Die im Januar 2015 veröffentlichte ISO/IEC 27040:2015 bietet umfassende technische Leitlinien dazu, wie Unternehmen durch einen bewährten, konsistenten Ansatz zur Vorbereitung, Gestaltung, Dokumentation und Implementierung der Datenspeichersicherheit ein akzeptables Maß an Risikominderung ermitteln sollten.
Ziel ist es, Gemeinsamkeiten zu veranschaulichen Risiken im Zusammenhang mit der Sicherheit, Ehrlichkeit und Verfügbarkeit von Daten zu verschiedenen Informationsspeichertechnologien. ISO 27040 fordert Organisationen außerdem dazu auf, den Schutz sensibler Informationen durch angemessene Informationssicherheitskontrollen zu verstärken. Die Norm trägt auch dazu bei, die Sicherheit zu verbessern, indem sie beispielsweise Bewertungen oder Audits von fördert Informationssicherheit Maßnahmen zum Schutz gespeicherter Informationen.
Unter Speichersicherheit versteht man den Schutz der Daten dort, wo sie gespeichert sind. Die Speichersicherheit bezieht sich auch auf den Schutz der Übertragung von Informationen über mit der Speicherung verbundene Kommunikationsverbindungen. Der Sicherheitsspeicher umfasst:
Datenschutzerklärung ist eine Sammlung von Parametern und Einstellungen, die Datenressourcen für andere Entitäten, autorisierte Benutzer und vertrauenswürdige Netzwerke zugänglich und unzugänglich machen. Diese können sich auf Hardware, Programmierung, Kommunikationsprotokolle und Organisationsrichtlinien beziehen.
Es gibt einige Punkte, die bei der Betrachtung eines SAN-Sicherheitsprozesses (Storage Area Network) von entscheidender Bedeutung sind. Gespeicherte Daten müssen für autorisierte Personen, Organisationen und Organisationen jederzeit verfügbar sein. Es muss auch für mögliche Hacker eine Herausforderung sein, das System auszunutzen. Die Infrastruktur muss über verschiedene Umgebungen und Nutzungsvolumina hinweg zuverlässig und stabil sein.
Online-Bedrohungen wie Viren, Würmer, Trojaner und anderer Schadcode sollten stets geschützt werden. Sensible Informationen müssen gesichert werden. Unnötig Systeme sollten entfernt werden, um mögliche Sicherheitslücken zu schließen. Der Anwendungsanbieter sollte routinemäßig Updates für das Betriebssystem installieren. Vervielfältigung in Form von Äquivalenten (oder gespiegelt) Speichermedium kann dazu beitragen, katastrophale Datenverluste zu vermeiden, wenn ein unvorhergesehener Fehler auftritt. Alle Benutzer müssen es sein sich der Richtlinien und Richtlinien bewusst sein im Zusammenhang mit der Verwendung eines Kontrollnetzwerks.
Zwei Komponenten können bei der Beurteilung der Leistung der Speichersicherheitsmethodik hilfreich sein. Erstens sollte der Aufwand für die Systemimplementierung nur einen kleinen Bruchteil des gesicherten Datenwerts ausmachen. Zweitens sollte es mehr Geld und/oder Zeit kosten, in das System einzudringen, als gesicherte Daten wert sind.
Ich würde ISMS.online auf jeden Fall empfehlen, da es die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich macht.
ISO/IEC 27040:2015 ist die erste internationale Spezifikation, die sich mit einem breiten Spektrum an Fragen der Speichersicherheit befasst. Die Forschung zu ISO/IEC 27040 begann im Herbst 2010, vor der SC27-Konferenz in diesem Jahr. Für das Projekt wurde eine verlängerte Frist festgelegt, die 48 Monate für die Festlegung des Standards vorsah. Der ISO/IEC 27040-Standard wurde am 5. Januar 2015 veröffentlicht.
Im Jahr 27040 wurde ein Revisionsprojekt zur ISO 2020 gestartet. Das Projekt hatte folgende Ziele:
Ein wesentlicher Bestandteil des ISO/IEC 27040-Standards konzentriert sich auf die Definition von Sicherheitskontrollen für verschiedene Speichersysteme und Architekturen. Dieser enthält Folgendes:
Die Bibliographie gehört zu den umfangreichsten Sammlungen von Referenzen zur Datensicherheit. Nachfolgend finden Sie die Definitionen einiger Kernbegriffe für ISO 27040.
ISO/IEC 27040:2015 wird schließlich durch ISO/IEC WD 27040 ersetzt. Der aktualisierte Standard würde den nachhaltigen Entwicklungszielen 9 und 12 der ISO entsprechen.
Ziel 9 „Industrie, Innovation und Infrastruktur“ ist bestrebt, eine robuste Infrastruktur aufzubauen, die integratives und nachhaltiges Wachstum fördert und Innovationen fördert. Ziel 12 hingegen, verantwortungsvoller Konsum und Produktion, zielt darauf ab, nachhaltige Konsum- und Produktionsmuster zu schaffen.
Buchen Sie eine maßgeschneiderte praktische Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.
Bei der Informationssicherheit handelt es sich bei der Authentifizierung um die Bestätigung, ob jemand oder etwas tatsächlich die Person oder das ist, für die er sich ausgibt. Durch die Authentifizierung wird die Identität einer Person, eines Prozesses oder eines Geräts überprüft, manchmal als Voraussetzung für den Zugriff auf Ressourcen in einem Informationssystem.
Es gibt drei Authentifizierungstypen:
Die Ein-Faktor-Authentifizierung, oft auch Primärauthentifizierung genannt, ist die einfachste Authentifizierungsmethode.
Die Einzelfaktorauthentifizierung erfordert nur einen Authentifizierungsmechanismus (z. B. Passwort, Sicherheits-PIN usw.), um Zugriff auf ein System oder einen Dienst zu erhalten. Obwohl diese Ansätze leichter zugänglich sind, sind sie oft mit geringeren Sicherheitspraktiken verbunden. Dies liegt daran, dass sie leicht sein können bei Datenschutzverletzungen, Phishing- oder Keylogging-Angriffen identifiziert oder gestohlen werden. Die Zwei-Faktor-Authentifizierung (2FA) erhöht die Komplexität. 2FA benötigt eine zweite Komponente zur Bestätigung der Identität. Zu den typischen Verwendungszwecken gehören registrierte Computer-Tokens, Einmalkennwörter oder PINs.
Die bloße Existenz von zwei Benutzerauthentifizierungsmethoden erhöht Ihre Gesamtsicherheit erheblich, da 2FA 80 % der Datenschutzverletzungen abmildern wird. Obwohl die Sicherheitsvorteile von 2FA allgemein bekannt sind, ist die Verwendung ein weit verbreitetes Problem. Seit Google erstmals die Option zum Hinzufügen von 2FA zu Benutzerkonten implementiert hat, haben in sieben Jahren weniger als 10 Prozent der Nutzer 2FA eingeführt. Einer der Gründe dafür, warum sie 7FA nicht nutzten, war die Verärgerung, die es für die Benutzer verursachte, da weniger als 2 % der Benutzer, die versuchten, 10FA zu verwenden, den SMS-Bestätigungscode nicht richtig eingegeben hatten.
Die Multi-Faktor-Authentifizierung (MFA) ist mit Abstand der fortschrittlichste Authentifizierungsmechanismus. Es nutzt zwei oder mehr unabhängige Variablen, um dem Benutzer Zugriff auf ein System zu ermöglichen. In Standardfällen verwenden MFA-Ansätze mindestens 2 oder 3 Kategorien:
Zugriffskontrolle ist die bewusste Einschränkung des Zugriffs auf einen Standort, eine Website oder andere Ressourcen und Vermögenswerte. Der Zugriff kann die Verarbeitung, den Besuch oder die Nutzung eines Vermögenswerts umfassen. Die Erlaubnis zum Zugriff auf ein Asset wird als Autorisierung bezeichnet.
Autorisierung ist eine Schutzmethode, mit der Benutzer-/Clientrechte oder Zugriffsebenen in Bezug auf Ressourcen, einschließlich Computerprogramme, Verzeichnisse, Dienste, Informationen und Programmfunktionen, definiert werden. Auf die Autorisierung folgt normalerweise die Authentifizierung der Benutzeridentität.
Wir hatten das Gefühl, wir hätten es getan
das Beste aus beiden Welten. Wir waren
in der Lage, unsere zu nutzen
bestehende Prozesse,
& das Adoptieren, Anpassen
Inhalte gaben uns Neues
Tiefe unseres ISMS.
Ein SED ist eine selbstverschlüsselnde Festplatte, also eine Art Festplattenlaufwerk, das Daten ohne Benutzereingriff automatisch und kontinuierlich verschlüsselt. Ein selbstverschlüsselndes Laufwerk verfügt normalerweise über einen Schaltkreis, der in den Controller-Chip des Laufwerks integriert ist. Dieser Chip verschlüsselt alle Daten auf dem magnetischen Datenträger und entschlüsselt alle Daten automatisch wieder.
Überraschenderweise handelt es sich bei einer ganzen Reihe der derzeit auf dem Markt erhältlichen Festplatten um SEDs. Da die Hersteller dies nicht als wesentliches Merkmal betrachten, geht es oft in anderen, allgemein wichtigeren Aspekten unter. Selbst wenn Sie ein SED-Laufwerk kaufen, installieren und verwenden, erfolgt die Verschlüsselung automatisch, sodass der Benutzer wahrscheinlich nicht erkennt, dass es sich bei dem Laufwerk um ein SED-Laufwerk handelt.
Dieser Verschlüsselungsprozess wird durch die Verwendung eines einzigartigen und zufälligen Datenverschlüsselungsschlüssels (DEK) erreicht, den das Laufwerk zum Ver- und Entschlüsseln der Daten benötigt. Wenn die Daten auf das Laufwerk geschrieben werden, werden sie zunächst vom DEK verschlüsselt. Sobald Informationen auf dem Laufwerk gelesen wurden, werden sie vom DEK entschlüsselt, bevor sie an den Rest des Geräts gesendet werden.
Dieser Prozess stellt sicher, dass alle Informationen auf dem Laufwerk jederzeit verschlüsselt sind. Eine interessante Technik, die damit erreicht werden kann, besteht darin, eine Festplatte fast sofort und vollständig zu löschen. Alles, was ein Benutzer tun muss, ist, dem SED mitzuteilen, dass es einen neuen DEK erstellen soll. Dann werden alle Daten auf dem Laufwerk sofort unbrauchbar und können praktisch nicht wiederhergestellt werden. Dies liegt daran, dass der zum Entschlüsseln der Daten erforderliche Schlüssel nicht mehr verfügbar ist. Wenn Sie es also bequem und bequem benötigen Löschen Sie ein Laufwerk sicher, bevor Sie es erneut bereitstellen oder entsorgenSEDs bieten dafür eine schnelle und zuverlässige Möglichkeit. Dieser Vorgang wird je nach Hersteller unterschiedlich bezeichnet, am häufigsten wird er jedoch als „Sicheres Löschen“ bezeichnet.
Unter Sanitisation versteht man in der Fachsprache die Sicherstellung, dass auf dem Speicher verbliebene Daten am Ende ihrer Nutzung nicht mehr verfügbar sind. Durch die Sanierung wird sichergestellt, dass ein Unternehmen keine Daten verletzt, wenn es Speichergeräte wiederverwendet, verkauft oder wegwirft.
Die Bereinigung kann verschiedene Formen annehmen, abhängig von der Sensibilität der Informationen und dem Aufwand, den ein potenzieller Angreifer möglicherweise für den Abruf der Daten aufwendet. Die bei der Bereinigung verwendeten Methoden reichen vom einfachen Überschreiben über die Zerstörung des kryptografischen Schlüssels für verschlüsselte Dateien bis hin zur physischen Zerstörung des Speichergeräts.
Der Geltungsbereich der ISO 27040 umfasst:
Darüber hinaus deckt ISO 27040 die Sicherheit der Informationen ab, die über die mit der Speicherung verbundenen Kommunikationsverbindungen übertragen werden.
Der Standard beschreibt Informationsrisiken im Zusammenhang mit der Datenspeicherung und Kontrollen zur Risikominderung.
Trotz der erhöhten Kapazität von Personalcomputern und Abteilungsarbeitsplätzen bleibt die Abhängigkeit von zentralisierten Rechenzentren aufgrund von Datenintegrationsanforderungen, Datenkontinuität und Datenqualität bestehen. Angesichts des erheblichen Anstiegs der wesentlichen Datenmengen haben viele Unternehmen speicherzentrierte Frameworks für ihre IKT-Infrastruktur eingeführt. Daher spielt die Speichersicherheit eine entscheidende Rolle beim Schutz dieser Informationen und fungiert in vielen Situationen als letzte Verteidigungslinie vor externen und internen Bedrohungen.
Das Design von Speichersicherheitslösungen wird von kritischen Sicherheitskonzepten beeinflusst, wenn es um Datensensibilität, Kritikalität und Kosten geht. Abschnitt 6 der ISO 27040, „Unterstützende Kontrollen“, gibt Hinweise zur Implementierung speicherrelevanter Kontrollen in der erstellten Lösung.
Die Beratung ist weiter unterteilt in:
Zu den Entwurfs- und Implementierungsbedenken gehören außerdem:
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
Da ISO/IEC 27040:2015 einen Überblick über Speichersicherheitskonzepte bietet, enthält der Standard Leitlinien zu Bedrohung, Design und Kontrollen im Zusammenhang mit typischen Speicherszenarien und Speichertechnologiebereichen, die durch mehrere andere ISO-Standards ergänzt werden. Außerdem werden Verweise auf verschiedene Standards bereitgestellt, die sich mit bestehenden Praktiken und Techniken befassen, die auf die Speichersicherheit angewendet werden können.
ISO/IEC 27040 bietet Sicherheitsrichtlinien für Speichersysteme und -umgebungen sowie den Datenschutz in diesen Systemen. Es unterstützt allgemein ISO / IEC 27001 Prinzipien. ISO/IEC 27040 bietet auch klare, umfassende Richtlinien zur Implementierung im Zusammenhang mit der Speichersicherheit für universelle Sicherheitsprotokolle, die in ISO/IEC 27002 definiert sind, um nur einige zu nennen.
ISO 27040 bietet Richtlinien für die Implementierung von Informationssicherheitstechnologien in der Speichernetzwerkbranche und Ratschläge zur Einführung der Informationssicherung in Speichersystemen Datenschutz- und Sicherheitsbedenken.
Obwohl er oft übersehen wird, ist der Speicherschutz für jeden wichtig, der mit Datenspeichergeräten, Medien und Netzwerken zu tun hat, die er besitzt, betreibt oder nutzt. Dazu gehören leitende Manager, Erwerber von Speicherprodukten und -diensten und andere nicht-technische Manager oder Benutzer sowie Manager und Administratoren, die die Einzelverantwortung für die Informationssicherheit oder Speichersicherheit oder die Gesamtverantwortung tragen Informationssicherheit und Umsetzung von Sicherheitsrichtlinien. Es gilt auch für diejenigen, die an der Planung, Gestaltung und Implementierung von Speicher beteiligt sind Architekturaspekte der Netzwerksicherheit.
Die Befürworter dieses Standards waren der Ansicht, dass die Dimensionen des Informationsschutzes von Datenspeichersystemen und -netzwerken aufgrund falscher Vorstellungen und mangelnder Erfahrung mit Speichertechnologien oder mangelnder Kenntnis der inhärenten Risiken oder Sicherheitsprinzipien ignoriert wurden.
ISMS.online macht die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich.
ISO 27040 besteht aus sieben kurzen Abschnitten und drei Anhängen. Die Entwickler der ISO/IEC 27040 hatten nicht geplant, dass alle Anweisungen befolgt werden sollten, was zur Aufnahme der drei Anhänge führte. Relevante Einzelheiten zur Desinfektion sind in einer Reihe von Tabellen aufgeführt Anhang A. Anhang B soll Organisationen bei der Auswahl geeigneter Kontrollen auf der Grundlage der Datensensibilität (hoch oder niedrig) oder helfen Sicherheitsziele basierend auf der CIA-Triade.
Eine der Schwierigkeiten beim Entwurf von ISO/IEC 27040 bestand darin, dass es zwei unterschiedliche Zielgruppen gab: Speicherfachleute und Sicherheitsfachleute. Anhang C enthält wertvolles Tutorialwissen für beide Gruppen zu:
100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung