ISO 27001 – Bilaga A.13: Kommunikationssäkerhet

Vad är syftet med bilaga A.13.1?

Bilaga A.13.1 handlar om nätverkssäkerhetshantering. Syftet med denna bilaga är att säkerställa skyddet av information i nätverk och dess stödjande informationsbehandlingsanläggningar. Det är en viktig del av ledningssystemet för informationssäkerhet (ISMS), särskilt om du vill uppnå ISO 27001-certifiering.

A.13.1.1 Nätverkskontroller

Nätverk måste hanteras och kontrolleras för att skydda information i system och applikationer. Enkelt uttryckt bör organisationen använda lämpliga metoder för att säkerställa att den skyddar all information i sina system och applikationer. Dessa nätverkskontroller bör överväga all verksamhet i verksamheten noggrant, vara adekvat och proportionellt utformad och implementerad i enlighet med affärskrav, riskbedömning, klassificeringar och krav på segregering.

Några möjliga exempel på tekniska kontroller för övervägande kan vara; Anslutningskontroll och slutpunktsverifiering, brandväggar och intrångsdetektering/-förebyggande system, åtkomstkontrollistor och fysisk, logisk eller virtuell segregering. Det är också viktigt att upprätthålla det faktum att när man ansluter till offentliga nätverk eller andra organisationers nätverk utanför organisationens kontroll, beakta de ökade risknivåerna och hantera dessa risker med ytterligare kontroller som är lämpligt.

Du måste komma ihåg att revisorn kommer att se efter att dessa genomförda kontroller är effektiva och hanteras på lämpligt sätt, inklusive användningen av formella förändringshanteringsprocedurer.

A.13.1.2 Säkerhet för nätverkstjänster

Säkerhetsmekanismer, tjänstenivåer och hanteringskrav för alla nättjänster måste identifieras och inkluderas i nättjänstavtal, oavsett om dessa tjänster tillhandahålls internt eller utkontrakterade. Enkelt uttryckt bör organisationen inkludera alla olika säkerhetsåtgärder som den vidtar för att säkra sina nätverkstjänster, i sina avtal om nätverkstjänster. Din revisor kommer att vilja se att utformningen och implementeringen av nätverk tar hänsyn till både affärskraven och säkerhetskraven, och uppnår en balans som är adekvat och proportionell mot båda. De kommer att leta efter bevis på detta, tillsammans med bevis på en riskbedömning.

A.13.1.3 Segregation i nätverk

Grupper av informationstjänster, användare och informationssystem bör separeras i nätverk. Överväg när det är möjligt att separera uppgifterna för nätverksdrift och dator-/systemdrift, t.ex. offentliga domäner, avd x- eller y-domäner. Nätverkets design och kontroll måste anpassas till och stödja informationsklassificeringspolicyer och krav på segregation.

Vad är syftet med bilaga A.13.2?

Bilaga A.13.2 handlar om informationsöverföring. Målet i denna bilaga är att upprätthålla säkerheten för information som överförs inom organisationen och med alla externa enheter, t.ex. en kund, leverantör eller annan intresserad part.

A.13.2.1 Policyer och förfaranden för informationsöverföring

Formella överföringspolicyer, förfaranden och kontroller måste finnas på plats för att skydda överföringen av information genom användning av alla typer av kommunikationsmöjligheter. Oavsett vilken typ av kommunikationsmöjlighet som används är det viktigt att förstå säkerhetsriskerna i samband med informationens konfidentialitet, integritet och tillgänglighet och detta måste ta hänsyn till typen, arten, mängden och känsligheten eller klassificeringen av informationen. information som överförs. Det är särskilt viktigt att implementera sådana policyer och procedurer när information överförs från eller till organisationen från tredje part. Olika men kompletterande kontroller kan krävas för att skydda information som överförs från avlyssning, kopiering, modifiering, feldirigering och förstörelse och bör beaktas holistiskt när man identifierar vilka kontroller som ska väljas.

A.13.2.2 Avtal om informationsöverföring

Information får överföras digitalt eller fysiskt och avtal ska behandla säker överföring av affärsinformation mellan organisationen och eventuella externa parter. Formella förfaranden för överföringspolicyer och tekniska kontroller bör väljas, implementeras, drivas, övervakas, granskas och ses över för att säkerställa ett kontinuerligt effektivt säkerhetsskydd. Ofta sätts kommunikations- och överföringssystem och procedurer på plats, utan en verklig förståelse för riskerna som därför skapar sårbarheter och möjliga kompromisser. ISO 27002 berör implementeringsöverväganden inklusive övervägande av meddelanden, spårbarhet, deposition, identifieringsstandarder, spårbarhetskedja, kryptografi, åtkomstkontroll och annat.

A.13.2.3 Elektroniska meddelanden

All information som är inblandad i någon form av elektroniska meddelanden måste skyddas på lämpligt sätt. Enkelt uttryckt, när man använder elektroniska meddelanden bör den skyddas för att säkerställa att ingen obehörig åtkomst kan erhållas. Organisationen bör skapa en policy som anger vilka former av elektroniska meddelanden som ska användas för de olika typer av information som överförs, t.ex. på hur säkra de är. Överväganden kommer också att behöva göras för överföring av röst- och faxkommunikation och fysisk överföring (t.ex. via postsystem). Detta bör vara i linje med åtkomstkontroller och andra säkra autentiseringspolicyer och inloggningsprocedurer.

A.13.2.4 Avtal om sekretess eller sekretess

En bra kontroll beskriver hur kraven på sekretess- eller sekretessavtal som speglar organisationens behov av skydd av information ska identifieras, regelbundet ses över och dokumenteras. Som sådan måste organisationen säkerställa att all information som behöver skyddas görs genom användning av sekretess- och sekretessavtal.

Avtal är vanligtvis specifika för organisationen och bör utvecklas med dess kontrollbehov i åtanke efter riskanalysarbetet. Standardavtal för sekretess och sekretess som kan motivera övervägande här inkluderar:

• Allmänna sekretessavtal och ömsesidiga sekretessavtal t.ex. vid delning av känslig information t.ex. om nya affärsidéer.
• Kundavtal som använder standardvillkor – uttrycker konfidentialitet inom ramen för användningen av sålda produkter och eventuella kompletterande tjänster som beskrivs i ett relaterat beställningsformulär.
• Partner-/leverantörs-/partneravtal som används för små leverantörer och oberoende tjänsteleverantörer som organisationen använder för leverans av tjänster.
• Anställningsrelaterade villkor (i linje med A.7).
• Sekretesspolicyer t.ex. från e-postsidfot.