5. Konfigurációkezelés (A.8.9)
Leírás: A megfelelő és hatékony konfigurációkezelés elengedhetetlen a biztonsági incidensek megelőzésében és a kockázatok csökkentésében. A szabvány ezen pontja előírja, hogy a szervezet a technológia biztonsági konfigurációjának teljes életciklusát kezelje a megfelelő biztonsági szint garantálása és az illetéktelen változtatások elkerülése érdekében. Ez a folyamat magában foglalja a konfiguráció meghatározását, végrehajtását, felügyeletét és felülvizsgálatát.
Technológia: A technológia, melynek konfigurációját a szervezetnek kezelnie kell, lehet szoftver, hardver, szolgáltatás vagy hálózat. A kisebb létszámú vállalatok esetében a konfigurációkezeléshez feltehetően nem lesz szükség új technológia bevezetésére a kis létszámú technológiák alkalmazása következtében. A nagyobb létszámú vállalatok esetében azonban szükség lehet valamilyen új szoftverre, mely a meghatározott konfigurációkat érvényesíti.
Folyamat: A szervezetnek létre kell hoznia a biztonsági konfigurációk javaslatára, felülvizsgálatára és jóváhagyására, valamint a konfigurációk kezelésére és felügyeletére szolgáló folyamatokat egyaránt.
Humán erőforrás: A szervezetnek képeznie kell az alkalmazottakat arra, hogy miért van szükség a biztonsági konfiguráció szigorú ellenőrzésére, továbbá képeznie kell őket a biztonsági konfigurációk megértésére és megfelelő kezelésére.
Dokumentáció: Az ISO 27001 szabvány előírja, hogy ezt a szabványpontot külön dokumentálni szükséges. Kisebb létszámú vállalatok esetében a konfigurációs szabályok belefoglalhatóak például a Biztonsági működési szabályzatba, amennyiben a szervezet rendelkezik ilyen dokumentummal. Ellenkező esetben, célszerű egy olyan dokumentum létrehozása, melyben rögzítésre kerülnek a kontrollponthoz kapcsolódó előírások, szabályok. Nagyobb létszámú vállalatok esetében jellemzően külön szabályzat határozza meg a konfigurációs folyamatot a nagyobb létszámú technológia használatának következtében. A konfigurációkezeléshez kapcsolódó dokumentumok gyakori frissítésének elkerülése érdekében külön specifikációkkal kell rendelkezni, melyek a szervezet minden egyes technológiájára vonatkozóan meghatározzák a biztonsági konfigurációkat. A konfigurációk módosítását minden esetben naplózni kell a nyomon követhetőség, az ellenőrzés és az auditálhatóság szempontjából.
6. Információtörlés (A.8.10)
Leírás: A munkaállomásokról, adathordozókról és különböző szolgáltatásokról történő adatok megfelelően végrehajtott törlése nagyon fontos abból a szempontból, hogy az adatok ne kerüljenek illetéktelen kezekbe és ne ismerjék meg jogosulatlanul azokat. A szabvány ezen pontja megköveteli, hogy a szervezet törölje az adatokat, ha már nincs rájuk szükség, hogy elkerülje az érzékeny információk kiszivárgását, valamint lehetővé tegye az adatvédelmi és egyéb követelményeknek való megfelelést. Ez a folyamat magában foglalhatja a cserélhető adathordozókon vagy a felhőszolgáltatásokban történő adatok törlését.
Technológia: A szabályozási vagy szerződéses követelményeknek megfelelően, illetve a kockázatértékeléssel összhangban biztonságos törlésre szolgáló és alkalmas eszközöket kell használni.
Folyamat: A szervezetnek létre kell hoznia egy folyamatot, amely meghatározza, hogy mely adatokat kell törölni és mikor, valamint meghatározza a törléssel kapcsolatos felelősségi köröket módszereket és eljárásokat.
Humán erőforrás: A szervezetnek tudatosítani kell az alkalmazottakban, hogy miért fontos az adatok törlése, valamint a szervezetnek képeznie kell az alkalmazottakat arra, hogy hogyan kell azt megfelelően elvégezni, megvalósítani.
Dokumentáció: Az ISO 27001 szabvány nem ír elő külön dokumentációs kötelezettséget a szabványpont érvényesítésére, azonban az információk törlésére vonatkozó szabályok a következő dokumentumokban kerülhetnek rögzítésre, mellyel a kontrollpontnak történő megfelelés kivitelezhető:
- Megsemmisítési szabályzat: a cserélhető adathordozókon lévő információk törlésének módját határozza meg.
- Elfogadható használati szabályzat: meghatározza hogyan kell a felhasználóknak törölniük a számítógépükön és mobil eszközeiken lévő érzékeny információkat.
- Üzemeltetési eljárások: meghatározza hogyan kell a rendszergazdáknak törölniük az érzékeny információkat a szervereken és a hálózatokon.
A szervezetek rendelkezhetnek adatmegőrzési szabályokkal is, amely meghatározza, hogy az egyes típusú információkra mennyi ideig van szükség és mikor kell azokat törölni. A fájlok és dokumentumok címkézésével ezek a megőrzési szabályok felhasználhatók automatizmusok kialakítására is.
Az ISO 27001 szabványátálláshoz kapcsolódó cikksorozat következő részében újabb két kontrollpont kerül bemutatásra: az Adatmaszkolás és az adatszivárgás megelőzése. Amennyiben hasznosnak és érdekesnek találtad a cikket, abban az esetben mindenképpen tarts velünk cikksorozatunk következő részében is.
Ha pedig az új kontrollpontokkal vagy az ISO 27001 szabványátállással kapcsolatban kérdésed van, bátran vedd fel velünk a kapcsolatot.