ISO 27001 – Bijlage A.16: Beheer van informatiebeveiligingsincidenten

Wat is het doel van bijlage A.16.1?

Bijlage A.16.1 gaat over het beheer van informatiebeveiligingsincidenten, gebeurtenissen en zwakke punten. Het doel op dit gebied van bijlage A is het waarborgen van een consistente en effectieve aanpak van de levenscyclus van incidenten, gebeurtenissen en zwakke punten. ISO 27001:2013 behandelt de levenscyclus duidelijk via A.16.1.1 tot A.16.1.7 en het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen. Laten we deze vereisten en wat ze betekenen nu wat dieper begrijpen.

A.16.1.1 Verantwoordelijkheden en procedures

Een goede controle beschrijft hoe het management verantwoordelijkheden en procedures vaststelt om te zorgen voor een snelle, effectieve en ordelijke reactie op zwakke punten, gebeurtenissen en veiligheidsincidenten. Simpel gezegd is er sprake van een incident als er een vorm van verlies heeft plaatsgevonden op het gebied van vertrouwelijkheid, integriteit of beschikbaarheid.

Een voorbeeld is waar een raam open werd gelaten en een dief een belangrijk dossier stal dat op het bureau lag... Na dat draadje is er een gebeurtenis waarbij het raam open werd gelaten maar niemand het dossier stal. Een zwak punt is dat het raam gemakkelijk kapot of oud is en een voor de hand liggende plaats kan zijn voor inbraak. Een zwakte is ook een veel voorkomende kans op risicobeheer of verbetering.

De procedures voor de planning van incidenten, gebeurtenissen en zwakke punten moeten duidelijk worden gedefinieerd voordat zich een incident voordoet en moeten worden goedgekeurd door uw leiderschap. Deze procedures zijn vrij eenvoudig te ontwikkelen, omdat ze in de rest van deze bijlage A-controle worden beschreven. Uw auditor verwacht dat al deze formele, gedocumenteerde procedures aanwezig zijn, en dat zij bewijzen dat ze werken.

A.16.1.2 Rapporteren van informatiebeveiligingsgebeurtenissen

Een goede controle zorgt ervoor dat informatiebeveiligingsincidenten en -gebeurtenissen zo snel mogelijk via geschikte managementkanalen kunnen worden gemeld.

Werknemers en geassocieerde belanghebbenden (bijv. leveranciers) moeten bewust worden gemaakt van hun verplichtingen om beveiligingsincidenten te melden en u moet dit afdekken als onderdeel van uw algemene bewustwording en training. Om dit goed te kunnen doen, moeten ze zich bewust zijn van wat precies een zwakte, gebeurtenis of incident op het gebied van informatiebeveiliging inhoudt. Wees daar dus duidelijk over, op basis van het eenvoudige voorbeeld hierboven. Als zich een informatiebeveiligingsgebeurtenis voordoet of vermoed wordt dat deze heeft plaatsgevonden, moet dit onmiddellijk worden gemeld aan de aangewezen informatiebeveiligingsbeheerder en moet dit dienovereenkomstig worden gedocumenteerd.

Enkele van de mogelijke redenen voor het melden van een beveiligingsincident zijn onder meer; ineffectieve veiligheidscontroles; veronderstelde inbreuken op de integriteit of vertrouwelijkheid van informatie, of problemen met de beschikbaarheid, bijvoorbeeld geen toegang tot een dienst.

De auditor zal steekproeven willen zien en steekproeven nemen om te bewijzen dat de generale staf zich bewust is van wat een zwakte, gebeurtenis of incident inhoudt, en dat hij zich bewust is van de procedures en verantwoordelijkheden voor het melden van incidenten.

A.16.1.3 Rapporteren van zwakke punten op het gebied van informatiebeveiliging

Deze controle bouwt eenvoudigweg voort op incidenten en gebeurtenissen, maar kan enigszins anders worden behandeld zodra deze worden gemeld (zie A.16.1.4). Het is essentieel dat werknemers zich bewust zijn van het feit dat zij, wanneer ze een beveiligingszwakte ontdekken, niet mogen proberen die zwakte te bewijzen , aangezien het testen ervan kan worden geïnterpreteerd als misbruik van het systeem, terwijl ook het risico bestaat dat het systeem en de opgeslagen informatie worden beschadigd, waardoor beveiligingsincidenten kunnen ontstaan!

A.16.1.4 Beoordeling van en beslissing over informatiebeveiligingsgebeurtenissen

Informatiebeveiligingsgebeurtenissen moeten worden beoordeeld en vervolgens kan worden besloten of ze moeten worden geclassificeerd als informatiebeveiligingsincidenten, gebeurtenissen met zwakke punten. Zodra een beveiligingsgebeurtenis is gemeld en vervolgens is vastgelegd, moet deze worden beoordeeld om te bepalen welke actie het beste kan worden ondernomen. Deze actie moet erop gericht zijn om elk compromis op het gebied van de beschikbaarheid, integriteit of vertrouwelijkheid van informatie tot een minimum te beperken en verdere incidenten te voorkomen. Idealiter zal dit een minimale impact hebben op andere gebruikers van de diensten. Ook in dit deel van de levenscyclus kan worden nagedacht over wie precies op de hoogte moet worden gesteld van het incident (intern, klanten, leveranciers en toezichthouders).

De AVG en de Data Protection Act 2018 betekenen dat sommige informatiebeveiligingsincidenten met betrekking tot persoonlijke gegevens ook aan de toezichthoudende autoriteit moeten worden gerapporteerd. Uw controles moeten dus ook rekening houden met deze overwegingen om aan de wettelijke vereisten te voldoen en dubbel werk of hiaten in het werk te voorkomen.

A.16.1.5 Reactie op informatiebeveiligingsincidenten

Het is altijd goed om eigenaren toe te wijzen, duidelijk te zijn over acties en tijdschema's, en zoals bij alles voor ISO 27001, de informatie te bewaren voor auditdoeleinden (ook essentieel als u rekening moet houden met andere belanghebbenden en toezichthouders). De persoon die verantwoordelijk is voor het afhandelen van de beveiligingsgebeurtenis is verantwoordelijk voor het herstellen van een normaal beveiligingsniveau, terwijl hij ook:

• het verzamelen van bewijsmateriaal zo spoedig mogelijk na het voorval;
• het uitvoeren van een forensische informatiebeveiligingsanalyse (grote term, maar waarbij in ieder geval duidelijk moet zijn over de hoofdoorzaak en gerelateerde aspecten of wat er is gebeurd en wie erbij betrokken was, waarom enz.);
• escalatie, indien nodig, bijvoorbeeld naar relevante toezichthouders;
• ervoor zorgen dat alle betrokken responsactiviteiten correct worden geregistreerd voor latere analyse;
• het communiceren van het bestaan ​​van het informatiebeveiligingsincident of alle relevante details aan de leiding, zodat deze verder kunnen worden gecommuniceerd naar verschillende individuen of organisaties op een ‘need-to-know’-basis; En
• omgaan met zwakke punten in de informatiebeveiliging die het incident hebben veroorzaakt of daartoe hebben bijgedragen.

A.16.1.6 Leren van informatiebeveiligingsincidenten

Dit is een belangrijkheidscontrole en uw beleid moet aantonen dat de kennis die is opgedaan bij het analyseren en oplossen van informatiebeveiligingsincidenten zal worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te helpen verminderen. Als onderdeel van de toewijding aan voortdurende verbetering van de dienstverlening moet u ervoor zorgen dat u leert van de lessen van elk beveiligingsincident om zo het ISMS te helpen ontwikkelen en aanpassen aan het veranderende landschap waarin wordt gewerkt.

Zodra een incident is opgelost, moet het in een status van beoordelen en leren worden geplaatst, waarbij de hoofdhulpverlener voor dat incident eventuele wijzigingen zal bespreken die als gevolg daarvan nodig zijn in de processen van het ISMS-beleid. Alle relevante aanbevelingen moeten vervolgens voor verdere discussie aan het ISMS-bestuur worden voorgelegd. Zodra de evaluatie en het leren zijn voltooid, zijn er waar nodig updates in het beleid aangebracht, moet het relevante personeel op de hoogte worden gesteld en indien nodig opnieuw worden opgeleid, en gaat de cyclus van informatiebeveiligingsbewustzijn en -educatie door.

A.16.1.7 Verzamelen van bewijsmateriaal

De organisatie moet controles definiëren en toepassen voor de identificatie, verzameling, verwerving en bewaring van informatie, die als bewijsmateriaal kan worden gebruikt, vooral als er waarschijnlijk strafrechtelijke of civielrechtelijke procedures zullen volgen als gevolg van het incident.

Wanneer de organisatie vermoedt of weet dat een veiligheidsincident tot juridische of disciplinaire maatregelen kan leiden, moet zij het verzamelen van bewijsmateriaal zorgvuldig uitvoeren, zorgen voor een goede keten van toezicht en elke dreiging vermijden dat zij door slecht management worden betrapt.

Het is verstandig om het beheer van informatiebeveiligingsincidenten ook duidelijk te koppelen aan disciplinaire procedures. Iedereen moet weten dat hij voorzorgsmaatregelen moet nemen en tegelijkertijd duidelijk moeten zijn over de gevolgen voor degenen die dit niet serieus nemen.