ISO/IEC 2015:27040, gepubliceerd in januari 2015, biedt uitgebreide technische richtlijnen over hoe organisaties een aanvaardbaar niveau van risicoreductie moeten identificeren door middel van een beproefde, consistente benadering van de voorbereiding, het ontwerp, de documentatie en de implementatie van de beveiliging van gegevensopslag.
Het is bedoeld om gemeenschappelijkheid te illustreren risico's die verband houden met de veiligheid, eerlijkheid en beschikbaarheid van gegevens over verschillende technologieën voor informatieopslag. ISO 27040 spoort organisaties ook aan om hun bescherming van gevoelige informatie te versterken met adequate informatiebeveiligingscontroles. De norm draagt ook bij aan het vergroten van de zekerheid door bijvoorbeeld beoordelingen of audits aan te moedigen informatiebeveiliging maatregelen ter bescherming van opgeslagen informatie.
Opslagbeveiliging verwijst naar de bescherming van gegevens waar deze zijn opgeslagen. Beveiliging van opslag heeft ook betrekking op de verdediging van de overdracht van informatie via communicatieverbindingen die verband houden met de opslag. Beveiligingsopslag omvat:
Gegevensbescherming is een verzameling parameters en instellingen die gegevensbronnen toegankelijk en ontoegankelijk maken voor andere entiteiten voor goedgekeurde gebruikers en vertrouwde netwerken. Deze kunnen verwijzen naar hardware, programmering, communicatieprotocollen en organisatiebeleid.
Er zijn een aantal zaken die van cruciaal belang zijn bij het overwegen van een SAN-beveiligingsproces (Storage Area Network). Opgeslagen gegevens moeten direct beschikbaar zijn voor geautoriseerde personen, entiteiten en organisaties. Het moet ook een uitdaging zijn voor mogelijke hackers om het systeem te misbruiken. De infrastructuur moet betrouwbaar en stabiel zijn in verschillende omgevingen en gebruiksvolumes.
Onlinebedreigingen zoals virussen, wormen, Trojaanse paarden en andere kwaadaardige code moeten altijd worden beschermd. Gevoelige informatie moet worden beveiligd. Onnodig systemen moeten worden verwijderd om mogelijke veiligheidslacunes te elimineren. De applicatieaanbieder zou dit routinematig moeten doen installeer updates voor het besturingssysteem. Duplicatie in de vorm van equivalent (of gespiegeld) opslag media kan catastrofaal gegevensverlies helpen voorkomen als zich een onvoorziene storing voordoet. Alle gebruikers moeten dat zijn op de hoogte zijn van de richtlijnen en het beleid gerelateerd aan het gebruik van een controlenetwerk.
Twee componenten kunnen helpen bij het beoordelen van de prestaties van de opslagbeveiligingsmethodologie. Ten eerste zouden de systeemimplementatiekosten een klein deel van de beveiligde datawaarde moeten bedragen. Ten tweede zou het in termen van geld en/of tijd meer moeten kosten om het systeem te doorbreken dan beveiligde gegevens waard zijn.
Ik zou ISMS.online zeker aanbevelen, het maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
ISO / IEC 27040:2015 is de eerste internationale specificatie die een breed scala aan problemen met opslagbeveiliging aanpakt. Het onderzoek naar ISO/IEC 27040 begon in het najaar van 2010, voorafgaand aan de SC27-conferentie van dat jaar. Het project kreeg een verlengde deadline, waardoor er 48 maanden de tijd was om de norm vast te stellen. De ISO/IEC 27040-standaard werd uitgebracht op 5 januari 2015.
In 27040 is een herzieningsproject voor ISO 2020 gestart. Het project had de volgende doelstellingen:
Een belangrijk onderdeel van de ISO/IEC 27040-standaard is gericht op het definiëren van beveiligingscontroles voor verschillende opslagsystemen en architecturen. Dit bevat het volgende:
De bibliografie behoort tot de meest uitgebreide verzamelingen referenties op het gebied van gegevensbeveiliging. Hieronder vindt u de definities van enkele kerntermen voor ISO 27040.
ISO/IEC 27040:2015 zal uiteindelijk worden vervangen door ISO/IEC WD 27040. De bijgewerkte standaard zou voldoen aan ISO's Sustainable Development Goals 9 en 12.
Doelstelling 9 Industrie, innovatie en infrastructuur streeft naar het opbouwen van een robuuste infrastructuur, het bevorderen van inclusieve en duurzame groei en het bevorderen van innovatie. Terwijl Doelstelling 12, verantwoorde consumptie en productie, streeft naar het creëren van duurzame consumptie en productiepatronen.
Boek een hands-on sessie op maat op basis van uw behoeften en doelen.
Bij informatiebeveiliging is authenticatie de handeling waarbij wordt bevestigd of iemand of iets daadwerkelijk is wie of wat hij beweert te zijn. Authenticatie verifieert de identiteit van een persoon, proces of apparaat, soms als voorwaarde voor toegang tot bronnen in een informatiesysteem.
Er zijn drie soorten authenticatie:
Single-factor authenticatie, vaak primaire authenticatie genoemd, is de eenvoudigste authenticatiemethode.
Single-factor authenticatie vereist slechts één authenticatiemechanisme (zoals wachtwoord, beveiligingspincode, enz.) om toegang te krijgen tot een systeem of dienst. Hoewel deze benaderingen toegankelijker zijn, houden ze vaak verband met mindere beveiligingspraktijken. Dit komt omdat ze dat gemakkelijk kunnen zijn geïdentificeerd of gestolen bij datalekken, phishing of keylogging-aanvallen. Two Factor Authentication (2FA) voegt extra complexiteit toe. 2FA heeft een tweede component nodig om de identiteit te bevestigen. Typische toepassingen zijn onder meer geregistreerde computertokens, eenmalige wachtwoorden of pincodes.
Alleen al het bestaan van twee gebruikersauthenticatiemethoden verbetert uw algehele veiligheid dramatisch, aangezien 2FA 80% van de datalekken zal beperken. Hoewel de beveiligingsvoordelen van 2FA algemeen bekend zijn, is het gebruik ervan een wijdverbreid probleem. Sinds Google voor het eerst de optie implementeerde om 2FA aan gebruikersaccounts toe te voegen, heeft minder dan 10 procent van de gebruikers in zeven jaar tijd 2FA geadopteerd. Een van de oorzaken waarom ze 7FA niet gebruikten, was de ergernis die het bij gebruikers veroorzaakte: minder dan 2% van de gebruikers die probeerden 10FA te gebruiken, had de sms-bevestigingscode niet correct ingevoerd.
Multi-Factor Authenticatie (MFA) is veruit het meest geavanceerde authenticatiemechanisme. Het maakt gebruik van twee of meer onafhankelijke variabelen om gebruikerstoegang tot een systeem mogelijk te maken. In standaardgevallen gebruikt MFA minimaal 2 of 3 categorieën:
Toegangscontrole is het opzettelijk beperken van de toegang tot een locatie, website of andere bronnen en activa. Toegang kan betrekking hebben op het verwerken, bezoeken of gebruiken van een asset. Toestemming om toegang te krijgen tot een asset wordt autorisatie genoemd.
Autorisatie is een beveiligingsmethode die wordt gebruikt om gebruikers-/clientrechten of toegangsniveaus te definiëren die verband houden met bronnen, waaronder computerprogramma's, directory's, services, informatie en programmafuncties. Autorisatie wordt meestal gevolgd door authenticatie van de identiteit van de gebruiker.
We hadden het gevoel dat we dat hadden gedaan
het beste van beide werelden. We waren
onze kunnen gebruiken
bestaande processen,
& de Adopteer, pas aan
inhoud gaf ons nieuw
diepgang van ons ISMS.
Een SED is een zelfversleutelende harde schijf, een vorm van harde schijf die automatisch en continu gegevens codeert zonder tussenkomst van de gebruiker. Bij een zelfversleutelende schijf is meestal een circuit ingebouwd in de controllerchip van de schijf. Deze chip codeert alle gegevens naar de magnetische media en decodeert alle gegevens automatisch opnieuw.
Verrassend genoeg zijn een behoorlijk aantal harde schijven die momenteel op de markt zijn SED's. Omdat fabrikanten dit niet als een belangrijk kenmerk beschouwen, gaat het vaak verloren in andere, doorgaans belangrijkere aspecten. Zelfs als u een SED-schijf koopt, installeert en gaat gebruiken, vindt de codering automatisch plaats. Het is dus onwaarschijnlijk dat de gebruiker zich realiseert dat de schijf een SED is.
Dit versleutelingsproces wordt bereikt door gebruik te maken van een unieke en willekeurige Data Encryption Key (DEK) die de schijf nodig heeft om de gegevens te versleutelen en te ontsleutelen. Wanneer de gegevens naar de schijf worden geschreven, worden deze eerst gecodeerd door de DEK. Op dezelfde manier wordt de informatie die op de schijf is gelezen, door de DEK gedecodeerd voordat deze naar de rest van het apparaat wordt verzonden.
Dit proces zorgt ervoor dat alle informatie op de schijf te allen tijde gecodeerd is. Een interessante techniek die hiermee kan worden bereikt, is het vrijwel onmiddellijk en volledig wissen van een harde schijf. Het enige wat een gebruiker hoeft te doen is de SED vertellen een nieuwe DEK te maken, waarna alle gegevens op de schijf onmiddellijk wartaal worden en vrijwel onherstelbaar zijn. Dit komt doordat de sleutel die nodig is om de gegevens te decoderen niet langer beschikbaar is. Dus als u gemakkelijk en Maak een schijf veilig leeg voordat u deze opnieuw gebruikt of weggooitbieden SED’s een snelle en betrouwbare manier om dat te doen. Deze handeling wordt verschillende namen genoemd, afhankelijk van de fabrikant, maar wordt meestal 'Secure Erase' genoemd.
Sanitisatie is de technische term om ervoor te zorgen dat gegevens die aan het einde van het gebruik in de opslag zijn achtergebleven, niet meer beschikbaar zijn. Sanering zorgt ervoor dat een organisatie geen gegevens schendt bij het hergebruiken, verkopen of weggooien van opslagapparaten.
Opschoning kan verschillende vormen aannemen, afhankelijk van zowel de informatiegevoeligheid als de hoeveelheid moeite die een potentiële tegenstander zou kunnen besteden aan het ophalen van gegevens. De methoden die worden gebruikt bij het opschonen variëren van het eenvoudigweg overschrijven, vernietigen van cryptografische sleutels voor gecodeerde bestanden, tot fysieke vernietiging van het opslagapparaat.
Het toepassingsgebied van ISO 27040 omvat:
Daarnaast heeft ISO 27040 betrekking op de beveiliging van de informatie die wordt overgedragen via de communicatieverbindingen die verband houden met opslag.
De standaard beschrijft informatierisico's met betrekking tot gegevensopslag en controles om de risico's te beperken.
Ondanks de toegenomen capaciteit van personal computers en afdelingswerkstations blijft de afhankelijkheid van gecentraliseerde datacenters bestaan vanwege de behoeften aan data-integratie, datacontinuïteit en datakwaliteit. Nu de volumes essentiële data aanzienlijk zijn toegenomen, hebben veel bedrijven opslaggerichte raamwerken voor hun ICT-infrastructuur omarmd. Vervolgens speelt opslagbeveiliging een cruciale rol bij het beschermen van deze informatie en fungeert het in veel situaties als de laatste verdedigingslinie tegen externe en interne bedreigingen.
Het ontwerp van opslagbeveiligingsoplossingen wordt beïnvloed door kritische beveiligingsconcepten bij het overwegen van gegevensgevoeligheid, kriticiteit en kosten. Clausule 6 van ISO 27040, Supporting Controls, geeft richtlijnen voor het implementeren van opslagrelevante controles in de gebouwde oplossing.
Het advies is verder onderverdeeld in:
De ontwerp- en implementatieproblemen omvatten ook:
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Omdat ISO/IEC 27040:2015 een overzicht biedt van opslagbeveiligingsconcepten, bevat de standaard richtlijnen over de dreiging, het ontwerp en de controles die verband houden met typische opslagscenario's en opslagtechnologiegebieden, die worden aangevuld door verschillende andere ISO-normen. Het biedt ook verwijzingen naar verschillende standaarden die betrekking hebben op bestaande praktijken en technieken die kunnen worden toegepast op opslagbeveiliging.
ISO/IEC 27040 geeft beveiligingsrichtlijnen voor opslagsystemen en -omgevingen en gegevensbescherming in deze systemen. Het ondersteunt algemeen ISO / IEC 27001 principes. ISO/IEC 27040 biedt ook duidelijke, uitgebreide richtlijnen voor de implementatie met betrekking tot opslagbeveiliging voor universele beveiligingsprotocollen gedefinieerd in ISO/IEC 27002, om er maar een paar te noemen.
ISO 27040 biedt richtlijnen voor de implementatie van informatiebeveiligingstechnologieën binnen de opslagnetwerkindustrie en advies over de adoptie van informatieborging voor opslagsystemen, evenals over gegevensbescherming en beveiligingsproblemen.
Hoewel vaak over het hoofd gezien, is opslagbescherming belangrijk voor iedereen die zich bezighoudt met apparaten, media en netwerken voor gegevensopslag die eigenaar zijn, draaien of gebruiken. Dit omvat senior managers, kopers van opslagproducten en -diensten en andere niet-technische managers of gebruikers, evenals managers en beheerders die de individuele verantwoordelijkheid hebben voor informatiebeveiliging of opslagbeveiliging, of die verantwoordelijk zijn voor de algemene informatiebeveiliging en implementatie van het beveiligingsbeleid. Het is ook van toepassing op degenen die betrokken zijn bij het plannen, ontwerpen en implementeren van opslag architectonische aspecten van netwerkbeveiliging.
De voorstanders van deze standaard waren van mening dat de informatiebeschermingsdimensies van gegevensopslagsystemen en -netwerken werden genegeerd vanwege misvattingen en een gebrek aan ervaring met opslagtechnologieën, of een beperkte kennis van inherente risico's of beveiligingsprincipes.
ISMS.online maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
ISO 27040 bestaat uit zeven korte clausules en drie bijlagen. De ontwikkelaars van ISO/IEC 27040 hadden niet gepland dat alle instructies zouden worden gevolgd, wat leidde tot de opname van de drie bijlagen. Relevante ontsmettingsdetails worden weergegeven in een reeks tabellen in bijlage A. Bijlage B is ontworpen om organisaties te helpen bij het selecteren van geschikte controles op basis van gegevensgevoeligheid (hoog of laag). veiligheidsdoelstellingen gebaseerd op de CIA-triade.
Een van de moeilijkheden bij het ontwerpen van ISO/IEC 27040 was dat er twee verschillende doelgroepen waren: opslagprofessionals en beveiligingsprofessionals. Bijlage C bevat voor beide groepen waardevolle onderwijskennis over:
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering