Veilig beheer van opslagmedia: bescherming van gevoelige informatie
Het gebruik van opslagmedia-apparaten zoals solid-state drives (SSD's), USB-sticks, externe schijven en mobiele telefoons is van vitaal belang voor veel kritieke informatieverwerkingsactiviteiten, zoals gegevensback-up, gegevensopslag en informatieoverdracht.
Echter, de opslag van gevoelige en kritische informatie over deze apparaten brengt risico's voor de integriteit met zich mee, vertrouwelijkheid en beschikbaarheid van informatiemiddelen. Deze risico's kunnen het verlies of de diefstal omvatten van opslagmedia die gevoelige informatie bevatten, de verspreiding van malware naar alle bedrijfscomputernetwerken via de opslagmedia, en het falen en degradatie van opslagmedia die worden gebruikt voor gegevensback-up.
Controle 7.10 behandelt hoe organisaties passende procedures, beleid en controles kunnen vaststellen om de veiligheid van opslagmedia gedurende de gehele levenscyclus ervan te handhaven, vanaf de aanschaf tot de verwijdering ervan.
Doel van de controle 7.10
Met Control 7.10 kunnen organisaties de risico's van ongeoorloofde toegang tot, gebruik, verwijdering, wijziging en overdracht van gevoelige informatie die op opslagmedia-apparaten wordt gehost, elimineren en beperken door procedures vast te stellen voor de omgang met opslagmedia gedurende de gehele levenscyclus.
Attributen Controletabel 7.10
Controle 7.10 is een preventieve vorm van controle waarbij organisaties procedures en maatregelen moeten creëren, implementeren en onderhouden om de veiligheid van opslagmedia-apparaten te garanderen, vanaf de aanschaf tot de beschikking ervan.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Fysieke bewaking | #Bescherming |
| #Integriteit | #Vermogensbeheer | |||
| #Beschikbaarheid |
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Welke opslagmedia omvat Control 7.10?
Controle 7.10 is van toepassing op zowel digitale als fysieke opslagmedia. Bijvoorbeeld opslag van informatie in fysieke bestanden valt ook onder Controle 7.10.
Bovendien vallen naast de verwijderbare opslagmedia ook vaste opslagmedia zoals harde schijven onder Controle 7.10.
Eigendom van zeggenschap 7.10
Controle 7.10 vereist dat organisaties passende procedures, technische controles en organisatiebreed beleid inzake het gebruik van opslagmedia creëren en implementeren, gebaseerd op het eigen classificatieschema van de organisatie en haar vereisten voor gegevensverwerking, zoals wettelijke en contractuele verplichtingen.
Dit in overweging nemend moeten informatiebeveiligingsmanagers verantwoordelijk zijn voor het gehele complianceproces.
Algemene richtlijnen voor naleving
Verwisselbare opslagmedia
Hoewel verwijderbare opslagmedia essentieel zijn voor veel bedrijfsactiviteiten en vaak door het meeste personeel worden gebruikt, vormen ze het grootste risico voor de gevoelige informatie.
Control 7.10 somt tien vereisten op waaraan organisaties zich moeten houden voor het beheer van verwijderbare opslagmedia gedurende de gehele levenscyclus:
- Organisaties moeten een onderwerpspecifiek beleid opstellen voor de aanschaf, autorisatie, gebruik en verwijdering van verwijderbare opslagmedia. Dit beleid moet aan al het personeel en aan alle relevante partijen worden gecommuniceerd.
- Als het praktisch en noodzakelijk is, moeten organisaties autorisatieprocedures invoeren voor de manier waarop verwijderbare opslagmedia uit bedrijfsruimten kunnen worden gehaald. Bovendien moeten organisaties logbestanden bijhouden van de verwijdering van opslagmedia voor audittraildoeleinden.
- Alle verwijderbare opslagmedia moeten worden opgeslagen in een beveiligde ruimte, zoals een kluis, waarbij rekening moet worden gehouden met het informatieclassificatieniveau dat aan de informatie is toegewezen en de omgevings- en fysieke bedreigingen voor opslagmedia.
- Als de vertrouwelijkheid en integriteit van informatie op verwijderbare opslagmedia van cruciaal belang zijn, moeten cryptografische technieken worden gebruikt om de opslagmedia te beschermen tegen ongeoorloofde toegang.
- Om het risico van degradatie van verwijderbare opslagmedia en verlies van op de media opgeslagen informatie te voorkomen, moet de informatie worden overgebracht naar een nieuw opslagmedia-apparaat voordat een dergelijk risico zich voordoet.
- Kritieke en gevoelige informatie moet worden gekopieerd en opgeslagen op meerdere opslagmedia om het risico op verlies van kritieke informatie te minimaliseren.
- Om het risico van volledig verlies van informatie te beperken, kan registratie van verwijderbare opslagmedia een optie zijn om te overwegen.
- Tenzij er een zakelijke reden is om poorten voor verwijderbare opslagmedia te gebruiken, zoals USB-poorten of SD-kaartsleuven, mogen deze niet worden toegestaan.
- Er moet een monitoringmechanisme aanwezig zijn voor de overdracht van informatie naar verwijderbare opslagmedia.
- Wanneer informatie op fysieke media, zoals papieren, via een koerier of post wordt overgedragen, bestaat er een groot risico op ongeoorloofde toegang tot deze informatie. Daarom moeten passende maatregelen worden toegepast.
Leidraad voor veilig hergebruik en verwijdering van opslagmedia
Control 7.10 biedt afzonderlijke richtlijnen voor het veilig hergebruiken en verwijderen van opslagmedia, zodat organisaties de risico's voor het in gevaar brengen van de vertrouwelijkheid van informatie kunnen beperken en elimineren.
Controle 7.10 benadrukt dat organisaties procedures voor het hergebruik en de verwijdering van opslagmedia moeten definiëren en toepassen, rekening houdend met het gevoeligheidsniveau van de informatie op de opslagmedia.
Bij het vaststellen van deze procedures moeten organisaties het volgende in overweging nemen:
- Als een opslagmedium wordt hergebruikt door een interne partij binnen een organisatie, moet de gevoelige informatie die op dat opslagmedium wordt gehost onomkeerbaar worden verwijderd of opnieuw worden geformatteerd voordat deze wordt geautoriseerd voor hergebruik.
- Opslagmedia waarop gevoelige informatie wordt gehost, moeten op een veilige manier worden vernietigd wanneer deze niet langer nodig is. Papieren documenten kunnen bijvoorbeeld worden versnipperd en digitale apparatuur kan fysiek worden vernietigd.
- Er moet een procedure zijn voor de identificatie van opslagmedia-items die moeten worden weggegooid.
- Wanneer organisaties ervoor kiezen om met een externe partij samen te werken om de inzameling en verwijdering van opslagmedia af te handelen, dienen zij de nodige maatregelen te nemen om ervoor te zorgen dat de gekozen leverancier competent is en zij implementeert passende controles.
- Het bijhouden van een register van alle weggegooide spullen voor controlespoor.
- Wanneer meerdere opslagmedia samen moeten worden weggegooid, moet rekening worden gehouden met het accumulatie-effect: het combineren van verschillende informatiestukken van elk opslagmedium kan niet-gevoelige informatie omzetten in gevoelige informatie.
Als laatste, maar daarom niet minder belangrijk, vereist Controle 7.10 dat organisaties een risicobeoordeling van beschadigde apparatuur waarin vertrouwelijke informatie wordt opgeslagen om te beslissen of de apparatuur moet worden vernietigd in plaats van gerepareerd.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
27002:2022/7.10 vervangt 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)
Er zijn vier belangrijke verschillen die moeten worden benadrukt:
- Structurele veranderingen
Terwijl de versie uit 2013 er drie afzonderlijke bevatte controles op het beheer van media, verwijdering van media en fysieke mediaoverdracht combineert de 2022-versie deze drie bedieningselementen onder Controle 7.10.
- Versie 2022 bevat vereisten voor het hergebruik van opslagmedia
In tegenstelling tot de versie uit 2013 die alleen inging op het veilig weggooien van opslagmedia, gaat de Versie 2022 ook in op het veilig hergebruiken van opslagmedia.
- Versie 2013 bevat uitgebreidere vereisten voor de fysieke overdracht van opslagmedia
De versie van 2013 bracht uitgebreidere eisen met zich mee voor de fysieke overdracht van opslagmedia. De versie van 2013 bevatte bijvoorbeeld regels voor identiteitsverificatie voor koeriers en verpakkingsnormen.
Control 7.10 in de 2022-versie stelde daarentegen alleen dat organisaties zorgvuldig moeten handelen bij het kiezen van dienstverleners zoals koeriers.
- Versie 2022 vereist een onderwerpspecifiek beleid op verwijderbare opslagmedia
Hoewel de versies van 2022 en 2013 grotendeels vergelijkbaar zijn wat betreft de vereisten voor verwijderbare opslagmedia, introduceert de versie van 2022 de vereiste om een onderwerpspecifiek beleid op te stellen voor verwijderbare opslagmedia. De versie uit 2013 voldeed daarentegen niet aan deze vereiste.
Nieuwe ISO 27002-controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | NIEUW | Bedreigingsintelligentie |
| 5.23 | NIEUW | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | NIEUW | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 8.9 | NIEUW | Configuratiebeheer |
| 8.10 | NIEUW | Verwijdering van informatie |
| 8.11 | NIEUW | Gegevensmaskering |
| 8.12 | NIEUW | Preventie van gegevenslekken |
| 8.16 | NIEUW | Monitoring activiteiten |
| 8.23 | NIEUW | Web filtering |
| 8.28 | NIEUW | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Hoe ISMS.online helpt
De ISMS.online-platform maakt gebruik van een op risico's gebaseerde aanpak in combinatie met toonaangevende best practices en sjablonen om u te helpen de risico's waarmee uw organisatie wordt geconfronteerd te identificeren en de controles die nodig zijn om deze risico's te beheersen. Hierdoor kunt u zowel uw risicoblootstelling als uw compliancekosten systematisch verminderen.
Neem vandaag nog contact op met boek een demo.
