Publicerad i januari 2015, erbjuder ISO / IEC 27040:2015 omfattande teknisk vägledning om hur organisationer bör identifiera en acceptabel nivå av riskminskning genom ett väl beprövat, konsekvent tillvägagångssätt för datalagringssäkerhet förberedelse, design, dokumentation och implementering.
Den syftar till att illustrera gemensamma risker relaterade till säkerheten, ärlighet och tillgänglighet av data om olika tekniker för informationslagring. ISO 27040 uppmanar också organisationer att förstärka sitt skydd av känslig information med adekvata informationssäkerhetskontroller. Normen bidrar också till att öka säkerheten genom att till exempel uppmuntra till bedömningar eller revisioner av informationssäkerhet åtgärder för att skydda lagrad information.
Lagringssäkerhet avser skydd av data där den lagras. Lagringssäkerhet avser också försvar av överföring av information genom kommunikationslänkar kopplade till lagringen. Säkerhetslagring inkluderar:
Dataskydd är en samling parametrar och inställningar som gör dataresurser tillgängliga och oåtkomliga för andra enheter för godkända användare och betrodda nätverk. Dessa kan hänvisa till hårdvara, programmering, kommunikationsprotokoll och organisationspolicy.
Det finns några problem som är kritiska när man överväger en säkerhetsprocess för lagringsnätverk (SAN). Lagrade data måste vara lätt tillgängliga för auktoriserade individer, enheter och organisationer. Det måste också vara utmanande för eventuella hackare att utnyttja systemet. Infrastrukturen ska vara tillförlitlig och stabil över olika miljöer och användningsvolymer.
Onlinehot som virus, maskar, trojaner och annan skadlig kod bör alltid skyddas. Känslig information måste säkras. Onödig system bör tas bort för att eliminera eventuella säkerhetsluckor. Applikationsleverantören bör rutinmässigt installera uppdateringar till operativsystemet. Duplicering i form av likvärdig (eller spegelvänd) förvarings media kan hjälpa till att undvika katastrofal förlust av data om ett oförutsett fel inträffar. Alla användare måste vara det medveten om riktlinjerna och policyerna relaterade till användningen av ett kontrollnät.
Två komponenter kan hjälpa till att bedöma lagringssäkerhetsmetodens prestanda. För det första bör kostnaden för systemimplementering vara en liten bråkdel av det säkrade datavärdet. För det andra borde det kosta mer i form av pengar och/eller tid att bryta mot systemet än vad säkrad data är värd.
Jag skulle verkligen rekommendera ISMS.online, det gör att konfigurera och hantera ditt ISMS så enkelt som det kan bli.
ISO / IEC 27040:2015 är den första internationella specifikationen som tar upp ett brett spektrum av lagringssäkerhetsfrågor. Forskning startade om ISO/IEC 27040 hösten 2010, före SC27-konferensen samma år. Projektet fick en förlängd deadline, vilket gav 48 månader att fastställa standarden. ISO/IEC 27040-standarden släpptes den 5 januari 2015.
Ett revideringsprojekt för ISO 27040 startades 2020. Projektet hade följande mål:
En betydande del av ISO/IEC 27040-standarden är fokuserad på att definiera säkerhetskontroller för olika lagringssystem och arkitekturer. Detta innehåller följande:
Bibliografin är en av de mest omfattande samlingarna av datasäkerhetsreferenser. Nedan finns definitionerna av några kärntermer för ISO 27040.
ISO/IEC 27040:2015 kommer äntligen att ersättas av ISO/IEC WD 27040. Den uppdaterade standarden skulle följa ISO:s hållbara utvecklingsmål 9 och 12.
Mål 9 Industri, innovation och infrastruktur strävar efter att bygga en robust infrastruktur, främja inkluderande och hållbar tillväxt och främja innovation. Medan mål 12, ansvarsfull konsumtion och produktion, strävar efter att skapa hållbar konsumtion och produktionsmönster.
Boka en skräddarsydd praktisk session utifrån dina behov och mål.
Inom informationssäkerhet är autentisering handlingen att bekräfta om någon eller något faktiskt är vem eller vad de utger sig för att vara. Autentisering verifierar en persons, process eller enhets identitet, ibland som en förutsättning för att komma åt resurser i ett informationssystem.
Det finns tre autentiseringstyper:
Enkelfaktorautentisering, ofta kallad primär autentisering, är den enklaste metoden för autentisering.
Enfaktorautentisering kräver endast en autentiseringsmekanism (som lösenord, säkerhetsnål, etc.) för att få tillgång till ett system eller en tjänst. Även om dessa tillvägagångssätt är mer tillgängliga, är de ofta kopplade till mindre säkerhetspraxis. Detta för att de lätt kan vara det identifieras eller stulits i dataintrång, nätfiske eller keylogging-attacker. Tvåfaktorsautentisering (2FA) ger ytterligare komplexitet. 2FA behöver en andra komponent för att bekräfta identiteten. Typiska användningsområden inkluderar registrerade datortokens, engångslösenord eller PIN-koder.
Blotta existensen av två användarautentiseringsmetoder ökar dramatiskt din övergripande säkerhet eftersom 2FA kommer att mildra 80 % av dataintrången. Även om 2FA:s säkerhetsfördelar är välkända, är användningen ett utbrett problem. Sedan Google först implementerade alternativet att lägga till 2FA till användarkonton har mindre än 10 procent av användarna antagit 2FA på 7 år. En av orsakerna till varför de inte använde 2FA berodde på det irriterande det skapade för användarna, och angav att mindre än 10 % av användarna som försökte använda 2FA inte skrev in SMS-bekräftelsekoden korrekt.
Multi-Factor Authentication (MFA) är den absolut mest avancerade autentiseringsmekanismen. Den använder två eller flera oberoende variabler för att ge användaren åtkomst till ett system. I standardfall använder UD att använda minst 2 eller 3 kategorier:
Åtkomstkontroll är den avsiktliga begränsningen av åtkomst till en plats, webbplats eller andra resurser och tillgångar. Åtkomst kan innebära bearbetning, besök eller användning av en tillgång. Tillstånd att få tillgång till en tillgång kallas auktorisation.
Auktorisering är en skyddsmetod som används för att definiera användar-/klienträttigheter eller åtkomstnivåer relaterade till resurser, inklusive datorprogram, kataloger, tjänster, information och programfunktioner. Auktorisering följs vanligtvis av autentisering av användaridentitet.
Vi kände att vi hade
det bästa av båda världar. Vi var
kunna använda vår
befintliga processer,
& Adoptera, Anpassa
innehåll gav oss nytt
djup till vårt ISMS.
En SED är en självkrypterande hårddisk som är en form av hårddisk som automatiskt och kontinuerligt krypterar data utan användarens inblandning. En självkrypterande enhet har vanligtvis en krets inbyggd i skivenhetens styrchip. Detta chip kodar all data till det magnetiska mediet och dekrypterar automatiskt all data igen.
Överraskande nog är en hel del hårddiskar som för närvarande finns på marknaden SED. Eftersom tillverkare inte anser att detta är en betydande egenskap, går det ofta förlorat i andra generellt mer betydelsefulla aspekter. Även när du köper, installerar och börjar använda en SED-enhet är krypteringen automatisk, så det är osannolikt att användaren kommer att inse att enheten är en SED.
Denna krypteringsprocess uppnås genom att använda en unik och slumpmässig datakrypteringsnyckel (DEK) som enheten kräver för att kryptera och dekryptera data. När data skrivs till enheten krypteras den först av DEK. På liknande sätt, när informationen läses på enheten, dekrypterar DEK den innan den skickas till resten av enheten.
Denna process säkerställer att all information på enheten är krypterad hela tiden. En intressant teknik som kan åstadkommas med detta är att radera en hårddisk nästan omedelbart och helt. Allt en användare kommer att göra är att säga åt SED att skapa en ny DEK, då kommer all data på enheten omedelbart att bli trams och är praktiskt taget omöjlig att återställa. Detta beror på att nyckeln som krävs för att dekryptera data inte längre är tillgänglig. Så om du behöver bekvämt och rensa en enhet säkert innan omplacering eller kassering, SED ger ett snabbt och pålitligt sätt att göra det. Denna handling kallas en mängd olika namn baserat på tillverkaren, men den kallas oftast för "Secure Erase".
Sanering är den tekniska termen för att säkerställa att data som lämnas på lagring vid slutet av användningen görs otillgänglig. Sanering säkerställer att en organisation inte bryter mot data när den återanvänder, säljer eller slänger lagringsenheter.
Sanering kan ta olika former beroende på både informationskänslighet och hur mycket ansträngning en potentiell motståndare kan lägga på att försöka hämta data. Metoder som används vid sanering varierar från att helt enkelt skriva över, förstöra kryptografisk nyckel för krypterade filer till fysisk förstörelse av lagringsenheten.
Omfattningen av ISO 27040 omfattar:
Utöver detta täcker ISO 27040 säkerheten för informationen som överförs över kommunikationslänkarna i samband med lagring.
Standarden beskriver informationsrisker relaterade till datalagring och kontroller för att minska riskerna.
Trots den ökade kapaciteten hos persondatorer och avdelningsarbetsstationer kvarstår beroendet av centraliserade datacenter på grund av dataintegrationsbehov, datakontinuitet och datakvalitet. Med en betydande ökning av väsentliga datavolymer har många företag anammat lagringscentrerade ramverk för sin IKT-infrastruktur. Därefter spelar lagringssäkerhet en viktig roll för att skydda denna information och fungerar som den sista försvarslinjen mot externa och interna hot i många situationer.
Utformningen av lagringssäkerhetslösningar påverkas av kritiska säkerhetskoncept när man överväger datakänslighet, kritikalitet och kostnad. Klausul 6 i ISO 27040, Supporting Controls, ger vägledning om implementering av lagringsrelevanta kontroller i den byggda lösningen.
Råden är ytterligare uppdelade i:
Design- och implementeringsproblemen inkluderar också:
En skräddarsydd praktisk session utifrån dina behov och mål
Eftersom ISO/IEC 27040:2015 ger en översikt över lagringssäkerhetskoncept, innehåller standarden vägledning om hot, design och kontroller förknippade med typiska lagringsscenarier och lagringsteknologiområden som kompletteras av flera andra ISO-standarder. Den ger också referenser till olika standarder som adresserar befintliga metoder och tekniker som kan tillämpas på lagringssäkerhet.
ISO / IEC 27040 tillhandahåller säkerhetsriktlinjer för lagringssystem och miljöer och dataskydd i dessa system. Det stöder allmänt ISO / IEC 27001 principer. ISO / IEC 27040 ger också tydliga, omfattande riktlinjer för implementering relaterad till lagringssäkerhet för universella säkerhetsprotokoll definierade i ISO / IEC 27002, för att nämna några.
ISO 27040 erbjuder riktlinjer för implementering av informationssäkerhetsteknik inom lagringsnätverksindustrin och råd om införande av informationssäkring till lagringssystem, samt om dataskydd och säkerhetsproblem.
Även om det ofta förbises är lagringsskydd viktigt för alla som arbetar med datalagringsenheter, media och nätverk som äger, kör eller använder. Detta inkluderar högre chefer, lagringsprodukt- och tjänsteförvärvare och andra icke-tekniska chefer eller användare, samt chefer och administratörer som har det individuella ansvaret för informationssäkerhet eller lagringssäkerhet, eller som är för det övergripande informationssäkerhet och implementering av säkerhetspolicy. Det är också tillämpligt på dem som är involverade i planering, design och implementering av lagring nätverkssäkerhetsarkitektoniska aspekter.
Förespråkarna för denna standard trodde att informationsskyddsdimensionerna för datalagringssystem och nätverk ignorerades på grund av missuppfattningar och bristande erfarenhet av lagringsteknik, eller en begränsad kunskap om inneboende risker eller säkerhetsprinciper.
ISMS.online gör det så enkelt som möjligt att installera och hantera ditt ISMS.
ISO 27040 består av sju korta klausuler och tre bilagor. ISO / IEC 27040-utvecklare planerade inte att alla instruktioner skulle följas, vilket ledde till att de tre bilagorna inkluderades. Relevanta saneringsdetaljer presenteras i en uppsättning tabeller i Bilaga A. Bilaga B utformades för att hjälpa organisationer att välja lämpliga kontroller baserat på datakänslighet (hög eller låg) eller säkerhetsmål baserat på CIA-triaden.
En av svårigheterna med att utforma ISO / IEC 27040 var att det fanns två distinkta målgrupper: lagringsproffs och säkerhetsproffs. Bilaga C innehåller värdefull handledningskunskap för båda grupperna om:
100 % av våra användare uppnår ISO 27001-certifiering första gången