied van overdrachtsbeleid moeten worden geselecteerd, geïmplementeerd, uitgevoerd, gemonitord, gecontroleerd en beoordeeld om voortdurende effectieve beveiligingsbescherming te garanderen. Vaak worden er communicatie- en overdrachtssystemen en -procedures ingevoerd zonder dat men werkelijk inzicht heeft in de risico's die daarmee gepaard gaan, waardoor er kwetsbaarheden en mogelijke compromissen ontstaan. ISO 27002 heeft betrekking op implementatieoverwegingen, waaronder het overwegen van meldingen, traceerbaarheid, escrow, identificatiestandaarden, Chain of Custody, cryptografie, toegangscontrole en andere.

A.13.2.3 Elektronische berichtenuitwisseling

Alle informatie die betrokken is bij enige vorm van elektronische berichtenuitwisseling moet op passende wijze worden beschermd. Simpel gezegd: bij het gebruik van elektronische berichtenuitwisseling moet deze worden beschermd om ervoor te zorgen dat er geen ongeoorloofde toegang kan worden verkregen. De organisatie moet een beleid opstellen waarin wordt uiteengezet welke vormen van elektronische berichtenuitwisseling moeten worden gebruikt voor de verschillende soorten informatie die worden overgedragen, bijvoorbeeld afhankelijk over hoe veilig ze zijn. Er moeten ook overwegingen worden gemaakt voor de overdracht van spraak- en faxcommunicatie en de fysieke overdracht (bijvoorbeeld via postsystemen). Dit moet aansluiten bij toegangscontroles en ander veilig authenticatiebeleid en inlogprocedures.

A.13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten

Een goede controle beschrijft hoe de vereisten voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie op het gebied van de bescherming van informatie weerspiegelen, moeten worden geïdentificeerd, regelmatig beoordeeld en gedocumenteerd. Als zodanig moet de organisatie ervoor zorgen dat alle informatie die beschermd moet worden, dit gebeurt door het gebruik van vertrouwelijkheids- en geheimhoudingsovereenkomsten.

Overeenkomsten zijn doorgaans specifiek voor de organisatie en moeten worden ontwikkeld met de controlebehoeften in gedachten na de risicoanalysewerkzaamheden. Standaardovereenkomsten voor vertrouwelijkheid en niet-openbaarmaking die hier overweging kunnen rechtvaardigen, zijn onder meer:

• Algemene geheimhoudings- en wederzijdse geheimhoudingsovereenkomsten, bijvoorbeeld bij het delen van gevoelige informatie, bijvoorbeeld over nieuwe zakelijke ideeën.
• Klantovereenkomsten waarbij gebruik wordt gemaakt van standaardvoorwaarden – waarin vertrouwelijkheid wordt uitgedrukt binnen de context van het gebruik van de verkochte producten en eventuele aanvullende diensten die zijn beschreven in een gerelateerd bestelformulier.
• Associate-/leverancier-/partnerovereenkomsten die worden gebruikt voor kleine leveranciers en onafhankelijke dienstverleners waarvan de organisatie gebruik maakt voor het leveren van diensten.
• Arbeidsvoorwaarden (in lijn met A.7).
• Privacybeleid, bijvoorbeeld van e-mailvoetteksten.