Előző cikkünkben összefoglaltuk a lényegi változásokat az ISO/IEC 27001:2022 szabványátállással kapcsolatban, s most cikksorozatunk második részében az IKT felkészültség az üzletmenet-folytonossághoz és A fizikai biztonság figyelemmel kísérése kontrollpontokat vesézzük ki a korábban már ismertetett szempontok alapján.
IKT-felkészültség az üzletmenet-folytonossághoz (A.5.30)
Leírás: Az Információs és kommunikációs technológiák nagyon fontos szerepet töltenek be egy szervezet megfelelő, zavartalan működésében, és amely technológiák működését folyamatosan figyelemmel kell kísérni és karbantartani egy esetleges információbiztonsági incidens vagy esemény megfelelő kezelése szempontjából. A szabvány ezen pontja előírja, hogy a szervezet által használt információs és kommunikációs technológia alkalmas legyen a lehetséges zavarok kezelésére, abból a célból, hogy a szükséges információk és eszközök szükség esetén rendelkezésre álljanak és biztosítsák a folyamatos üzletmenetet. Ez a folyamat magában foglalja a készenlét tervezését, megvalósítását, karbantartását és tesztelését.
Technológia: Amennyiben a szervezet eddig nem alkalmazott olyan megoldásokat, melyek lehetővé teszik a rendszerek rugalmasságát és redundanciáját, abban az esetben szükséges lehet ilyen technológia bevezetésére, mely kiterjedhet az adatmentéstől egészen a redundáns kommunikációs kapcsolatokig. Ezen technológia bevezetését a kockázatértékelés alapján kell megtervezni, valamint annak figyelembevételével, hogy milyen gyorsan kell a szervezetnek helyreállítania az adatokat és a rendszereket egy esetleges biztonsági incidens esetén.
Folyamat: A technológia bevezetésének tervezési folyamata mellett, melynek figyelembe kell vennie a potenciális kockázatokat és a helyreállítással kapcsolatos üzleti igényeket, a szervezetnek meg kell határoznia a technológia karbantartására vonatkozó szabályokat és a katasztrófa utáni helyreállítási és/vagy üzletmenet- folytonossági terv folyamatát és hatékonyságának tesztelését.
Humán erőforrás: Tájékoztatni szükséges az alkalmazottakat az üzletmenetet érintő lehetséges zavarokról, valamint a szervezetnek képeznie kell az alkalmazottakat, hogy képesek legyenek megfelelően használni és karban tartani az informatikai és kommunikációs technológiát, hogy az bármilyen zavar esetén megfelelően tudjon tovább működni.
Dokumentáció: Az ISO 27001 szabvány nem ír elő külön dokumentációs kötelezettséget a szabványpont érvényesítésére. Amennyiben kisebb létszámú vállalatról van szó, abban az esetben az IKT felkészültséget a következő dokumentumokban rögzítheti, mellyel a kontrollpontnak történő megfelelés kivitelezhető:
- Katasztrófa-helyreállítási terv: Készenlét tervezése, végrehajtása és karbantartása.
- Belső ellenőrzési jelentés: A készenlét vizsgálata.
Amennyiben nagyobb létszámú vállaltról van szó, vagy a vállalat bevezette korábban az ISO 22301 szabványt, abban az esetben a készenlétet az Üzleti Hatáselemzés, az Üzletmenet-folytonossági stratégia, az Üzletmenet-folytonossági terv, valamint az Üzletmenet-folytonossági tesztelési terv és jelentés dokumentumok alkalmazásával kell dokumentálni.
A fizikai biztonság figyelemmel kísérése (A.7.4)
Leírás: A fizikai biztonság megfelelő kialakítása nagyon fontos szerepet tölt be egy szervezet biztonsági architektúrájában, melynek folyamatos figyelemmel kísérése elengedhetetlen a biztonsági incidensek megakadályozása és kiszűrése érdekében. A szabvány ezen pontja előírja és megköveteli, hogy a szervezet folyamatosan felügyelje a biztonsági területeket annak érdekében, hogy csak az arra jogosultak férhessenek hozzá és léphessenek be a munkavégzés területére. Ide tartozhatnak a szervezet irodái, telephelyei, raktárai, szerverszobája és egyéb helyiségei.
Technológia: A szervezetre vonatkozó kockázatok mértékétől függően szükség lehet riasztó vagy videó monitoring rendszerek bevezetésére. A szervezet úgy is dönthet, hogy nem technológiai, hanem humán megoldást, például egy, a területet figyelő személyt (őrt) alkalmaz. Természetesen a szervezet kockázatait figyelembe véve, más fizikai biztonsági intézkedéseket is bevezethet a szervezet (pl.: behatolásjelző rendszer, beléptető rendszer stb.).
Folyamat: A szervezetnek meg kell határoznia azt, hogy ki a felelős a terület biztonságának felügyeletéért, valamint azt, hogy milyen kommunikációs csatornán keresztül és kinek kell jelenteni egy bekövetkezett incidenst.
Humán erőforrás: Tájékoztatni szükséges az alkalmazottakat a kiemelt területekre való illetéktelen fizikai behatolás kockázatairól (pl.: tailgating, piggybacking stb.), valamint a szervezetnek képeznie kell az alkalmazottakat a felügyeleti technológiák megfelelő használatára és az adott területen a munkavégzés feltételeiről (például: névtábla folyamatos viselése, ajtókitámasztás kockázatai).
Dokumentáció: Az ISO 27001 szabvány nem ír elő külön dokumentációs kötelezettséget a szabványpont érvényesítésére, azonban a fizikai biztonság felügyeletét a következő dokumentumokban rögzítheti, mellyel a kontrollpontnak történő megfelelés kivitelezhető:
- Incidenskezelési eljárás: hogyan, milyen formában kell jelenteni és kezelni a fizikai biztonsággal kapcsolatos incidenseket.
- Fizikai biztonságot szabályozó eljárások: milyen területet kell felügyelni és ki a felelős a felügyelet ellátásáért.
- Információbiztonsági szabályzat: kiemelt biztonsági zónákon történő munkavégzés feltételei, ki-be szállítás.
Az ISO 27001 szabványátálláshoz kapcsolódó cikksorozat következő részében újabb két kontrollpont kerül bemutatásra, melyek a Konfigurációkezelés és Az információtörlés kontrollpontok lesznek. Amennyiben hasznosnak és érdekesnek találtad a cikket, abban az esetben mindenképpen tarts velünk cikksorozatunk következő állomásán is. Abban az esetben, ha az új kontrollpontokkal vagy az ISO 27001 szabványátállással kapcsolatban kérdésed van, az alábbi elérhetőségen keresztül elérhetsz bennünket: www.hacktify.eu