ISO 27001 2013
GermanyDescripción completa
Views 176 Downloads 8 File size 2MB
Recommend stories
- Author / Uploaded
- JhanFigueroa
- Categories
- Seguridad de la información
- Basilea II
- Bancos
- Seguros
- ISO 9000
Citation preview
Edición
Heinrich Kersten Jürgen Reuter Klaus-Werner Schroeder
La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica El camino a la certificación
4ª edición
Edición editado por P. hueco, Ingelheim, Alemania
Con la tecnología de la computación ubicua y la importancia de la seguridad de los sistemas de información y ha aumentado enormemente. Dada la compleja cuestión y el rápido progreso de la tecnología de la información TI necesidad profesional s a fundados y bien AUFB ereitetes conocimiento.
La serie de libros Edición proporciona el know-how necesario, control del riesgo promueve y colabora en el desarrollo e implementación de soluciones para la seguridad de los sistemas informáticos y su entorno.
Editor de la serie es Peter hueco. También es editor de la - la revista para la seguridad de la información (ver www.kes.info), que se ha publicado desde 1985 en Secu Media Verlag. Los KES trata toda Th auditorías Emen sobre las políticas de seguridad para controlar el acceso cifrado y relacionada con la seguridad. También proporciona información sobre el nuevo hardware y software de seguridad -Soft y la legislación pertinente a la multimedia y protección de datos.
Asegure las TIC Servicio de aprovisionamiento de nube, móvil y más allá de Eberhard Faber y Wolfgang Behnsen la conciencia de la seguridad
Por Michael helicoidal y Dietmar Pokoyski
Director de Seguridad Heinrich Kersten y Gerhard Klett sistema de gestión de emergencias de TI
Henry Kersten, Gerhard Klett y Klaus-Werner Schroeder La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica de Heinrich Kersten, Jürgen Reuter y Klaus-Werner Schroeder
Gestión de Riesgos de Seguridad de Sebastian Klipper La gestión de conflictos para los profesionales de seguridad de Sebastian Klipper
TI sistema de gestión de riesgos por Hans-Peter King Las funciones y conceptos de autorización por Alexander Tsolkas y Klaus Schmidt
Privacidad compacto y comprensible por Bernhard C. Witt
Heinrich Kersten ⋅ Jürgen Reuter ⋅ Klaus-Werner Schroeder
La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica
El camino a la certificación 4, edición actualizada y ampliada
El Dr. Heinrich Kersten
Dipl.-Math. Klaus-Werner Schroeder
Meckenheim, Alemania
Bornheim, Alemania
Dipl.-Ing. Jürgen Reuter Ober-Ramstadt, Alemania
Normas DIN reproducidas con el permiso de la norma DIN Instituto Alemán de Normalización eV La norma DIN aplicable es la versión con la fecha más reciente edición, en Beuth Verlag GmbH, Burggrafenstr. 6, 10787 Berlín, está disponible.
ISBN 978-3-658-01723-1
ISBN 978-3-658-01724-8 (libro electrónico)
DOI 10.1007 / 978-3-658-01724-8
La Biblioteca Nacional de Alemania enumera esta publicación en el Deutsche Nationalbibliogra fi e; de- colas de datos bibliográficos fi cos están disponibles en Internet en http://dnb.d-nb.de.
Springer Vieweg © Springer Fachmedien Wiesbaden
2007, 2009, 2011, 2013
Este documento y todas sus partes están protegidos por derechos de autor. Cualquier uso que no esté expresamente fuera es vomUrheberrechtsgesetz aprobado, el consentimiento previo del editor requiere. Esto se aplica en particular a las reproducciones, adaptaciones, traducciones, lmungen fi micro y el feed-aseguramiento y el procesamiento en sistemas electrónicos.
El uso de nombres generales descriptivos, nombres comerciales, marcas, etc., en este derecho al tenedor no incluso sin un etiquetado especial para creer que tales nombres en el sentido de las leyes de protección de marcas comerciales y comerciales deben ser considerados como libres y, por tanto, son susceptibles de ser utilizados por cualquier persona.
Impreso en gebleichtemPapier libre de ácido y libre de cloro. Springer Vieweg es una marca comercial de Springer DE. Springer DE es parte del grupo editorial Springer Science + Business Media www.springer-vieweg.de
prefacio al contenido
La seguridad de la información y la información de los procesos de procesamiento ahora se está convirtiendo cada vez más en una piedra angular de la pensión de la empresa.
Imagen, su éxito y la estabilidad empresarial dependen fundamentalmente de los procesos de gestión cualificados y sistemas de gestión de - ya sea que tal -
requerida por las agencias reguladoras,
-
esperado de socios de negocios,
-
considerado por el cliente favorablemente la hora de tomar decisiones de compra,
-
prescribirse incluso obligatorio para hacer una oferta o
-
Se requiere la evaluación de la solvencia y de seguros riesgos (palabras clave Basilea II / III, Solvencia II). Los requisitos que resultan de esto ha sido objeto de reconocimiento de las normas de gestión del pasado,
norma de gestión
z. A medida que la serie ISO 9000 de gestión de calidad, ISO 14000 para la gestión ambiental e ISO 20000 para la gestión de servicios de TI. En este libro, es la gestión de seguridad de la información se explica sobre la base de la norma ISO 27000a seguridad de la información incluye no sólo la seguridad TI y protección de datos todos con la seguridad de la información relacionada con los aspectos de una organización. Está dirigido a los lectores que
-
están interesados en la norma mencionada,
-
encargada de la creación del sistema de gestión adecuado en una organización,
-
TI oficial de seguridad (Security Manager TI) son,
-
contribuir a la gestión de la seguridad en otras funciones,
-
supervisar dichos sistemas de gestión en el nivel de gestión de una organización,
V
prefacio - la Sistema de Gestión de Seguridad de la Información (SGSI) quieren certificar su organización, -
Asesoramiento sobre sistemas de gestión de realizar,
-
Comprobar los sistemas de gestión y auditoría. En este libro,
especialmente el contenido de las normas ISO 27001 se explican a modo de ejemplo, ya que puede ser certificado a esta norma. El lector es guiado paso a paso en la producción de conformidad con esta norma y apoyado. En la presentación también contenidos esenciales de las normas que se acompañan de la serie ISO 27000 se tienen en cuenta, profundizar los elementos importantes de un ISMS y proporcionar interpretaciones ejemplares de los textos estándar tales como la ISO 27002 y 27003a ISO
mínimo requisitos
Solicitar catálogos de sistemas de gestión están ganando en la normalización se está convirtiendo cada vez más importante. Se utilizan además de las leyes y pliego de condiciones para poder definir (sin tener en cuenta el contexto) a las estructuras de gestión y modelos de procesos de una manera abstracta. sistemas de gestión normalizados, así como en el medio ambiente, la calidad y la seguridad de la información de gestión de servicios de TI no están especificados son en la gestión, pero sólo requisitos mínimos establecida.
Adaptación de
La aplicación de tales requisitos catálogos para una organización requiere una toma de medidas exactas, corte y unión (adaptación) de los aspectos individuales en un adaptada al sistema de gestión de la organización. Esta adaptación de una organización debe tratar de interpretar los requisitos de las diversas normas de manera adecuada y armonizar el fin de definir estructuras eficientes y eficaces, modelos de procesos y actividades de gestión.
Dicha adaptación es factible debido a sus vastas implicaciones no sin un alto grado de compromiso de la alta dirección de la organización. Sin embargo, se copian los sistemas de gestión de otras organizaciones o limitado a las normas de certificación que completan formales, no se librará uno la experiencia dolorosa (z. B. de la aplicación de la serie ISO 9000), una burocracia exuberante, pero no es para la organización de haber elegido el enfoque beneficioso.
VI
prefacio análisis de riesgos
La evaluación de riesgos es la piedra angular de la seguridad de la información. Es el objeto de la norma ISO 27005 y se explica en el capítulo 6 de este libro con ejemplos. Entre ellas se encuentra una sección sobre evaluación monetaria de
los riesgos, Como complemento de esta apareciendo a menudo en la práctica sujeto. medidas
Una cantidad significativa toma el Capítulo 7 Editar metas de acción y medidas se proporcionan una en la que respondió a los controles individuales del anexo de la ISO 27001 y ejemplos. En todos los aspectos, la conexión con el plan de acción de la protección de línea de base de TI (ver más abajo) tratados. capítulo 8 Medidas: validación y
validar
cifras clave
auditorías
liberación describe cómo los posibles alternativas de acción de acuerdo con diversos factores pueden ser evaluados antes de seleccionar y aprobado para su aplicación alternativa. Para el requisito estándar para evaluar las medidas de seguridad adoptadas rendimiento o eficacia, son desde hace algún tiempo acerca de la métrica y figuras clave en la discusión. Este tema es tratado nueve capítulos de este libro y se basa en la norma ISO 27004a
La norma ISO 27006, 27007 y 27008 normas tratan de auditorías y certificaciones. En este libro, sea esta en el Cap. 10 dado amplia información práctica, incluyendo una sección con experiencia en auditorías real. en el apéndice este libro se reproduce un ejemplo anotado de una política de seguridad de la
directrices
información. Este ejemplo sirve para ilustrar los problemas en un caso muy simple de punto, pero ciertamente puede ser visto como un punto de partida para las pautas reales.
TI Protección de línea de base
En Alemania y en los países de habla alemana de la aplicación de la protección informática de la línea de base, la BSI está muy extendida. Mientras tanto, el modelo de proceso también se alineó a la serie ISO 27000. La protección de línea de base de TI con sus planes de acción en bloque y puede ser muy útil para especificar los requisitos de la norma, especialmente en el lado de la acción. En este sentido, también se describe en este libro, como la TI Protección de línea de base puede ayudar en la búsqueda de la conformidad con la certificación ISO 27001.
VII
prefacio Los cambios en la 4ª edición
En esta cuarta edición se han realizado las siguientes adiciones: -
Actualizar toda la información sobre leyes, políticas y normas.
-
Información sobre el estado actual del desarrollo de la serie ISO 27000.
-
el tema Privacidad ( los datos personales) se profundiza por muchas referencias.
-
Las explicaciones de los controles del Anexo A de la norma ISO 27001 se han actualizado.
-
publicado por la BSI política de externalización se trata en el marco de la certificación de protección básica más cerca; entre otras cosas, contiene requisitos para los contratistas en la adjudicación de contratos (externalización) de las autoridades públicas.
Avisos importantes
No menos importante, debido a la creciente utilización de la norma ISO 27001 en la práctica corporativa que podría determinar como auditores y certificadores en su trabajo profesional, los autores, algunas listas de control han demostrado ser útiles en el que los pasos importantes en el proceso de seguridad se muestran en forma de tabla. Las listas de control están disponibles en el editor primero
Este libro va no como introducción a la seguridad de la información. Conceptos básicos y estructuras en el entendido aquí se pueden encontrar tal. Al igual que en el libro Director de Seguridad segundo Sin embargo, puesto que las normas citadas usar su propia terminología, vamos a tratarlos de una sección introductoria y frente a las nociones clásicas.
1
http://www.springer.com/springer+vieweg; buscar este libro y haga clic en el punto de selección "INFORMACIÓN ADICIONAL"! 2 Tercera edición publicada en 2012 por el mismo editor.
VIII
prefacio
acción de gracias
Todos los lectores gracias por las muchas sugerencias a ediciones anteriores. Esta cuarta edición del libro fue creado con el apoyo activo de la editorial Springer Vieweg. gracias a Herr Hansemann corrección de pruebas de TI / y la totalidad ciencias de la computación. En febrero de 2013
Henry Kersten, Jürgen Reuter, Klaus-Werner Schroeder
IX
contenido 1 Las leyes y las normas en materia de seguridad de la información .............................. 1
1.1
gobierno corporativo y gestión de riesgos .......................................... 1
1.2
La importancia de la ley de contratación pública .................................. 7
1.3
Normas para los sistemas de gestión ............................................. ............... 9
1.4
modelos Zertifizierfähige ................................................ .............................. 16
1.5
normas específicas para la seguridad de TI ............................................ ............. 19
2 Comparación de los términos ............................................... ................................ 23 2.1
Organización, los valores y los objetivos de seguridad ............................................. ...... 24
2.2
Riesgos y análisis ............................................... ................................... 27
2.3
selección Acción y tratamiento del riesgo ............................................. 34
2.4
Los documentos de seguridad ................................................. ................................. 37
2.5
Los problemas de traducción en la edición alemana de las normas ........................................... .................................................. ......... 41
3 El ISMS ISO 27001 ............................................. .......................................... 45 3.1
El modelo de los ISMS .............................................. ..................................... 45
3.2
Especificar el SGSI y gestionar ...........................................: PLAN ....... 49
3.3
DO: hacer reaccionar y realizar ISMS ........................................... .... 67
3.4
CHECK: Monitoreo y revisión de los ISMS ...................................... 75
3.5
ACT: Mantener y mejorar el SGSI ........................................... .......... 81
3.6
requisitos de documentación .............................................. ........ 84
3.7
control de documentos ................................................. .................................. 88
3.8
Control de los registros ............................................... ...................... 92
3.9
Responsabilidad de la dirección ............................................... ................ 93
3.10
Las auditorías internas del SGSI .............................................. ....................................... 96
3.11
Revisión por la dirección del ISMS ............................................... ................ 98
3.12
La mejora del SGSI ............................................... ............................... 101
3.13
objetivos y medidas Medidas ............................................... ........... 103
4 Determinar el alcance y Consideraciones Gestión ................................................. .................................................. ........ 109 4.1
determinar el alcance de ISMS apropiado ........................ 109
4.2
El foro de gestión de seguridad de la información ............................... 111
XI
contenido
5
4.3
Responsabilidades para la seguridad de la información ............................... 112
4.4
La integración de la seguridad en los procesos empresariales ............................... 113
4.5
complementar los enfoques de gestión de riesgos existentes .................................... 114
4.6
excesos burocráticos ................................................ ......................... 115
determinar los valores de información ................................................ .............................. 117
5.1
¿Qué valores deben ser considerados? .......................................... 117
5.2
¿Dónde y cómo se puede determinar los valores? ................................................. 119
5.3
¿Quién es responsable de la seguridad de los valores? ............................... 123
5.4
¿Quién determina la importancia de un valor? .................................................. 124
6 Riesgos evaluar ................................................ ............................................... 127 6.1
requisitos mínimos normativas de ISO 27001 ................................... 128
6.2
Requisitos de protección para TI Protección de línea de base ............................................. ............. 137
6.3
Análisis avanzado de TI Protección de línea de base ............................................ ..... 142
6.4
La evaluación de los riesgos monetaria ............................................. ..... 143
7 objetivos y medidas Medidas edición .............................................. ..... 149 A.5
política de seguridad ................................................. ..................................... 150
A.6
Organización de la seguridad de la información ............................................... ... 151
A.7
Gestión de los valores propios de la organización ...................................... 161
A.8
Seguridad del personal ................................................ .................................. 166
A.9
La seguridad física y ambiental ...................................... 173
A.10
la gestión operativa y la comunicación ........................................... 186
A.11
El control de acceso ................................................. ...................................... 218
A.12
Adquisición, desarrollo y mantenimiento de Los sistemas de información ................................................. ............................... 242
A.13
Manejo de incidentes de seguridad de la información ......................................... 255
A.14
Asegurar la continuidad del negocio ............................................... ......... 258
A.15
Cumplimiento de la normativa ............................................... ........................... 264
8 Medidas: validación y liberación ............................................. .................. 277 8.1
Validación de las medidas ............................................... ..................... 277
8.2
Las medidas de seguimiento y verificación ........................................... 279
8.3
Medidas que permiten ................................................. ................................. 280
8.4
Procedimiento alternativo ................................................ ...................... 280
9 Métricas a ISMS y medidas de seguridad ............................................. ...... 283 9.1
XII
Introducción de las métricas ............................................... ........................... 283
contenido 9.2
Recomendaciones prácticas para la introducción de las métricas ........................ 288
10 Auditorías y certificaciones ............................................... ................................... 295 10.1
Objetivos y Beneficios ............................................... ........................................ 295
10.2
Procedimiento básico ................................................ ..................... 298
10.3
Preparar una auditoría ............................................... ............................ 306
10.4
La realización de una auditoría ............................................... ........................ 309
10.5
Las experiencias de auditorías reales .............................................. .................... 312
10.6
Evaluación de la auditoría y la optimización de los procesos ......................... 316
10.7
auditoría protección básica ............................................... ...................................... 317
11 Para concluir ... ............................................... .................................................. 325 ..
Ejemplo de una política de seguridad de la información ............................................... ............. 329
Lista de las medidas en el Anexo A de la norma ISO 27001 ..................................... 335
Lista de salvaguardias básicas ............................................... .................. 343 Algunos términos técnicos: Inglés / alemán ............................................ ......................... 349
Lista de figuras y tablas ............................................. ................. 351 Abreviaturas utilizadas ................................................ ............................................ 353 Notas Fuente ................................................. .................................................. ......... 357
Índice técnico ................................................. .................................................. ... 363
XIII
1
Las leyes y las normas en materia de seguridad de la información En este capítulo, una introducción a la entorno legal dar seguridad de la información y una descripción de las diferentes normas de sistemas de gestión y seguridad de la información. Cabe señalar que este capítulo no proporciona asesoramiento jurídico en casos particulares - puede reemplazar - por ejemplo a través de un abogado especializado.
Tratar las cuestiones legales es parte de la introducción de un SGSI esenciales: -
A más tardar en el procesamiento del Anexo A de la norma ISO 27001 - y el grupo A.15 "cumplimiento" - debe ser hecho declaraciones claras sobre el cumplimiento de los requisitos legales aplicables.
Por tanto, es importante observar las reglas de compilación (actuales) y evaluar. En la cobertura más completa de todas las normas deben ser observadas. El enfoque unilateral de un SGSI a un único conjunto de reglas en la práctica conduce a resultados subóptimos. Sucede a veces, que han de considerarse las demandas competitivas de diferentes fuentes de la ley u otras consideraciones comerciales y tener en cuenta. En última instancia, las cuestiones legales son un importante aspecto seguridad de la información y protección de datos. Hay que recordar que la decisión de cumplir prácticamente realizable, los requisitos no debe ser tomada de un jurídico unilateral, pero desde una perspectiva interdisciplinar.
1.1
gobierno corporativo y gestión de riesgos Una variedad de cambios en las regulaciones realizadas en los últimos años afectó a la seguridad de la información. Las implicaciones de responsabilidad legal de estos cambios en la ley no son evidentes para el observador casual generalmente fácilmente. Palabras clave como Basilea
1 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_1, Springer © 2013 Fachmedien Wiesbaden
Las leyes y las normas en materia de seguridad de la información
II / III, Sarbanes-Oxley, Euro-SOX celebrada aquí, en parte, en más confusión que la iluminación. Incluso en un estudio más detallado de los textos legales de la obligación de proteger los sistemas de información en su calidad permanece en gran parte ocultos. En ese sentido, vale la pena examinar las leyes pertinentes y los pasajes relevantes en este punto crítico.
KonTraG
En 1998 llegó a la Ley de Control y Transparencia en los Negocios (KonTraG) diversos cambios en Ley de la Corporación y Código de Comercio en vigor. estos cambios 3 refieren a la determinación, la inclusión en la presentación de informes y la auditoría de dichos riesgos, que puede ser peligroso para la supervivencia de las empresas. La creencia generalizada de que el KonTraG suficiente con las sociedades anónimas o corporaciones un significado, es refutada por el asentamiento del apartado correspondiente de la segunda sección del libro tercero del Código de Comercio. Esta sección se aplica, además de las sociedades, incluidas GmbH 4 También para las asociaciones en las que los socios generales no son personas físicas.
Independientemente del § 239 se aplica a todas las empresas (4) del Código de Comercio y vinculante de este modo a los principios de contabilidad generalmente aceptados.
BilMoG
En 2009 por la Ley de Modernización de la Ley de Contabilidad eran (BilMoG) introducido las otras aclaraciones en el la Ley de Sociedades Código de Comercio. Las medidas tomadas son similares en contenido a los garantizados se discute más adelante Ley Sarbanes-Oxley. Establecer los requisitos de la política de mercado de capitales 8.th de la UE (el llamado Euro S-Ox Directiva) a.
GDPdU, GoBS
Un sin embargo menos conocido compromiso general, para el aprovisionamiento es 5 en vigor desde el 01.01.2002 Principios de acceso a datos y auditoría de los documentos digitales / GDPdU / y la Principios de sistemas de contabilidad apoyados DV / GoBS /. Esas reglas de los derechos de las autoridades fiscales en el acceso por un lado a electro corporativa
3
Ver. En particular AktG § 91 (2), HGB § 289 (1). 4 Véase también § 43 Ley de Sociedades. 5
Debido a que el código de impuestos (§ § 146 y 147 AO).
2
gobierno corporativo y gestión de riesgos camente regulado almacenan información y también impone ciertos deberes de cuidado en el procesamiento, la provisión y poner esta información a disposición de la empresa. Estas reglas se aplican con independencia de la forma jurídica de una empresa que demanda la empresa creó un sistema de control interno (SCI) 6:
-
"Cuando ICS es, básicamente, se refiere a todo el conjunto de controles, medidas y regulaciones coordinadas e interrelacionadas que tienen las siguientes funciones: copia de seguridad y protección de los activos existentes y la información existente de las pérdidas de todo tipo ...".
Tales ICS, obviamente, incluye un sistema de gestión de seguridad de la información completa (SGSI). Para las empresas públicas, que se enumeran en S-Ox
una bolsa de valores de Estados Unidos o filiales de estas empresas a créditos similares que surgen de los EE.UU. Sarbanes-Oxley Ley (S-Ox), que se inició con motivo de escándalos financieros relacionados con Worldcom, Enron y la firma de contabilidad Arthur Anderson y entró en vigor de 2002. Esta ley está dirigida principalmente a restablecer la confianza en la información financiera y sus certificados correspondientes de los contadores. Para restaurar la confianza en su independencia de criterio son los auditores de las empresas comprendidas en esta ley, excluidas de ciertos campos de la consultoría (consultoría de TI) y por lo tanto están sujetos a restricciones (consultoría de seguridad de TI).
Otras disposiciones útiles de esta Ley relativas a la protección de los "informantes" - los empleados con lo que la manipulación ilegal por parte de la administración, la supervisión corporativa o estatal señaló. El artículo 404 requiere un sistema de control similar cualificación como la mencionada anteriormente en relación con pegotes o GDPdU. Violaciónes de la gestión de esta ley son castigados primero con frases muy graves, con seguro (gestión de exención de responsabilidad) se permite sanciones económicas es limitado.
Contenido, la ley no especifica los requisitos que mayores esfuerzos en los campos cubiertos por esta ley de la ONU
6
Off / GoBS / Sección IV.
3
Las leyes y las normas en materia de seguridad de la información
ternehmen deberían conducir. Hay requisitos formales solamente hechos que son adecuados para dejar claro a la gestión de las empresas en cuestión y su responsabilidad. Por el contrario, en los que la ley busca estarán decepcionados disposiciones específicas para la protección de TI: la seguridad que la ley no se menciona. Sin embargo no se aplica ninguna duda de que el cumplimiento de la ley Sarbanes-Oxley y sin cobertura sistemática de la TI es inconcebible. A TI fiable, un uso responsable de la información de la empresa, incluyendo su protección son esenciales para una empresa confiable informes con arreglo a la presente Ley. En los requisitos de ensayo de la Comisión de Valores y en las directrices relevantes para las empresas de auditoría y esta situación es más clara.
COSO
Para definir los requisitos para la presentación de informes financieros y contables y su custodia está en la región de América en general, cubrir con el símbolo COSO ( Comité de las Organizaciones Patrocinadoras de la Comisión Treadway) recurrió principios conocidos. COSO cuasi define los Estados Unidos de contabilidad generalmente aceptado que incluye algunas de las implicaciones en términos de TI. Sin embargo, es claro a partir de la experiencia práctica de la aplicación de la Ley Sarbanes-Oxley de que algo está mal aquí: Las empresas afectadas en gran medida impulsada por el esfuerzo inútil camino burocrático. es necesario en el campo de las finanzas relacionadas con las TI sólo para establecer reglas apropiadas específicas de la empresa que resultó asegurar la misma y examen de su adecuación. La exposición tiene lugar en un auditor de acuerdo con las normas del ISAE 7 3402 (anteriormente SAS 70). Esto toma en cuenta la medida en certificados de contadores, es a su discreción. Sin embargo, la documentación preparada para la certificación ISO 27001 o para la protección básica debe ser adecuado. Según la ley estadounidense esto por sí solo no es necesaria o suficiente en el molde hasta ahora observada para producir un nivel de seguridad y confianza adecuada. Los requisitos de la ley S-Ox muy abstracto celebran merecen una aplicación inteligente que el actual
7
4
Estándar Internacional sobre Contratos de Aseguramiento.
gobierno corporativo y gestión de riesgos
Basilea II / III, Solvencia II
Ley de Bancos
Practique con tantas medidas individuales burocráticos, caracterizado por el control y el control del control. Esto no conduce a la mejora de la seguridad y justifica ningún aumento del salto de la fe, sino que representa una destrucción de valor innecesarios es en gran medida. Poco concreto para TI y seguridad de la información también se encuentra en otras especificaciones. la Adecuación de capital (Para los bancos Basilea II) se aplica inicialmente sólo para los bancos. La contraparte de un seguro bajo el nombre solvencia II conocido y es una directiva de la UE, según el cual los países de la UE tienen cada alinear sus leyes vinculantes para las empresas en cuestión. Las normas de Basilea están en un constante desarrollo; debido actualmente a la entrada en vigor de Basilea III que Basilea IV ya está en discusión. General pide a la consideración de los riesgos operacionales asociados a estas especificaciones, que incluyen los riesgos de TI incluyen. Como los bancos y compañías de seguros tienen que considerar los riesgos asociados a sus clientes, los requisitos de las leyes de actuar indirectamente a los prestatarios asegurados y el proveedor de servicios para estos grupos objetivo.
Del mismo modo las reglas comúnmente aceptadas están contenidas en la Ley de Bancos y los requisitos mínimos para la Gestión de Riesgos (MaRisk) octavo Es importante que los bancos y compañías de seguros ya no como en el pasado pueden suponer un porcentaje uniforme de los requisitos de capital para la cobertura de los riesgos que se corren. Más bien, estas instituciones deben realizar una evaluación interna de los riesgos más delicado en el futuro. la porción de capital requerido se fija entonces a entregar el riesgo identificado. Esto incluirá Se requiere un examen de los riesgos operacionales.
Estos riesgos operativos incluyen los riesgos asociados con el uso de sistemas de información. A medida que los bancos tienen que tener en cuenta el riesgo de crédito de sus deudores (por defecto), estos requisitos legales actuar indirectamente a todas las empresas que quieren pedir dinero prestado en el mercado de capitales. Una empresa con una calificación de riesgo relativamente pobre, si es solvente, tiene que pagar una tasa relativamente alta de préstamo.
8
El MaRisk se publicará en forma de circulares emitidas por la Autoridad Federal de Supervisión Financiera en su versión actual en el sitio web de la BaFin.
5
Las leyes y las normas en materia de seguridad de la información
Tales sistemas de clasificación, bancos y compañías de seguros como resultado de Basilea II / III y Solvencia II se aplican a sus clientes, no están estandarizados y varían de una institución a otra. Cuando la pluralidad de criterios de clasificación es de acuerdo a los conocimientos actuales, supone que un SGSI aunque un notable, pero en la mayoría de los casos, no las decisivo Impacto en el nivel de las tasas de interés tendrá.
BDSG
La Ley Federal de Privacidad, la obligación de establecer un ISMS del § 9 deriva incluyendo sus sistemas. En consecuencia, todos los puntos que deben garantizar la protección de los datos personales en cualquier forma, obligados a adoptar las medidas organizativas y técnicas necesarias. La naturaleza de estos arreglos son el resultado de la consideración del anexo del § 9 BDSG en el que se establecen los principios de protección de datos. A conducir en la realización de estos principios esfuerzo tiene que ser sopesado en función de la finalidad protectora. Evidencia de cumplimiento de estos requisitos de forma útil debe ser incluido en un SGSI a través de la gestión de riesgos.
otro
Además de las disposiciones anteriores existir en el campo de la seguridad de la información un número de otras reglas especiales que requieren básicamente un ISMS a la que, sin embargo, no se describe con más detalle aquí: -
Ley de responsabilidad de productos y § 823 BGB (por ejemplo, compra de software).
-
Ley de Teleservicios (TDG).
-
Ley de-correo (al utilizar los servicios de electrónico).
-
Ley de Protección de Datos de teleservicios (TDDSG).
-
Acuerdo de Wassenaar (regulación cripto Europea) y tener en cuenta las leyes específicas de cada país que prescriben las restricciones sobre la tecnología de encriptación utilizable.
-
Arte Ley Fundamental. 10 y la ley G10.
-
Ley de Derechos de Autor (Copyright Act).
-
Ley de Firma (SigG).
-
Added Tax Act (§ 14, requisitos de autenticidad de las facturas electrónicas).
-
Código penal, especialmente § 203, que se refiere a la protección de los datos de secreto profesional.
-
6
autorización de seguridad (SUG).
La importancia de la ley de contratación pública Como parte de la implementación de un SGSI sin embargo, será necesario para hacer frente a todos para establecer unas leyes aplicables en casos específicos más cerca de separación.
En general, por lo tanto, existe una variedad de leyes que imponen a las empresas y otras organizaciones para tomar medidas que son comparables a o un SGSI que se abzuhandeln como parte de un SGSI. El fin último de normas como la ISO 27001 y la ley nacional e internacional como una medida para comprobar el cumplimiento de la debida diligencia normales por las empresas que por lo general sólo se especifican en las leyes de manera abstracta. 1.2
La importancia de la ley de contratación pública A no debe ser subestimado para la aplicación de modelos de certificación viene a la ley de contratación pública y, en particular, los datos correspondientes a esta área directivas europeas. Para garantizar la igualdad de los licitadores y para evitar la discriminación de los licitadores extranjeros en los requisitos técnicos para los sistemas de gestión debe considerarse preferible en términos de ciertas especificaciones estándares. Esto es principalmente acerca de estas normas nacionales, que a su vez incorporan las normas europeas noveno
ISO 27001
seguridad de la información es solamente 27.001 se encuentran ISO (después de tomar el cargo de EN y DIN) estos requisitos de la variedad de modelos existentes en el campo de la gestión.
prueba equivalente
Los requisitos para un SGSI, que puede dictar la base de las ofertas, el órgano de contratación se limitan estrictamente a la certificación ISO 27001. La evidencia de una gestión de seguridad de la información existente se tienen que prestar a este respecto en la forma de certificados, como se les conoce en relación con las normas ISO 9001 e ISO 14001.
9
Ver. Directiva 2004/18 / CE v. 31.3.2004, La coordinación de los procedimientos de
adjudicación de los contratos públicos, de suministro y de servicios públicos de obras, en particular, el Art. 23 especificaciones técnicas Artículo 49 f. a la garantía de calidad y normas de gestión medioambiental, y en el artículo 52 de la certificación por parte de organismos públicos y privados.
7
Las leyes y las normas en materia de seguridad de la información
Aunque la ley de adquisiciones permite el cumplimiento de otras pruebas equivalente a la relevancia práctica de otras pruebas será bastante baja como la certificación ISO 27001, ya que aumenta o gastos complicada explicación debe estar conectado. estos certificados son creados ya sea por este particular (notificados) los organismos públicos que tienen un mandato legal o equivalente por organismos privados, donde la acreditación apropiada debe estar presente.
Certificados de otros expositores no deben ser aceptadas por los órganos de contratación. TI Protección de línea de base
En la República Federal de Alemania se encuentra junto a algunos acreditado para ISO 27001 entidades privadas y la Oficina Federal para la Seguridad de la Información para la adquisición de los certificados necesarios. Los certificados BSI correspondientes se sobrescriben con La certificación ISO 27001 basado en TI
Protección de línea de base y entrar en el detalle de los requisitos de la norma ISO 27001 también a menudo. Aunque en ciertas políticas de la UE, además de a la Código de buenas prácticas CobiT
ISO 27002 e ISO 17799 también los modelos precursoras como CobiT o más temprano se mencionan modelo de protección básica de la BSI, no puede asumirse la equivalencia de estos modelos en cuanto a la ley de contratación pública. COBIT ( Objetivos de Control para la Información y Tecnología Relacionada) es un proceso para Gobierno de TI y dividido las tareas de TI en los procesos y objetivos de control (objetivos de control). CobiT perseguido similar a la norma ISO 27001 un enfoque de arriba hacia abajo, se fijan a la puesta en marcha de los objetivos de negocio objetivos de TI, que a su vez afectan a la arquitectura de TI. CobiT reclamará ser un modelo integrador que integra los requisitos de todos los modelos comunes para la organización de TI en un modelo de madurez. Si el órgano de contratación en una licitación internacional para. B. reclamar los requisitos básicos de aislamiento de la forma antigua BSI, que sería por lo tanto establecer una llamada barrera no arancelaria al comercio y discriminar a los oferentes extranjeros. El uso de COBIT estaría en contradicción con la jerarquía determinada, después de la normas europeas son preferir para la formulación de los requisitos técnicos.
8
Normas para los sistemas de gestión Por lo tanto, si el objetivo secundario se ha de cumplir con la implantación y certificación de un SGSI para cumplir con los criterios de elegibilidad para las licitaciones internacionales, se recomienda un enfoque en la norma ISO 27001.
1.3
Normas para los sistemas de gestión
ISO 9000
La serie ISO 9000 es considerado en los círculos de normalización, las normas de mayor éxito. La norma requiere que las organizaciones que soliciten-organizarse en todas las divisiones de modo que sus procesos siempre producen los productos y servicios que satisfagan las necesidades de los clientes. Tanto éxito es la norma para los organismos de normalización y los organismos de certificación, por lo controvertido es la norma en la práctica. Históricamente y en los enfoques hace la norma se remonta a la solicitud cataloga los organismos de compras militares. Mediados de los años 70 fue una norma británica de esto, la serie ISO 9000 se produjo en los años 80 sobre.
Sus modelos, a saber, la originarias principalmente de las listas de control del sector militar eran en términos de tiempo elementos orientados La construcción sigue siendo bastante clara. Mientras tanto, aquí es un cambio de paradigma en favor de una proceso orientado se produjo la construcción, el contenido, pero no significativamente diferente de los modelos originales en relación con el impacto práctico en la organización. La muy buena idea de la supervisión de los procesos de negocio en términos de los parámetros que se requieren para la producción de productos de éxito, degeneró en la práctica con demasiada frecuencia un exceso bastante engorroso del formalismo y la burocracia. El resultado del proceso, es decir, el producto en sí se corrió cada vez más fuera de la vista de las actividades relacionadas con la calidad de muchas organizaciones. Se debe enfatizar que los requisitos de fondo de la norma no son los culpables de los acontecimientos negativos indicados anteriormente.
Cabe señalar que este va a caer de nuevo en las prácticas de sí mismos. han demostrado ser excelentes autoridades ineficientes ejemplo cotidiano. En lugar de llevar a cabo, por ejemplo, una revisión de contrato significativo, en el que todos están de acuerdo en el rendimiento previsto involucrados entre sí, se aplica la conocida Abzeichnungspraxis.
9
Las leyes y las normas en materia de seguridad de la información
el requisito estándar es obviamente satisfacer de esta manera pro forma. Por el organismo de certificación, no es por lo tanto apenas una queja. Sin embargo, el impacto en la vitalidad de las empresas son devastadores. Al hablar con los certificadores y la práctica privada de los autores que se conoce que el 60-90% de las quejas durante la auditoría de certificación en el campo de documentación son. Realmente cree que obtendrá mejor, consiguiendo más documentación? La norma requiere una razonable Documentación de los procesos, nada más. En muchos de los manuales de calidad común se encuentra al principio de una colección atractiva de los principios de la política de calidad. La frase que mejor caracteriza la práctica de la política de calidad, uno encuentra que nunca, en todas las oficinas del gobierno, que es el más conocido: "¿Quién escribe que los restos!"
En una introducción a la espera de la norma ISO 27001 se recomienda encarecidamente a tener en cuenta estas consideraciones preliminares en la construcción de gestión de la seguridad. Algunos requisitos de la norma ISO 9001 son casi idénticos términos incluidos en la certificación ISO 27001. Se exige esencialmente para
-
una documentación dirigido
-
registros de prueba de copia de seguridad
-
la organización de las auditorías internas y
-
Mejora de los procesos instalados.
Las empresas pueden ahorrar esfuerzo y dolorosas experiencias en la aplicación de procedimientos redundantes si se deciden a tener sentido proceso integrado y eficiente. La serie ISO 14000 sobre sistemas de gestión ambiental no se ISO 14000
introdujo bajo la misma presión que ISO 9000a Más bien, esto ocurrió con frecuencia de la motivación intrínseca de las empresas. Por estas razones, la propagación de esta norma en la práctica empresarial es bastante pequeña en comparación con la norma ISO 9000a
Una vez más, se recomienda el enfoque de integración de la norma ISO 27001. La planificación y las comunicaciones de emergencia temas de contingencia son particularmente mencionar aquí.
ISO 20000
10
ISO 20000 es un estándar común, que se ocupa de la gestión de servicios de TI. El valor por defecto se debe a los extensos libros Información de Tecnología de la Información
Normas para los sistemas de gestión biblioteca ( ITIL) 10 Hace. Ellos fueron compilados por las autoridades británicas sobre la base de una evaluación de los hechos por el fracaso de los sistemas informáticos militares en la Guerra de las Malvinas. El estándar se refiere principalmente a la organización de los departamentos de TI. Se convierte en una clara separación de funciones y para la definición de claros puntos de contacto para cuestiones de TI y los niveles de escalamiento apropiadas.
La ISO 20000 e ITIL estándar acordado para la seguridad de la información ISO 27001. Aquí se pueden encontrar en detalle una superposición sustancial. Por lo tanto la gestión de la capacidad, por ejemplo, tratada en ambos estándares. Un aspecto importante, la gestión de incidentes es la norma ISO 20000, que debe sensiblemente la gestión de incidentes de seguridad según la norma ISO 27001 incluyen. La lista de otros detalles más allá del alcance de este libro.
Nuestra recomendación es que aquí, coordina y la integración de proceder - donde queremos expresar esta recomendación con un poco menos vigor que en términos ISO 9000 e ISO 27001. Con la introducción simultánea de la protección informática de línea de base, la necesidad de integración con ITIL es, sin embargo, un factor crítico de éxito. La aplicación de la norma ISO 20000 una interpretación muy precisa y la aplicación de los requisitos de la norma a la organización es necesario. Sólo de esta manera puede el riesgo de sobrevaloración de los trámites - un observable en la tendencia de la práctica anterior
PCI DSS
- abordarse. Esto es especialmente cierto para los departamentos de TI más pequeñas, cuando lo exija la norma en forma de filigrana tareas pueden ser distribuidos a sólo unos pocos empleados. Todavía vamos corto el modelo PCI DSS: La abreviatura significa PCI DSS. Esto me está en su punto / PCI-DSS American Standard / a aplicarse a los involucrados en los pagos electrónicos por parte de las compañías de tarjetas de crédito. Por lo tanto, PCI-DSS se aplica no sólo a los bancos, sino para cualquier organización que está implicado como un distribuidor o servicio en el procesamiento de la información de la tarjeta de crédito.
Los requisitos no son técnicamente extraordinariamente exigente, pero son muy detailliiert y dejan relativamente poco espacio para las medidas de seguridad adaptados individualmente.
10 la norma británica BS 15000.
11
Las leyes y las normas en materia de seguridad de la información En la aplicación que está la determinación del alcance importante, los sistemas afectados de usuario deben ser aislados de otros sistemas de operar como sea posible y las medidas en la medida restringido a los sistemas relacionados con PCI DSS funcionales. Una integración del catálogo de requisitos de PCI DSS organizados en un sistema de selección basado en el riesgo de medidas de seguridad que exige la norma ISO 27001 se recomienda en nuestra opinión.
En las aplicaciones más grandes, se requiere la provisión de una detección mediante un probador de penetración autorizado (Aprobado proveedor de análisis). En tales casos, un certificador debe ser seleccionado, en el que se pueden obtener tanto la auditoría y la prueba de penetración. Actualmente ningún proveedor está, sin embargo, conoce a los autores, que está acreditado en la medida en que ofrecer certificaciones tanto en términos de cumplimiento de PCI y la certificación ISO 27001. Cuando se utiliza el PCI DSS debe tenerse en cuenta que esta norma está sesgada hacia a las necesidades de seguridad del proveedor de la tarjeta de crédito. Con respecto a las condiciones de certificación única protección es la definición restringida información de tarjeta de crédito
requerido. Estas son esencialmente los números de código que se almacenan en las tarjetas. La protección de datos se menciona en las normas mientras que - pero no garantiza automáticamente. En este sentido el cumplimiento de PCI no significa necesariamente que la seguridad o el cumplimiento integral a la seguridad.
ISO 27000
Hay que darse cuenta de que el punto de partida para una gestión de la seguridad en el procesamiento de la información estandarizada, sin duda, se encuentra en los países de habla Inglés. Del tiempo emitido la norma británica (BS) 7799 constaba de dos partes: Parte 1 (BS 7799-1) representa una llamada Código de buenas prácticas representa que contiene una colección de notas, medidas y mejores prácticas para la seguridad de la información y ha aparecido por primera vez 1995a Parte 2 (BS 7799-2), titulado Especificación con orientación para su uso y en forma de especificaciones describe un modelo de un ISMS. Ha aparecido por primera vez 1998a
Siguen estando entre esta serie de normas, algunas directrices sobre temas específicos (por ejemplo, análisis de riesgos o para prepararse para una auditoría sobre). Como un paso intermedio BS 7799-1 se ha incorporado en el año 2000 en la norma ISO 17799 antes de que se transfirió entonces a la 27002a ISO BS 7799-2 abrir directamente en la certificación ISO 27001.
12
Normas para los sistemas de gestión En términos de nuestra norma ISO 27000 interés primordial, tenemos la siguiente fecha. publicado son 11: normas generales
-
ISO 27000 D ( Definiciones y términos de la serie estándar)
-
ISO 27001 D ( requisitos del SGSI)
-
ISO 27002 D ( Directrices para la aplicación de la norma ISO 17799)
-
ISO 27003 (Aplicación de un ISMS)
-
ISO 27004 de medición (métricas / sistemas KPI)
-
ISO 27005 (gestión de riesgos)
-
ISO 27006 (Requisitos para los organismos que realizan auditorías y certificaciones para llevar a cabo)
-
ISO 27007 (ISMS auditorías)
-
ISO TR 27008 (auditorías técnicas)
-
ISO 27010 (intercambio de información de seguridad, tales. Como en infraestructuras críticas)
industrias específicas
-
ISO 27011 (de telecomunicaciones)
-
ISO 27015 (Servicios Financieros)
-
ISO 27799 (Atención de Salud)
temas especiales
-
ISO / IEC 27013 (integración ISO 27001 e ISO 20000)
-
ISO / IEC 27031 (Business Continuity)
-
ISO / IEC 27032 (Seguridad Cibernética)
-
ISO / IEC 27033 (Seguridad de la red), en parte disponibles
-
ISO / IEC 27034 (seguridad de las aplicaciones), en parte disponibles
-
ISO / IEC 27035 (Gestión de Incidencias)
-
ISO / IEC 27037 (Evidencia Digital)
Si usted tiene la sensación de perder la cuenta del número de estas normas, el resumen siguiente puede ayudar:
11
A partir de febrero de 2013; el superíndice "D" después de que el número de la norma indica que está disponible en alemán.
13
Las leyes y las normas en materia de seguridad de la información
Figura 1:
Descripción general de la norma ISO 27000 serie de normas
Una buena información sobre el estado actual de todas las normas en los suministros de esta serie www.iso27001security.com. No se puede encontrar una serie de documentos técnicos, un FAQ, listas de control y los materiales y mucha información más detallada - pero sobre todo en Inglés. ¿Cuál de estas normas debe ser? Las definiciones de la norma ISO 27000 están en todas las otras normas de esta serie - varias veces - en la medida necesaria allí; una adquisición de esta norma es obsoleta, básicamente. La versión en Inglés, sin embargo, se descarga de forma gratuita.
Para la construcción de un ISMS a una certificación al menos ISO 27001. Para ayudar en la interpretación de los controles en el Anexo A de esta norma puede ser necesario, además, ser útil para la adquisición de la 27002a ISO Los otros estándares en el medio de la figura 1 se pueden sacar cuando sea necesario, además de evaluar; su uso no es obligatorio.
Contenido, las otras normas ( "industrias especiales" y "Temas especiales") no proporcionan mucha información nueva hasta ahora es su adquisición de menor prioridad.
14
Normas para los sistemas de gestión TI Protección de línea de base
En Alemania, el BSI 12 principios de los 90 se aplican lo publicó Manual de Protección de línea de base sobre todo en las autoridades. Este trabajo, en un sentido algo estrecha de seguridad de TI tratada como la privacidad, tenía una perspectiva orientada a la acción y ha introducido medidas estándar sobre todo para los requisitos de protección normales atrás. Estas medidas detalladas se implementan generalmente por una organización cuando un Conformidad es estar preparado para ITGrundschutzhandbuch. Mientras tanto, la protección que se ha convertido línea de base hasta el momento, ya que las declaraciones orientadas gestión de la seguridad a la norma ISO 27001 y la metodología total de la norma ISO 27001 se aproximó:
-
Durante las opciones de política en el área técnica, organizativa y de infraestructura, los planes de acción en bloque y son seguir aplicando.
-
Para los análisis de riesgo existen catálogos completos de amenazas.
-
Las descripciones de la metodología han sido separados de estos catálogos e incluido en las llamadas normas BSI: o sistemas de gestión de seguridad de la información,: 100-1 o 100-2: Informática enfoque de protección de la línea de base,
o 100-3: Análisis de riesgos de TI basado en la protección de línea de base. Esta síntesis de la norma ISO y la protección de TI de línea de base es un criterio importante para muchos usuarios. Uno puede ponerlo de esta manera:
-
ISO 27001 especifica qué elementos de un SGSI debe contener y qué requisitos deben ser hechas a la gestión de la seguridad de TI - pero deja al usuario seleccionar los procesos de desarrollo y de medidas individuales para cumplir con los criterios mínimos establecidos.
-
La Protección de TI de línea de base ayuda a cerrar esta brecha fingiendo procedimientos concretos y medidas individuales obligatorias para sus aplicaciones - y con el uso de los llamados módulos que describen un modelo de escenarios de implementación específicos y los componentes técnicos.
12 Oficina Federal para la Seguridad de la Información.
15
Las leyes y las normas en materia de seguridad de la información Las posibilidades de ajustes individuales son menos que en un procedimiento de conformidad con la norma ISO supuesto TI Protección de línea de base 27001. Además, el alcance de la protección informática de la línea de base se halla severamente restringida a los aspectos de seguridad de TI tradicional.
1.4
modelos Zertifizierfähige
El número de modelos por los cuales seguridad de la información o la seguridad pueda certificarse, es grande. Se diferencian en términos de su distribución, la reputación, las indicaciones terapéuticas y los costos. Certificados (alemán: certificados), básicamente, puede dar ninguna, pero sólo ofrecen organismos acreditados la base necesaria de la confianza y la aceptación internacional de los certificados.
Debido a los esfuerzos de certificación relacionado primero deben ser considerados cuidadosamente, cuál es el objetivo que quiere lograr, si este objetivo es con una cierto puede alcanzar certificado y si el esfuerzo y el coste justificar este objetivo. A continuación, vamos a ir sólo para este tipo de modelos de certificados tener un nivel mínimo de seriedad y conciencia según los autores.
Tabla 1:
Visión general de los sistemas de certificación
27001 aplicación ISO
Por ejemplo, negocios completo - con independencia de su orientación o la industria, sino también restricciones en partes (por ejemplo, procesos de negocio individuales.) Las posibles.
esfuerzo
La introducción de un SGSI con sistema de gestión de riesgo razonable y de esta dependiendo de las circunstancias derivables medidas de seguridad.
reputación
alta internacional.
certificador
Asegúrese de que los programas de certificación cubiertas por la respectiva acreditación.
beneficio
El cumplimiento de los requisitos de S-Ox, Basilea II / III, Solvencia II. Access como un proveedor a los mercados de contratación pública. La creación de confianza con el cliente.
beneficios internos altos de seguridad de la información.
costes externos
16
Dependiendo del programa de certificación y el tamaño de la empresa; típicamente en el orden de 10.000-50.000 €.
modelos Zertifizierfähige
ISO 27001 basado en TI protección de aplicaciones de línea de base
Empresa en teoría es posible con todas las aplicaciones de TI - práctico, sino más bien limitado a las aplicaciones de TI individuales o pequeñas redes informáticas.
esfuerzo
Alto esfuerzo formal para el modelado y análisis de las necesidades de protección. Es aconsejable recurrir debido a la compleja estructura y el alcance de las normas sobre consultores externos con experiencia. Para esta cantidad no inferior debe ser estimado.
reputación
Mencionó alto reconocimiento en la República Federal en las directrices europeas como un modelo de referencia.
certificador
Oficina Federal para la Seguridad de la Información.
beneficio
s. ISO 27001, pero limitada aceptación internacional.
costes externos
alrededor de 20.000 a 100.000 euros (certificación).
Aplicación de Criterios Comunes
Limitados (manejables) productos técnicos y sistemas: los sistemas operativos, tarjetas inteligentes, sistemas de cortafuegos, aplicaciones de firma y cifrado, etc. establecen diferentes etapas de evaluación. La solicitud debe hacerse sólo específicamente porque el equipo de un completo activos de TI con componentes certificados debido a la oferta del mercado - sobre todo en el uso de tecnologías modernas es poco realista.
esfuerzo
Alto esfuerzo formal y temporal.
reputación
Aplicación se requiere ahora por muchos lados; en Europa en relación con la firma electrónica; dado el reconocimiento internacional en los niveles más bajos de seguridad, pero las restricciones en los niveles de seguridad más altos.
certificador
Garantizar la acreditación.
beneficio
El acceso como proveedor de los mercados de contratación pública. Si la certificación perfil de protección subyacente coincide con la aplicación, el usuario ahorra esfuerzo analítico individual.
costes externos
Los costos de evaluación de 20.000 €, Dependiendo del nivel de seguridad y del producto hasta el nivel de unos cientos de miles de euros, en la certificación además cuesta alrededor de 10-20%.
17
Las leyes y las normas en materia de seguridad de la información
sitio de confianza 13
solicitud
Programa con la certificación de la infraestructura de TI segura, los aspectos de protección de datos, el archivo de seguridad, etc.
esfuerzo
Dependiendo del proyecto.
reputación
En la República Federal alta. No se hace referencia en las leyes.
certificador
TÜV-IT.
beneficio
La creación de confianza con el cliente.
costes externos
Dependiendo del proyecto.
aplicación WebTrust
área de TI debe ser delineada.
esfuerzo
Utilice un conjunto de criterios para un área de TI.
reputación
Alto nivel.
certificador
Sólo los auditores.
beneficio
La creación de confianza con el cliente.
costes externos
costes de certificado alrededor de € 100.000 (altos costos recurrentes).
ISO 20000 (ITIL) Aplicación
área de servicio de TI de una empresa.
esfuerzo
Introducción de una gestión de servicios de TI adecuada, incluida la ISO 27001 para la gama limitada de servicios de TI.
reputación
El reconocimiento internacional, de alto nivel.
certificador
Garantizar la acreditación.
beneficio
El acceso como proveedor de los mercados de contratación pública. La creación de confianza con el cliente. La mejora de uno de los servicios de TI.
costes externos
Certificación cuesta alrededor de 10.000 euros.
13 método no acreditada.
18
normas específicas para la seguridad de TI
1.5
normas específicas para la seguridad de TI
Un número cada vez mayor de las normas se ocupa de los problemas de la seguridad informática - principalmente aspectos y cuestiones que puedan ser de menor importancia para el público objetivo de este libro individuales.
debe distinguirse de otras normas que en una ayuda real concretización ofrecer la aplicación de los requisitos de la norma de seguridad de la información. Para dar al lector una idea y darle la oportunidad de ser dirigido los esfuerzos a los estándares requeridos en realidad, damos aquí una breve descripción del contenido usando los números centrales, sin diferenciar según las normas de la parte.
Cuando se haga una referencia específica a los requisitos específicos del estándar de la ISO 27001, la explicación va un poco más allá del carácter palabras clave celebrado no, en particular, damos la referencia adecuada al Apéndice A de las normas. Tabla 2: Normas relacionadas con el anexo A de la norma ISO 27001
temas
estándar
Referencia al anexo A de la norma ISO 27001 situación y recomendaciones
Criptografía, cifrado, firmas digitales, funciones hash, autenticación de datos, autenticación de los interlocutores de la comunicación, la gestión de claves
ISO 9979,
No repudio 14
ISO 13888
servicios de impresión de fecha
15945, 18014
clave pública
14516
Infraestructura (PKI)
10116, 18033
9796, 14888, 10118, 15946
9797, 9798
Apenas respetar! En casos excepcionales, la consideración de estas normas en la realización de A.12.3 puede desempeñar un papel, que es proteger la información mediante métodos criptográficos para los especialistas en TI.
11770, 15946, 18031, 18032
Apenas respetar! Las normas pueden ser por expertos de interés en la aplicación de: integridad Mensaje A.12.2.3 A.10.9.x proteger los servicios de comercio electrónico y su uso (indirectamente)
14 métodos de detección para la comunicación electrónica completado (en
Analogía con certificado).
19
Las leyes y las normas en materia de seguridad de la información
temas
estándar
Referencia al anexo A de la norma ISO 27001 situación y recomendaciones
Los requisitos para los
ETSI 101 456,
servicios de PKI y centro de
102042,
confianza
101861
Directrices para la
ISO 13335
Especificaciones técnicas de la ETSI 15 con muchos vínculos sustantivos con ISO 27001; indispensable para los servicios de PKI.
respeto fuerte! pero estos 27000 de la serie de
Gestión de la Seguridad
informes técnicos de mayor edad son prescindibles
de TI
para el trabajo práctico, a veces en la norma ISO integrado.
Evaluación y aseguramiento
ISO 15408 16
Menos relevante: normas muy ambiciosas que permiten
de TI Seguridad
15292, 15446
utilizar las clasificaciones de seguridad de procesos
15443, 18045 17
altamente formalizados. Contienen numerosos enfoques metodológicos interesantes. El significado práctico sólo para la evaluación de la seguridad de la técnica, los sistemas con frecuencia se define de manera muy estricta, como cortafuegos, guardias de correo electrónico, aplicaciones de tarjetas.
Seguridad de la red
ISO 18028 18
Muy útil en la identificación de la necesidad de actuar en términos de requisitos relacionados con la red de A.10, A.11 y A.12 de la norma.
El uso de sistemas de
ISO 18043 19
Sólo tiene sentido si se está considerando el uso de tales sistemas en el contexto de la discusión de la norma.
ISO 18044 20
Clara referencia a A.13: El informe técnico contiene numerosas sugerencias para la configuración diferente de la gestión de los incidentes de seguridad.
detección de intrusos
Gestión de Incidentes de Seguridad
15 Instituto Europeo de Normas de Telecomunicaciones (www.etsi.org). 16 Una versión anterior de la Criterios Comunes / CC /. 17 Una versión anterior de / CEM /.
18 se transfiere en una forma revisada en la norma ISO 27033 (partes ya
presente). 19 se transfiere en una forma revisada en ISO 27039a
20
normas específicas para la seguridad de TI
temas
estándar
Referencia al anexo A de la norma ISO 27001 situación y recomendaciones
Modelo de madurez CMM /
ISO 21827
Numerosos contenido se superpone con la norma. El
CMMI para los procesos de
enfoque de modelo no carente de interés corre el
Ingeniería de Sistemas de
riesgo de todos los modelos de madurez para tener la
Seguridad 21
inundación documentación crecer fuerte. Para la aplicación de las normas, sobre todo en los primeros días de un obstáculo.
20
En forma revisada en ISO sido transferido 27035a 21 CMM Modelo de Madurez de
Capacidades, Software Engineering Institute Universidad Carnegie Mellon, CMMI = Capacidad de Madurez de Integración Modelo.
21
2
Comparación de los términos es que sobre la base de términos vagos en circulación, polémicos y largos discutir Mayo es un lugar común; que en estas condiciones no significativa resultados Lograr, pero cualquier invertir una gran cantidad de recursos puede - también.
glosario
De todas formas - desde una perspectiva económica y desde un punto de vista metodológico que tiene sentido para crear un glosario de términos sobre seguridad de la información dentro de la organización y relacionar en cualquier otro documento (directrices, conceptos, ....) Es.
Por lo general, no se empieza, sin embargo, como un oficial de seguridad en un terreno virgen, sino que debe moverse en una estructura de gestión madura que cumpla con los estándares más o menos. Uno de los problemas es por lo general ya en la terminología utilizada, que se diferencia de las fuentes publicadas. Cuando se pretende la conformidad a las normas, pero usted tiene que necesariamente de la terminología de esta norma de tratar. así que aquí nos atrevemos a tratar,
-
los conceptos de seguridad informática clásica de la práctica,
-
la terminología de la 27001 ISO ( siempre se refiere como "la norma" ), Y
-
para llevar los conceptos de protección de TI de línea de base bajo el
mismo techo y para asegurar la comparabilidad. Vamos a abordar esta tarea por la oportunidad de revisar el proceso de seguridad y llevar a los términos que resultan de las fuentes mencionadas en este camino más juntos. En la columna de notas marginales interpretamos la referencia a lo siguiente:
(K)
Los conceptos tradicionales de seguridad de TI.
(ISO)
Términos de la serie ISO 27000.
(GS)
Condiciones de protección de TI de línea de base.
Que ya bastante familiarizado con la terminología, puede secciones 2.1 a 2.4 omitir la lectura.
23 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_2, Springer © 2013 Fachmedien Wiesbaden
Comparación de los términos Sin embargo Tire de todos modos otro vistazo a la sección 2.5 importante, pero la 41ª lado 2.1
Organización, los valores y los objetivos de seguridad organización
Con la palabra organización nos referimos en este libro cualquier tipo de institución. B. compañía, autoridad, asociación o club -, sino también partes de los mismos, por ejemplo seleccionados. B. acuerdo con los aspectos de organización (departamento, sección, etc.), a lo largo de las líneas territoriales (sucursal, oficina, etc.) oa lo largo de las líneas nacionales (organizaciones nacionales).
los activos de información
El punto de partida de la discusión son la los valores ( Activos) de una organización, especialmente los valores de la información ( Los activos de información). Clásicamente,
(K)
se limita a los activos de información en el sentido estrecho como información, datos, archivos, discos. Para ello, definimos los objetivos de seguridad. Además provenir principalmente sistemas informáticos y redes en que dicha información valores almacenados, procesados y transmitidos. También para estos sistemas y redes de una aparente objetivos de seguridad. El estándar entiende todo, desde el punto de vista de la organización tiene un significado para sus transacciones comerciales en los valores.
(ISO)
Ejemplos:
- tipo información 22: -
Información de operaciones, datos, archivos, directorios, bases de datos de la organización.
-
Documentos propios, tales como contratos, procedimientos e instrucciones de trabajo, materiales de formación, manuales de emergencia, planes de recuperación.
-
documentos externos tales como descripciones de sistemas y manuales de usuario.
-
Todos los tipos de registros o protocolos.
- tipo software 23: El software de aplicación, el software del sistema, las herramientas de desarrollo.
22
En la mayoría de las fuentes de seguridad de la información no está entre información y datos distinguido.
24
Organización, los valores y los objetivos de seguridad
-
valores físicos: Los dispositivos tales como ordenadores, servidores de seguridad, puertas de enlace, routers, cables de red, soportes de datos (por ejemplo. Como cintas, CD, DVD).
-
infraestructuras: salas de servidores, centros de datos, suministros de todo tipo.
-
tipo servicio es decir, aquellos que uno hace a sí mismo, e incluso los que uno utiliza: Servicios RZ y de telecomunicaciones, transmisión de datos, aire acondicionado, iluminación, suministro de energía.
-
empleado con calificaciones, habilidades, experiencia y funciones asignadas.
-
Otros valores ( "intangibles") tales. B. reputación (imagen) y la solvencia de una organización. Es evidente que incluso aquellos con los valores se calculan, que no son directamente información, datos o IT.
(GS)
son la protección de línea de base de TI aplicaciones de TI El punto de partida de las consideraciones: Se utilizan para realizar ciertas tareas especializadas (procesos de negocio) y hacer uso de los sistemas informáticos, redes y salas de TI 24 y el personal de una organización. La totalidad de la infraestructura, la organización, el personal y los componentes técnicos que se utilizan para cumplir una tarea especializada, como red informática o e información de red y caracteriza los valores de una organización.
conclusión
La comparación de las tres fuentes (K), (ISO) y (GS), se encontró que cuando (ISO), el término valor se toma más. objetivos de seguridad
Hay diferentes objetivos para los valores de una organización, tales como -
la regularidad de Procesamiento de datos ( Se ejecuta en conformidad con todas las reglas y regulaciones aplicables)
23 Estos valores se enumeran en la ISO 27002 por separado, aunque por supuesto, con valores de tipo información caer. 24 La infraestructura espacial utilizada en el que los valores restantes están instalados, operado o mantenido.
25
Comparación de los términos -
la (legal) la responsabilidad por. B. Acuerdos o documentos
-
la validez de la electrónica facturas - y no menos importante
-
la seguridad de Los activos de información.
bajo la objetivos de seguridad de los activos de información, entre otros, los objetivos conocidos de la confidencialidad, integridad y disponibilidad caída. Enviamos por delante: Como temas nos referimos a las personas, unidades organizativas, procesos empresariales u otras entidades que pueden acceder a los valores en diferentes sentidos: desarrollar, crear, almacenar, leer, modificar, borrar, transferir, adquirir, instalar, hacer, uso, espere listo, etc. 25
(ISO)
Debido a la formación de conceptos muy general de un valor de la característica de los objetivos de seguridad de la información de la confidencialidad, disponibilidad e integridad también debe poner más en general:
-
bajo la disponibilidad un valor de la norma se refiere a la propiedad de que el valor sea accesible a cada sujeto autorizado si es necesario.
-
con el integridad un valor de la propiedad de corrección e integridad del valor se entiende en la norma, los cambios no autorizados debe llevarse a cabo únicamente por entidades autorizadas.
- El confidencialidad un valor de tipo información es su capacidad de ser conocido únicamente a las entidades autorizadas.
(K)
En seguridad informática clásica dos de estos términos tiene un poco más estrecho: disponibilidad y integridad casi siempre se refieren únicamente a los datos, sistemas y redes informáticas.
(GS)
Cuando la protección de la línea de base, los tres objetivos de seguridad establecidos son tan Los valores fundamentales la seguridad informática se refiere - es, sin embargo, especifica ninguna definición. Más bien, en relación con confidencialidad y integridad La mayor parte de los datos o información y programas para la disponibilidad hablado de aplicaciones informáticas y sistemas de TI.
25 No es ninguna de estas solicitudes es útil para todo tipo de valores definible; Además, la lista no pretende ser exhaustiva.
26
Riesgos y análisis otros objetivos
En general, cabe señalar que se puede añadir en muchos lugares en la práctica más objetivos de seguridad - tales. B. -
la autenticidad de los sujetos
-
la transferibilidad de las acciones a los sujetos
-
no repudio de accesos y
-
la fiabilidad de los servicios.
En el estándar aceptado de forma expresa, que la organización es "elegible" para la aplicación de la norma ISO 27001 para anotar metas ya que se adapta a la organización. Cuando la protección de línea de base, sin embargo, uno se fija en los tres objetivos clásicos para los valores básicos (donde se supone que todos los demás objetos pueden ser derivados de él).
2.2
Riesgos y análisis Que los objetivos de seguridad para los valores de una organización no siempre se consiguen fácilmente y es que los riesgos que pueden ir en contra de un objetivo de seguridad al entrar. de riesgo está de acuerdo con ISO 27005 26 una combinación de
riesgo
-
probabilidad una (no deseado, inesperado, adverso) evento y
-
su consecuencias definida.
La probabilidad de ocurrencia no es en el sentido matemático estricto, sino más bien como frecuencia estimada entendido. En esta definición queda abierta
eventos
-
que eventos tienen que ser analizados,
-
que consecuencias considerados y como son evaluados,
-
que combinación se entiende. Para nuestro contexto son los siguientes eventos
indeseable, inesperado o perjudicial y por lo tanto importante para la consideración adicional: -
ataques dirigidos Personas (de información privilegiada, hackers, espías) a los valores de explotación de las debilidades en la tecnología utilizada (seguridad) en la organización o la debilidad "hombre".
26 Incluso después de la Guía ISO mayores 73ª
27
Comparación de los términos -
pérdidas de equipos y sistemas, personas y procesos.
-
eventos naturales tales como terremotos, incendios, inundaciones, rayos, etc., que afectan a los valores.
-
actos negligentes y Un funcionamiento incorrecto de los sistemas por Las personas con consecuencias negativas para los valores de la organización.
-
Violaciónes de las leyes o contratos con consecuencias financieras y de otro tipo para la organización.
-
potencial Daños a personas ( Véase, la salud, la vida) y organizaciones (reputación, calificación de crédito, etc.)
En la norma de eventos tales como (amenazas Amenazas) se hace referencia. la consecuenci Estas amenazas pueden ser daños monetarios directos predecible -, sino consecuencias
también la pérdida de reputación, pérdida de solvencia, la retirada de los permisos (después de violaciónes de la ley). ahora lo combinación significa? Una vez que puede captar las consecuencias en cifras - es decir, a eso de daños monetarios -, hay un tipo generalizado de combinación es el riesgo de ser producto
combinación
conjunto de la probabilidad y la cantidad de pérdida. El riesgo, entonces corresponde a la esperanza media de pérdida.
otro probabilístico Enfoques teniendo en cuenta la magnitud de los daños más de la frecuencia. Esto es consistente con la motivación de las personas a contratar un seguro o para participar en juegos de azar. En el método de los casos, una posibilístico Enfoque considerarse Sin valores para la frecuencia de reclamaciones, pero el riesgo se determina sólo por el mayor daño concebible.
Para completar, hay que señalar que en el teoría de la cartera el riesgo no está determinado por los valores esperados, sino por la propagación de pérdidas y ganancias. sin embargo, después de todo, que participan en la determinación de la función de riesgo que la evaluación del riesgo es preferencias subjetivas. Una organización muy tolerante al riesgo que se ocupa de las nuevas tecnologías revolucionarias que no va a tener la misma función de riesgo estandarizada en apoyo de su decisión
28
Riesgos y análisis decisión de recurrir a tales. Como un viejo - compañías de seguros establecidas. estadística
Otro problema es la falta de datos fiables: Cuando los desastres naturales y el problema de la falta de equipo que puede confiar en las experiencias calcula las probabilidades y las consecuencias (monetarias) se pueden estimar con relativa exactitud en muchos casos debido. Aquí, las estadísticas de las compañías de seguros o sus asociaciones son útiles; los proveedores de equipos es a menudo para dispositivos individuales MTBF conocidos = MTBF especificada. Para este tipo de eventos existen estimaciones relativamente fiables que pueden ser extrapolados para el futuro en el pasado. Sin embargo, para muchos otros eventos de seguridad de la información (tales. Como ataques de hackers) no se aplica este principio, la situación es más grave de datos.
Categoría de riesgo,
por lo tanto, un enfoque común es introducir un grado de incertidumbre y el riesgo clases (y los índices de riesgo) establecidos. Cada clase (cada índice) especifica un cierto tamaño o ancho de banda. El resultado es que cada riesgo individual de una clase (o un índice) están clasificar áspero, pero no tiene por qué ser cuantificado en detalle.
el índice de riesgo
En resumen, el concepto de riesgo de la norma ISO 27005 no es un problema, porque -
No sabemos en muchos casos estamos interesados en los eventos (todavía) y
-
eventos no siempre pueden determinar las probabilidades conocidas.
Por ejemplo, ataques de hackers, aunque sus consecuencias grabable, una oportunidad razonablemente seguro para un ataque real no es por determinar. En muchos casos, los posibles ataques aún no se conocen a nosotros porque z. B. explotar vulnerabilidades en sistemas operativos que no han sido publicados.
En otras normas / CC / y / ITSEC / una utiliza un método que entre el ataque
potencial el presunto agresor y la fuerza las medidas de seguridad existentes pesa. Determinación del potencial de ataque de un agresor por
ataque potencial -
su técnica o de otro pericia
-
a su disposición (recursos tales. A medida que el tiempo requerido para el ataque y requiere herramientas especiales), y
29
Comparación de los términos -
El que le proporcionen oportunidad ( tales. B. conocimiento de circunstancias especiales, la participación de los iniciados) por medio de tablas (ver. / Evalúa ITESM /) y de esta manera el potencial de ataque a una de las tres clases BAJO, MEDIO
Intensidad de las medidas
o ALTA cesionarios.
Se están evaluando las medidas de seguridad después de lo cual atacar potencial - una de las tres etapas mencionadas - que apenas pueden evitar. Este valor mínimo es de fuerza llamada la medida. La cuestión de si uno puede soportar un ataque es una cuestión de equilibrio entre el potencial de ataque y la fuerza de las medidas de seguridad existentes en este enfoque. Sin embargo, las posibilidades de un ataque o sus efectos perjudiciales son irrelevantes en este contexto. La intensidad de las medidas de seguridad (técnicas) de productos de tecnología se determina normalmente en la certificación de estos productos a / ITSEC / o / CC / y especifica en el informe de certificación correspondiente. El hecho de que las probabilidades de daños o consecuencias no pueden jugar un papel, es comprensible, ya que son posibles tales estimaciones a organizaciones específicas sólo en relación - pero no en los ensayos de tipo y la certificación tipo de productos de TI.
Llegamos a la conclusión de la visión general y nos dedicamos de nuevo a las tres fuentes plazo:
(K)
En seguridad informática clásica es por lo general pasa por la regla
(ISO)
Riesgo = producto de la frecuencia y extensión del daño más o menos (ONU) define estimaciones seguras para las frecuencias y las cantidades de pérdida de base antes y utilizados o iguales a un sistema de riesgo-índices o clases de riesgo. se encuentra en incumplimiento no método detallado para calcular los riesgos prescritos. para definir tal la organización en cuestión es más bien abandonado. En la directriz SGSI, la organización debe describir el método de análisis de riesgos pretende aplicar. Esto incluye la definición de las clases de riesgo y los umbrales de aceptación. Esto último significa que los riesgos están por debajo de un cierto umbral, sin medidas adicionales "comer", sin embargo, forzar el uso de contramedidas por encima del umbral más allá de riesgos.
El valor por defecto se limita a los requisitos mínimos y da una descripción del proceso áspera. Ejemplos de posibles métodos de análisis se pueden encontrar en la 27005a ISO
30
Riesgos y análisis Brevemente, el procedimiento es el siguiente: Paso 1: identificación de riesgos
cuando La identificación de riesgos son para los activos de información de los ISMS
-
identificar las causas y orígenes de las amenazas de los activos de información y
-
(contador) medidas existentes determinan;
-
se comprueba si existe esta vulnerabilidad. ISO 27005 la combinación de
una amenaza y una vulnerabilidad es requisito un riesgo - solamente estar expuestos a un riesgo (exposición al riesgo). Las vulnerabilidades pueden ser que las medidas existentes incluyen vulnerabilidades explotables, como los principios técnicos, la aplicación o la aplicación de la medida. No hay ni siquiera ninguna acción contra una amenaza, esto es, por supuesto, más aún una vulnerabilidad.
Paso 2: Evaluación de Riesgos
Si comparamos las amenazas individuales realmente expuestos, tiene una evaluación de riesgos ser llevado a cabo, es decir,
-
para cada una de estas amenazas el nivel de riesgo es evaluar y clasificar.
Como resultado de este paso, por tanto, está presente una lista de amenazas que enfrenta expuestos a usted y que haya evaluado en consecuencia o clasificada. Paso 3: Evaluación de Riesgos
¿Cuál es la evaluación de riesgos? Dado que el nivel de riesgo no tiene por qué ser aislado, pero siempre en relación con las operaciones de la organización visto el nivel de riesgo es reflexionar sobre una escala de calificación: se necesita una evaluación en cuanto a qué significado tiene el riesgo de que se trate para la organización. Este proceso de comparación se llama La evaluación de riesgos. Un ejemplo es un riesgo de pérdida de 1 millón € llamada, tal vez sólo significa Cacahuetes por una empresa de tamaño medio un desastre para un banco importante. sólo el clasificación la pérdida por dicha organización lleva a una
31
Comparación de los términos Clasificación de riesgo. En el primer caso lo haría existencia mortal se muestra en el segundo caso, sólo LIGERAMENTE. . Así por ejemplo, se trabaja con las clases de riesgo, hay que asignarle una escala de calificación - expresada por tales atributos. B. ligeramente, CONSIDERABLEMENTE, grabado y Peligro la vida.
síntesis En las normas ISO 27000, el proceso que consiste en la identificación y evaluación de riesgos es como análisis de riesgos se hace referencia. El análisis de riesgos y evaluación de riesgos se conocen colectivamente como evaluación
de riesgos nombrado.
evaluación de riesgos El análisis de riesgos = identificación de riesgos + evaluación de riesgos = análisis de riesgos + evaluación de riesgos La seleccionados por un modelo de proceso de organización en las tres etapas de la evaluación del riesgo es describir, típicamente en la directriz ISMS! Esto incluye la definición de las categorías de riesgo y niveles de calificación. Si se aplica este modelo procedimiento a los riesgos individuales de la organización, como consecuencia, recibe una lista de amenazas expuestas cuyo riesgo siempre se cuantifica o clasificados y evaluados en términos de su importancia para la organización. Los pasos de análisis y los resultados se registran en la escritura.
Tanto el modelo de proceso y los resultados reales son revisados regularmente y se actualizan si es necesario.
(GS)
Una de las motivaciones en tecnologías de protección de línea de base se oponía a renunciar análisis de riesgo individual detallado de la manera posible anteriormente descrito: Es de los llamados peligros , Que puede causar daño a la organización cuando se producen. Tales riesgos se describen ampliamente y en detalle en el catálogo de riesgos. El daño puede ser diferente en la naturaleza, que son, por tanto, la protección de línea de base de TI categorías de daño agrupados, a saber,
-
Violación de las leyes 27 Reglamentos o contratos
27 Incluyendo violaciónes del derecho a la autodeterminación informativa determinación.
32
Riesgos y análisis -
Atentados contra la integridad personal,
-
rendimiento deficiente de funciones,
-
negativa imagen pública,
-
impacto financiero.
Para cada aplicación informática y cada categoría de daño es ahora determinada que efectos puede resultar en daños a esta categoría en la organización; se trata de una clasificación de tres etapas o ligeramente,
-
tolerable
-
considerablemente,
-
desastroso
base; la demarcación de estos pasos con cada otros conjuntos de la organización respectiva establecido - un cierto análogo de la norma de evaluación de riesgos. Cada aplicación que finalmente se asigna una requisitos de protección requisitos de protección
a es el siguiente desde el efecto de daño: Tabla 3: Definición de los requisitos de protección
efecto de daño tolerable
requisitos de protección
o LIGERAMENTE NORMAL28
PERCEPTIBLEMENTE
ALTA
desastroso
MUY ALTO
Los requisitos de protección de una aplicación informática heredado por lo que se puede asignar todos los valores observados en la protección de línea de base de TI una necesidad de protección según las normas específicas para el "usado" por los sistemas de aplicación informática de TI, redes y salas informáticas.
Todos los demás pasos metodológicos en la protección de TI de línea de base sobre la base de este hallazgo, la protección necesidades.
Las medidas de los planes de acción para los requisitos de protección normales han de proceder a la protección básica de TI de una (pero no publicado) análisis de riesgos. Nota: En comparación con la norma ISO 27005 no estamos automáticamente hacemos por los riesgos de TI de protección de línea de base con las amenazas expuestas. Asimismo, no hay detalles
28
Antiguo nombre: de bajo a medio.
33
Comparación de los términos hizo probabilidades o los niveles de pérdida - por lo que es sin riesgos en términos de la norma. Una determinación de individuo riesgos debe plantearse en la protección básica de TI sólo en el campo de los requisitos de alta y muy alta protección. El BSI estándar 100-3 describe este problema.
conclusión
Para toda la discusión de métodos generalmente se debe tener en cuenta que la precisión alcanzable está limitada en el análisis de riesgos, debido a la naturaleza de Riesgos de información, por el contrario métodos muy detalladas también tienen una mayor carga. Además: Supongamos que todos los riesgos individuales se calculan con exactitud. Sin embargo, ya que los riesgos individuales a menudo no son independientes unos de otros y no disjuntos entre sí, es un resumen de los riesgos individuales a un riesgo global sólo a través de la estimación intuitiva posible. También que rara vez en el campo de la seguridad de la información tenga en cuenta la concatenación analizar los acontecimientos (propiedad).
2.3
selección de medidas y tratamiento de riesgos la selección medidas
(K)
En el enfoque clásico se da prioridad primero los riesgos y comienza con la clase más alta a cada riesgo individual atribuible a un conjunto adecuado de medidas, con el riesgo restante está cubierto por un límite incluso aceptado. La evaluación de los riesgos, la idoneidad de las medidas y la evaluación del riesgo restante haciendo para el mejor conocimiento de los analistas de la organización (si es necesario reforzado por consultores de seguridad externos).
(ISO)
La norma requiere un enfoque similar: disponibilidad, confidencialidad e integridad, y posiblemente otros objetivos son en relación con identificar los riesgos para cada valor de la información, para estimar y evaluar. Las amenazas, vulnerabilidades y la evaluación de la magnitud y la frecuencia de los daños a ir. Entonces, el llamado metas medidas aplicable a partir del Anexo A de las normas para cada valor de la información. Se trata de establecer metas para Berei-
metas medidas
34
temática específica
selección de medidas y tratamiento de riesgos
che tales. Como control de acceso o el manejo de incidentes de seguridad.
aplicar significa para decidir si un objetivo de acción para la organización y el valor observado es relevante, y luego asignar la acción apropiada. Además de las medidas de objetivos de los estándares del curso de acción objetivos específicos de la organización se pueden introducir y manejan de forma similar.
plazo medir
En relación con el concepto de la operación es de notar que entre las Medidas en el sentido de la norma y medidas individuales de la organización Hay que distinguir: Con medidas son requisitos entiende en el Apéndice A de la norma que cubierto por las medidas individuales de la organización o de realizar (cf .. a esta confusión también la sección 2.5).
se refieren a las medidas mencionadas en las normas
-
Directrices y regulaciones,
-
acuerdos contractuales,
-
Procedimientos y prácticas,
-
estructuras organizativas y
-
administrativas, de personal, infraestructura o los requisitos técnicos.
Las medidas individuales para el último punto, las medidas de seguridad convencionales, las contramedidas a las amenazas, etc. Después de la aplicación de las medidas de objetivos y para asignar medidas individuales apropiados los riesgos restantes ( "riesgos residuales") para aplicar las medidas de acuerdo con un plan predeterminado debe ser tratado adicionalmente. de red
informática una organización es la protección que Línea de base: la combinación de (GS)
infraestructura, recursos humanos y de TI, que sirven al cumplimiento de las tareas profesionales considerados. cuando modelado de los activos de TI son apropiados bloques
de construcción seleccionado de entre el manual, y esto para los grupos de bloques Aspectos horizontales ( organización) infraestructura sistemas de información, redes y Aplicaciones. La selección debe hacerse de forma que la combinación de los componentes da como resultado seleccionados en un cercano a la realidad posible modelo de los activos de TI que viene.
35
Comparación de los términos Para cada bloque seleccionado incluye una lista priorizada específico de medidas individuales para ser apropiado por la BSI para la normal requisitos de protección se consideran, por lo que deben ser aplicadas por la organización. Aquí uno define así, en contraste con el estándar de un conjunto básico de medidas (individuales) de manera de unión, podrán derogarse sólo se justifica.
Los planes de acción de la protección de línea de base de TI también forman una base para la acción de los requisitos de alta y muy alta protección, sin embargo, esto no significa automáticamente considerado por la BSI tan completa y suficientemente fuerte. Para los requisitos de protección ALTA o MUY ALTO el procedimiento es tal que la primera red informática destinada a la protección informática básica se modela y poner en práctica todas las medidas de seguridad apropiadas para los requisitos de protección normales. Entonces realizado en un análisis complementario a la mayor necesidad de protección. Este proceso se describe en el BSI estándar 100-3, pero considera que los riesgos en el sentido estricto de la norma.
Tenga en cuenta que la primera tiene en cuenta los valores de los requisitos normales de protección para la protección básica - es decir, con más o menos el lugar de bajo riesgo - la prescripción y el desarrollo de medidas a adoptar para poner en práctica el usuario. Sólo entonces se los valores vienen con la necesidad de protección ALTA y MUY ALTO a la fila que han de ser sometidos a análisis adicional. Este es un punto de partida bastante grave desde el procedimiento habitual, en un principio para el cuidado de la muy alto y alto riesgo.
tratamiento del riesgo
cuando tratamiento del riesgo Por lo general, tiene una serie de alternativas u opciones:
36
-
Ajuste de las actividades de negocio de riesgo.
-
que proporcionan la aceptación de los riesgos individuales, que se acepta sin más medidas ( Riesgo-aceptación).
-
Desplazamiento de riesgos (transferencia de las operaciones a un lugar más seguro, los riesgos de seguro, la externalización de las actividades de riesgo 29).
29
La medida en que una transferencia de riesgo es posible.
documentos de seguridad
-
riesgo plan de tratamiento
La selección y aplicación de medidas adecuadas por lo que el riesgo restante 30 se desliza debajo incluso aceptada por el límite de la organización.
Es importante establecer un plan de tratamiento de riesgos en el que se definen las opciones permitidas para el tratamiento de los riesgos y una opción de tratamiento se selecciona para cada riesgo. En la norma, se requiere explícitamente este enfoque. Cuando TI Protección de línea de base se habla de riesgo residual, es sin embargo más bien en un sentido cualitativo:
-
Para conocer los requisitos normales de protección de los riesgos residuales cuando utilice las medidas de catálogo, de acuerdo con el BSI
en principio clasificados como de bajo. No está incompleta o se llevan a la aplicación de estas medidas (z. B. por razones de presupuesto), pueden surgir riesgos residuales, sin embargo, se estima que no especificada o clasificados. -
A una mayor necesidad de protección se examinó si la eligieron posiblemente blindada - medidas son apropiadas para repeler las amenazas o no considerados. En el caso negativo riesgos residuales deben ser cuantificado, pero también no especificado o clasificado.
En el caso de tales "riesgos residuales" es una decisión del nivel de gestión a través de su aceptación traer 2.4
documentos de seguridad
Veamos brevemente con dos conceptos básicos, que ocultan a los mismos: la política de seguridad y concepto de la seguridad. De vez en cuando se llevará a política
de seguridad el término política de seguridad usado - posiblemente debido a una traducción incorrecta de ( seguridad) P olítica.
30
Para el Inglés riesgo residual ( restante riesgos) está en el idioma alemán y en el contexto de seguridad de la información a menudo el término riesgo residual utilizado. Una definición diferente de riesgo residual fue alcanzado en 1978 por el Tribunal Constitucional Federal como parte del "juicio calcar": Así que aquí están bajo el "riesgos hipotéticos desconocidos a los últimos conocimientos científicos, no se puede excluir" se entienden. Estamos de acuerdo con esta definición de conformidad con la norma ISO 27001 a.
37
Comparación de los términos política de seguridad
(K)
(ISO)
en el política de seguridad es por lo general la organización con su objeto social, la estructura interna y los sitios, los valores de la información y de la técnica utilizada visión de conjunto se muestra. Posteriormente, los requisitos internos y externos pertinentes se enumeran sumariamente o se hace referencia. A continuación, la importancia de la seguridad de la información para la organización es descrita por la situación de amenaza esbozado y las posibles consecuencias para la organización a tratar. Finalmente se enumeran las reglas básicas de seguridad informática.
Incluso cuando hay una política de seguridad predeterminada, básicamente, incluso dos: ISMS
Orientación y la política de seguridad de la información.
ISMS política de seguridad orientación e información puede, en uno Es por ello que no se diferenció en muchos ejemplos de la vida real y con exactitud entre los dos aspectos - se resumen documento. Los autores recomiendan una división en dos documentos. la la política de seguridad de la información una organización define cómo seguridad de la información se entiende de forma individual, es decir,
ejemplo
-
lo básico (información) son los valores y cuáles son los objetivos básicos de seguridad para estos valores por la organización,
-
suspendido en el respeto de estos valores que los riesgos básica es la organización y el impacto que pueden tener estos riesgos para la organización,
-
como la responsabilidad de la seguridad se organiza y qué procedimientos de la organización gestiona estos riesgos,
-
que además documentos de seguridad detalles se pueden encontrar.
En el apéndice de este libro es un ejemplo (!) Especificado para una política de seguridad de la información (en el sentido de la norma), que enumera la información. la ISMS Orientación es en la norma como una extensión 31 la política de seguridad de la información entendida. Además, hay a saber, la
31 Esta extensión no es superiores en nuestro ejemplo en el Apéndice sido aceptado.
38
documentos de seguridad
Marco para la gestión de seguridad de la información, en particular, -
el método de La evaluación de riesgos (análisis de riesgos y
Evaluación de Riesgos), para ser aplicado de manera uniforme por la organización, -
los criterios de tratamiento del riesgo incl. definición de umbrales de riesgo y clases de riesgo,
-
las opciones de tratamiento del riesgo incl. determinación de umbrales de aceptación.
En ambas formas de la pauta es predominantemente declaraciones sumarias. Las razones de esta división (en última instancia racional) en dos componentes son:
-
Hay directrices para administración seguridad y Directivas sujeto seguridad se separan.
-
El público objetivo: sin embargo, la información SGSI guía directriz de seguridad, depende de la gestión de la seguridad a la que concierne a la seguridad de la información. En aplicación de la protección informática es una línea de base Política
(GS)
de Seguridad de la Información para crear, además de la estatus la seguridad informática y la importancia de la misma para la realización en particular, los objetivos de seguridad TI y la estrategia deben describirse para ponerlo en práctica.
En los objetivos de seguridad TI de la referencia es a realizar a las necesidades de negocio de la organización y definir el nivel previsto de seguridad. requisitos legales y contractuales opcionales, así como la sensibilización y la formación pueden a riesgos importantes, se discuten. cuando estrategia es acerca de la forma en que la aplicación y el cumplimiento (z. B. la estructura de organización adecuada), y el control de éxito.
Es evidente que la política de seguridad de la información en la protección de TI de línea de base se acercó a la política de seguridad de la información de la norma.
concepto de seguridad
(K)
la concepto de seguridad contiene (Con suerte) una determinación precisa del objeto mirada y luego varios análisis (requisitos, riesgos, amenazas, debilidad
39
Comparación de los términos len, riesgos). medidas "adecuado" se seleccionan entonces y validadas; riesgos restantes en última instancia, pueden determinar y descritos. (ISO)
El concepto de seguridad clásico no existe en esta forma en la norma. Los contenidos correspondientes se distribuyen para separar paquetes de trabajo juntos en uno documento o apartado puede ser documentado: - El Determinar el alcance - que es el objeto del SGSI y lo que los análisis se llevan a cabo - es un paso separado que precede a todas las demás de la certificación ISO 27001.
-
La detección o determinación de los valores de información (activos) en su alcance.
- El análisis de riesgos y La evaluación de riesgos para el alcance - El Declaración de aplicabilidad. El último punto es sobre el f ya en el lado de la 34ª acciones descritas objetivos y medidas que controlan los riesgos evaluados. El Anexo A de la norma ISO 27001 especifica un sistema en particular, apagó después de los objetivos y medidas medidas o puede desactivarse. Criterio para la anulación de la selección siempre es si una acción o medida de destino para la organización y sus valores inadecuados o por otras razones no es aplicable.
La organización es, en principio, libre de añadir sus propios objetivos y medidas a medidas adicionales, con lo que de manera similar. Las decisiones y las razones de los resultados de la evaluación de riesgos del tratamiento y el riesgo juegan un papel, sino también la información contenida en la guía de requisitos legales, obligaciones contractuales y las necesidades de negocio de la organización. SOA
La lista resultante de las medidas de objetivos (o implementado aún no se ha implementado) medidas individuales y explicaciones o justificaciones correspondientes, el encabezamiento
Declaración de aplicabilidad ( abreviada: SOA 32). Se encuentra a menudo como SOA sólo una hoja antes, firmada por las personas competentes en la organización y en el 32
40
SoA = Declaración de aplicabilidad (ver. Sección 2.5).
Los problemas de traducción en la edición alemana de la norma explica que la mencionada lista es aprobada, se dará a conocer para su uso o similares más. Este enfoque está en orden (si esto no se requiere en la norma).
(GS)
Como un concepto de seguridad en la protección de línea de base de TI toda la información se hace referencia a los siguientes pasos:
-
El análisis estructural: Captura de aplicaciones informáticas, sistemas informáticos y redes, salas de TI.
-
Protección análisis de las necesidades.
-
Modelado: la selección de módulos adecuados con medidas específicas.
-
control de seguridad básica.
-
análisis de seguridad suplementaria a los requisitos de alta y muy alta protección.
-
Planificación de la implementación.
Las medidas que surgen como resultado de la modelación se clasifican como "sin embargo no mide, prevé la aplicación" a "existe medida" o. Esta prueba es control de seguridad básica. la catálogos de riesgo TI protección de línea de base son adecuados como referencia para las amenazas y las vulnerabilidades de los sistemas de información y por lo tanto puede proporcionar información importante que continúe.
El muy concreta planes de acción se puede utilizar, además de la norma ISO 27002 como una fuente para el descubrimiento de las medidas de seguridad comprobadas - incluso para los fines de la norma -Organización específica Los objetivos de actuación y medidas.
2.5
Los problemas de traducción en la edición alemana de la norma Entre los textos estándar alemán Inglés y es siempre el problema lo más preciso posible traducción. Queremos recoger algunos puntos de esta sección, la ISO 27001 Traducción debido a preguntas formuladas en la versión alemana de la ocasión. Vamos a empezar con el Declaración de aplicabilidad ( SOA), siempre como Declaración de aplicabilidad se traduce. Por qué no aplicar el contenido del
Declaración de aplicabilidad
mismo hace referencia? Más importante es la cuestión de si el contenido adecuado son los de la
41
Comparación de los términos producir organización de seguridad deseado. Tenga en cuenta que la palabra Inglés aplicabilidad siguiente aplicabilidad la importancia aptitud tiene; Por lo tanto, sería Declaración de adecuación una mejor traducción.
control
A cierta confusión tiene la traducción de la palabra C ontrol con medir a cabo. Inspeccionados para los textos en el Apéndice A de la norma por lo que los controles - por lo que se da cuenta de que siempre se trata de (seguridad) requisitos es. Entonces queda claro por qué en una organización concreta los controles todavía (individual) medidas debe ser destinada a cumplir con el requisito particular. Se continúa con C Objetivo ontrol, que con medidas de
destino Objetivo de control
fue traducida. Ahora bien, esto es totalmente erróneo, porque una medida de muy diferentes objetivos se puede utilizar, que no es en absoluto una medida tiene un objetivo. Esto se refiere, por supuesto, que el requisito descrito en un control (!) Sirve a un objetivo específico. Una mejor traducción sería sencillo Objetivo de la solicitud. políticas
El término Inglés S política EGURIDAD se conoce (correctamente) con política de seguridad traducido. Si la palabra política o políticas aparece sola, así que sin embargo las normas, reglamentos o directrices están destinadas. Por desgracia, en la versión alemana de la norma en esos lugares es siempre Orientación (n) traducido. Esto contribuye, como sabemos por experiencia, a la confusión porque los lectores asumen que los requisitos destinados tendrían en la política de seguridad son lo que no es en absoluto el caso. En los textos en inglés de este tipo a menudo la
autoridad
palabra viene autoridad antes de que, dependiendo del contexto autoridad pero también es fácil autoridad
mi lata. aquél Las autoridades pertinentes El contacto debe, por lo tanto, puede significar órganos de expertos pertinentes para ponerse en contacto - que no necesariamente tiene que ser autoridades. La norma habla en muchos lugares medir
medida
como traducción de medir. Sin embargo, esta palabra Inglés también tiene la traducción estimación lo que es cierto, porque una medida en el sentido preciso de los requisitos pertinentes de todos modos no es posible.
control de acceso
Puesto que no tienen traductores de hecho duro: El término A l acceso de control puede, literalmente, control de acceso, control de acceso o control de acceso significar. En la nueva edición de la norma ISO 27000 de control de acceso siempre que se entiende por referencia a todos los tipos de activos que pueden ser de naturaleza muy diferente manera,
-
42
Datos: Aquí haría control de acceso la traducción correcta.
Los problemas de traducción en la edición alemana de la norma -
En los lugares físicos (instalaciones, zonas de seguridad), que sería el control
de acceso 33 -
Si alguien puede utilizar aplicaciones de servicios de servicios de red, a menudo decimos que la persona interesada tenga acceso a estos objetos: El
control de acceso.
El registro de auditoría
Si la palabra en nuestros textos estándares alemanes de la serie ISO 27000 control de acceso encontrar, comprobar mejor a partir del contexto, lo que se entiende exactamente! En el Apéndice A, el término viene El registro de auditoría antes traducida en la versión alemana como registros de auditoría. Esto no tiene nada (o casi) que ver con nuestra auditorías internas y externas, pero dijo que los registros de los diversos dispositivos de control y monitoreo (por ejemplo. Como registro de registros en los sistemas informáticos, los registros de accesos a zonas de seguridad, etc.) que se mantienen para llevar a cabo en una fecha posterior fecha informes sobre posibles violaciones de seguridad y otros incidentes.
33 En algunos lugares de las normas es también de entrada controles el discurso.
43
3
El ISMS ISO 27001 En este capítulo vamos a discutir el modelo y los elementos de un SGSI de acuerdo con la certificación ISO 27001. Por lo tanto, la clasificación más sigue duro en los capítulos de las normas 34
Sin duda, hay otras maneras de describir un SGSI. Dado que nuestro objetivo es el cumplimiento de los estándares de certificación y posible de un hormigón, implementado en el ISMS lector, queremos mantener estrictamente a la certificación ISO 27001. Los términos para la identificación, evaluación, evaluación y valoración de los riesgos puede comparan los comentarios en las páginas 31 f. Damos aquí de nuevo para centrarse en: Análisis de Riesgos = + Evaluación de riesgos La identificación de riesgos La evaluación de riesgos = análisis de riesgos + evaluación de riesgos
3.1
El modelo de los ISMS
La norma ISO 27001 define un ISMS como sigue:
"Parte del sistema de gestión global, basado en un enfoque de riesgo empresarial, el desarrollo, implementación, relativas a la implantación, el seguimiento, revisar, mantener y mejorar la seguridad de la información. NOTA El sistema de gestión incluye la estructura, las políticas, las actividades de planificación, las responsabilidades, prácticas, procedimientos, procesos y recursos de la organización ". Esta definición y la nota sobre la definición contenida algunas ideas importantes.
Pensado 1 Integración
Un SGSI es parte de un sistema de gestión más amplia e integral que incluye otras partes de la organización, posiblemente toda la organización, y otros temas. Ejemplos de otras formas específicas de los sistemas de gestión son un sistema de gestión del medio ambiente y un sistema de gestión de la calidad. Por ello, es que vale la pena e incluso deseable desde hace la norma, un manage- existente
34 Podría ser ventajoso procurar el estándar y para leer las secciones en paralelo. Fuente: www.beuth.de.
45 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_3, Springer © 2013 Fachmedien Wiesbaden
El ISMS ISO 27001 System z ción. En cuanto a la calidad o la protección del medio ambiente, ser examinado para ver si las herramientas de gestión existentes que ya se pueden utilizar para el ISMS allí. Esta prueba ayuda a ahorrar tiempo y dinero durante la construcción, implementación y operación del SGSI.
pensado 2 orientación riesgo
El SGSI se basa en la evaluación de los riesgos de negocio. Un ISMS debe entenderse como un medio, por lo tanto, con la gestión de una organización para responder riesgos reconocidos en la organización. La evaluación del riesgo es considerado como un requisito previo, sin el cual no se puede establecer el sentido de un SGSI. Aquí, los riesgos operativos son igualmente considerados como riesgos en la planificación estratégica para la expansión y el desarrollo del negocio. Ya aquí se hace visible que un ISMS elementos tendrán que tener un horizonte de tiempo diferente. Este aspecto tiene en común con otros sistemas de gestión.
Pensado 3 Uso selectivo
Un SGSI es un sistema especializado, que se centra en la preservación de la seguridad de la información es la siguiente: Cuando la pérdida de la seguridad de la información puede dar lugar a riesgos de negocio importantes o incluso inaceptables para la organización, el derecho de uso de un SGSI.
El SGSI tiene que cumplir una serie de tareas:
46
-
Se determina qué se necesita instancia específica de seguridad de la información ( "... el desarrollo de la seguridad de la información").
-
Proporciona medidas para proporcionar seguridad de la información ( "... la aplicación ... de seguridad de la información").
-
En él se especifica la forma en que se logra la seguridad de información en la operación diaria ( "... la aplicación ... de seguridad de la información").
-
Se utiliza para hacer el estándar alcanzado en materia de seguridad y mantener información visible ( "... el control ... de seguridad de la información").
-
Permite hacer comprensible el estado de seguridad de la información ( "... el examen ... de seguridad de la información"). La diferencia con el aspecto anterior es que aquí en la comparación teórico-real desde la que se puede ver entre otros el vencimiento del SGSI. Este estado es importante cuando se busca una certificación.
El modelo de los ISMS
-
Ayuda a mantener el nivel alcanzado de seguridad de la información en el futuro ( "... el mantenimiento ... de seguridad de la información").
-
En ella se establecen las bases para la mejora de la seguridad de la información ( "... la mejora de la seguridad de la información").
Pensado 4 alcance
Un sistema de gestión incluye los siguientes componentes: la estructura organizativa, las responsabilidades, la planificación de actividades, políticas y normas, procedimientos o prácticas, procesos, procedimientos y recursos.
Además de la definición del concepto puro de la norma contiene tres ideas básicas que son importantes para la comprensión y el tratamiento de un SGSI. Vale la pena tener en cuenta estos mientras se trabaja con un SGSI. 5 pensado
Todas las actividades para implementar un SGSI y funcionará como proceso considerado.
proceso de
Un proceso es un conjunto específico de actividades identificadas que convierten ciertas entradas a ciertas salidas. que a menudo sucede que los resultados de una actividad serán sólo las entradas de otras actividades. Por tanto, es posible definir sub-procesos en un proceso general que constituyen, junto con sus interacciones del proceso global. De esta manera, entre otras cosas, se admite la escalabilidad de los procesos. Desde el SGSI de las necesidades y objetivos de la organización Pensado 6 dinámicas
- sus necesidades de seguridad, existente y ser protegidos los procesos de negocio, su tamaño y estructura organizativa - se determina y puede cambiar con el tiempo, un ISMS debe adaptarse a las necesidades, por un lado y por otro lado puede cambiar con las necesidades. Para condiciones simples que debe haber una solución sencilla para la implementación de un SGSI básicamente. En la norma, se dice que a una
situación simple, una solución ISMS sencilla (requerido). sino un ISMS también debe ser escalable.
Pensado 7 Mejora continua
Los procesos pueden ser administrados bien y mejorar, si aplicamos un determinado ciclo de actividades en él. Esto se conoce como el modelo PDCA. Las cuatro actividades básicas de este modelo son el Plan - Do - Check - Act. Forman una repetición cíclica
47
El ISMS ISO 27001 Secuencia de actividades (ciclo PHVA), que deben operar una organización, siempre que opera un ISMS. Las cuatro actividades o fases del ciclo PDCA están bajo pensado 3 anteriores objetos asignados de la siguiente manera: Tabla 4: PDCA-fase fases
contenido
plan
plan
hacer
conducta Reaccionando / operar el SGSI
comprobar considerar
acto
acto
La planificación / Configuración del SGSI
Monitor / verificar el ISMS Mantener / mejorar el SGSI
El ciclo PDCA se utiliza tanto para la mejora continua de las ISMS y el ajuste y la reorientación de los ISMS bajo las condiciones cambiantes de la organización. PLAN ISMS planificación / set
DO
ACT ISMS servicio /
implementar / operar
mejorar
ISMS
ISMS del monitor / comprobar VERIFICACIÓN
Figura 2:
El ciclo PDCA
El concepto PHVA se basa en el procedimiento de Walter Shewhart, que puso en los años treinta del siglo pasado las bases para la aplicación de orientación económica métodos estadísticos en la tecnología de producción. El concepto fue utilizado más adelante con éxito por sus empleados W. Edwards Deming en la reconstrucción de la economía japonesa después de la Segunda Guerra Mundial. Se lo tanto, también conocido como el modelo de Deming o Shewhart.
48
definir y gestionar los ISMS: PLAN Como un modelo de mejora continua de productos y procesos, se requiere en su forma de cumplimiento original con una velocidad de reloj de análisis del problema (plan), Try controlada (DO), una evaluación sistemática (Check) y la aplicación práctica del desarrollo sostenible (Ley). La aplicación de este modelo no requiere un formalismo, sino que pretende garantizar que no se produzcan soluciones rápidas con el resultado de soluciones aparentes costosos ya menudo contraproducentes.
3.2
definir y gestionar los ISMS: PLAN
fase de planificación
La fase de planificación del ciclo PDCA sirve para dos propósitos diferentes, que pueden diferir no sólo cuantitativamente sino también cualitativamente: -
la primero (Y en lugar ocurriendo de forma única) finalidad es planificar una que todavía no existe ISMS.
- El segundo Finalidad es planificar la adaptación de un SGSI existentes a las circunstancias cambiantes. A primera vista, el diseño de un no-existente ISMS parece ser más amplia que la planificación de la adaptación de un SGSI existentes a las circunstancias cambiantes. pero esto es sólo el caso si los ajustes necesarios en comparación con el tamaño total del ISMS son bastante pequeñas. Por lo tanto, vamos a examinar por separado las dos fines de la planificación con el fin de identificar mejor las características específicas.
La planificación para la introducción de un SGSI
Aunque queremos asumir que la gestión responsable de la organización ha tomado la decisión de implementar un SGSI que es una buena pregunta en qué se basa la gestión responsable puede tomar esa decisión. En esta edición de la norma ISO 27003 está incluido en el quinto capítulo Aquí las respuestas a cinco preguntas se espera: -
¿Cuáles son los objetivos de la organización con la operación de un SGSI?
-
¿Qué necesidad de seguridad de la información, la organización?
-
Lo que exige que hace la organización de un SGSI que funcione?
-
Qué aplicación del SGSI debe incluir inicialmente?
-
¿Qué plan de negocio se basa en la implementación de SGSI?
49
El ISMS ISO 27001 Las respuestas deben ser parte de un documento de decisión: Este papel decisión debe contener un documento que representa los objetivos, la necesidad de seguridad de la información y los requisitos de un SGSI funcionamiento. Al crear este documento se analiza, entre otras cosas, debe cumplir que los requisitos regulatorios legales y de otro tipo (por ejemplo, una agencia reguladora.), La organización que la organización haya recibido las obligaciones contractuales y si es necesario tener lo que las expectativas de los clientes - cada una con respecto a la seguridad de la información. Esta información debe estar unida al documento de este tipo. Por ejemplo, como una lista. Como un documento aún más el papel de decisión debe ser el alcance inicial del ISMS planificadas.
Por supuesto, el documento de decisión debe incluir el necesario para la ejecución de las funciones de ISMS exhaustivos e incluir propuestas como sea posible, con los que se tienen que rellenar la gente en estos papeles. ¿Qué papel debe dar en detalle, depende mucho del tipo y tamaño de la propia organización, sino también del alcance inicial del SGSI. Sin embargo, la responsabilidad de la gestión Si el Comisionado para la Seguridad de la Información en cualquier caso son. Si esta función aún no se ha definido de forma explícita en la organización, deben ser introducidos y dotadas de personal adecuado. Hay que recordar que el líder responsable de la organización contiene esta función si no se ha hecho ningún otro ajuste. No hay responsabilidad de vacío aquí. La norma ISO 27003 es un aspecto muy detallada en una variedad de papeles. Cabe señalar, sin embargo, que no todas las funciones enumeradas allí en cualquier organización deben ser relevantes. Por lo que es más como, en aplicación de las propuestas tienen sentido en su propia organización.
Por último, el documento de decisión debe contener un plan de negocios, que es el marco de tiempo, el costo esperado asigna las distintas fases de ejecución del SGSI, se identifican los factores críticos de éxito y cuantificar los beneficios esperados de los ISMS. Es todo un signo de seriedad, si el plan de negocios también identifica los hitos e indicadores que pueden decidirse en qué sentido una continuación del proyecto de implantación.
50
definir y gestionar los ISMS: PLAN Como regla general, el responsable de la seguridad de la información del miembro de la organización de la administración o un organismo designado, con la introducción del SGSI se confía en el curso de esta decisión.
de acuerdo con la norma como el primer paso para realizar la planificación incluye las siguientes tareas, que llamamos en la columna marginal con PLAN-a a PLAN-j. las letras una para j son los puntos de la bala en la sección de 4.2.1 de la norma ISO 27001 directamente asociado.
PLAN DE-A
Alcance y limitaciones de los ISMS es considerada correcta, esta tarea debe estar ya cumple cuando se concede el contrato para la implementación de un SGSI. En otras palabras, en el documento de decisión para la introducción de un alcance y los límites del SGSI ISMS ya debe estar especificada.
alcance
En virtud de la aplicación entendemos la sujeto SGSI. Esto puede, por ejemplo. B. comprenden toda una organización, y sus partes, sitios individuales, un subconjunto de los procesos de negocio o un grupo de valores de información particulares. La organización es en gran parte libre de determinar el alcance como lo deseen. Este amplio margen de maniobra es muy exigente con la empresa de gestión y sus agentes para seleccionar un alcance adecuado y definir. En el límite de la alcance Prestar atención a lo siguiente: -
El límite en las líneas individuales de negocio es posible.
-
El alcance debe ser completado, es decir, no debe haber componentes esenciales que faltan y que afectan a su seguridad.
-
La exclusión de las áreas de sección transversal no es posible porque siempre presente influye en viaje de negocios a cabo (de lo contrario no los necesitaría).
-
son posibles límites geográfica (por ejemplo. En cuanto a los lugares).
-
El alcance no debe marginar el SGSI.
La norma ISO 27003 dará 6 ayudas en capítulos, tales como el alcance de las ISMS se pueden establecer. Como puntos de referencia están allí entre otras cosas para centrarse en los procesos críticos de la organización, el entorno físico,
51
El ISMS ISO 27001 los procesos y sub-procesos se manejan, el nombre comercial importante y aspectos culturales. Ninguno de estos puntos de referencia debe ser la misma para alinear decidir el alcance del SGSI de TI. Nos gustaría señalar aquí que una correlación entre el alcance del SGSI, y la dotación de personal de gestión del foro está fuera. Si el ISMS, por ejemplo, creado para apoyar un proceso de negocio crítico y tiene su foco, a cargo de este gestor de procesos de negocios debe representar el foro de gestión.
La razón es simple: el ISMS traerá no sólo beneficios, sino también carga inicialmente para el proceso de negocio con ellos. Para la introducción de los ISMS puede tener éxito a pesar de las cargas anticipadas, el gerente responsable debe ser capaz de no sólo apoyar sino que también afectan la introducción a su área. Tanto se puede lograr mediante la participación en el Foro de Gestión. la Los límites del SGSI se indican. El objetivo es establecer una clara separación entre el sujeto del SGSI y los no afectados "resto" - esto
frontera
especialmente en el contexto de la creación de responsabilidades claras y no cabe esperar de los ISMS, como el objeto del ISMS incluye. Simplemente especificando los límites del SGSI no debe ser subestimado en su importancia. Aquí el escenario para el posterior para seleccionar las medidas y ya se proporcionan los costes asociados.
Se enumeran las excepciones del ámbito de aplicación y se llama las justificaciones transparentes "residuales" fuera de alcance para la división deben especificarse. El tema de las ISMS debe definirse con respecto a: -
52
Organización: Los límites del SGSI deben ser coherentes con los límites de las áreas de responsabilidad dentro de la organización. Si este principio no se considera ya se ha puesto la piedra angular de los conflictos que se espera con la introducción del SGSI.
definir y gestionar los ISMS: PLAN
PLAN-b
-
Tecnología: La transferencia de información y la comunicación son elementos importantes que contribuyen al éxito del negocio. , Proporcionar sistemas de información que contienen información crítica para o transferido, por lo tanto, se debe evaluar si deben ser parte de los ISMS o no. En la decisión también debe incluirse si, dónde y cómo la información crítica exceden límites de la organización dentro de la organización o incluso abandonar la organización.
-
Edificios e infraestructuras: Todas las actividades de la organización se llevarán a cabo en lugares específicos con sus condiciones estructurales y otros especiales. Esto debe ser considerado especialmente cuando el establecimiento de medidas para proteger los activos de información. Edificios donde no hay activos a ser protegido del SGSI no deben cubierto por el SGSI, pero puede ser justificado de su ámbito excluido.
Definición de la Política de Seguridad de la Información y ISMS
Las dos guías no se definen explícitamente en la norma, pero caracterizan por la lista de su contenido. Estas guías tienen las siguientes tareas (para más detalles véase la descripción de una de las Directrices sobre el lado 38.): - El la política de seguridad de la información describe los requisitos de negocio, requisitos regulatorios legales, contractuales y de otro tipo y las obligaciones de todos los miembros de la organización para satisfacer estas necesidades y requerimientos.
- El ISMS Orientación comprende la política de seguridad de la información y también describe condiciones para lograr la seguridad de la información y especifica los principios que deben aplicarse a la misma. Ellos están de acuerdo con la organización de gestión de riesgos estratégicos en criterios determinados por el que corre el riesgo de que la organización puede evaluar. A partir de la enumeración de los componentes de las directrices ya está claro que su contenido que se describe en un alto nivel de abstracción. Detalles técnicos sobre no son necesarios aquí.
liberación
Las directrices deben ser aprobados por la administración y poner en su lugar por resolución o por la firma. Se supone que un auditor que la aplicación de la
53
El ISMS ISO 27001 ISMS debe comprobar puede mostrar a su promulgación, las directrices y la decisión de gestión. Llama la atención que la política de seguridad de la información más apretado está directamente relacionada con el alcance, pero las extensiones en la directriz ISMS son más abstracta y no tienen relación directa con el alcance del SGSI. PLAN-c
Camino de evaluación de riesgos Es para determinar el método de La evaluación de riesgos ( Análisis y evaluación) se deben aplicar. El método seleccionado debe ser adecuado para las ISMS y para el tipo de negocio de la organización. Se deberá especificar los criterios por los cuales se aceptan riesgos, que las clases de riesgo se definen aquí y qué criterios se evalúan los riesgos. La norma proporciona sobre la metodología de evaluación de riesgos hay necesidad de utilizar un método en particular, sino que requiere sólo que el método utilizado para comparable y realiza resultados repetibles. En este contexto, en 27.005 ISO (o su predecesor ISO TR 13335-3) dirigido.
Se hace constar expresamente en este punto que la política de ISMS útil debe ser puesto en efecto cuando se establece el método de evaluación de riesgos y los criterios de aceptación del riesgo.
PLAN-d
Identificación de los riesgos
Los riesgos se ven siempre en relación con ciertos activos de información. Por lo tanto, primero se deben identificar los activos de información. Como (información) valor el estándar significa algo, que desde el punto de vista de la organización, se adjunta un valor (ver. página 24). por lo tanto, no sólo los objetos materiales se pueden nombrar, pero también propiedades intangibles como valores. Básicamente, sólo los valores que mirar el dentro de el alcance de las ISMS son. Los valores son siempre juntos con su propietarios identificar. Bajo propietario el papel se ha de entender que la administración tiene la responsabilidad por el valor específico. El término "propietario" de declarar en
propietario
54
este punto nada acerca de la propiedad, sino que es responsabilidad en primer plano:
definir y gestionar los ISMS: PLAN -
¿Quién es el dueño de un valor de la información, determinado de acuerdo con las responsabilidades objetivas.
-
-
En casos donde hay una asignación de centro de coste, el propietario puede coincidir con el responsable del centro de coste. En ausencia de otras opciones, la organización debe cambiar el nombre de una persona responsable. Si se han identificado los valores y sus propietarios, las amenazas de estos valores deben ser especificados. Lo que se entiende por
amenaza
una amenaza que se define por el Informe Técnico ISO TR 13335-1 como sigue: Una amenaza es una causa potencial de una consecuencia indeseable que puede causar daño a un sistema o una organización.
En una primera aproximación, es suficiente para entender un evento bajo una amenaza que afecta a los objetivos de seguridad (por ejemplo. Como la confidencialidad, integridad o disponibilidad) de un valor de la organización. No es decisivo en este caso es si
vulnerabilidad
-
el evento puede ser provocada intencionalmente o por negligencia involuntariamente
-
Es una manipulación, un defecto o un desastre natural.
Esta distinción puede ser importante si el siguiente paso es vulnerabilidad deben ser identificados que puede ser explotado por una amenaza. Cuando debilidades de valores de los sistemas 35 o medidas 36 es que hay déficits existentes que facilitan los ataques a los valores de la organización o lo hacen posible. Puntos débiles - si pueden ser explotados por el atacante - puede afectar a los objetivos de seguridad para los valores de la organización. Sin embargo, no todas las vulnerabilidades deben ser objeto de explotación!
Después de las vulnerabilidades explotables han sido identificados que están en el siguiente y último paso, el impacto para determinar quién tiene una violación de los objetivos de seguridad de un valor para la organización. Como objetivos de seguridad para los valores 35 valores o editar comparable que, guardar o transferido Gen.
36 Desde cuando se trate de valores.
55
El ISMS ISO 27001 la confidencialidad, integridad y disponibilidad son adecuados aquí - pero otros objetivos como la autenticidad, la responsabilidad y el no repudio. conclusión
Desde la perspectiva de la norma identificación de riesgos en los cuatro pasos que se lleva a cabo:
-
La determinación de los valores y de sus propietarios.
-
Determinación de las amenazas a esos valores.
-
La determinación de vulnerabilidades (explotables).
-
Determinar el impacto que puede tener un incumplimiento de los objetivos de seguridad en estos valores desde la perspectiva de la organización.
PLAN-e
La evaluación de riesgos y evaluación de riesgos
Cada uno de los pasos descritos a continuación se debe realizar para cada riesgo sub-plan-d identificado. Puede parecer que el análisis de riesgo muestra que los otros, como todavía riesgo no identificado (z. B. debido a vulnerabilidades explotables). PLAN-d es para tal riesgo recién reconocido inicialmente aplicar antes de que se analiza y evalúa. La evaluación de riesgos responde a las siguientes preguntas:
-
¿Cuál es el daño para cada riesgo identificado por el Plan D para la organización?
-
¿Quién es la frecuencia realista de daños determinado que ocurrirá?
Estas dos preguntas deben ser contestadas medidas a la luz de los riesgos identificados y el vigente (en sentido contrario). Por encima de todo, la respuesta a la segunda pregunta es a menudo difícil debido a que, a pesar de las frecuencias de ocurrencia objetivas relacionadas con el equipo técnico de error 37 o estar presente para la ocurrencia de desastres naturales, pero además, más que falta. Puede ser en este punto por lo general no evitar trabajar con estimaciones subjetivas.
Del daño y la probabilidad de que el riesgo se determina. Por favor, lea de nuevo las explicaciones sobre el concepto de riesgo en las páginas 27 f.!
37 Por ejemplo, en la forma de información sobre la longevidad garantizada
o la tasa de error.
56
definir y gestionar los ISMS: PLAN Con la identificación y evaluación de riesgos, se ha completado el análisis de riesgos. Construir un SGSI debe ahora establecer los niveles de este tipo. A medida que los riesgos para la tolerable, vasta, alto, catastrófica evaluar. Esto implica cada uno para la evaluación de riesgos en toda la industria de la organización. La demarcación de clases contra la otra y, por supuesto, sus nombres se puede especificar mediante la organización de acuerdo a sus necesidades.
De dos a cuatro categorías de riesgo son razonables. No tiene mucho sentido para trabajar de forma granular aquí sólo para z. tener que buscar como en la selección de las medidas que el paquete de medidas propuesto frente a los riesgos de todas las clases es igualmente eficaz. La evaluación del riesgo, que completó la evaluación de riesgos. Tenga en cuenta, sin embargo, que aún hay riesgo de un tipo diferente de existir, es decir, el momento de la valoración desconocido Riesgos - éste no puede evaluar o evaluar en el mejor esperanza de que están limitados por las medidas ya existentes, por supuesto. riesgos restantes Después de todos los riesgos están determinados y evaluados en su importancia para la organización, los riesgos se dividen en dos categorías: -
Categoría 1: riesgos que se usan sin más contramedidas.
-
Categoría 2: los riesgos que requieren un tratamiento adicional.
La primera categoría se refiere tolerable Los riesgos que se aceptan sin más discusión. La decisión sobre qué riesgos son tolerables, debe basarse en los criterios enumerados en la orientación ISMS para esto. Por lo tanto, la aprobación de gestión para ISMSLeitlinie que implica el acuerdo de principio con la administración sobre el cual identificó los riesgos son asumidos. Debe quedar claro que el ISMS Pauta tiene ese efecto! En el caso de que la gestión de un riesgo en particular después de que ha sido nombrado explícitamente, ahora no quiere llevar, es aquí por lo menos la posibilidad de que corre el riesgo de "corregir" y clasificadas en la segunda categoría.
57
El ISMS ISO 27001 Que hay riesgos restantes en la categoría 1, es un lugar común. Eso por sí solo, por lo tanto no puede ser la razón para la gestión de dichos riesgos no quieren aceptar! Por lo tanto, es para todos los lados necesariamente una ventaja si la categorización de los riesgos restantes son reportados a la gestión! Los riesgos de la segunda categoría no debe ser una tarifa plana, pero siempre se consideran individualmente. Esto es seguido en cada caso la selección de ciertas opciones para su tratamiento (la siguiente sección PLAN f s.) Se une.
PLAN-f
Las opciones para el tratamiento del riesgo
tratamiento del riesgo
Parte del tratamiento de riesgo ya fue anticipada por PLAN-e por el portátil Los riesgos se habían identificado. Por lo tanto, estos factores incluyen en el riesgo riesgos que juegan en un nuevo examen no importa, ya que son conscientes y justificado para ser aceptado restante. para todos no riesgos portátiles es necesario definir de qué manera deben ser tratados por la organización.
Para ello, la norma describe tres opciones básicas para la gestión de riesgos:
La aversión al riesgo
-
Evitando los riesgos
-
Transferencia de los riesgos de negocio asociados a otra,
-
La aplicación de las medidas adecuadas para reducir el riesgo. riesgos
intolerables, posiblemente, se pueden evitar. Como se constituyen riesgos por valores, amenazas y vulnerabilidades, evitar riesgos potencialmente se puede unir a cada uno de estos constituyentes:
58
-
Valores, sistemas o medidas que tengan una vulnerabilidad específica, posiblemente pueden ser sustituidos por objetos comparables que no tienen este punto débil. Por lo tanto, el riesgo identificado se puede evitar.
-
deficiencias detectadas pueden ser "curados" mediante el uso de ciertos medios, de manera que una amenaza identificada ya no puede explotar la vulnerabilidad y el riesgo se evita así.
definir y gestionar los ISMS: PLAN -
Por último, existe la posibilidad de cambiar las circunstancias externas de tal modo que una amenaza identificada no existe en. También de esta manera se evita un riesgo. riesgos intolerables para el negocio pueden ser transferidos a otras partes. Esto parece, con mucho, a ser el tipo más comúnmente
transferencia del riesgo
practicado de tratamiento del riesgo. Al menos tres grupos se pueden distinguir de las partes destinatarias de un riesgo puede ser transferido.
-
Seguros: Para los riesgos asegurables, el riesgo puede ser transferida a la compañía de seguros.
-
Proveedores: acoplado a un riesgos de suministro se pueden transferir al proveedor.
-
Clientes: Por supuesto, los riesgos pueden ser transmitidos a los clientes.
Para cada una de las transferencias, el lector conoce ejemplos de su práctica diaria. Tenga en cuenta que esta transferencia de riesgo es, por supuesto, unido a un acuerdo contractual correspondiente. También hay que señalar que una transferencia de riesgo raramente puede evitar el daño a la reputación. la reducción del riesgo
Un riesgo identificado, el cual ha sido asignado a un grado determinado se puede cambiar por medio de medidas adecuadas para que se produzcan los efectos adversos identificados, o solamente debilitado. Con las medidas adecuadas (contador) el riesgo potencialmente puede clasificarse en una clase inferior o puede ser excluido.
PLAN-g
La selección de objetivos y medidas Medidas La identificación, valoración y evaluación de riesgos ha mostrado los riesgos están ahí para la organización, cómo pueden afectar a la seguridad de sus activos de información y deben ser evaluados como una pérdida correspondiente de seguridad. Sobre esta base, se encuentran ahora para precisamente los riesgos que la
la gestión de riesgos son los objetivos y las medidas apropiadas medidas seleccionadas. El estándar proporciona una variedad de objetivos medidas y medidas del Anexo A preparados a partir de las que la organización puede seleccionar apropiado con el fin de controlar los riesgos en consideración. Corresponde a la organización para especificar los objetivos más medidas y medidas que no figuran en el anexo de la norma. Esta posibilidad de objetivos de acción debe ser ejercida con moderación, por un lado con respeto, por el otro
59
El ISMS ISO 27001 parte, la experiencia demuestra que no está en lo que respecta a las acciones de la utilización del anexo, las medidas específicas de la organización y no es la regla. Esto se debe sin duda al hecho de que la norma no puede cubrir todas particularidad concreta en las condiciones de la organización. Cada medida seleccionada 38 en el sentido de la norma se asignan medidas individuales apropiados y describir: La norma ISO 27002 es una serie de pistas se dan a cualquier objetivo medidas y cualquier acción que proporcionan un soporte de primer nivel en la selección de las medidas individuales apropiados. Los planes de acción de la protección de línea de base puede proporcionar un montón de información aquí.
Con la determinación de las medidas individuales se acompaña especificar la reducción del riesgo. En la práctica, esto es por lo general que los riesgos de una categoría de menor riesgo se pueden asignar - o eliminados. conclusión
Con cumplimiento de las tareas PLAN-A a F-PLAN se establece la columna vertebral de los ISMS, por lo que completaron la fase de definición sustancialmente. A pesar de esto, sin embargo, se han de cumplir tres tareas más importantes.
PLAN-h
La aceptación del riesgo restante por la administración Después se tomará la finalización del Plan F el riesgo restante en su mayoría de una tabla o gráfico: Después de la aplicación de la gestión de riesgos, los riesgos restantes han sido ordenadas en cada caso en una categoría de riesgo (bajo?). Esta "montaña" de los riesgos individuales y clases de riesgo asociados describe el riesgo restante, que es tomar de facto por la organización. La norma requiere que este problema es la gestión de conocer explícitamente. Esto se hace, por supuesto, la mejor manera de manejar expresamente está de acuerdo con el riesgo restante.
Sucede que el acto para confirmar el riesgo restante por la administración, a menudo culmina en la tarea de reducir el riesgo. Eventualmente, sin embargo, la confirmación de la necesaria riesgo reducido de forma iterativa a través de la gestión será inevitable.
38 El concepto de una "medida" ampliado ver. Página 35 f. y abajo la sección 2.5.
60
definir y gestionar los ISMS: PLAN Una vez más, el comentario crítico: Un riesgo que siempre es llevar, es la falta de conocimiento sobre la existente, pero la organización no reconoció los riesgos ( "riesgo residual").
PLAN-i
Contrato para la implementación y operación del SGSI
Después de que el esquema de los ISMS específicos pueden ser identificados y dirección ha aceptado explícitamente el riesgo residual es decidir si el SGSI se introduce y operada. Antes de la gestión recae esta decisión será seguro para presentar más información: -
los costes previstos, distinguiendo entre una sola vez y los gastos ordinarios
-
el despliegue previsto de personal,
-
la demanda esperada de recursos diferenciada por fase y la introducción de la operación.
Esto muy importante para los aspectos de organización no están cubiertos por la norma. El valor por defecto "en la" otra vez sólo cuando está presente una orden explícita de la gestión de la introducción y el funcionamiento del SGSI. PLAN-j
Hacer una declaración de aplicabilidad La Declaración de aplicabilidad (SOA) está al lado de los ISMS la directriz de un documento básico del SGSI. Desempeña un papel destacado en el examen de un SGSI. La razón radica en su contenido que la norma hace de la siguiente manera:
-
debe la Declaración de aplicabilidad todos seleccionada en la lista de objetivos y acciones mide paso anterior.
-
Cada selección debe estar justificada. Este requisito es compatible, que selecciona la organización para cada selección realizada acerca de la razón este particular medidas de destino o incluso esta medida hace que los pensamientos. La esperanza es que los objetivos y las medidas Sólo mide realmente necesarios y beneficiosos se seleccionan. Esto es lo que se entiende en la Sección 0.1 de la norma, el conjunto se puede encontrar: "... por ejemplo, requiere una situación simple, una solución sencilla ISMS.".
61
El ISMS ISO 27001 -
-
La Declaración de aplicabilidad facilitará asimismo toda ya implementada Mide los objetivos y las medidas de la lista. Todo esto va a ser seleccionado como regla un (real) de subconjuntos. En la práctica, esto significa que cada uno marcando será si las medidas mencionadas tienen como objetivo o la medida mencionada ya ha sido implementado. Además, la Declaración de aplicabilidad deberá indicar las medidas no seleccionados por objetivos y la acción no seleccionada y una correspondiente jardines incluidos en esta decisión. Este último requisito es asegurarse de que no hay medidas tienen por objeto y ninguna acción se ha omitido inadvertidamente.
Con la finalización de la Declaración de aplicabilidad fase de planificación del SGSI es completa. Adaptación planificación de un SGSI
La fase de planificación para una existente ISMS supuesto diferentes de planificación de una nueva ISMS. El lector ya habrá pensado, lo que existirán las diferencias. Por lo tanto, queremos describir cada uno de los pasos necesarios. Los pasos para este caso están etiquetados para distinguir con PLAN-x *, la carta x de nuevo se refiere a las secciones en el punto 4.2.1 de la norma.
PLAN DE-A *
Alcance y limitaciones de los ISMS Para un alcance y los límites del SGSI existentes ya están definidos. Estas definiciones a replantear es particularmente apropiado cuando enmiendas debe hacerse. La decisión de la gestión de la introducción de un SGSI puede, en particular, una gradualmente Introducción dirigido: Se inicia con una "pequeña" ISMS, z. B. incluye un departamento o ubicación, y el ISMS se expandirá sobre la base de la experiencia adquirida en otro departamento o en otros lugares en el siguiente paso. En estas y otras situaciones Alcance y limitaciones de los SGSI debe ser redefinido. Lo mismo se aplica si resulta que el ISMS fue seleccionado demasiado grande en el primer tiro. En lugar de considerar la introducción de un SGSI haber fracasado, la organización debe tratar de redefinir el alcance y
62
definir y gestionar los ISMS: PLAN Límites para reducir la complejidad y para proporcionar un problema mejor solución. Como una cierta regla general debe ser que en todos los casos en los que no se controla de forma explícita la experiencia establecimiento gradual de un ISMS siempre que el alcance y los límites del SGSI en el orden de años, para. Como tres años se debe dejar sin cambios. PLAN-B *
Definición del SGSI Pauta La pauta SGSI es un documento relativamente abstracto que será raramente afectada por los cambios. Considere los dos componentes de la directriz ISMS: la política de seguridad de la información actual y la expansión en términos de marcos (comparan este nuevo apartado 2.4 y los comentarios en Plan-b). Para las organizaciones cuya actividad no cambia significativamente, la política de seguridad de la información debe ser estable. Incluso con cambios significativos en el negocio, que no necesariamente tiene por qué ser necesaria para adaptar esta parte de la guía. Una razón típica para un cambio en la política de seguridad de la información sería justifica la elaboración de los procesos de negocio totalmente nuevas con sus propios objetivos de seguridad.
Una de las razones para los cambios también puede surgir cuando tal.
Como cambiar los criterios para la evaluación de riesgos en la organización, ya que son de hecho parte de la guía ISMS. Esto, también, pero será una ocasión más bien raro. Es importante tener en cuenta que sólo una guía ISMS estable tiene la oportunidad de convertirse en parte de la cultura corporativa. Por tanto, es importante cuidar de su tiempo de creación y crear un amplio consenso en la organización. PLAN DE-C *
Camino de evaluación de riesgos Como se define el enfoque de la evaluación de riesgos (= identificación, valoración y evaluación de riesgos) se encuentran ya en la implementación del SGSI y el ciclo Planificar-Hacer-Verificar-Actuar ha pasado a través de al menos una vez, están en la organización La experiencia con la evaluación de riesgos. Estas experiencias son la base para decidir si misma algo que debe ser cambiado. Se ha encontrado que no se aplica demasiado formal, demasiado caro, demasiado poco específicos o incluso como práctica el método, o si se tiene que personalizarlos.
63
El ISMS ISO 27001 razones importantes para cambios a menudo también resultan de incidentes de seguridad:
Plan D *
-
Motivo 1: Se ha demostrado que los riesgos se consideraron inaceptables, parecen ser portátil cuando se utiliza una escala modificada. Un cambio de escala lata ser útil si se ha dado una mano a estos riesgos no hay este tipo de incidentes de seguridad y en segundo lugar las medidas de gestión de riesgos fueron un coste desproporcionado.
-
Razón 2: Se ha demostrado que un clasificadas como riesgo aceptable para su control también ha habido ninguna acción por esta razón - llevó a un incidente de seguridad, los efectos no eran tolerables. A partir de un incidente de este tipo de seguridad para llegar a la conclusión simple que un SGSI es inútil, es totalmente inadecuado. Por el contrario, la evaluación de riesgos siempre debe ser revisada tras un análisis del incidente. este lata conducir a una nueva definición del procedimiento.
Identificación de los riesgos
Esta tarea se deshace de un SGSI en operación en dos sub-tareas: -
Por un lado es para comprobar si los riesgos identificados previamente si es que todavía perduran. Los riesgos pueden cambiar, por ejemplo, porque los valores a que se refieren, han cambiado. Las amenazas de un valor pueden haber cambiado, las vulnerabilidades pueden ser eliminados o nueva. En tales casos, los riesgos previamente identificados tienen que ser controlados.
-
Por otra parte, los nuevos riesgos han surgido en el curso del tiempo, porque se incluyeron nuevos valores, el entorno del sistema ha cambiado, las nuevas amenazas se han añadido o vulnerabilidades previamente desconocidas se han descubierto.
Así, en contraste con la primera aplicación se refiere al análisis de los cambios en la situación de riesgo, el (PDCA) podría haber establecido desde el último período del plan. PLAN-e *
La evaluación de riesgos y evaluación de riesgos Aquí están los siguientes casos se pueden distinguir:
-
64
Para inevitable riesgos ningún trabajo que hacer en la práctica.
definir y gestionar los ISMS: PLAN -
Para los riesgos previamente identificados, el riesgo ha cambiado, las estimaciones correspondientes tienen que ser ajustado.
-
En el paso PLAN-d * nuevos riesgos identificados, la evaluación del riesgo
debe llevarse a cabo. La evaluación del riesgo de los nuevos riesgos de una manera idéntica al igual que con la introducción del SGSI. aún no se espera una reducción del costo que implicaría debido a que el número de nuevos riesgos identificados debe ser baja. Para los nuevos riesgos identificados y modificados riesgos, una evaluación del riesgo debe llevarse a cabo - la misma actividad que en la implementación del SGSI.
En el paso PLAN-c *, el procedimiento se ha cambiado en la evaluación de riesgo o de riesgo, la evaluación de riesgos debe, por supuesto todos riesgos de nuevo llevarse a cabo. PLAN-f *
Las opciones para el tratamiento del riesgo
La lista de opciones para el tratamiento del riesgo en PLANf es exhaustiva, de hecho, que apenas sea siempre nuevas opciones. A lo sumo, pueden surgir alternativas para cada una de las opciones, por ejemplo. Como otros proveedores de servicios están disponibles en el cambio de riesgos. También son relevantes en la práctica es examinar si las nuevas posibilidades o compromisos han demostrado que la transferencia de riesgos como parte de las Condiciones Generales y Condiciones (GTC) a terceros. Del mismo modo, a la inversa debe ser verificado: Transferencia de la práctica anterior de un riesgo particular para terceros, puede ser ineficaz debido a la legislación vigente. Para ese riesgo otra opción de tratamiento, por lo tanto debe ser elegido.
PLAN-g *
La selección de objetivos y medidas Medidas Además, esta actividad se divide en dos partes:
-
Por debajo PLAN-d * nuevos riesgos identificados, comprobar primero si se pueden controlar con medidas objetivos y medidas ya seleccionados. En caso de que resulte con esto es que hay nuevos riesgos para los cuales esto no es el caso, los objetivos y las medidas medidas adicionales deben ser seleccionados. El procedimiento es el mismo que con la introducción de los ISMS.
65
El ISMS ISO 27001 -
PLAN-h *
Para los riesgos ya conocidos * perdurar por el Plan D, son del pasado ya se experimenta en los objetivos y las medidas de las medidas seleccionadas previamente, como ya se ha ejecutado a través de al menos una fase de verificación. Esta experiencia puede ser decidido por los objetivos de las medidas previamente seleccionadas y medidas sobre su aplicabilidad. Con la eliminación de los objetivos de las medidas, pero debe ser muy cauteloso. Contra eliminar o reemplazar las medidas y las medidas individuales que no han sido probadas, pero dice poco. Aún así, un poco de tacto es necesario. Antes de la supresión de una medida siempre se debe revisar si las medidas apropiadas, en efecto, ser cubiertos de otro modo.
La aceptación del riesgo restante por la administración Se requiere una confirmación adicional de la aceptación del riesgo restante por la administración si -
ha cambiado o - sólo en parte, y si - el riesgo restante Bajo el plan-c * el procedimiento para la evaluación de riesgos ha cambiado. la segundo Caso no tiene necesariamente la consecuencia de que los (restantes) los riesgos del cambio. Sin embargo, es importante que el enfoque modificado se apoya en la evaluación de riesgos por la dirección.
PLAN-i *
Contrato para la implementación y operación del SGSI
En general, no será necesario realizar este paso de forma explícita en cualquier fase del plan. Si algo hay que hacer depende del tipo y la magnitud de los cambios. siempre se debe asegurar mediante un contrato extendido o un nuevo permiso de graves cambios en el procedimiento de evaluación de riesgos, así como sobre el tema del SGSI.
PLAN-j *
Hacer una declaración de aplicabilidad Dado que una Declaración de aplicabilidad ya existe, la tarea es aquí en su revisión hasta la fecha. -
66
Los cambios en los objetivos y las medidas de medidas seleccionadas deben ser documentadas. documentación de apoyo apropiada debe ser ajustado.
DO: hacer reaccionar y realizar ISMS -
Los objetivos y las medidas de medidas ya aplicadas asociados a las medidas individuales necesitan ser actualizadas si es necesario.
Ambas cuestiones se refieren tanto a los objetivos y medidas Medidas en el Anexo A de las normas, así como sobre la organización específica o -propio. El terminado de actualizar la Declaración de aplicabilidad concluye la fase de planificación. 3.3
DO: hacer reaccionar y realizar ISMS Esta fase del ciclo PDCA sirve al propósito de la construcción de un SGSI de trabajo y para mantenerlo vivo. Aunque hay ciertas diferencias entre la ejecución inicial y repetida de la fase de implementación aquí, no quiero explicar separados estos dos casos. Las tareas que se mencionan en esta fase se relacionan repetitivamente realizan sólo en los cambios. Donde, sin duda hay diferencias, demostraremos explícitamente. La fase de ejecución incluye las siguientes tareas que, de acuerdo con la norma ISO 27001, Sección 4.2.2 con las letras (DO) una bis (DO) B llamar a:
DO-una
Formular un plan de tratamiento de riesgos Sistemáticamente esta tarea debe pertenecer a la fase de planificación, sin embargo, la norma disponga otra cosa. Esto es comprensible si nos fijamos en las tareas de forma más precisa. Tratan a las actividades de planificación no puros, sino que ya la realización de actividades. Se requiere que el plan de tratamiento de riesgos para hacer frente a los riesgos
-
las medidas adecuadas de gestión y
-
describir los recursos necesarios para la creación de las responsabilidades y los problemas con las prioridades. Entre las acciones apropiadas de gestión
acciones apropiadas
-
crear y montar a caballo del ISMS directriz (con el estándar requerido de contenido)
-
la mediación, tanto el interés de conformidad con la directriz ISMS, el logro de los objetivos de seguridad y la mejora continua del SGSI de la organización,
67
El ISMS ISO 27001 -
la aplicación de todos los pasos de la evaluación y tratamiento de riesgos,
-
la preparación de la Declaración de aplicabilidad,
-
la definición de responsabilidades (rodillos y descripciones de tareas),
-
proporcionar recursos suficientes (incluyendo experiencia posiblemente externo) para todas las fases de ISMS,
-
la planificación de medidas de educación y formación para mantener la conciencia de la seguridad de la información,
-
la realización de auditorías internas del SGSI y estudios de gestión del SGSI.
Como se informó en las tareas estándar de evaluación de riesgos, el tratamiento del riesgo, Declaración de aplicabilidad ya hemos explicado. Incluso si la directriz ISMS adoptado y el tratamiento del riesgo individual es aceptada, la dirección debe acompañar a la aplicación práctica de los ISMS. Para preguntas individuales para hacer decisiones a través de la gestión y adoptar especificaciones. La dirección tiene, sin embargo, en esta etapa que controla principalmente tareas. El plan de tratamiento de riesgos para la gestión, por lo tanto, tareas de decisión y de control identificar en detalle.
El trabajo de gestión es también el significado del SGSI para el negocio a los empleados para comunicarse (en todos los niveles de la organización) y para hacer que la contribución de la gestión de manera significativa. Este problema no es único, pero básicamente una tarea en curso cuando la operación de un SGSI debe pertenecer a la cultura corporativa. La evidencia de esta intención y la planificación e implementación es un habitual auditorías internas y revisiones por auditoría,
la dirección
opiniones SGSI, que son comunes a otros sistemas de gestión.
recursos
Para la planificación profesional de las tareas de gestión antes citada incluir información acerca de las necesidades de personal, la demanda de materiales, equipos y cambios estructurales, así como la necesidad de cambios en la organización y, posiblemente, de personal que son necesarios para la implementación y operación del SGSI.
responsabilidades
Para cada tarea de gestión del plan de tratamiento de riesgos identifique dos responsabilidades:
68
DO: hacer reaccionar y realizar ISMS -
un papel en la formulación de normas y controlar la conformidad,
-
un papel para la puesta en práctica o implementación. No queremos
participar en la discusión popular, que es más importante de los dos aspectos de la realización de una tarea, pero recomendamos igualmente importante tomar ambos. prioridades
Priorización implica dos áreas a ser separados: en primer lugar, la aplicación de medidas dentro de ISMS Por otro lado, la relación con las actividades empresariales fuera ISMS: Tener un ISMS funcionamiento, por supuesto, no es la única tarea de la organización; debido a que los mismos recursos - humanos, financieros o de otro tipo - se deben utilizar normalmente para competir tareas, es importante que las prioridades se establecen en el plan de tratamiento de riesgos. Para la priorización de todas las tareas de gestión y ejecución de los objetivos y medidas Medidas comprendidas en el ISMS un preciso establecer la lista de todas las actividades que se llevarán a cabo y priorizados.
Priorización asegura tanto en las áreas que le permite mantener una planificada, en base a la evaluación de riesgos y en el enfoque de los recursos disponibles. Lo contrario sería un enfoque planificado (= no planificado), en la que los mayores riesgos no se abordan en primer lugar, sino más bien una variedad de actividades secundarias puede tender la motivación de los participantes después de algún tiempo a cero.
DO-b
Hacer reaccionar el plan de tratamiento de riesgos
Designado en el plan de tratamiento de riesgos son a cargo del plan de tratamiento de riesgos de acuerdo con las prioridades a: -
Se obtienen, evaluados y contratados ofertas de servicios y equipos necesarios.
-
La ejecución de los trabajos necesarios se coloca, se proporcionan los recursos necesarios.
-
El trabajo requerido se delega a los respectivos líderes y llevado a cabo por ellos.
-
Los resultados de todos los trabajos pueden ser controlados.
-
Los problemas deben ser abordados y resueltos tareas que resultan ser inviable, se deben sustituir el mismo sentido.
69
El ISMS ISO 27001 En otras palabras, aquí el diario proyecto se lleva a cabo. por lo tanto, hacer reaccionar el plan de tratamiento de riesgos debe llevarse a cabo como proyecto (interno).
DO-c
Implementar las medidas seleccionadas El estándar ve esto como una tarea distinta a DO-b, ya que en lugar de medidas objetivos en el primer plano. Esta sección no-c tratados en el enfoque de la aplicación de las medidas. Somos conscientes de que una distinción sistemática demostrará en la práctica más difícil. Las tareas mencionadas DO-DO-b y c son, por tanto, más propensos a fundirse en la práctica. Dicho bajo proyecto interno DO-b en la medida todos incluir medidas que deben aplicarse para cumplir con los objetivos de empresas en el marco de las actividades.
DO-d
Criterio para evaluar la eficacia La eficacia de la seleccionada (individual) para evaluar las medidas para lograr un medidas objetivas, es una tarea particularmente importante e igualmente difícil. Un método relacionado debe cumplir tres condiciones básicas:
-
Usted debe ser capaz de aplicarse de manera uniforme.
-
Debe proporcionar comparables entre sí para diferentes medidas de resultados.
-
Debe dar resultados idénticos para la misma operación bajo los mismos supuestos y condiciones. En principio, las mediciones cuantitativas 39 venir y evaluaciones más cualitativas en cuestión.
Las mediciones pueden ser por medio de indicadores adecuados sistemas realizan (ver Fig. Capítulo 9).
Para las estimaciones cualitativas que introducirá un sistema de valoración significativa de las clases o niveles. Que se menciona en el siguiente ejemplo: un método para evaluar la eficacia Como parte de las evaluaciones de productos y sistemas de acuerdo con los criterios comunes / CC / se introduce para las medidas de seguridad de índole técnica en la que el ataque potencial un atacante con la fuerza la comparación de una medida de seguridad que se proporciona para repeler el ataque. La fuerza está en SeV
39 Sección 2.5 para ver. medir.
70
DO: hacer reaccionar y realizar ISMS niveles erales evaluados. una clasificación de este tipo sería la fuerza de una estimación en el sentido anterior.
No es necesario estimar las diversas medidas en términos de eficacia. Es suficiente si se formó útil grupos toma medidas. Se recomienda que basarse, respectivamente, sobre el conjunto de medidas que se ha establecido para lograr una acción de destino.
DO-e
Sensibilizar y escuelas de los empleados Esta tarea se continúa de forma permanente, no sólo durante la introducción del SGSI es importante, pero a. Por esta razón, debe haber un plan anual de estas medidas y estar respaldada por los registros de la ejecución de las actividades.
La administración debe prestar especial por qué se introduce un SGSI y los beneficios para el negocio será el resultado de la misma. Sólo a través de la participación activa de todos los puestos de trabajo afectados, la introducción es un éxito. Los empleados deben entender lo que realmente se espera de ellos y cómo esto se lleva a cabo. Importante para el éxito también es que está disponible en el contexto de las tareas rutinarias diarias de tiempo suficiente para la sensibilización y capacitación. Si se trata de un período más largo no lo hace, habrá fatiga: Pasos con el único fin de mantener la seguridad de la información, no son, o sólo insuficientemente realizado.
El entrenamiento debe incluir no sólo las tareas cotidianas del comportamiento en situaciones excepcionales: en caso de desastre o en caso de emergencia, así como otros incidentes de seguridad. También el aspecto de cómo se pueden identificar este tipo de situaciones excepcionales, se debe prestar atención. papeles de seguridad críticos (por ejemplo. Como administrador de copia de
rollo
seguridad, los administradores del sistema) requieren una adición de formación orientada a las soluciones, una formación práctica de sus actividades importantes. Los empleados, los nuevos participantes en la organización deben estar ya alertados por pasajes correspondientes en el contrato de trabajo para la seguridad de la información SGSI. Además, una rueda debería tener lugar tan pronto como sea posible. esperando el final del período de prueba a sólo ofrecen una medida de este tipo,
71
El ISMS ISO 27001 Aunque cualquier programa de sensibilización, formación o entrenamiento se une trabajo y dinero, usted debe evaluar periódicamente las necesidades y z. Al igual que en un plan anual establecerán las medidas adecuadas. Diferentes prioridades se pueden establecer en diferentes años.
DO-f
La gestión de la operación del SGSI
La gestión de los ISMS medios para garantizar que toda la información requerida por las medidas estándar están en su lugar se observó por su eficacia y ajustar si es necesario. También parte de la operación del ISMS la inclusión de nuevo y la adaptación de los ISMS hacen a los procesos de negocio existentes para garantizar un apoyo óptimo de las operaciones de la organización. El SGSI no debe ser un fin en sí mismo.
En tales casos, también vendrá de tiempo para cambios horarios en la directriz ISMS, que a su vez tareas resultados de decisiones para la gestión. también significa integrar todas las medidas previstas ISMS en el flujo de trabajo diario para operar el SGSI. en relación con los empleados, esto significa que todo el mundo sabe que deben reunir los requisitos de sus tareas y seguido. Para la gestión, que, además, también significa vigilar el cumplimiento de las medidas. Es una buena práctica para cumplir con las medidas de los ISMS como un punto en el registro de informes periódicos.
Además, será necesario informar de la introducción de nuevas medidas también en el estado de la aplicación. DO-g
gestión de recursos para el ISMS responsabilidad de la administración es proporcionar los recursos necesarios para el SGSI. Esto no es una tarea de una sola vez. Anteriormente, ya habíamos señalado que un SGSI se puede realizar como un proyecto interno. Como tal, debe desempeñar un papel en la planificación anual de recursos como un elemento periódico. Es imposible hacer un análisis de costo-beneficio para un SGSI, sin tener un plan de recursos y tener la eficacia de las medidas se mide o se estima.
72
DO: hacer reaccionar y realizar ISMS Por cierto, la gestión debe estar preparado para ser preguntado por un auditor después de que el plan de recursos para el SGSI. El objetivo de este plan es la todos ISMS, es decir, desde la planificación hasta la ejecución de la operación, para revisar y adaptar. Para tener en cuenta los esfuerzos a todos los niveles de la organización, así como todo tipo de medidas, el ISMS son preocupantes.
DO-h
Detección y gestión de incidentes de seguridad
incidentes de seguridad
Los incidentes de seguridad (S Los incidentes eguridad) no se puede evitar o incluso excluirlo. Uno de los objetivos del SGSI, es en este contexto, con los incidentes de seguridad razonable tratar con él. Un incidente de seguridad es un principio no es más que un incidente en el que podrían resultar perjudicados los objetivos de seguridad de la organización 40 o en realidad fueron heridos. La gravedad de la lesión y el efecto sobre el negocio puede ser muy diferente, de acuerdo con la reacción será de acuerdo con esta.
incidente
Por lo tanto, se necesita un plan que Plan de gestión de incidencias, se basan en los incidentes de seguridad inicialmente clasificados y tratados adicionalmente de acuerdo con esta clasificación. Es aconsejable no introducir una clasificación con demasiadas etapas - de tres a cinco niveles deben ser suficientes para la mayoría de los casos. El nivel más alto es el emergencia o desastre
plan de gestión
ser. En el medio están los incidentes con impacto grave o significativo sobre los incidentes insignificantes tolerables y el extremo inferior de la escala están clasificados. emergencia
Para cada clase hay un procedimiento: es para emergencias ellos utilizan por separado en una
-
plan de emergencia (información general, rutas de traslado, dirección de la gestión) y una
-
Manual de Emergencia (detallado instrucciones individuales, en particular para asegurar una recuperación rápida) se describirá. En un incidente insignificante clasificado, el método podría ser la de estos pre
40 No estamos hablando aquí de un amenaza sino una verdadera Incidente, se pasa por alto en las medidas de seguridad o anulado, pero el daño producido por lo tanto no puede, porque el incidente detectado y podría ser "detenida".
73
El ISMS ISO 27001 para capturar la caída sólo en una grabación y para incluir a (mucho) más tarde en una evaluación. Así que veremos incluso el calendario aproximado: -
Paso 1:
reconocer / identificar incidente de seguridad.
-
Paso 2:
Centro de informes de incidentes de seguridad.
-
Paso 3:
detectar incidentes de seguridad centralizada, posiblemente iniciar medidas de emergencia.
-
Paso 4:
clasificar los incidentes de seguridad.
-
Paso 5:
una escalada de incidentes de seguridad.
-
Paso 6: superar el incidente de seguridad (Si aún es posible).
-
Paso 7:
evaluar incidente de seguridad.
Después de la detección de un evento que se va a mostrar una ubicación central, que clasifica y una correspondiente realiza de escalamiento (z. B. En caso de la información de emergencia para el nivel de gestión). Entonces, el plan de gestión de incidencias determina cómo proceder. En caso de emergencia se ser especialmente inicialmente para limitar el daño ya ha ocurrido - por ejemplo. B. hecho de que los sistemas fallidos se restauran en función de su criticidad en el orden "correcto". Para cada incidente de seguridad debe ser analizado si existían medidas para evitarlo, y si es así, ¿por qué no han funcionado, si es necesario. Son para ser sustituido por otras medidas en el caso analizado (y posiblemente más allá) son eficaces. A partir de este análisis, las conclusiones para la mejora de la seguridad de la información y el ISMS se pueden extraer. Se puede ir a la corrección de las medidas existentes o medidas preventivas. Después de todo, cada incidente de seguridad reveló una debilidad que necesita ser cerrado.
En el Plan de Gestión de Incidencias, los indicadores pueden ser nombrados, el (que se espera en breve) una inminente detectar incidentes de seguridad y luego ayudar a evitar. Los incidentes de seguridad que han causado o tolerados por las personas al trabajo, realizan consecuencias civiles o penales. pero las decisiones acerca de esto ya no son objeto del SGSI. En forma procesada neutro (!), Pero puede tipo de incidentes de seguridad como parte de la sensibilización
74
CHECK: Monitoreo y revisión del SGSI acontecimientos son retratados y ayudan a aumentar la conciencia de seguridad entre los empleados.
reanudar
Queda por señalar que, en particular, el procedimiento para hacer frente a situaciones de emergencia y el reinicio debe ser entrenado con regularidad; mientras que los registros deben ser hechos a partir del cual se pueden sacar conclusiones acerca de la eficacia del proceso posterior. Este punto es demasiado descuidado. El manejo de incidentes de seguridad y emergencias sólo podemos tocar aquí. Para un tratamiento más en profundidad, por favor refiérase a / KSK2011 /.
3.4
CHECK: Monitoreo y revisión del SGSI para hacer el estándar alcanzado en relación con visibles seguridad de la información, lo que para controlar el SGSI, es un elemento esencial para el control de los ISMS. El monitoreo permite detectar el grado alcanzado en la implementación del SGSI y preparar decisiones para el desarrollo adicional.
En particular, es posible sólo a través de la vigilancia para detener posiblemente ocurren errores y corregirlos. La supervisión y el control de los ISMS tiene lugar en el modelo de fase Check (PHVA) como se muestra a continuación. La designación de las actividades CHECK una a check- B cumple con los puntos de la bala en la Sección 4.2.3 de la norma ISO 27001. CHECK-una
Monitoreo y revisión son objetivos esenciales de esta actividad,
-
detectar errores en el procesamiento de datos,
-
Los incidentes de seguridad (intentadas y exitosos) para identificar lo más rápidamente posible,
-
para comprobar que todas las actividades críticas para la seguridad se llevan a cabo como se esperaba por los miembros de la Comisión,
-
donde posible definir indicadores para la detección temprana de incidentes de seguridad y para evitar este tipo de incidentes, y
-
para evaluar las actividades para hacer frente a las violaciones de seguridad sobre su eficacia.
En la revisión por la dirección, que será luego ir a ella más tarde para evaluar si las actividades mencionadas son suficientes
75
El ISMS ISO 27001 para monitorear y verificar la efectividad del SGSI. También hay que señalar que un detalle importante: es una buena práctica si la persona responsable de la operación del papel ISMS no al mismo tiempo tiene la tarea de supervisar el SGSI en términos de su eficacia, ya que entonces la mayoría "predecible" el resultado determinado es , Esta organización no sería sirve. CHECK-b
La revisión periódica de la eficacia del SGSI La eficacia de un SGSI se expresa mediante el cumplimiento de la directriz ISMS, el logro de los objetivos de seguridad y la eficacia de cada acción. Como ya hemos visto un SGSI según la norma también incluye los fondos necesarios para llevar a cabo una evaluación de esos aspectos. Los resultados de estas evaluaciones son una base importante para la evaluación de la efectividad del SGSI, aunque será necesaria sólo en casos excepcionales, presentar las evaluaciones individuales - un informe de síntesis debe ser suficiente
revisión de gestión
Evaluación de la eficacia de los ISMS es también un aspecto en el examen de la gestión regular (ver. Esta actividad CHECK-f).
CHECK-c
Evaluar la eficacia de las medidas La evaluación de la eficacia de las medidas para cumplir con los requisitos de seguridad, entre otros - los controles del Anexo A. - se lleva a cabo a intervalos regulares. En la determinación de los intervalos de tiempo, la organización debe ser guiada por al menos dos puntos, a saber, -
Vendada con una estimación razonable de los gastos y el daño puede dibujar una insuficiente efectividad de las medidas (grupos) por sí mismo. Ambos aspectos actúan en direcciones opuestas: una gran cantidad de esfuerzo habla por una distancia mayor, un daño potencial alto habla por una distancia más corta. He aquí, pues, un compromiso real debe ser encontrado.
El proceso de evaluación se determinará utilizando el desarrollado bajo los principios DO-d. Su aplicación y los resultados respectivos deben ser documentados ( "protocolo de medición"). Para comprimir las evaluaciones individuales,
76
CHECK: Monitoreo y revisión del SGSI Un informe de síntesis se puede producir, que se utiliza para completar la tarea se ha descrito anteriormente bajo CHECK-b. Puede ser que las condiciones de funcionamiento especiales han dado lugar a una evaluación negativa de una medida - z. Como las condiciones que podrían no representar la norma. Por lo tanto, es aconsejable registrar también las condiciones de funcionamiento de las evaluaciones individuales.
Resultados que indican que una medida (grupo) es eficaz no general o bajo condiciones específicas de uso ya no debe dirigirse inmediatamente a la para el seguimiento y examen de la persona ISMS responsable. CHECK-d
repetición regular de la evaluación del riesgo En esta tarea, hemos estado en la fase de planificación y repite las actividades del Plan-E * y * PLAN f encontrado. Ese caso se refería a la cuestión de la confirmación por parte de la administración. la tarea se lleva a cabo como parte de la fase de comprobación. La organización debe determinar los intervalos en
regularmente
los que la evaluación del riesgo regularmente que repetirse. Por regla general, esto debe hacerse cada año o, a más tardar cada dos años. Aquí, los cambios en la organización y la tecnología utilizada, sobre todo, por supuesto, los cambios en los objetivos de negocio y los procesos de negocio a tener en cuenta - si han de ser considerados en el alcance del SGSI. Dado que la amenaza y el entorno legal y contractual pueden cambiar, sino que también debe buscar atención. La organización debe mantener abierta la posibilidad de una
base hoc impulsada por eventos La repetición de la evaluación de riesgos. Cada uno de los cambios enumerados posibles pueden ser tan graves para la que se muestra la repetición inmediata de la evaluación de riesgos. La distinción entre la repetición regular y controlada por eventos es común en muchas áreas. Dos se dosifica mismo significado.
CHECK-e
La realización de auditorías internas periódicas
Las auditorías internas se llevan a cabo para sus propios propósitos de la organización. Para que los propios empleados o terceros autorizados pueden ser utilizados. Los propios fines pueden ser diversos, los productos van desde la detección del estado real alcanzado de los ISMS hasta prepararse para una auditoría externa que se lleva a cabo como parte de la certificación. correspondientemente diversa
77
El ISMS ISO 27001 las posibilidades de la forma en que son la ejecución de una auditoría interna. Una auditoría interna puede referirse a todo el SGSI. Esto es aconsejable cuando se trata de la detección del estado real alcanzado los ISMS o para prepararse para una auditoría externa.
plan de auditoría
Si hay un propósito limitado, por ejemplo, la determinación de que efectúa los ISMS tiene en un proceso de negocio en particular, la auditoría interna se puede restringir en consecuencia. Lo mismo se aplica cuando z. B. debe ir a la conclusión de que se han realizado medidas de personal de ISMS en qué calidad. Estos ejemplos muestran ya que antes de la aplicación de una auditoría interna, el propósito debe ser determinada con precisión. El esquema de auditoría requerida apuntando al objetivo de la auditoría. Por lo tanto, la aplicación efectiva de la auditoría interna se apoya en particular.
Una segunda cantidad de control para las auditorías internas es el momento de la aplicación. Aquí hay que distinguir entre las auditorías anunciadas y no anunciadas. A menudo se argumenta que las auditorías internas deben llevarse a cabo sin previo aviso y no debido a un anuncio permitiría la preparación dirigida por nuestro personal y tal vez permitir que un resultado demasiado optimistas. En la experiencia de los autores, esto es válido sólo en casos excepcionales. A pesar de todo aviso el personal a menudo no quede tiempo más ampliamente para preparar específicamente a la auditoría interna. Podemos ver ninguna preferencia a favor o en contra del anuncio de una auditoría interna, por lo tanto, al menos no para un SGSI ya establecidas desde hace tiempo. es absolutamente desaconsejable auditorías internas sin previo aviso
durante la introducción SGSI. Para ser recibidos por el personal como parte de las tareas de ISMS son los que todavía no lo suficientemente familiar. Por tanto, debe ser más controlada o incluso sentir condescendencia, en lugar de ver un apoyo y la enseñanza de la ayuda en la auditoría. Por supuesto pueden omitir estas reservas si una auditoría se anuncia correctamente. informe de auditoría
78
Una auditoría - interna sino también - siempre debe ser completado con un informe de auditoría o al menos con un registro de auditoría. en esto -
una lista de los documentos que subyacen a la auditoría,
-
el curso de la auditoría y especificar los participantes,
CHECK: Monitoreo y revisión del SGSI -
una lista de todos los resultados de positivos y negativos, así como
-
si es necesario, presentar propuestas por la organización para eliminar el déficit.
El tema de las auditorías interna y externa se encuentra en el capítulo 10: tratamiento intensivo "auditorías y certificaciones".
CHECK-f
examen de la gestión ordinaria de los ISMS La realización periódica de una revisión de la gestión del SGSI es triple: sirve -
la revisión del alcance del SGSI para asegurarse de que sigue siendo apropiado
-
evaluación de la eficacia del SGSI y
-
la elaboración de mejoras en el proceso ISMS.
Al determinar la distancia entre dos evaluaciones de la gestión debe ser hecha entre la introducción de los ISMS y operación. En la fase de implementación, una evaluación de la gestión puede ser llevada a cabo (z trimestral. B.) a frecuencias más altas. Esto no sólo sirve para controlar mejor el proceso de implementación de la gestión, sino que también demuestra el interés de la gestión con la introducción del SGSI. Ambos aspectos que consideramos igualmente importante. Más tarde, es entonces suficiente para llevar a cabo una revisión de la gestión una vez al año.
Contenido, que se verá en el estudio de gestión con más detalle en la Sección 3.11, pero el acceso ya tienen planes para describir la entrada para esta actividad: Los resultados de las auditorías de seguridad llevado a cabo y las anteriores revisiones por la dirección deben ser utilizados, así como las propuestas para mejorar el SGSI y otros comentarios de la práctica de ISMS, que tienen lugar de los empleados y otras partes interesadas. Las otras partes interesadas pueden ser, por ejemplo, proveedores o prestadores de servicios, que las obligaciones contractuales han sido impuestas en virtud del SGSI (alrededor de confidencialidad y política de privacidad, sino también por la calidad).
Siga todos los incidentes de seguridad como parte de la revisión de la gestión ordinaria de los SGSI debe ser evaluado. Esto se aplica no sólo a los incidentes de seguridad en la propia organización,
79
El ISMS ISO 27001 sino también a los incidentes de seguridad en los proveedores o prestadores de servicios, el impacto en su propio negocio tenía. No hay que tener miedo de pedir dicha información, aunque con tacto que aparece ella. Como resultado, la revisión por la dirección debe incluir una votación sobre la efectividad del SGSI.
CHECK-g
Actualización de los planes de seguridad
El que ocurre en este punto en el término estándar plan de seguridad no se especifica más. Estamos aquí, en al menos entender el Plan de Manejo de Incidentes (s. Actividad DO-h). El plan de gestión de incidentes incluye, en particular, la respuesta a los desastres, el comportamiento en situaciones de emergencia y el reinicio después de una interrupción del servicio. Por lo tanto, debe
z. Tal como se enumeran en virtud de los cambios CHECK-D luego ser revisado, el impacto que tienen sobre la Gestión de Incidencias. Para un nuevo proceso de negocio para pude. Como un evento como ahora emergencia solicitar que anteriormente sólo la clase incidente tolerable fue asignado. Está claro que todas las evaluaciones sobre la eficacia del SGSI (check-c) y los grupos de tareas individuales (CHECK-d) tienen una importante aportación para este Plan de Gestión de Incidencias: Si sobre una (o sólo parcialmente reparable) como parte de la evaluación de la vulnerabilidad determinado se debe definir, qué hacer en caso de aprovechar esta vulnerabilidad.
Además, se podría correr el riesgo el plan de tratamiento (véase la Fig. 37 y la sección lateral DO-a) incorporados en esta actividad. Puesta al día de este tipo de planes es una tarea permanente.
CHECK-h
Registro de las actividades y eventos Actividades y eventos que tienen un impacto en la eficacia o rendimiento de los ISMS o pueden proporcionar debe ser registrado evidencia de esto. En particular, debe haber registros sobre lo siguiente:
80
-
La planificación de recursos,
-
Los registros de capacitación,
-
auditorías internas y externas (registros, informes)
-
Los incidentes de seguridad
ACT: mantener y mejorar el SGSI -
Las estimaciones de eficacia (actas, informes) y
-
revisiones por la dirección (protocolos y listas de tareas amortizados).
En general, habrá alrededor de las medidas individuales más registros - z. Ejemplo en el contexto de la seguridad humana, un libro de visitas, una tarjeta de proceso para empleados de la contratación o el despido. También se recomienda que se registra la información durante las visitas de inspección, inspecciones, entrevistas a los empleados y se analiza más adelante.
3.5
ACT: mantener y mejorar el SGSI La cuarta parte del ciclo PDCA se utiliza para mantener y mejorar el SGSI. Las organizaciones cuyos ISMS es en esta etapa en el modelo PDCA ACT, no sólo tienen un SGSI de trabajo, sino también por lo menos alguna experiencia con ella. La tarea ahora es sacar conclusiones para el futuro desarrollo del SGSI de estas experiencias.
La norma prevé esta fase cuatro tareas individuales que van a ser explicado con más detalle. Nos referimos a las tareas con ACT una a ACT d ( análoga a la del contorno de la sección 4.2.4 de la norma ISO 27001). ACT-A
Reaccionando las mejoras identificadas En la fase de comprobar un número de información devengados desde la que mejoras en los ISMS se podrían derivar. Estas mejoras fueron discutidos como parte de la revisión por la dirección, a continuación, se han tomado decisiones en cuanto a qué se deben implementar (como la siguiente) de las mejoras en realidad. También se decidió con los recursos necesarios. La tarea ahora es poner en práctica las mejoras con los recursos proporcionados.
Debe tenerse en cuenta que siempre actúa en las propuestas de mejora a las expectativas: Uno esperado que al aplicar las medidas concretas a una mejora en el SGSI. La metodología ya existente para evaluar la eficacia de las medidas también se debe aplicar (regular) para evaluar la efectividad de las mejoras previstas.
Una auditoría interna de la situación de la aplicación de las mejoras adoptadas se puede comprobar. la in-
81
El ISMS ISO 27001 terno de auditoría debe tener lugar antes de la próxima revisión de la gestión, por lo que los resultados correspondientes se pueden incluir allí ya.
la eficacia de los ISMS se manipula variables se regulan las mejoras identificadas: por supuesto se puede imaginar este procedimiento se describe como un bucle de control. propuestas de mejora recibidas como una confirmación de los empleados deben ser recompensados adecuadamente, independientemente de si se aplican o no. Ellos muestran el interés de los empleados en su organización. Haciendo caso omiso de este interés no sólo conduce a una mejor aceptación de los ISMS, sino para mejorar el ambiente de trabajo en su conjunto.
Si se han propuesto varias alternativas de la misma finalidad, es legítimo y es evidencia de pensamiento empresarial al reaccionar a la propuesta, que conserva los recursos más fuertes. pero puede haber otros criterios de selección - sin el conocimiento detallado del caso, ninguna decisión puede ser recomendado Qué pena. Sugerencias que no se implementan, no se ha extraviado en el papel de desecho; puede que más tarde puede volver a ellos.
ACT-b
Las acciones correctivas y preventivas
Esta tarea se dedica especialmente a aprender de los incidentes de seguridad: Es
-
para corregir las medidas existentes que no han sido probadas en un incidente de seguridad adecuado (por lo general mediante el uso de una nueva medida) y
para tomar medidas preventivas por el cual ciertos incidentes se evitan desde el principio. Aquí sería una carga para adquiere de manera experimental dentro de la organización. Es más eficaz, incluso para las experiencias de otras organizaciones. B. la misma industria debe ser incluido, ya que se puede suponer que se han producido problemas al menos comparables. Incluso si no se publican, los incidentes de seguridad hablan dentro de la industria en torno a menudo. es una deficiencia de este caso es que la información de oídas puede ser bastante inexacta. En algunas industrias, es común que los agentes de seguridad de diversas organizaciones se reúnen regularmente como parte de un grupo de trabajo con el fin de discutir abiertamente los problemas de seguridad, todos los cuales son afectados o pueden estar juntos y
82
ACT: mantener y mejorar el SGSI medidas específicas melodía que deben introducir cada organización. De manera más general, uno debe mirar más allá de sus propias narices y mirando a aplicar la experiencia de los incidentes de seguridad dentro de sus propias organizaciones rentable. En su propia organización, la propia ISMS proporciona la información necesaria para los incidentes de seguridad.
A medida que más fuentes de información y de excitación, los medios de comunicación públicos pueden, por supuesto, ser utilizados, no menos importante de Internet. Aquí puede encontrar no sólo información sobre las vulnerabilidades de los sistemas operativos u otro software, sino también las listas de comprobación y otra ayuda para la tarea actual. Además, los estudios realizados por empresas de consultoría pueden ser una valiosa ayuda en la identificación de las acciones correctivas y preventivas.
No menos importante la visita de seminarios y conferencias pertinentes es una fuente eficaz de información, además del intercambio de experiencias es una preocupación importante. ACT-c
Comunicar las mejoras (prevista) Al igual que cualquier cambio significativo en el SGSI y las mejoras previstas y sus acciones destinadas a las personas afectadas deben ser comunicados. Aquí, si sólo se refiere a la propia organización, esto no debería ser un problema. La aceptación de los empleados no sólo depende de la utilidad de la mejora o acción, sino también de la forma en que se comuniquen. Por lo tanto, la administración debería considerar este aspecto. Puede ser útil para cambiar los planes para comunicarse temprana e invitar a los empleados a expresar sus opiniones. se observa en ninguno de los derechos de casos, la participación y la determinación de los empleados y el consejo de empresa o personal.
Algo diferente es la situación cuando los socios externos se encuentran entre las partes interesadas. Aquí hay que señalar, en primer lugar, si la mejora o la medida propuesta afecta a la relación contractual y cómo este es el caso. A continuación, se propondrán las modificaciones adecuadas a las modificaciones del contrato o contratos y negociar. Incluso si no hay intervención es en la relación contractual, los socios sobre los cambios en el SGSI deben ser informados -
83
El ISMS ISO 27001 en caso necesario debe acordarse un entendimiento común de cómo proceder. En todos los intentos de aumentar la motivación y para lograr el consenso, pero debe quedar claro que la gestión sigue siendo responsable de la ejecución de los intereses vitales de la organización. Si no se llega a un acuerdo, la administración debe tomar una decisión y hacerlas cumplir.
ACT-d
mejoras monitorear el éxito La aplicación de la evaluación de desempeño es una tarea permanente de gestión. Esto también es cierto para las mejoras (prevista) en los ISMS. Ya se abordan en ACT-a en la evaluación de la eficacia y habíamos descubierto que el ISMS sí mismo sin necesidad de intervención de la administración proporciona los medios por los cuales el examen se puede realizar. En muchos casos será suficiente para esperar la próxima ordinaria de auditoría interna o en la próxima revisión de la gestión. En casos críticos, sin embargo, cuando se necesita una evaluación oportuna para. B. al costo o mejoras o mejoras complejos intensivos en mano de obra no puede mantenerse sobre la aplicación regular. Podría haber errores involuntarios que se unen muchos recursos y deben ser corregidas consumo. Por lo tanto, la gestión debe por lo
cualquier decisión También fija para ser llevado a cabo mejoras en el SGSI, cómo y en qué momento de la evaluación de desempeño debe llevarse a cabo. Para proyectos complejos de mejora propio proyecto se puede configurar, que a su vez proporciona las herramientas de gestión necesarias.
resumen
Ahora hemos demostrado las cuatro fases del ciclo PDCA en detalle. El lector es, por supuesto, se dio cuenta de que hay una superposición de tareas individuales en todos los sistemas que sigue el estándar, que también diversas fases pueden ser asignados. Tratamos de reducir esta duplicación de prioridades.
3.6
requisitos de documentación Los requisitos generales, el 27001, el estándar ISO para la documentación, casi no difieren de otras normas de gestión, tales como ISO 9000 e ISO 14000. Cualquier persona con
84
requisitos de documentación los requerimientos de documentación de la calidad o de gestión medioambiental ya es familiar, el familiar encontrará aquí. La documentación puede estar en cualquier forma. No es necesario, manteniendo todo en papel. Así como aceptable para la grabación son los medios de comunicación electrónicos. La intranet es especialmente adecuado con el debido cuidado para proporcionar a los empleados con los documentos básicos de los ISMS rápida y fácilmente las versiones más recientes disponibles. Todas las decisiones de gestión que afectan el SGSI deben ser documentados. La documentación puede ser adoptado por actas de las reuniones, resoluciones firmadas o particularmente en vigor conjunto de documentos realizados. Siempre el objeto, la acción requerida, la responsabilidad de su ejecución, plazos y requisitos para la vigilancia de éxito deben ser documentados. Las desviaciones no deben ser sólo en casos excepcionales.
Si estos datos documentados, las acciones siempre se remontan a la decisión, que causaron. Por lo tanto, la responsabilidad de las decisiones y las decisiones se apoya no menos importante. Además, el uso cuidadoso de los recursos se puede lograr de esta manera y probar.
La norma va un paso más allá e hizo hincapié en que cada medida se ha seleccionado como parte del SGSI, en última instancia, puede ser rastreado de esta manera a la decisión de gestión que ha llevado a su selección y aplicación. Se crea una cadena continua de la acción concreta solo en los objetivos de las medidas a través de la política de seguridad de la información. Una vez más se pone de manifiesto que no sólo es producto muy importante que el estándar para derivar medidas concretas de la guía, sino ganar una justificación rastreable desde la directriz para cualquier medida concreta. El indicado en la Sección
3.1 investigadores han encontrado que no es una solución sencilla para la implementación de un SGSI para las condiciones simples, no permanece teórica pero aquí tiene sus implicaciones prácticas.
alcance mínimo
El grado mínimo de la documentación SGSI de la norma requiere los siguientes documentos y registros a) ai), el tema ha sido ampliamente discutido en la Sección 2.4: a)
ISMS orientación y la política de seguridad de la información
85
El ISMS ISO 27001 b) Ámbito de ISMS Estos dos requisitos a) yb) debe ser documentado por lo menos en las decisiones de gestión para la introducción de un SGSI. c) Procedimientos y medidas de apoyo a los ISMS un ejemplo: El control de documentos llamada (la gestión de la documentación) puede ser un proceso de apoyo, si se produce en un sistema de gestión de calidad de los padres: Esta parte del SGSI es entonces una parte del sistema de calidad. Para una organización que no QM sistema funciona, es la parte de control de documentos de los ISMS. d) Descripción del método de evaluación de riesgos e) Los resultados de la evaluación del riesgo
Estos dos puntos d) y e) hemos discutido en la Sección 3.2 (PLAN actividad de c y siguientes). La documentación de los resultados de la evaluación del riesgo debe ser los componentes más importantes incluyen la siguiente información: -
Alcance de la evaluación de riesgos,
-
evaluación del riesgo del cliente,
-
El período de ejecución,
-
Ejecución (r),
-
Referencia al método de evaluación de riesgos 41
-
riesgos identificados y su evaluación,
-
vulnerabilidades existentes
-
La evaluación del riesgo por riesgo identificado (incluyendo cualquier clasificación en una categoría de riesgo).
Aquí hay que señalar que, en particular, la evaluación de riesgos y evaluación de riesgos deben presentarse de tal detalle cada riesgo identificado que siempre son trazables y repetibles. f)
plan de tratamiento de riesgos
El plan de tratamiento de riesgos que ya se encuentra en la Sección 3.3. Es la base de la etapa Do.
41 Por ejemplo, una referencia a una sección correspondiente de las ISMS rectores la línea.
86
requisitos de documentación El plan de tratamiento de riesgos debe incluir el tratamiento de los riesgos individuales clasificarse en función de las clases de riesgo. El mayor riesgo es que dedicar la mayor atención. Los riesgos que se usan sin ninguna acción adicional para hacer referencia a la decisión de la dirección apropiada, como tal, claramente marcado. g) Los procedimientos documentados y la estimación de efectividad Ciertos procedimientos son requeridos por la norma para asegurar la eficaz planificación, operación y control de los procesos de ISMS. La norma habla de una documentada Procedimiento si se establece un procedimiento y escrito, se ha puesto en práctica y se mantiene. Las estimaciones de efectividad tienen más nos interesa aquí sólo debe tenerse en cuenta, por lo tanto, que su documentación es la responsabilidad en el funcionamiento de un SGSI.
h) Declaración de aplicabilidad
lista de documentos
Al igual que la política de seguridad SGSI e información es la declaración sobre la aplicabilidad de los documentos básicos del SGSI de la organización. Lo hace todo en cada auditoría del ISMS un papel, porque tanto los objetivos y medidas de los ISMS medidas seleccionadas aquí se enumeran, así como las razones de la lectura seleccionada. El auditor ISMS puede llegar a conocer por completo y comprobar en la Declaración de aplicabilidad, en un sentido. Le recomendamos que mantenga una lista de los documentos que integran la documentación del SGSI, y mantener. Esta lista debe ser el nombre de los documentos, posiblemente complementado por la versión y la fecha, el lugar y la persona responsable del documento a ser registrados. Para los empleados, un aviso es útil
Los documentos que se aplican sólo a ciertos grupos de empleados sólo deben ser accesibles. i)
archivos
Los registros requeridos por la norma, no se definen explícitamente. Han de distinguirse de los documentos exigidos por la norma. Bajo los registros de todos los registros, notas, informes, archivos de registro, etc., son a
87
El ISMS ISO 27001 entienden que surgen como resultado de o en conexión con la aplicación de una medida del SGSI. Ejemplos de cómo reservar los visitantes y los informes de auditoría que ya hemos visto. Entonces, ¿qué surgen los registros en el contexto de un ISMS específicos, está determinado por las operaciones que forman parte de los ISMS son.
Los auditores pidieron en las pruebas como para los registros que se llevan a cabo como parte del SGSI. Seguro, puede ejecutar más de grabaciones cualquier cosa y todo, pero se debe considerar que el mantenimiento de registros de recursos necesarios. Por tanto, recomendamos a determinar las acciones individuales de los ISMS en cada caso si el mantenimiento de registros es significativa y puede aportar una ventaja comercial. Cualquier acción en la medida debe estar provisto de una indicación en caso de ser así, qué registros son en qué medida plomo. Sería ideal si una justificación documentada podría ser presentado con una renuncia de registros.
3.7
control de documentos
Como ya se ha mencionado anteriormente, muchos elementos de la control de documentos se pueden encontrar aquí de nuevo, que también existe en otros sistemas de gestión. Queremos 14.000, pero no presupone la familiaridad con la norma ISO 9000 o ISO, y por lo tanto el control de documentos a tratar también los detalles. El lector informado puede omitir esta sección. La idea básica de control de documentos para los documentos de ISMS es proteger los documentos del acceso no autorizado, alteración no autorizada y la retención no autorizada. Para lograr estos tres objetivos son la gestión impone ciertas tareas. Estos objetivos y su aplicación son el centro de control de documentos. la norma requiere para cada tarea de gestión que se documentan los procedimientos apropiados. Lo que significa que habíamos discutido en la sección anterior. Las siguientes tareas a) a j) son proporcionadas por el estándar.
a) documentos liberados liberación
88
La dirección debe asegurarse de que hay un proceso establecido (y documentados) para liberar los documentos para los documentos del SGSI.
control de documentos
Por los documentos básicos de los ISMS cómo la directriz ISMS, este punto se produjo antes. Ahora bien, este requisito se extenderá a todos los documentos del SGSI.
En la práctica de la organización también debe asegurar que las especificaciones realizadas siguen siendo práctico. Esto significa en particular que hay que dar a nivel de lo que la administración que es apropiado para un determinado documento para liberar y poner en vigor. Para las directrices, esto ya está cubierto por la propia norma: aquí se requiere la línea. Incluir, por ejemplo, los procedimientos de operación del SGSI, el objeto de la liberación y la ejecución son también menores niveles de gestión puede llevarse a cabo, por ejemplo, mediante la línea Departamento o dueño del proceso.
b) se requerirá la revisión y actualización de documentos para mantener los actualidad
documentos de fecha ISMS. Los cambios en el SGSI deben reflejarse en los documentos de ISMS. Por lo tanto, es necesario contar con un procedimiento documentado que tendrá lugar después de los cambios a los documentos del SGSI. La cuestión práctica es, por supuesto, con qué frecuencia o en qué intervalos o en qué ocasiones vez que se hace una revisión. En nuestra opinión, se ofrecen a la orientación de dos aspectos. Cambios significativos tienen base
hoc conducir a un ajuste de los documentos en cuestión y, posteriormente, liberado de nuevo (!). Para la orientación, que bajo sustancialmente es entender los cambios, se mencionan los siguientes puntos:
-
Los cambios en el negocio,
-
Los cambios en la situación de riesgo,
-
Introducción de nuevos procesos de negocio, si están dentro del alcance del SGSI,
-
Los cambios en la tecnología.
Estos son sólo ejemplos sin embargo, que debe dejar claro lo que el término esencial se ha de entender. Todos los cambios que no entran en esta categoría deben ser incorporados regularmente después de un cierto tiempo en los documentos de ISMS. Como guía aquí auditorías internas y externas en su mayoría anual del ISMS ofrecer.
89
El ISMS ISO 27001 Al menos antes de una auditoría - pero en realidad no en esta ocasión - la documentación SGSI debe ser revisada y ajustada si es necesario. Esto debe hacerse a tiempo para permitir la reedición del documento revisado, que, desgraciadamente, se pasa por alto con la suficiente frecuencia, puede tener lugar antes de la auditoría. Cuando esto no sea posible, el auditor también estará satisfecho si ve que el procedimiento documentado y se adhiere a los procesos de cambio y la liberación se está ejecutando.
c) Identificar el estado de revisión y cambios Cada documento ISMS que está estado de revisión
sujeto a documento de control, la información debe contener alrededor de la cual el estado de revisión actual (z. B. con el número de versión y fecha) y qué cambios se hicieron en comparación con la versión anterior. El resultado es una historia de documentos que se pueden realizar al principio o al final de cada documento. Ciertamente tiene sentido para manejar este el mismo para todos los documentos.
d) Las versiones actuales
distribución
Es un objeto de gestión, hacen de cada versiones publicadas de documentos ISMS disponibles para el grupo de personas que tiene requisitos correspondientes. Para esta distribución de los documentos se pueden especificar. Debería establecerse un procedimiento por el cual se alcance realmente la distribución. Los medios de comunicación electrónico moderno para muy adecuado. A continuación se añade que la administración tiene la responsabilidad de sin control evitar la distribución de los documentos de ISMS. e)
Identificabilidad y la legibilidad
La dirección debería asegurarse de que los documentos ISMS son fáciles de leer y se pueden identificar sin dificultad. legibilidad
El fácil de leer se puede apoyar, por ejemplo, por un proceso de revisión. abstrusas puntos se detectan de esta manera y se pueden mejorar. Puede ser útil para contratar a alguien con la revisión, que no es demasiado familiarizados con el tratado en el objeto de documento, no estar cegado.
identificabilidad
La identificabilidad fácil de documentos se logra hablando títulos de los documentos se seleccionan. Es particularmente importante asegurarse de que los diferentes documentos tienen diferentes títulos. Es útil si el
90
control de documentos
Título del documento un determinado sistema se sabe que los destinatarios de los documentos. f)
Clasificación de documentos
transmisión segura, almacenamiento y eliminación Al planificar el ISMS
que habíamos visto cómo se registran los valores de la información. También se trataba de la cuestión de la clasificación o clasificación. También para los documentos ISMS deben estar en cada caso determina la clasificación que tienen. Esto se hace mejor en el contexto de la determinación del distribuidor. Distribución y clasificación deben ser consistentes entre sí.
una manipulación segura
La administración debe ahora asegurar que la distribución / transmisión, almacenamiento / almacenamiento y, finalmente, la destrucción de documentos, de acuerdo con su clasificación es. Para abrir documentos, esto no tendrá ningún esfuerzo especial. Para los documentos que están sujetas a secreto de Estado, se aplican las normas legales especiales, que también son punibles. Este caso los documentos que constituyen el SGSI, sujeto a secreto de Estado, rara vez se producen. Más a menudo, esto puede ser el caso de los documentos para su tratamiento, existen acuerdos contractuales con terceros. Las reglas para la clasificación, distribución, transmisión, almacenamiento y destrucción deben ser coherentes con las disposiciones contractuales.
g) La identificación de los documentos externos
documentos externos
En general, es ventajoso distinguir entre documentos internos y externos: documentos internos pueden ser modificados por la organización, el contraste externo, por lo general no. Puede ser también que se trata de conflictos que regulan cuando varios documentos gobiernan los mismos hechos en casos individuales. Entonces será importante establecer un orden en el que los documentos han de ser consideradas, que tiene más peso a los documentos. Aquí, también, los documentos externos a documentos internos pueden ser preferidos - otra razón para marcarlos. h) distribución controlada
control de acceso
Además del aspecto práctico de la distribución f) el objetivo aquí es establecer reglas de quién tiene acceso a determinados documentos o la necesidad de conseguir. Esto se realiza mejor a través de una lista de documentos en los que se introducen cada funciones permitidas.
91
El ISMS ISO 27001 i) los documentos obsoletos
Los documentos obsoletos de la circulación de la dirección debería
asegurarse de que los documentos obsoletos no se utilizan sin querer. Este requisito se apoya, en particular, por el discutido en la página 90 bajo c) control de versiones. En la distribución de la residencia, la versión actual de un documento Debe tenerse en cuenta que todas las versiones anteriores del documento ya no son válidos y para devolver o destruir - o por lo menos tan anticuado deben estar etiquetados. ISMS son documentos proporcionados en medios electrónicos, tales como la intranet, sólo la versión actual de un documento debe situarse allí con el fin de evitar confusiones. Las auditorías internas se pueden utilizar para comprobar la presencia de las versiones actuales de documentos entre los empleados.
j) archivo de documentos
3.8
Etiquetado y archivo
Puede que sea necesario, que se anule también versiones no actualizadas de ISMSDokumenten. Éstos entonces se deben marcar como obsoletos por un lado y por el otro lado mantenerse en un lugar que no sea la versión actual del documento, por ejemplo en un archivo de documentos. Debe haber un procedimiento documentado que determina qué ISMSDokumente son cuándo, cómo y por quién documentos almacenados en el archivo. Esto también se aplica a los "muy antiguos" documentos finales de deleción.
Control de los registros La Norma distingue entre documentos y registros. Los documentos ISMS se discutieron anteriormente. Se utilizan, entre otras cosas, el establecimiento de procesos y responsabilidades organizacionales. Algunos ejemplos de los registros que ya han dado en la Sección 3.4. Los registros se utiliza generalmente para las operaciones de rastreo y para la detección de hechos y acontecimientos específicos - y en particular el objetivo de tener la evidencia de la conformidad del ISMS estándar y su eficacia. Por lo tanto, constituyen una base importante para las auditorías.
Los registros deben, así como los documentos de las ISMS gobierno sujetos. Dado que los registros no se pueden cambiar más adelante, deben ser protegidos especialmente contra la manipulación y la pérdida. Esto es especialmente importante,
92
responsabilidad de la dirección donde se utilizan los registros para demostrar que y cómo se cumplen las obligaciones legales o contractuales. Para guiar de las grabaciones también significa establecer un procedimiento documentado para almacenar y recuperar los registros. Dado que los registros contienen a menudo secretos comerciales, es una clasificación de los niveles de confidencialidad (si se utiliza un esquema de tal) es particularmente importante.
La norma hace hincapié en que un mínimo de registros debe estar disponible: registros sobre la efectividad del SGSI y los registros de incidentes de seguridad relacionados con el SGSI (ver las estimaciones de la efectividad en la sección 3.3.).
3.9
responsabilidad de la dirección La norma prevé la responsabilidad de la administración a partir de dos aspectos: la obligación (o más bien el compromiso) de la dirección para el SGSI, y la provisión de recursos para el SGSI. Acerca de la forma en la que la dirección ejerce su responsabilidad y se debe cumplir, pero se puede encontrar en el estándar más detalles. ISO 27002 propone el establecimiento de un foro de gestión. Este camino debe desaparecer también de preferencia. Nos gustaría señalar la posibilidad de proporcionar el foro para la gestión de los intereses de los otros sistemas de gestión, si un sistema de calidad o de gestión medioambiental está instalado. Responsabilidad de la administración ha sido examinado desde un punto de vista jurídico en el capítulo 1. La figura. Hemos, entre otros, señaló que el establecimiento de un sistema de control interno. Este foro de gestión de papel que puede desempeñar.
El compromiso y la dedicación
La gestión no sólo es responsable de las decisiones que afectan el SGSI, pero la norma también asume que la gestión de la introducción e implantación del SGSI está comprometido y contratado para reconocible. Por lo tanto, la norma requiere explícitamente que la administración debe proporcionar evidencia de que los respectivos gerentes a cargo - uso para la preparación, implementación, operación, control y vigilancia, mantenimiento y mejora del SGSI - incluso como un cuerpo. Algunos documentos que puedan demostrar compromiso de la dirección, que ya han visto. queremos
93
El ISMS ISO 27001 aquí a fin de poner juntos de nuevo, así como el estándar de los enumera:
a) Un firmó y entró en directrices del grupo. b) evaluación de desempeño de la consecución de los objetivos y planes de ISMS.
c) el establecimiento de los administradores de seguridad y la asignación de responsabilidades.
d) que se comunica con el apoyo para los ISMS a la fuerza de trabajo afectado. e) proporcionar recursos suficientes para los ISMS en todas las fases del ciclo PDCA. f)
Decidir los criterios bajo los cuales se aceptan los riesgos, y la aceptación de los riesgos restantes.
g) asegurar que las auditorías ISMS internos se llevan a cabo. h) realizar revisiones periódicas de los ISMS gestión. La evidencia ocasionados por la realización de las funciones de gestión anteriores debe estar disponible para las auditorías externas, como auditores externos estarán encantados de pedirlo. pero estaban todavía a ser objeto de la auditoría, incluyendo las auditorías internas. No sólo el personal, sino también la gestión está sujeta a un proceso de aprendizaje que debe ser explotado para detectar mejora en la implementación y operación del SGSI. la gestión de recursos tiene muchas facetas. Además de la elaboración de presupuestos y la ejecución de los recursos financieros también se trata de la provisión de recursos
la gestión de recursos
adicionales, especialmente la mano de obra como un recurso especial que se necesita para la ejecución de la misión. En varios puntos que ya hemos tratado con la provisión de recursos y por lo tanto resumir brevemente aquí juntos. La gestión debe asignar recursos suficientes para
Provisión de recursos
a) la introducción, operación, monitoreo, mantenimiento y mejora de los ISMS, b) garantizar que los procedimientos son compatibles con los requisitos de negocio para la seguridad de TI, c) la elaboración y el cumplimiento de las obligaciones legales y contractuales con respecto a la seguridad informática,
94
responsabilidad de la dirección d) para mantener la seguridad de TI adecuada a través de las medidas de establecimiento y cumplimiento e) los controles necesarios los ismos y una respuesta adecuada a los resultados de la verificación, f) si es necesario, la mejora del SGSI. comprensible que no estén contempladas en los conflictos normales que puedan surgir en la asignación de los recursos, ya que este problema puede ser manejado de manera adecuada y no generalmente para cualquier situación de duda. Sin embargo, justo esto hace que la dificultad de proporcionar recursos. No conocemos ninguna organización que pudiera dibujar en la provisión de los recursos del sólido. Por lo tanto, desde nuestra perspectiva, no la mera provisión de recursos a resolver por el problema de gestión, sino más bien la decisión en cuanto a cómo el ya limitado (y, a menudo escasos, incluso a veces insuficientes) se distribuyen los recursos. La pregunta es, ¿qué compromisos se pueden hacer, sin embargo, para obtener una normas ISMS compatibles vertical.
Particularidades de los recursos humanos
-
Los conflictos en la asignación de recursos deben estar claramente documentados.
-
Las consecuencias de las alternativas de decisión deben ser presentados con respecto a la evaluación de riesgos y el riesgo restante, según lo establecido en la política de seguridad de la información.
-
La decisión debe ser trazable remonta a la política de seguridad de la información.
-
el objetivo perseguido intereses comerciales y el efecto resultante sobre el SGSI debe quedar claro desde el aviso de la decisión.
Las decisiones que violan claramente en todas las circunstancias en contra del riesgo residual aceptado, no pueden conducir a una compatible con los estándares ISMS. El estándar se resumen las características que, como resultado de la provisión de recursos humanos juntos bajo el entrenamiento de palabras clave, sensibilización y competencia. Son los recursos humanos por la administración para el ISMS o de tareas resultantes especiales previstos lo que la administración tiene que resolver además de la pura determinación del número de personas que siguen otras tareas responsable:
95
El ISMS ISO 27001 a) determinar las habilidades y conocimientos del personal cuyo trabajo afecta el ISMS necesarias. b) proporcionar la contratación de empleados que tienen el conocimiento y las habilidades necesarias o formación adecuada del personal existente. c) evaluar la eficacia de las medidas adoptadas para lograr y mantener los conocimientos y habilidades. d) Registro en la educación y formación de los trabajadores a las medidas de educación y formación y las habilidades, así como las medidas para contribuir al mantenimiento y mejora.
sensibilización
Todos los empleados que hacen el trabajo dentro del alcance del SGSI, y por lo tanto se ven afectados de forma activa por el SGSI, o pueden ser, deben ser conscientes de la importancia atribuida por la Organización para el SGSI. Esta toma de conciencia es a la vez consecuencia de la instauración del SGSI. Para las sesiones de información adecuada o la formación basada en la Web puede ser llevado a cabo. Por otra parte, la experiencia demuestra que la atención a las cuestiones de seguridad de TI disminuye con el tiempo - como en efecto para todas las reglas que no se relacionan directamente para realizar su trabajo diario. Por lo tanto, el conocimiento de los empleados es una cuestión que debe abordarse con regularidad. Esto, por supuesto, ofrecen los incidentes de seguridad siempre un tiempo. por lo tanto su correcta evaluación debe estar asegurado.
Eso por sí solo no es suficiente: Más bien, debería haber ocasiones regulares cuando se tomará la relevancia e importancia de sus actividades para lograr los objetivos de seguridad del SGSI en cuenta los trabajadores afectados. Enseñanzas son sólo uno de los muchos de los recursos disponibles. Se puede lograr el mismo efecto, por ejemplo a través de las inspecciones de trabajo, publicaciones en la intranet, concursos y otras medidas similares que no cuestan mucho, pero muy bien alcanzar el objetivo de la sensibilización.
La mención especial comportamiento ejemplar inspira imitación.
3.10
auditorías internas del SGSI
Las auditorías internas han desempeñado un papel en diferentes puntos de este capítulo. Después brevemente una vez más la
96
auditorías internas del SGSI
han combinado objetivos de una auditoría interna, según lo definido por la norma, discutiremos algunas preguntas detalladas en la realización de dichas auditorías. La norma requiere que las auditorías internas del SGSI sobre una base regular,
es decir, realizado a intervalos aproximadamente iguales - determinar con el objetivo de que los objetivos medidas, medidas, procesos y procedimientos de los ISMS a) cumplir con los requisitos de la norma, y cumplir con los requisitos regulatorios legales y otros, b) corresponden a los requisitos de seguridad identificados, c)
implantación y el mantenimiento eficaz y
d) actuar como se espera. De hecho, las auditorías internas se pueden utilizar para capturar todos los detalles del SGSI documentado para comprobar en la práctica diaria de la organización a su cumplimiento y eficacia. Esto puede llegar a ser una tarea importante cuando el propio SGSI ha llegado a un cierto punto, era debido al gran alcance o debido al gran número de medidas que se proporcionan e implementados. Pistas sobre el tiempo requerido para la ejecución de las auditorías internas proporciona la ISO 27006a
informe de auditoría
En la planificación, ejecución y evaluación de las auditorías del capítulo 10 Auditorías y certificaciones Información. Después de la auditoría, los auditores presentan normalmente un informe de auditoría en el que el proceso de la auditoría y el caso se describen deficiencias identificadas. Las correcciones y mejoras acordadas o propuestas a menudo se establecen en el informe de auditoría. En este contexto, un informe de auditoría es un insumo importante para la planificación y gestión de críticas, pero se debe llamar a más tardar en la preparación para la siguiente auditoría regular, ya que serán comprobados de manera segura los déficits. De esta manera, las auditorías internas periódicas, por así decirlo, forman una cadena en la que se puede leer el progresivo desarrollo y mejora del SGSI.
Las auditorías internas se pueden realizar con el aviso lo recomendamos, o incluso tener lugar sin previo aviso. La decisión depende de la gestión, lo que hace que la auditoría. Consejos para la realización de auditorías internas del SGSI puede ser el primero en la norma ISO 27007, la naturaleza más fundamental en
97
El ISMS ISO 27001 Para el 19011a estándar ISO Los auditores deben estar familiarizados con él.
3.11
Revisión por la dirección del SGSI
La gestión tiene que supervisar no sólo la tarea de tomar decisiones, sino también la aplicación de las decisiones y de controlar. Esto es cierto para todos los aspectos de los ISMS. Dicho elemento de vigilancia y control - además de otros informes - los llamados exámenes de la gestión.
Tales exámenes de gestión se llevan a cabo para todos llevada a cabo por los sistemas de gestión de la organización, como todas las normas pertinentes incluyen la solicitud correspondiente. Por tanto, es conveniente someter a los sistemas de gestión existentes individuales en una evaluación común. Esto es para al menos los componentes comunes de los sistemas de gestión tales. Como el control de documentos, el sentido. La posibilidad de evaluaciones conjuntas sólo debe utilizarse, sin embargo, si ayuda a resultar realmente en sinergias.
Al igual que todas las actividades de control y la revisión por la dirección del SGSI se deben realizar con regularidad. La norma requiere que se debe hacer al menos una vez al año. Esto tiene sentido, de hecho, ya que además de todos los otros propósitos, las llamadas y la propia norma que discutiremos, caracterizado ser expresada sobre los empleados y el interés constante, el compromiso y el apoyo de la administración para el SGSI. aplicación demasiado frecuente de la revisión por la dirección, sin embargo, puede conducir a una habituación no deseado y por lo tanto a la percepción y la eficacia reducida.
El examen de la gestión está diseñado
-
la idoneidad continua (para lograr los objetivos de seguridad), la adecuación (comparación entre el costo y la reducción del riesgo) y la efectividad del SGSI,
-
cómo mejorar el SGSI y
-
la necesidad de adaptar el SGSI de la organización cambiante
determinarla para sacar conclusiones adecuadas en las que se derivan de actividades y decidir sobre su aplicación.
98
Revisión por la dirección del SGSI
Por supuesto, el último punto incluye las directrices, mide objetivos y medidas del SGSI. revisiones por la dirección deben ser por escrito y archivadas. De esta manera, las revisiones por la dirección forman una cadena continua de las evaluaciones, donde - se puede leer en el desarrollo de los ismos y perseguidos - como en el caso de las auditorías internas, pero aquí en un nivel más alto de abstracción.
entrada
Para prepararse para el examen de la gestión la siguiente información debería estar disponible: a) Los resultados de ISMS auditorías y revisiones de gestión ya realizada (interno y externo). b) información sobre los efectos de los ISMS por las partes interesadas tales. B. de clientes y proveedores o socios. c) A partir de los empleados o terceros interesados presentado propuestas para mejorar el SGSI, la z. puede afectar como técnicas, productos o procedimientos, su uso en el ISMS tiene sentido y ayuda a aumentar la eficacia. d) Una visión general de la situación de Las acciones correctivas cuando
se han producido en los últimos errores u omisiones, y el estado de medidas preventivas, para evitar problemas conocidos o incidentes de seguridad.
e) Una lista de las vulnerabilidades y amenazas identificadas que no se han tratado adecuadamente. f) Los resultados de la evaluación de la eficacia de los ISMS. g) Una lista de todas las acciones decidió en el último examen de la gestión incluyendo el estado de su procesamiento. h) Una lista de cambios que pueden influir en su diseño del SGSI. i)
Otras recomendaciones para mejorar el SGSI. Además de las
normas, añadiremos: j)
Una lista de los incidentes de seguridad que han ocurrido desde la última revisión, incluyendo las conclusiones extraídas de ellos.
Estos materiales deben ser todos los participantes en la revisión de la gestión están disponibles.
99
El ISMS ISO 27001 El círculo de los implicados depende en gran medida de las circunstancias, en particular, el tamaño y la estructura de la organización. esencial en nuestra opinión, es la participación de un miembro de la administración, los administradores de seguridad, el CFO y los directores de TI. La participación no debe ser delegada posible.
salida
Como resultado de la revisión por la dirección deben registrar todas las decisiones y acciones acordadas en un protocolo. una persona responsable y una fecha de terminación deben establecerse para cada acción. Las decisiones y acciones previstas deben abordar los siguientes aspectos: a) la mejora de la eficacia de los ISMS. b) la actualización del plan de evaluación y gestión de riesgos. c) cambios en políticas y medidas objetivos en respuesta a acontecimientos internos o externos que puedan afectar a los ISMS, en particular para los siguientes aspectos: primero Cambiantes
requerimientos del negocio,
segundoModificación
de los requisitos de seguridad,
tercera
Los cambios en los procesos de negocio que tienen un impacto en las necesidades del negocio,
cuarto
Los cambios en las restricciones legales o reglamentarias,
quinto
Cambia las obligaciones contractuales y, finalmente,
sexto
Los cambios en las clases de riesgo y los criterios de aceptación del riesgo.
d) Con el fin de implementar los cambios necesarios recursos. e) las mejoras en el método para estimar la eficacia de los ISMS. Como parte de las decisiones de revisión de gestión realizados siempre debe ser etiquetado como tal. Si tienen que ser confirmadas por otro comité antes de que puedan ser implementadas, se muestra una marca y el estado de seguimiento especial. Conoce órganos de los que se desvían o decisiones contrarias, esto también debe ser documentada.
100
Mejora del SGSI 3.12
Mejora del SGSI La mejora de un sistema de gestión existente es una preocupación central de cada uno de los estándares de gestión. El verdadero problema no está en identificar posibilidades de mejora, pero entre las muchas mejoras seleccionar aquellas que tienen el mayor efecto, teniendo en cuenta los recursos disponibles.
La norma proporciona la mejora continua del SGSI como una tarea. Como medio para resolver este problema, el SGSI y la política de seguridad de la información, los objetivos de seguridad, auditoría, los incidentes de seguridad que las acciones correctivas y preventivas y la revisión por la dirección deben ser utilizados - en resumen, todos los resultados de la práctica de ISMS.
conducir a una mejora del SGSI de la organización que mide en detalle, la norma no puede prever, sin embargo. Ya que depende de las condiciones en el lugar, y sólo podemos dar algunos consejos generales a: se consiguen mejoras en el SGSI y su eficacia cuando se
-
Vulnerabilidades que han dado lugar a incidentes de seguridad, están cerrados
-
complicados procedimientos están dentro de los ISMS reemplazados por más simple, igualmente eficaces,
-
manual o individualmente acciones ejecutadas son reemplazados por procesos automatizados que alcanzar un nivel similar o más alto de seguridad, y
-
una mayor aceptación, una mejor comprensión y mejorar la motivación del
usuario se lleva a cabo. Por cierto, no debe ser olvidado en todas las mejoras previstas en la primacía del interés financiero. Dado que el nivel de acciones
correctivas habla, algunos auditores requieren la identificación de tales medidas, acción correctiva
separados de los acontecimientos reales. Esto es, en nuestra opinión no significaba. El término acción correctiva implica que hay algo que corregir. Antes de la definición de dichas medidas correctivas, por lo tanto, debe ser una ocasión para un proceso que es digno de corrección. La acción correctiva, por tanto, sólo puede existir de manera ad hoc. Entendemos los requisitos de la norma para que especifican cuándo - y eso es, en qué condiciones - cor-
101
El ISMS ISO 27001 gent acciones a tomar. Lo concreto de acción al tiempo que la corrección requerida, las hojas estándar. La norma requiere para iniciar medidas correctivas al repetición Para evitar incidentes y condiciones que son contrarias a los objetivos de seguridad de la organización o contradicen la norma. Para ello, la norma requiere la existencia de un procedimiento documentado que hace lo siguiente:
a)
Identifica los estados que no cumplan.
b) abarca las causas de estados no conformes. c)
Se evalúa la necesidad de acciones que ayudan a prevenir la recurrencia de los estados identificados que no cumplen.
d) Se determina acciones correctivas y ponerlas en práctica.
e) registrar los resultados de las acciones correctivas tomadas, y f)
medida preventiva
comprueba las medidas correctivas adoptadas. Las acciones preventivas
y correctivas están en estrecha relación. Hay una diferencia sólo en términos de la materia: Mientras que las acciones correctivas ocurrido desviaciones juzgar por el cumplimiento, las acciones preventivas son potencial desviaciones dirigidas: que están destinados a evitar que se produce un estado no compatible (en un punto particular) en absoluto.
La norma requiere que exista un procedimiento documentado, las siguientes marcas: a) se identifican los posibles estados que no cumplan. b) Se evaluó la necesidad de adoptar medidas que contrarresten la aparición de un estado no conforme. c) Se define el preventivo y aplicado. d) se registran los resultados de las medidas preventivas adoptadas y e) revisar las medidas preventivas adoptadas. Los procedimientos de acción correctiva y preventiva en su conjunto parecen ser muy similares. El valor por defecto es recordar que la prevención a menudo resulta ser más barato y más eficaz que la corrección (de errores).
102
objetivos y medidas Medidas Donde la información corre el riesgo de la organización, deben ser identificados y se comprueban su impacto en la posible prevención. El (actual) la evaluación del riesgo se debe utilizar como base para definir la importancia y el orden de aplicación de las medidas preventivas. Así armado, la organización ha hecho todo lo necesario para tener éxito con su SGSI. El SGSI se mostrará posteriormente su eficacia y apoyo en la consecución de los objetivos de negocio.
3.13
objetivos y medidas Medidas Los objetivos y las medidas medidas están incluidas en el Apéndice A estándar normativo certificación ISO 27001. una correspondiente
Código de buenas prácticas incluye ISO 27002. ayuda adicional para implementar ISO ofrece 27003a Por lo tanto, puede ser útil para elevar al lado de ISO 27001 y otras normas en esta serie. Una fuente suplementaria - más bien a nivel de las medidas individuales - son los planes de acción de la protección de línea de base de TI. Vamos a discutir aquí el Apéndice A de la norma detalle y describir su estructura. zonas reguladoras
Apéndice A describe 11 áreas clave de la reglamentación 42 abordar los aspectos más importantes de los ISMS:
-
(ISMS, seguridad de la información) guía.
-
Organización de la seguridad de la información.
-
Gestión de los valores propios de la organización.
-
Seguridad del personal.
-
La seguridad física y ambiental.
-
Gestión de la comunicación y operación.
-
El control de acceso (que también incluye control de acceso).
-
Adquisición, desarrollo y mantenimiento de sistemas de procesamiento de información.
-
Manejo de incidentes de seguridad de la información (= gestión de incidentes de seguridad).
-
Asegurar la continuidad de negocio (Business Continuity = Gestión).
42
En ISO 27002 como Cláusulas de control de seguridad se hace referencia.
103
El ISMS ISO 27001 -
Cumplimiento de las normas (por ejemplo. A medida que el cumplimiento de los requisitos legales o normas). En cada una de estas 11 áreas de regulación,
categorías
hay una división en categorías de seguridad 43a Cada categoría se refiere a un aspecto específico de la seguridad.
Nosotros nos damos primero una visión general sobre la base de estos niveles detallados. La numeración - comenzando con A.5 44 - se ha tomado de la norma. El primer nivel es el rango de control, la segunda subdivisión de la zona en categorías (de seguridad). Tabla 5: Descripción general de las áreas de regulación y seguridad categorías A.5
política de seguridad
A.5.1
A.6
A.7
A.8
la política de seguridad de la información
Organización de la seguridad de la información
A.6.1
organización interna
A.6.2
relaciones exteriores
Gestión de los valores propios de la organización
A.7.1
La responsabilidad de los valores de la organización
A.7.2
Clasificación de la información
la seguridad personal
A.8.1
antes de contratar 45
A.8.2 Durante el empleo A.8.3
A.9
A.10
La terminación o cambio de empleo
La seguridad física y ambiental A.9.1
zonas de seguridad
A.9.2
La seguridad del equipo
Operaciones y Gestión de Comunicaciones
A.10.1 proceso y las responsabilidades
43
En ISO 27002 como Categorías de seguridad principal se hace referencia. 44 El A.1 puntos
a A.4 no existe en la ISO 27001; sin embargo
hay capítulo numerado apropiado en la ISO 27002. Se refieren a otros capítulos de ISO 27001. 45 empleo aquí significa asumir la responsabilidad o Tarea (independientemente de si se trata de un re-ajuste o sólo un cambio en la empresa).
104
objetivos y medidas Medidas A.10.2 Gestión de la prestación de servicios de terceros A.10.3
la planificación del sistema y la aceptación
A.10.4
La protección contra software malicioso y código móvil
copia de seguridad A.10.5
A.10.6 Gestión de seguridad de la red A.10.7 almacenamiento manejo y medios de grabación A.10.8 Intercambio de información aplicaciones de comercio electrónico A.10.9
monitoreo A.10.10 A.11
control de acceso
A.11.1 requisitos de negocio para el control de acceso A.11.2 Gestión de usuarios A.11.3 responsabilidades de los usuarios
A.11.4 control de acceso para redes A.11.5 controlar el acceso a los sistemas operativos
A.11.6 controlar el acceso a aplicaciones e información La informática móvil A.11.7 y el teletrabajo A.12
Adquisición, desarrollo y mantenimiento de sistemas de información A.12.1
Requisitos de Seguridad para Sistemas de Información
A.12.2 procesamiento correcta en aplicaciones A.12.3 medidas criptográficas
A.13
A.12.4
La seguridad de los archivos del sistema
A.12.5
Seguridad en los procesos de desarrollo y soporte
A.12.6
Gestión de la vulnerabilidad
Manejo de incidentes de seguridad de la información
A.13.1 de informes de eventos de seguridad de la información y las vulnerabilidades
A.13.2 manejo de incidentes de seguridad de la información y mejoras
105
El ISMS ISO 27001 Asegurar la continuidad del negocio
A.14
A.14.1
los aspectos de seguridad de información para garantizar la continuidad del negocio
A.15
cumplimiento de la normativa
El cumplimiento de los requisitos legales A.15.1
El cumplimiento A.15.2 con las normas de seguridad y
- normas y especificaciones técnicas
A.15.3 consideraciones a las auditorías de los sistemas de información esencialmente uno reconoce cinco categorías de áreas regulatorias: Tabla 6: La agrupación de las áreas de regulación
zonas reguladoras
sujeto
5, 6 y 7
Orientación, organización, análisis
8, 9, 10, 11 y 12
requisitos de seguridad clásicos (personal, infraestructura, tecnología)
13
gestión de incidencias
14
Gestión de Continuidad de Negocio
15
la gestión del cumplimiento 46
Como puede verse en la Tabla 5, es cada uno de estos zonas reguladoras tales. T. respaldado por amplias categorías de seguridad: Tomamos como ejemplo la zona de regulación 11 cuya finalidad descrita en la norma es el siguiente:
El control del acceso a la información 47a Esta zona de control 11 tiene siete categorías de seguridad - que nosotros tomamos como ejemplo la categoría 11.5 cabo cuyo objetivo se describe en la forma estándar:
46 conformidad con los requisitos legales y contractuales Gen y normas. 47 Ver. La importancia del acceso (skontrolle) o (control) en la Sección 2.5.
106
objetivos y medidas Medidas Impedir el acceso no autorizado al sistema operativo. Este es el llamado medidas de destino 48 esta categoría, que este objetivo es decisivas medidas descritas para todos en esta categoría. Para lograr este objetivo, el siguiente medidas 49 enumerados en el Apéndice A: Tabla 7: Las medidas de la categoría de seguridad 11.5
11.5.1
Procedimientos para la conexión segura
11.5.2
La identificación del usuario y la autenticación
11.5.3
Los sistemas para la gestión de contraseñas
11.5.4
El uso de las herramientas del sistema
11.5.5
Sesión de tiempo de espera
11.5.6
La limitación del tiempo de conexión
Tomamos como ejemplo la medida 11.5.1, cuyo texto es el siguiente:
El acceso a los sistemas operativos debe ser controlado por un proceso de registro seguro. Aquí se puede ver una vez más que este texto no especifica una medida en el sentido estricto, sino más bien la requisito describe una medida, la existencia de un proceso de registro seguro aquí en adelante. ¿Qué método de registro se utiliza - ya sea por ID de usuario y la contraseña a través de tarjeta inteligente o biometría - por lo que la selección efectiva de un (convertible) medida individual, la organización se deja. Sin embargo, la selección debe tomar la reducción del riesgo requerida.
ISO 27002 se encuentra a 11.5.1 un número de pistas: El procedimiento de registro debe -
es posible ninguna información sobre el suministro de sistema operativo (no para facilitar ataques)
-
No mostrar las contraseñas de entrada y no se transmite sin cifrar a través de una red,
-
El acceso sólo permitir o rechazar cuando se introduce todos los datos de inicio de sesión,
48 traducción de objetivo de control ( ver. Sección 2.5). 49 traducción de de
control ( ver. Sección 2.5).
107
El ISMS ISO 27001 -
el número de intentos de acceso no válidos y la duración del proceso de registro del límite
-
Registro de intentos de conexión válidos y no válidos y
-
Mostrar en válida la fecha y hora de la última entrada intentos de inicio de sesión.
Tales referencias permiten a la organización para evaluar el sistema operativo existente y, posiblemente, en los parámetros de configuración conjunto en el proceso de registro. En la Figura 3 a continuación resume la estructura de la parte de control 11, por el cual razones de espacio sólo la categoría A.11.5
resuelve además tener.
zona de regulación
Figura 3:
categorías
medidas
Apéndice A: Estructura
Todas las demás categorías y áreas de regulación se construyen de forma análoga.
Estas declaraciones y ejemplos serán suficientes para dar una primera impresión de la estructura del Anexo A de la norma.
108
4
La determinación de las consideraciones de alcance y de gestión En este capítulo queremos que el ámbito de aplicación (Inglés: ámbito de aplicación) ISMS determinar y establecer elementos de gestión importantes.
4.1
determinar el alcance de ISMS apropiado Al determinar el alcance debe estar guiada por las necesidades de la organización y sus circunstancias. Sin embargo, cada limitación del alcance y cualquier exclusión deben ser nombrados y detallado para justificar (ISO 27001, Sección 4.2.1.a).
restricción
modularización
Un error común en la determinación del alcance es querer lograr la ejecución más rápida posible de los requisitos formales para la certificación. En este contexto, que es, por desgracia a menudo visto en la práctica que una "pequeña" solicitud se hace el tema del SGSI de una organización - el único fin de obtener lo más rápidamente posible un certificado (certificado). Desafortunadamente, las principales ventajas de los sistemas de gestión permanecen aquí en la pista: la mejora de los procesos internos y sobre todo transversal de segmento. El mismo poco efecto eficaz surge a una modularización de los ISMS, en el que las diferentes áreas de la organización. Como compras, ventas, departamento de TI, son cada uno provisto de un ISMS autocontenidos. De la tendencia básica sucesivamente los riesgos de la información en toda la organización, no serán evidentes tras la consideración de un hecho aislado sistemas de este tipo de gestión, ya que cada ISMS sólo tendrá en cuenta su Partikularrisiken y reducir, posiblemente, incluso un aumento en el riesgo general de la organización, pero en cualquier caso conduce a un uso ineficiente de los recursos.
Si la organización ya la gestión del sistema multi-funcional - por ejemplo, sobre la base de la norma ISO 9001 - existe, es lógico para aplicar esta sobre la aplicación de 27001 ISO: Una variedad de normas y procedimientos
109 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_4, Springer © 2013 Fachmedien Wiesbaden
La determinación de las consideraciones de alcance y de gestión s debe ser idéntica o similar, por lo que se pueden ahorrar costes.
paralelización
sino que debe ser advertido explícitamente en contra de la introducción de un segundo sistema, la gestión paralela, ya que la experiencia ha demostrado una clara asignación de responsabilidades y armonización de los procedimientos no se alcanza. Si la organización es un fabricante de un producto en particular y se enfrenta en un mercado importante de la demanda a corto plazo para un certificado, esto puede dar lugar a una limitación del alcance. En este caso, será útil incluir al menos toda la cadena de valor de este producto desde la adquisición de servicio al cliente en el ámbito. En el medio para extender el alcance de la debería, en tal caso. B. estar dirigida a toda la producción de productos - esto es principalmente porque uniforme normas medioambientales, de seguridad y de calidad requieren menos esfuerzo de control y son más fáciles de mantener por el personal de la organización.
la orientación de meta
Otro aspecto que habla por el establecimiento de las más amplias posibles ISMS es el hecho de que un SGSI debe usar una multitud de requisitos de diferentes fuentes en cuenta: Además de los requisitos de un certificado es una forma inteligente y delineados realizadas ISMS cumple otros objetivos:
-
se cumplen los requisitos legales por un sistema de control interno.
-
Sirve el abaratamiento de las contribuciones de crédito o de seguros.
-
Se puede utilizar si es necesario para un mejor desarrollo de ciertos mercados.
-
Es la transparencia de los riesgos y la mejora de la situación de seguridad.
Es la implicación de toda la organización, no es posible, el alcance debe definirse de forma que organizativamente y proporcionarse zonas separadas de negocio, distinguibles de un SGSI. A continuación se describe cada personaje negocio, las características de la organización, los lugares, los medios de producción y los activos disponibles.
110
Foro de Gestión de la Seguridad 4.2
Foro de Gestión de la Seguridad En los capítulos 5 y 7 de la norma ISO 27001 hace hincapié en que las tareas esenciales de seguridad tienen a través de la dirección de la organización: -
Desarrollar y montar a caballo de la guía ISMS.
-
Realizar todos los pasos de la evaluación y tratamiento de riesgos, así como el establecimiento de límites sobre el riesgo aceptable.
-
Especificando las responsabilidades en la gestión de la seguridad.
-
Transmitir la importancia de la directriz ISMS para el logro de los objetivos de seguridad y la mejora continua del SGSI de la organización.
-
La provisión de recursos.
-
Presentación de la Declaración de aplicabilidad y la Resolución sobre el tratamiento del riesgo o las medidas de seguridad (individuales).
-
La realización de auditorías internas del SGSI y estudios de gestión del SGSI.
Estas tareas se deben realizar en un proceso controlado de un órgano de toma de decisiones con la composición adecuada y facultades suficientes. Este cuerpo se puede realizar en la práctica por las reuniones del Comité Ejecutivo, una formada especialmente para tales fines cuerpo o un Foro de gestión existente. A partir de precursores de los estándares de esto viene el nombre Foro para la Seguridad de la Información ( ISF, Foro de Información de Seguridad) 50a
La composición real de un cuerpo tales determina la organización en cuestión. En casos extremos (sobre todo en las pequeñas empresas) las tareas se realizan a menudo por un solo agente de seguridad, que depende del nivel de gestión y debe poner en práctica sus decisiones.
50
En el caso de las sociedades cotizadas que están sujetos a la ley estadounidense, debe a la requerida por el Comité de Auditoría Sarbanes-Oxley ser considerado como un comité del Consejo de Administración en la definición de las tareas de formación del Foro para la Seguridad de la Información.
111
La determinación de las consideraciones de alcance y de gestión Entre las tareas de administración siguientes valores empíricos siguen nachzutragen:
-
seguridad de la información no puede realizarse sin la administración. Desde el departamento de calidad, la regla 85-15 viene. Por lo tanto son 85% de los problemas de calidad de gestión inadecuada y el 15% de las deficiencias operativas. Una norma similar debe aplicarse a los problemas de seguridad de la información.
-
responsabilidades no reguladas, procesos inadecuados e insuficientes recursos causando inseguro y sólo pueden ser cambiados por las decisiones de gestión.
-
En muchas organizaciones, la cuestión iniciados más bien descuidados o incluso excluidos, a pesar de que hay un alto riesgo pueden aquí. papeles críticos son evaluados con altos privilegios aquí; Si tal es necesaria en absoluto, la regla de dos hombre debe ser la regla.
Sobre el problema de información privilegiada, una nota: La Comisión de Valores está investigando la gestión de una serie de empresas que figuran a causa de retrotrayendo las fechas de compra de opciones de compra para la gestión. Debido a la investigación de un científico externo se había dado cuenta de que las fechas muy a menudo cayeron en los bajos precios de las acciones de las acciones correspondientes. Tal es, acostada en la región de seguridad agravio incumple eventos son a menudo en la jerga técnica por el término colectivo de Anulación de control se hace referencia y hacer estimaciones sobre el 50-80% de todas las violaciónes de. El control puede anular una gestión de seguridad para niños, que reporta un máximo en función del personal directamente a uno de los más altos ejecutivos, apenas para mantenerse al día con las competencias otorgadas por lo general. La necesidad de un compromiso especial para seguridad de la información también es apoyado desde este lado.
4.3
Las responsabilidades de seguridad de la información
Garantizar seguridad de la información es una tarea que sólo puede cumplirse con eficacia si cada uno está claro que él es en parte responsable de la seguridad de la información. el personal Responsabilidad del individuo resultados de los procesos en los que opera, y de la información con la que entra en contacto. Lo malo es el supuesto de que
112
La integración de la seguridad en los procesos empresariales
gestión de la seguridad, la totalidad de la responsabilidad solo osos.
responsable de Seguridad del valor de la información es primero de propietarios el conjunto para cada valor de la información (véase la Fig. fase de planificación PLAN-d en la página 54). Es el responsable de que las medidas sean una protección adecuada hecho, implementado y mantenido. La protección adecuada de los resultados de la evaluación de riesgos. La aplicación operativa de esta responsabilidad puede ser delegada. El propietario pero al menos la responsabilidad de la eficacia de la seguridad siguen siendo medidas. en el área de operaciones existe la responsabilidad de cumplir con las normas de protección de la información, la observancia de las reglas de seguridad para el lugar de trabajo y la obligación de informar sobre las violaciones de seguridad de ningún tipo.
La organización siempre debe actuar de acuerdo con el principio de que la responsabilidad se acepta solamente si es de hormigón. Por tanto, cada empleado afectado deberá ser informado de la naturaleza exacta y el alcance exacto de su responsabilidad, con los fondos necesarios, a través del cual pueda cumplir con sus responsabilidades. Las actividades relacionadas se discuten en la Sección 3.3 como una tarea DO-e (véase la página 71).
4.4
La integración de la seguridad en los procesos empresariales
Lo que la seguridad puede ser garantizada, que debe integrarse en los procesos de negocio y no sólo ser objeto de un proceso de seguridad abstracto donde nadie orientado, porque no es sólo una parte de los procesos de trabajo. Todos los empleados de una organización es responsable de la seguridad, y que al menos por su trabajo y por ello lleva a cabo actividades dentro de los procesos definidos.
Por lo tanto, los procesos deben ser documentados. Puede ser formas, procedimientos e instrucciones de trabajo, flujos de trabajo, diagramas de flujo o similares: Todo lo que es esencial para las operaciones y las actividades de los empleados forma parte de la documentación de procesos. procedimientos bien documentados y dar instrucciones valiosas para los empleados. El nivel de detalle es tan ajustado que los empleados debido a sus conocimientos y experiencia en una posición para proporcionar los pasos requeridos en la calidad deseada.
113
La determinación de las consideraciones de alcance y de gestión Si tales documentos relacionados con los procesos no están disponibles, es importante determinar y documentar las tareas a cómo perciben en el lugar de trabajo posteriormente. siguientes instrucciones se deben dar a la integración de la seguridad en los procesos empresariales:
4.5
-
Suele ser útil para analizar las actividades en los diferentes trabajo paso a paso y para mantener conversaciones con las personas (afectadas) a resultado práctico y soluciones seguras para venir. Lo contrario se puede producir si las soluciones se disponen ex cathedra ( "top") y poco práctico.
-
complicados procesos que se caracterizan por repeticiones frecuentes y sistemas de participación unterschiedlichster y aplicaciones que implican no sólo las deficiencias de seguridad debido a la falta de transparencia. Ellos también son caros, intensivos en mano de obra, ergebnisverzögernd y disfuncional.
-
La experiencia demuestra que, procesos disfuncionales críticos, complejos se pueden cambiar positivamente a través de un análisis del proceso, ya que forma parte del análisis de riesgos. En el rediseño o modificación de un proceso de negocio mientras que las cuestiones de calidad, coste-eficacia, el rendimiento, por supuesto, siempre mitzubetrachten desde el principio.
-
A menudo se plantea la cuestión de si un problema a través de medidas de organización efectivo tiene solución: Para todas las medidas de organización es siempre el punto débil para ser observado "hombre". Las soluciones técnicas pueden ayudar cuando sus vulnerabilidades son conocidos y no explotable, pero por lo general causan un mayor costo financiero.
complementar los enfoques de gestión de riesgos existentes
eran los procedimientos de gestión de riesgo en el pasado por la ley, de los cuales se sintieron principalmente dirigida al sector financiero, introducido en las organizaciones afectadas. El reciente desarrollo de la legislación y jurisdicción 51 requiere extender el enfoque de gestión de riesgos 51 Por ejemplo, la Ley Sarbanes-Oxley.
114
papeleo sobre las cuestiones planteadas en la norma ISO 27001 áreas de seguridad de la información. Por lo tanto tiene sentido para integrar la gestión de riesgos de acuerdo con ISO 27001 en los procedimientos de gestión de riesgos existentes e introducir un sistema de control interno anabólico basado. una separado La consideración de estos nuevos aspectos de seguridad significaría la duplicación costosa y contraproducente para las empresas - y, además, las llamadas para compactar la representación todos contradecir riesgos.
4.6
papeleo A menudo oímos que la aplicación de algunos de los requisitos legales, así como los requisitos de las normas de gestión tienen un exceso de burocracia la consecuencia de que el aumento de la seguridad no QUE ESTADO.
Por ejemplo, la Ley Sarbanes-Oxley exige el establecimiento de un sistema de control interno por la dirección. No es esto suficiente que la administración simplemente introduce controles, pero la gestión tiene que convencer a la sostenibilidad de los controles. En el derecho, se utiliza una formulación, que a menudo se ha diseñado en el idioma alemán como con el control. Si se va significar esto en realidad en este punto, por lo que el control de los mandos de manera coherente, de regreso se someten a una comprobación y así sucesivamente. Afortunadamente, se ha limitado ciclo no infinita a través del ciclo de control sólo dos veces.
Pero, de nuevo, esto ha conducido a resultados notables: Así que ahora necesita un centro de datos que proporciona servicios para los productos cubiertos por la empresa Ley Sarbanes-Oxley, llamar todas las noches con su cliente y este informe que la copia de seguridad de sus datos ha expirado sin interferencias. La copia de seguridad se formuló como un control y la llamada es para controlar el control. Tales procedimientos son inútiles en el mejor, pero por lo general tienen un alto recurso amarre. Pueden ser llamados desde la ley de Estados Unidos no necesariamente derivar!
115
5
determinar los valores de información
Un problema principal en el proceso de seguridad es la opción "derecho" de los valores (corporativa, de información). Este tema está pasando en este capítulo.
5.1
¿Qué valores deben ser considerados? La norma se encuentra inicialmente una definición del término valor ( Activos) para significar "cualquier cosa que tenga un valor para la organización."
La determinación de tales valores es un punto de partida para la identificación de los riesgos (ISO 27001, capítulo 4.2.1 d ;. Apéndice A, Sección 7.1).
inventario
La Norma requiere la organización para identificar todos los valores importantes y en una inventario recibir y mantener este directorio. ¿Qué valores se consideran importantes para definir no es la norma, pero el uso de la organización de su propio interés o las obligaciones legales o contractuales.
El inventario no necesariamente tiene que cumplir con los requisitos de seguridad de la información será limitado, pero también se puede utilizar para otros fines - por ejemplo. B. Del ocupacional y financiera - se utilizan. En este sentido, es obvio que aquí en primer lugar a los ya existentes en la organización de los registros de inventario. reordenación B. Contabilidad de activos y el departamento de TI. En este caso, se puede afirmar en general que los directorios encontrados en el sentido de las normas no se han completado. Contabilidad de activos recoge a través de normas de valoración comerciales, todo ello para ser considerados bienes tangibles y donde ciertos enfoques disponibles para el fondo de comercio 52 de participaciones existentes. Los enfoques de valoración prudente tener en cuenta sólo el precio de compra depreciado. A este respecto por cada equipo administrado en la Contabilidad de activos fijos constantemente pierde su valor, a pesar de que los datos almacenados en ella
52 fondos de comercio = (a pérdidas y ganancias) precio de compra - valor del balance
una inversión.
117 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_5, Springer © 2013 Fachmedien Wiesbaden
determinar los valores de información
podrá ser superior al valor de la información de hardware a un múltiplo elevado. contabilidad de activos tradicional está motivado por la idea de la protección de los acreedores y el cumplimiento de los requisitos legales y, como tal, es muy limitado en una posición a otros patrones de valor, ya que se han de aplicar en el campo de ISMS, casi realista representar. Incluso la transición se enfrentan actualmente a otros criterios de evaluación 53 no tiene suficientemente en cuenta los requisitos de un SGSI. En este sentido, los registros de inventario existentes no son suficientes para el SGSI, pero tienen que ser modificado en consecuencia. Una lista de ejemplos de posibles valores se puede encontrar en la sección 2.1 en la página 24. Dicha lista pero no puede ser completa: Pero la organización es capaz de grabar todos los activos de información importantes para su negocio específico - también en el contexto de las actuales legal u otros requisitos externos.
Tras la detección de la información valora el gran cuidado debe ser tomado. Los valores de la información son punto de partida para el análisis de riesgos para llevar a cabo más tarde. Por lo que el análisis de riesgo no será demasiado complejo y difícil de mantener, los valores de la información deben ser categorizados en forma razonable o agrupados. z demasiado grueso. B. detección del procesamiento de datos de personal sobre un solo valor de la información, tales como sistema de tratamiento de datos personales. Este valor de la información se ha de considerar diferenciado significativamente en la práctica. Se superpone la mayoría con el procesamiento de datos financieros. En esa medida, es aconsejable tener en cuenta más delicados categorías de valores - por ejemplo, los siguientes:
-
datos personales
-
software de aplicación de datos personales
-
servidor de base de datos SQL para el personal,
-
servidor de datos personales (Unix)
-
Cliente de Windows 7 (Estándar)
53 ¿Qué hay de IFRS = Normas Internacionales de Información Financiera; gradas
bajo el principio de un valor razonable.
118
¿Dónde y cómo se puede determinar los valores?
-
Cliente de Windows 7 (con medidas de seguridad especiales para el departamento de personal)
-
Los administradores (Estándar)
-
Los administradores con mayores necesidades. En la categorización
También tenga en cuenta si existe un solapamiento con otros valores: Este podría ser el caso en el ejemplo anterior para el procesamiento de datos financieros. Posiblemente ambas áreas pueden ser considerados como un valor común y se trataron en el análisis de riesgos.
En última instancia, los valores de adquisición debe ser abordado de manera pragmática. pertenece sobre todo en el reconocimiento inicial a también en cierta medida el proverbial "Cuidado con la brecha!". Es la naturaleza de tratar con la seguridad y el riesgo de que no puede haber afirmaciones absolutas aquí. Debería haber habido barco "insumergible" y "fortalezas inexpugnables" que han caído todos modos o fueron tomadas. Un SGSI menos requiere la construcción de una fortaleza inexpugnable, sino más bien la constante vigilancia para identificar los riesgos para responder con un esfuerzo razonable de las amenazas más importantes y hasta el momento de desactivar vulnerabilidades pasadas por alto, por lo menos. Cuando está presente una amenaza o vulnerabilidad, existe también un valor afectada y esto se debe a continuación son reconocidos - si no lo ha hecho.
5.2
¿Dónde y cómo se puede determinar los valores?
La información no está generalmente disponible en muchos lugares. Una protección del hormigón sólo es posible si se conocen los diferentes sitios y sus alrededores. La protección efectiva sólo se puede construir en el conocimiento más detallado del tipo de información y la forma precisa de su ocurrencia.
En la organización que se requiere para llevar a cabo nuevas investigaciones: -
puede servir una división en los datos de productos, estrategia de marketing, documentos, datos de desarrollo de TI, datos financieros, datos del personal como punto de partida.
-
Sobre la base de los registros de inventario existentes como el departamento de TI y la contabilidad de activos puntos de contacto adicionales se pueden determinar.
119
determinar los valores de información
Esto da una primera impresión del paisaje de los activos de información de la organización. Sobre la base de estas investigaciones preliminares, un cuestionario estructurado puede preparar, sobre la base de los cuales se lleva a cabo la entrada inicial real de los activos de información más precisas. Como entrevistas de aproximación con el papel de los titulares de la organización son relevantes. Veamos algunos ejemplos de información que puede salir a la luz a través de estas entrevistas:
-
Know-How-soporte del cabezal índice de desarrollo El gerente de
desarrollo tiene en su escritorio un archivo que contiene los nombres y las áreas de operación de varios empleados que han sido empleadas en los proyectos de desarrollo especiales. Se necesita el índice de poner juntos los equipos eficaces de desarrollo apropiadas. -
gerente de TI Plan de Emergencia
El director de TI tiene un plan de contingencia que se ha creado hace unos 3 años (y sin embargo nunca se utilizó). -
Estación de trabajo PC estándar
PC estándar para estaciones de trabajo están preconfigurados por el departamento de TI entregados a los usuarios. Como sistema operativo se utiliza Windows 7 con la configuración predeterminada proporcionada fabricante.
-
consultor de TI de múltiples Secure
El consultor de TI de la empresa "Multi Secure" regularmente tienen acceso a todos los sistemas de TI. Con la compañía es una relación comercial a largo plazo, con los individuos involucrados en el cambio. Para llevar a cabo su trabajo, los empleados requieren regularmente privilegios ampliados y adquirir conocimientos acerca de los mecanismos de seguridad y máquinas de contraseñas.
-
Gestión de relaciones con Konrad Taler
La empresa de consultoría "Taler" desarrolló un concepto de lanzamiento para el nuevo producto XY. La consultora está en el negocio de la organización en su líder de campo, y no se descarta que la competencia requiere sus servicios.
-
banco
Para garantizar la financiación de la deuda, el banco va a ganar una penetración en el plan de desarrollo de negocios.
-
120
software de cifrado de disco
¿Dónde y cómo se puede determinar los valores?
Para el cifrado de disco duro del PC portátil, se utiliza el producto XY. Se pre-instalado por el departamento de TI y aplicado por el usuario de acuerdo a sus necesidades. -
sala de servidores en la carretera principal 4, ciudad alta en el espacio del sótano
0114 de las instalaciones de la sala de servidores está alojado. La utilizado anteriormente como un área de almacenamiento está separada por el código de bloqueo de las otras áreas y sólo accesible para el personal dedicado del departamento de TI.
-
Sistema de protección contra rayos
El edificio en la calle principal de la ciudad 4 superior está provista de un sistema de protección externa contra rayos. Los usuarios se quejan de trastornos esporádicos contra la pérdida de datos y PC.
-
cableado
El trabajo en las habitaciones (carretera principal 4, ciudad superior) ubicados PC para ser operado en el mismo circuito que otros consumidores.
-
Las unidades flash USB
Las unidades flash USB se utilizan sin arreglos y precauciones especiales. -
administrador de TI para el cortafuegos
El administrador del servidor de seguridad se conoce como muy confiable. Se puede acceder sin restricciones a todos los archivos FirewallLog. -
programa de contabilidad financiera Flexi financiera
Esta aplicación permite la gestión y recuperación de todos los datos financieros. La aplicación está sujeta a una gestión de autorización por separado. El número de beneficiarios ha aumentado de forma constante desde la introducción del software, a pesar de que el número de empleados de la organización, mientras tanto, ha reducido considerablemente.
-
Sitio web para el sitio web
La página web para el sitio web no contiene datos confidenciales. Por lo tanto, no hay necesidad especial de protección se han visto aquí hasta ahora. Hasta el momento sólo se produjo en faltas de ortografía despreciables como una característica especial.
121
determinar los valores de información
Después de los datos así obtenidos, se categorizar los valores de información individuales: Lo anterior Sistema de protección contra rayos y cableado los activos de información subsumidos podrían usarse como "la construcción de la carretera principal
ser tratada 4, ciudad alta". La información obtenida durante las entrevistas ideas acerca de las características específicas en cuanto a la protección contra la luz y el cableado no debe perderse aquí, por supuesto.
Del mismo modo, puede ofrecer a resumir algunos de los activos de información no por afiliación a una organización o términos fácticos, pero de acuerdo a su grado de confidencialidad o el grupo de oficiales, "la impresión estrictamente confidencial", "lanzado para la divulgación de información sin restricciones", "Información para la junta", " servidor Unix con mayores requisitos de seguridad ". Cuanto más grande es una organización, más importante para el éxito de una buena estructuración ISMS un directorio de inventario. Una manera pragmática para capturar análisis estructural
un importante subconjunto de los valores de información, es decir, los valores relacionados con TI, muestra el análisis estructural de la protección de línea de base de TI:
-
los procesos de negocio son en primer lugar (la medida en que a las aplicaciones que lo es) cubiertos.
-
Después de eso, los sistemas de TI involucrados se enumeran para cada aplicación informática.
-
El tercer nivel consta de los enlaces de comunicación entre los sistemas de TI. La etapa final consiste en la infraestructura física que es utilizada por las aplicaciones informáticas. aplicaciones de TI, sistemas de información, enlaces de comunicaciones
y habitaciones de TI se identifican y el inventario completo. La profundidad de la representación debe ser elegido de modo que todos puedan ser reconocidos para el diseño de medidas de seguridad Aspectos importantes. De ancho que no viene a la exhaustividad formal, sino que todos deben tomarse en consideración para las aplicaciones de TI característicos de sistemas, redes y elementos de infraestructura. Los valores de información detectadas de este modo se necesitan más adelante con el fin de determinar sucesivamente la necesidad de protección de aplicaciones informáticas, sistemas de información, enlaces de comunicación, y finalmente las salas de ordenadores.
122
¿Quién es responsable de la seguridad de los valores? La no-inventariado como parte de los activos de información de base que incluya la protección de TI
-
el personal,
-
los documentos en papel,
-
servicios
-
Imagen y reputación
son importantes y necesitan ser recogidos, además de los ISMS. Sin embargo, esto es probable que sea relativamente sencillo y fácil de clasificar grupos de valores de la información en el caso individual.
5.3
¿Quién es responsable de la seguridad de los valores?
Al introducir los valores de información era el "dueño" de un valor de la información, el discurso - la persona que fue asignada la responsabilidad general para el valor, incluyendo, en principio, también incluye el tema de la seguridad. Por supuesto, las actividades relacionadas con la seguridad se pueden delegar. La responsabilidad de la seguridad que será como propietarios de un valor a continuación, sólo si se garantiza que las tareas de seguridad identificados son realizadas por personal apropiado, y comprobó sus resultados. Se encontró que para un valor de la información no Se establece la rendición de cuentas, que debe ser completado inmediatamente. A menudo uno se encuentra en la práctica a las responsabilidades superpuestas, como puede verse en el siguiente ejemplo:
Para el jefe de personal de procesamiento de datos personales es responsable como el propietario de los datos inicialmente. El director de TI es responsable de la operación del servidor y los clientes de recursos humanos asociados. El jefe del departamento de programación o los gerentes de compras son responsables de proporcionar el software necesario. Puesto que los datos personales son datos personales, incluyendo el oficial de protección de datos ve una jurisdicción. que quería aquí claro definir las responsabilidades, que tendría el valor de la información datos
personales dividir de acuerdo con las funciones antes mencionadas y responsabilidades en una serie de activos de información. Este caso se produce siempre cuando se trata de la superposición responsabilidad - por ejemplo. Ya que debido a otro propietario del proceso, los administradores de centros de costos, los planes de distribución comercial, trabajos de inter-departamentales.
123
determinar los valores de información
Si, de lo contrario, el valor de la información no dividir, pero sólo distribuir la responsabilidad para el valor a más de una persona, por lo que se daría solamente un desdibujamiento de responsabilidad: Como parte de un incidente de seguridad, ningún punto claro de contacto se pudo encontrar.
5.4
¿Quién determina la importancia de un valor?
Después de la ejecución en 5.3, es evidente que, ante todo, el propietario de un valor de la información acerca de su importancia decidirá (y esto es responsable). En la práctica, varios papeles o individuos a menudo tienen un fuerte contacto con el valor de la información respectiva. todo lo que juzgar la importancia del valor de la información igual, probablemente más bien raro. Con la mayoría de los valores de la información esto es para que estuvieran en función de departamento, más o menos en el enfoque y por lo tanto no están igualmente percibido en su importancia en la organización. La forma de proceder en diferentes evaluaciones? Como resultado de la discusión, el más alto que ocurre debe ser elegido, es decir, la mayor importancia es decisiva. principio del máximo
clasificación
Como parte de un SGSI ciertas clases debe ser especificado para determinar la importancia del valor de la información. Para la orientación, una clasificación se establece con cuatro etapas. La importancia del valor de la información (la importancia de la organización) podría -
despreciable BE, que está de pie en relación con este valor ocurrencias conducen a lo sumo a un daño insignificante a la organización,
-
bajo ser si el valor puede dar lugar a daños que, aunque tolerable, pero no despreciable para la organización,
-
alto ser, que hay indicios de una alta pérdida en caso de
-
muy alto si tal. B. puede dar lugar a una existencia peligrosa o un desarrollo sostenible de la organización debilitante daños en relación con el valor.
Tenga en cuenta por un lado que el daño potencial de las probabilidades siempre y las pérdidas en función de la otra parte
124
¿Quién determina la importancia de un valor?
por lo general una amplia gama de categorías de daños tales. B. Violaciónes de la ley, la pérdida financiera, se observaron daños a la marca. La relevancia de protección de datos (presencia de datos personal) de un valor de información debe ser detectada en la clasificación como una característica independiente. Este es un requisito previo para la revisión sistemática de la protección de datos en los conceptos de registro y autorización pertinentes y afecta a la evaluación de la adecuación de los puntos fuertes mecanismos de protección de datos durante entornos de transmisión, procesamiento, almacenamiento y mantenimiento, donde posiblemente vienen personal extranjero empleado ,
demarcación
La delimitación precisa entre etapas se ajusta individualmente por la organización - por el daño financiero que esto es fácil porque la pérdida asciende a de € ser definida como umbrales La clasificación puede no comprimido o totalmente (sólo "importante", "importante") están, o para otras normas (por ejemplo, las categorías de requisitos de protección de la protección informática de referencia) magra: ISO 27001 requiere solamente una clasificación apropiada y los detalles que salen de forma útil la organización de usuarios ,
presentación
Protección análisis de las necesidades
En la determinación de la importancia del valor de la información del sistema de gestión de la seguridad debe tomar más de un moderador como una determinación de la posición y dejar la especificación del propietario del valor de la información. Esta restricción a una postura neutral se le paga de acuerdo a la experiencia a largo plazo. Cuando más tarde llega a la presupuestación, ejecución y cumplimiento de las medidas de seguridad, gestión de la seguridad tiene la oportunidad de construir sobre la auto-definido por las clasificaciones partes. valores de información: Como parte del método de protección básica para determinar la importancia (vulnerabilidad aquí en el sentido del) Protección análisis de las necesidades proporcionada. Una vez más, la definición de las clases de requisitos de protección debe adaptarse a las necesidades específicas de la organización.
La relevancia de protección de datos se detecta en la protección de línea de base predeterminada modelo, como un criterio adicional separada.
A partir de la necesidad de proteger los procesos de negocio (y sus datos asociados) se cierra sucesivamente en un proceso formalizado a la necesidad de proteger las aplicaciones informáticas, los sistemas informáticos, los enlaces de comunicación y los espacios (infraestructura).
125
6
La gestión del riesgo Después de determinar los valores de la consideración de los riesgos que estos valores se encuentra ahora en. Los riesgos deben
-
análisis (= identificados y estimación), y
-
ser evaluados, que colectivamente, evaluación de riesgos se llama. Aquí
hay que tener en cuenta el hecho de que la norma no especifica los métodos pertinentes. El 27001 ISO estándar (así como ISO 27005) proporciona sólo sugerencias y requisitos mínimos que se deben realizar por ejemplo en análisis de riesgos.
La exposición al riesgo
El análisis de riesgos se compone generalmente de dos pasos, a saber, la determinación de si uno está siempre en riesgo ( Riesgo de exposición) y la estimación del riesgo. La realización de un análisis de riesgo a menudo sólo tiene sentido si se comprobó si todo el riesgo requisitos de las leyes, contratos y directrices internas de existencia independiente se cumplen (cumplimiento). En este sentido, un análisis de riesgos es premisa de al menos un control de conformidad áspera.
Por otro lado, algunos riesgos de cumplimiento se descubren como parte de un análisis de riesgos. De todos modos vacíos identificados en el cumplimiento deben retirarse siempre independiente de lo establecido en la exposición al riesgo de análisis de riesgos. Requisito para una exposición de riesgo es la presencia de dos condiciones, a saber,
-
la existencia de un defecto o vulnerabilidad
-
y una amenaza de apareamiento - o más. Mientras que la amenaza es la
exposición más perniciosas fuera que representa en la parte afectada del sistema a proteger, es en la vulnerabilidad a una propiedad, que es inherente en el propio sistema. La amenaza es por lo general de resumen, la vulnerabilidad de una naturaleza concreta.
127 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_6, Springer © 2013 Fachmedien Wiesbaden
La gestión del riesgo
Tabla 8:
Descripción general Análisis de Riesgos
Las amenazas de TI Protección de línea de base
Descripción más complejos en el contexto de modelos definidos (bloques)
Amenaza para la ISO
La vulnerabilidad a la ISO
Propiedad de un componente del sistema que lo hace particularmente vulnerables a una amenaza.
Posibilidad de efectos nocivos de la parte exterior de un sistema para proteger los componentes.
medidas de seguridad Las medidas de seguridad puestas en su mayoría en el
Las medidas de seguridad para contrarrestar
punto más débil, porque es más fácil de influenciar que
las amenazas que requieren un mayor nivel de
la amenaza.
poder de toma de decisiones.
Sólo si al menos un par de juego puede ser nombrado de vulnerabilidad y amenaza específica, existe un riesgo de exposición en términos de integridad objetivos de seguridad, disponibilidad y / o la confidencialidad. En este caso, es necesario hacer una imagen plástica como sea posible de la situación de riesgo ya hacer observaciones cuantitativamente fiables para la entrada y la extensión del daño. Así, para cada caso de un riesgo establecido de exposición a un análisis de riesgos se requiere, que proporciona la necesaria para detectar y evaluar el riesgo económicamente explotable y compresible en la presentación de informes indicadores para el riesgo.
Ni la Protección de TI de línea de base sigue siendo el tratamiento estándar se acerca a monetario La evaluación de riesgos. Como en la práctica aumentar la demanda de una evaluación económica comprensible de los riesgos con el fin de informar el riesgo legal, sino también para el cálculo de casos de negocio, nos centramos en la sección 6.4 complementar el tema.
6.1
requisitos mínimos normativas de ISO 27001 Para identificar los riesgos deben ser determinados para cada valor de la información, qué amenazas se expone, y por lo debilidades que es vulnerable. En este contexto, el daño en términos de confidencialidad, disponibilidad e integridad deben ser determinados. Es una estimación de la probabilidad y la magnitud de los daños, teniendo en cuenta
128
requisitos mínimos normativas de ISO 27001 llevar a cabo las medidas de seguridad existentes. Por lo tanto los riesgos estima que se asignan a una categoría de valoración. En primer lugar, necesitamos una mejor idea de cómo el valor de la información relevante, su entorno - quizás mejor expresada por el entorno operativo - y su importancia. valor de la información
Si el valor de la información, por ejemplo, una sala de servidores, debe especificarse aquí
-
a la que pertenece,
-
que características estructurales están presentes (z. B. perímetro de protección),
amenazas
-
con el que está equipado de alimentación (electricidad, aire, etc.),
-
qué sistemas son operados allí, y
-
qué evidencia hay de una amenaza. El siguiente paso es identificar las
amenazas. Para la determinación de las amenazas puede introducirse en la lista siguiente tomada de la parte de la ISO 27005 (Anexo C): Tabla 9:
lista de amenazas
tipo de amenaza
amenaza abstracta
daño físico
Fuego, el agua, la contaminación, accidente grave específica, la destrucción de los dispositivos y medios de comunicación, los choques electrostáticos.
evento natural
eventos de clima severo, anomalía climática, terremotos, actividad volcánica, inundaciones evento.
pérdida de servicios de suministro
La falta de aire acondicionado de fallo de alimentación, la falta de conexiones de telecomunicaciones.
radiación
La radiación electromagnética, radiación térmica, pulso electromagnético.
Compromiso de la información
Espionaje, espionaje, robo, manipulación.
Los errores técnicos
la falla del equipo, falla de software, sobrecarga del sistema.
129
La gestión del riesgo
amenaza abstracta
tipo de amenaza
acciones impropias uso no autorizado del sistema, abusivo software de copia, uso ilegal de software.
Compromiso de funciones
un error del usuario, el abuso de los derechos, la falsificación de los derechos.
Otros, específicamente
Hacking, cracking, la ingeniería social, la suplantación de identidad,
amenazas humanas
ataques al sistema, la extorsión, el soborno, el vandalismo malicioso software.
Tales colecciones se usan como una guía para la identificación de amenazas. En nuestro ejemplo, la sala de servidores, las amenazas podría ser algo como esto:
-
Incendio en la sala de servidores: En la sala de servidores hay dispositivos que pueden suponer un incendio.
-
Fuego en la habitación o vecinos próximos edificios: No contenía peligros particulares de incendio deben ser identificados.
vulnerabilidad
130
-
Inundaciones debido a la ubicación en el sótano, bajo un techo o un incendio agua plana.
-
daños por sobretensión: por un rayo o perturbaciones en la red.
-
corte de corriente o de tensión fluctuaciones.
-
El fallo de una unidad de aire acondicionado.
-
Vandalismo.
-
Robo.
-
Sabotaje.
En el análisis de amenazas, un análisis de las vulnerabilidades existentes conecta. Aquí, también, se presenta una lista que es prestado en su mayor parte el anexo D de la norma ISO 27005:
requisitos mínimos normativas de ISO 27001 Tabla 10:
Lista de vulnerabilidades
Tipo de vulnerabilidad
Resumen de la vulnerabilidad
Medio Ambiente /
edificios no protegidos, puertas, ventanas. La falta de control de
Infraestructura
acceso o hacer caso omiso de las precauciones por los empleados. instalaciones de energía inestable. zona de riesgo de inundación. Fuego corresponde sólo a la ley. Especificaciones.
hardware
La sensibilidad a las fluctuaciones de voltaje. sensibilidad a la temperatura. El polvo, la suciedad, sensibilidad a la humedad. La sensibilidad a la radiación electromagnética.
sensibilidad electrostática. documentación insuficiente de la configuración de hardware. Software y Datos
concepto técnico insuficiente. No probado o software "inmaduro". defectos de usabilidad (facilidad de uso). Identificación o autenticación insuficiente. La falta de registros (logs). error de software conocido. archivos de contraseñas sin protección. mecanismos de control de acceso en mal estado o complicados. permisos de acceso sin explicación. la instalación no regulada o descarga de software. Sin autologout.
documentación insuficiente. La falta de copias de seguridad. procedimientos de extinción inseguras para los medios auszumusternde. Las entradas incorrectas.
Opciones de acceso no autorizados.
131
La gestión del riesgo
Tipo de vulnerabilidad
Resumen de la vulnerabilidad
comunicación
enlaces de comunicaciones sin protección. la transmisión cifrada. Missing autentificación de abonados. La falta de entrega demostrable de un mensaje.
conexiones (sin garantía) de acceso telefónico. gestión de la red inapropiado (enrutamiento fracaso propensas). arquitectura de red incierto.
papeles
reproducción no reglamentada y distribución. almacenamiento sin protección o archivado. El manejo descuidado.
personal
La escasez de personal.
La mala calidad de la conciencia de seguridad insuficiente selección de personal. familiaridad con las prácticas de seguridad insuficientes. actividades sin supervisión de personal externo.
Procesos / flujos de trabajo a alta complejidad del proceso. Missing posibilidad de seguimiento del proceso. La ineficiencia o disfunción del proceso. La falta de un proceso. riesgo de abuso de un proceso. proceso obsoleto.
No observar el proceso. Inconsistencias con respecto a los diferentes procesos. responsabilidad poco clara del proceso. Incomprensibilidad o la complejidad de la documentación del proceso de trabajo. sobrecarga burocrática.
132
requisitos mínimos normativas de ISO 27001
Tipo de vulnerabilidad
Resumen de la vulnerabilidad
vulnerabilidades Cross
punto único de fallo. déficits mantenimiento.
introducción negligente y observancia de las medidas de seguridad. similitudes de diseño con sistemas redundantes.
En nuestro ejemplo, la sala de servidores siguientes debilidades se pudo detectar: -
La sala de servidores no está equipado con un Brandfrühsterkennung y no tiene ningún equipo especial de lucha contra incendios.
-
La sala de servidores ha Unported entradas de cable y no tiene puertas especiales con el aumento de la resistencia al fuego.
-
La sala de servidores no está protegido debido a su sótano contra la acumulación en la extinción de incendios de agua. Las inundaciones por un retorno del agua desde el sistema de canal público no puede ser excluida.
-
Aunque el edificio tiene una protección externa contra rayos, la sala de servidores pero son todos los dispositivos que no están protegidos por el UPS no está suficientemente protegido por la protección contra la luz interna. Carece de la protección fina.
-
No hay ninguna fuente de alimentación de emergencia real, el UPS está diseñado para un cierre ordenado del servidor principal.
-
El aire acondicionado se lleva a cabo sobre una sola instalado en el dispositivo de pared divisor sin supervisión remota.
-
Desde allí en el verano es a menudo un poco demasiado caliente y el aire acondicionado no se puede asegurar de forma fiable la disipación de calor suficientemente el personal se abrirá la puerta para el intercambio de aire suficiente. Este hecho pone el control de acceso existente temporalmente y sin compensación desactivada.
-
La pared de la cámara vecina está diseñado de acuerdo con los códigos de construcción los requisitos legales; en caso de incendio en los próximos temperatura ambiente en la sala de servidores de 200 grados Celsius debe suponerse a 70 grados Celsius, el fallo se debe asumir para la infraestructura de procesamiento de datos.
133
La gestión del riesgo
-
Las copias de seguridad se guardan en un armario de acero en el pasillo. El corredor está separado espacialmente desde el espacio del servidor y conduce a una sala de almacenamiento con altas cargas térmicas, a su vez, es inmediatamente adyacente a la sala de servidores. Después de llevar a cabo el análisis de la amenaza y la vulnerabilidad, la identificación de riesgos se hace ahora.
riesgo identificación
El más importante se debe al menos estar representados en relación con el equipo de la sala para albergar daños.
-
daños confidencialidad: En el verano, las personas no autorizadas puedan acceder sin control a la sala de servidores debido a que la puerta y las ventanas son a menudo abierta. medios extraíbles o hardware podrían ser robados de la sala de servidores que contiene documentos comerciales confidenciales.
-
daños de integridad: En caso de fallo del aire acondicionado, en caso de incendio, rayo o debido a otras causas se pone en peligro la integridad de los datos de sobretensión.
-
riesgo estimación, - clasificación
134
daños Disponibilidad: Todos los sistemas de información conectados a la red de la empresa pueden fallar en una tormenta. Sobretensiones conduce al fracaso en los routers y conmutadores, sin el mantenimiento de la red no es posible.
Para estimar y evaluar los riesgos más simple posible método debe utilizarse. Basado en la ISO 27005, nos gustaría presentar un esquema adecuado:
requisitos mínimos normativas de ISO 27001 Tabla 11:
Evaluación de los riesgos
bajo
La gravedad de la amenaza
nm
La expresión de la
medio
s
nm
fuertemente
s
nm
s
Wert 54
vulnerabilidad
20000 €
la dirección
presente riesgo
informar
la aprobación de pago
Por debajo de estos umbrales más especificaciones se clasifican de acuerdo a los niveles jerárquicos, áreas funcionales o responsabilidades del proyecto posible o poder de decisión en la responsabilidad operativa del personal operativo están dadas. Una escalada en los niveles superiores de gestión sólo se requiere cada vez que el nivel inferior de la jerarquía ha agotado sus opciones de riesgo y todavía sigue siendo un riesgo de que supere los umbrales definidos anteriormente. La obligación de cumplir con las normas de cumplimiento se mantienen independientes de riesgo establecido siempre existirá.
147
7
Editar metas de acción y medidas Sobre la base de la determinación de los valores y la evaluación del riesgo Llegamos ahora a las medidas. En primer lugar, cabe destacar que
-
-
cada categoría de seguridad en el Apéndice A de las medidas estándar un objetivo tiene que ser alcanzado por las medidas que figuran allí, cada medida desde el Apéndice A de las normas que deben cumplir sólo en un segundo paso a un individuo específico o una medida correspondiente de medidas. El tratamiento de los objetivos y medidas de medidas relacionadas con la Declaración de aplicabilidad hemos cubierto partir de la página 61 en las secciones 2.3 y 2.4, así como el plan de actividades j.
TI Protección de línea de base
Entre las medidas de las normas que tenemos - añadió para dar una mano, más información sobre las medidas específicas individuales, pero, por otro lado, la aplicación de la norma ISO 27001 en las referencias a los componentes y las medidas individuales de los Catálogos de TI-Grundschutz - especialmente para los usuarios de TI protección de línea de base para hacer la conexión con la protección de TI de línea de base transparente. El uso de estos dispositivos y medidas, por supuesto, opcional, que no es obligatorio para el cumplimiento de la certificación ISO 27001. Los objetivos y las medidas de medidas 60 del Apéndice A de la norma que queremos aquí mucho en detalle y comentario.
numeración
Nuestra numeración es consistente con el Anexo A de la norma, es decir, que se inicia con A.15 y termina con el A.5.
60 Una visión completa de todas las áreas de regulación y Categoría de seguridad contiene la Tabla 5 en la página 104, un directorio completo con todas las medidas se puede encontrar en el apéndice en "lista de medidas en el Anexo A de la norma ISO 27001" desde el lado de 335o
149 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_7, Springer © 2013 Fachmedien Wiesbaden
Editar metas de acción y medidas Las medidas individuales se presentan en una caja gris, para diferenciarse de nuestros comentarios. A.5
política de seguridad
Esto ocurre en el Apéndice A del término estándar política de seguridad significa la directriz ISMS en su conjunto, las medidas están ahí, pero sólo para el (niño, posiblemente por separado) la política de seguridad de la información.
A.5.1
la política de seguridad de la información
Esta categoría de activos utilizados para proporcionar una gestión en el contexto de los requerimientos del negocio y las leyes y reglamentos aplicables orientación y apoyo para la seguridad de la información. Se formuló dos medidas para las que no hay alternativas que vemos. Ellos son siempre aplicables y siempre deben ser seleccionados.
A.5.1.1
Directriz para la Seguridad de Información
La administración debe aprobar una política de seguridad de la información, publicar y poner todos los empleados y de los mismos externos pertinentes.
La guía debe ser lo creado ser que se ofrece información relevante para el grupo objetivo establecido para este accesible y comprensible. cuando liberación debe, por supuesto, limitada a la política de seguridad de la información y no toda la pauta SGSI (véase la Fig. Sección 2.4, página 37 y siguientes.) publicar.
A.5.1.2
Revisión de la política de seguridad de la información
La política de seguridad de la información debe a intervalos regulares y siempre son revisados si se realizan cambios significativos para asegurar su conveniencia, adecuación y eficacia con el tiempo.
En cuanto a la revisión Nota es también la discusión a la fase CHECK-b en el lado 76 f. Como una extensión de la medida, la revisión de la política de ISMS debe extenderse en su conjunto.
150
A.6
Organización de la seguridad de la información
Con el fin de satisfacer la demanda de A.5.1.2, es muy recomendable para la guía (s) responsables de una propietario a nombre. Su misión es, entre otras cosas, garantizar la puntualidad de la guía (s) - preferentemente por intervalos de revisión definidas. Necesidad de cambio puede ajustarse tan pronto como las operaciones de la organización, las disposiciones capaces procesos de negocio individuales o sus cambios de implementación técnica. Las reglas, las nuevas directrices de la última revisión por la dirección deben ser contados.
Desde la perspectiva de la protección informática de base estos problemas especialmente en BSI estándar 100-2, es decir, no se trata en la sección 3.3 son. En el lado de la acción, las medidas son especialmente
-
M2.192 (preparación de la guía),
-
M2.193 (construcción de una estructura organizativa adecuada ...)
-
para nombrar M2.199 (mantenimiento de la seguridad de TI) - este último
especialmente para el aspecto de verificación.
A.6
Organización de la seguridad de la información
En este rango de control es sobre el manejo de la seguridad de la información dentro y fuera de la organización.
A.6.1
organización interna En primer lugar, los aspectos que se abordarán en relación con el funcionamiento interno de la organización y sus acciones.
A.6.1.1
la gestión del compromiso de seguridad de la información
La administración debe apoyar activamente mediante la definición de una dirección clara, compromiso demostrado, tareas explícitamente formulado y reconoce las responsabilidades de seguridad de la información, seguridad de la información dentro de la organización.
la clara alineación debe reflejarse en la política de seguridad de la información; la compromiso es evidente en las actividades de gestión, que se describen en la sección 3.3 de la 67a lateral Esto incluye la descripción
151
Editar metas de acción y medidas y la asignación de responsabilidades - pero por supuesto también monitorear la efectividad de todas las especificaciones. la formulación " ... reconoce las
responsabilidades de seguridad de la información. "Se entiende en el sentido de " ... establece las funciones de responsabilidad para la seguridad de la información y confirmada. " A.6.1.1 a las medidas contribuyen
-
M2.336 (asumiendo la responsabilidad general de la seguridad de TI mediante la gestión) y
-
M2.193 (construcción de una estructura organizativa adecuada) en el catálogo de
medidas de protección de TI de línea de base.
A.6.1.2
Coordinación de seguridad de la información
Las actividades dentro de la seguridad de la información deben ser coordinadas por representantes de las diferentes áreas de la organización con las áreas pertinentes de responsabilidad y funciones.
En las Secciones 3.9 y 4.2 en el Foro de Gestión (ISF) se observó en el relevante para el ámbito de la organización SGSI y para el nivel de gestión debería estar representada. Por muy grande, las organizaciones distribuidas debe ser dado a si en realidad esto es una sola, que se reúne en un comité lugar o si una distribución espacial y la diferenciación de tareas es más apropiado en este contexto. Para las organizaciones muy pequeñas, la tarea de coordinación se puede hacer
A.6.1.2 debe ser ejecutado incluso por una sola persona. La medida ya se ha mencionado -
M2.193 (construcción de una estructura organizativa adecuada) de la
protección informática de referencia habla de una parte de TI Equipo de Gestión de
Seguridad Por otra parte responsable de apoyar el oficial de seguridad de TI de una Manager desde el nivel de gestión como un punto de contacto para la seguridad de TI - ambas funciones están haciendo de la ISF.
152
A.6
A.6.1.3
Organización de la seguridad de la información
Asignación de responsabilidades para la seguridad de la información
Todas las responsabilidades de seguridad de la información deben estar claramente definidas.
Esta medida tiene un impacto en prácticamente todas las actividades dentro del alcance del SGSI: Es necesario recoger toda la información pertinente en el contexto de las tareas de seguridad de la información y la identificación de los responsables por su nombre oa nombre. La forma más sencilla es determinado las tareas pertinentes rollo asignar a capturar estas funciones en una lista de funciones que especifica
el papel de propietario y mantener una lista de todos los cambios. Además, tales rodillos deben estar provistos de descripciones de tarea o proceso. Básicamente esa tarea se aplica a cualquier función delegado , Es decir, la aplicación práctica se puede transmitir a los demás; la responsabilidad sigue siendo, sin embargo, obtener el propietario de la función. A partir de este último deber del titular de la función de supervisar la ejecución de las tareas delegadas a continuación. se utilizan en la definición de responsabilidades pueda después de sistema de RACI o una distinción detallada modelo variante entre la definición de tareas -
responsable
La responsabilidad de la aplicación,
-
responsable
Legalmente responsable,
-
consultado
a participar, compartir profesional de la responsabilidad,
-
informado
informar, los derechos de información.
Roles y responsabilidades con un carácter crítico, que por razones de seguridad, la regla de dos hombres - por la división del trabajo adecuada o controles adicionales - Asegurar debe ser documentada. Además de la medida ya tensas M2.193 también a nombre de la protección de línea de base de TI:
-
M2.225 (asignando la responsabilidad de información, aplicaciones y componentes de TI).
153
Editar metas de acción y medidas
A.6.1.4
Procedimiento de aprobación de las instalaciones de procesamiento de información
Para las nuevas instalaciones de procesamiento de información de un procedimiento de autorización debe ser determinada por la dirección e implementado.
Es ventajoso realizar este requisito en un proceso integral, que es la solicitud de adquisición de los sistemas informáticos que funcionan y las pruebas de integración, la configuración de seguridad correcta y la integración, el cumplimiento de la política de seguridad, el despliegue y la liberación de la operación deben ser componentes de tal procedimiento de autorización ser. Piense en equipo de procesamiento de información no sólo en los sistemas de TI tradicionales, sino también en los ordenadores portátiles y cuadernos, y z. En cuanto a los PDA y los teléfonos móviles (en todo tipo de construcción) - esto sugiere la Gestión de dispositivos móviles sucesivamente.
El tema será abordado por la medida M2.216 (procedimiento de aprobación de los componentes de TI) en la protección de TI de línea de base; También hay medidas
-
M2.9 (prohibición de la utilización de hardware y software no aprobado) y
-
señalar M2.62 (aceptación del software y el proceso de aprobación).
A.6.1.5
acuerdos de confidencialidad
Requisitos de los acuerdos de confidencialidad o privacidad del que reflejan la necesidad de protección de la Organización para la información deben ser identificados y revisados regularmente.
Debe tenerse en cuenta,
154
-
cuando los acuerdos de confidencialidad son necesarias
-
qué requisitos deberán ser efectuados,
-
¿Cómo se comprueban regularmente estos requisitos,
-
qué hacer en caso de violación de la confidencialidad en casos individuales y
A.6 -
Organización de la seguridad de la información
cuánto tiempo se debe mantener la confidencialidad de la información.
Para hacer frente a requisitos claros de contenido confidencial debe ser formulado - esto se aplica igualmente dentro de la organización, así como en la cooperación y la comunicación con las partes externas:
-
Dentro de la organización, puede que sea necesario para llegar a acuerdos con los empleados en materia de secreto, antes de grabar según las actividades sensibles.
-
Antes o en el transcurso del establecimiento de una relación comercial con un acuerdo de confidencialidad externa con las disposiciones pertinentes es pensar en los estados financieros.
-
También es importante pensar en reglas en cuanto a la información confidencial por Expiración del acuerdo de acuerdo es - debe ser mantenida en el caso más sencillo mediante el establecimiento de una fecha para la cual la confidencialidad.
Está claro que, si bien la necesidad de protección de la factura de la información en cuestión debe ser usado.
La medida pide A.6.1.5 básicamente crear estandarizar los requisitos y aplicar para comprobar su utilidad con regularidad. En el contexto de la gubernamental clasificada (VS) son aquellas disposiciones ya en relevante aquí Según la Declaración de bloqueo ( VS-A) se establece. Cuando TI Protección de línea de base se puede encontrar en estas cuestiones, las medidas
-
M3.55 (acuerdos de confidencialidad),
-
M3.2 (compromiso de los empleados para cumplir con las leyes, normas y reglamentos)
-
M2.226 (regulaciones para el uso de personal externo)
-
M2.253 (contratos con el proveedor de servicios de externalización), y
-
M2.393 (controlar el intercambio de información).
A.6.1.6
El contacto con las autoridades
los contactos adecuados con las autoridades pertinentes deben ser mantenidos.
155
Editar metas de acción y medidas Si las autoridades se producen en ciertas aplicaciones como órganos de control o de supervisión, éstos, naturalmente, son "relevantes" clasificado en el grupo. Se recomienda que el contacto temprano que dichas autoridades puedan cumplir con sus requisitos de seguridad de la información y para tener en cuenta - en el contexto del futuro entra en normativas vigentes. En el caso habido violaciones de la seguridad incurridos autoridades pertinentes pueden ser necesarios los mismos deberá ser notificado.
Este círculo de las autoridades incluyen ,. Como las autoridades de protección de datos, las autoridades fiscales, el Ministerio de Economía en el campo de (estado) la protección del secreto en la economía, la Agencia Federal de Redes emite la firma electrónica. al autoridades Del texto de la norma Inglés incluir a las autoridades en áreas específicas - tales. A medida que el cuerpo de bomberos, que debe estar involucrado en el asesoramiento sobre la seguridad contra incendios, como parte de las visitas al sitio o incluso con cambios significativos en la infraestructura. En relación con la seguridad de las infraestructuras de comunicaciones en contacto con los operadores de telecomunicaciones se llevará a. Cuando TI Protección de línea de base este problema se considera particularmente en el contexto de la gestión de emergencias.
A.6.1.7
Contactar a grupos de intereses especiales
los contactos adecuados con los grupos de intereses especiales u otros foros de seguridad de expertos y asociaciones profesionales deben mantenerse.
Los contactos de este tipo son particularmente útiles cuando se trata de la experiencia, los requisitos de consultoría, regulaciones de la industria, información sobre la vulnerabilidad, la formación de su propio personal.
consulta
En su función de asesoramiento, la Oficina Federal para la Seguridad de la Información se menciona. Además asociaciones, profesionales y de la industria, la Asociación TeleTrusT y la Sociedad para la informática en la categoría Los foros de seguridad de expertos clasificar.
CERT
servicios de consultoría incluyen la información de vulnerabilidad que es suministrada por una variedad de servicios del CERT.
156
A.6
formación
Organización de la seguridad de la información
Muchos proveedores de formación conocidos en la técnica proporcionan una amplia gama de formación sobre seguridad de la información.
Si siempre es útil en estos grupos de interés a un acuerdo sobre un contrato de cooperación debe ser comprobado de forma individual. Los últimos dos sub-temas están cubiertos por la protección que Línea Base
-
M2.35 (información sobre los fallos de seguridad del sistema) y
-
M2.312 (diseño de un programa de formación y sensibilización).
A.6.1.8
Revisión independiente de la seguridad de la información
El enfoque de una organización para el manejo y la aplicación de seguridad de la información (es decir, objetivos medidas, políticas, lineamientos, procesos y procedimientos para la seguridad de la información) debe ser verificada por un organismo independiente a intervalos regulares o después de cambios importantes en la seguridad implementada.
Esto se realiza mejor a través de auditorías internas y externas. Las auditorías internas que hemos discutido en la sección 3.4 en la actividad CHECK-e (ver página 77) y, en 3/10 notas. El tema de la aplicación práctica de las auditorías internas y externas seguirá siendo tratado exhaustivamente en el capítulo 10 de Dicha revisión por independiente (es decir, desde el objeto de prueba no se ve afectada) personal termina en un informe correspondiente, que será el punto de partida para acciones correctivas y preventivas.
revisiones independientes son un aspecto de la medida de protección básica A.6.2
M2.199 (mantenimiento de la seguridad de TI).
relaciones exteriores
En esta categoría de seguridad se trata de la participación de las partes externas y mantener la seguridad de la organización si
157
Editar metas de acción y medidas -
De datos y sistemas se utilizan o gestionan por partes externas,
-
están disponibles para esto, o
-
Los datos se comunica a las partes externas.
A.6.2.1
Identificación de los riesgos relacionados con el personal externo
Los riesgos para la información y procesamiento de información de las instalaciones de la organización que son causadas por los procesos de negocio que involucren a empleados externos deben ser identificadas y medidas apropiadas tomadas antes de que esta se concede el acceso.
Cualquier implicación de externo a los procesos de negocio de la organización, básicamente, debe ser tratado igual que su propia participación: Un análisis de riesgos y evaluación de riesgos es llevar a cabo medidas efectivas deben ser diseñados e implementados. Un ejemplo típico de tal participación externa es la relación entre productores y proveedores. En un sentido algo más amplio supervisores están involucrados, si requieren el acceso directo a los procesos de negocio de la organización. En última instancia, los terceros que apoyan los servicios para los procesos de negocio proporcionan los proveedores de Internet (z. B., empresas eléctricas, empresas de limpieza) para incluir aquí.
Cuando se le preguntó acerca de la seguridad en el proveedor de servicios cuya política puede (si lo hay) de seguridad, si es necesario, ayudar incluso una certificación existente. Sin embargo, uno no debe estar satisfecho con la única indicación de la certificación, pero al menos determinar un alcance preciso de la certificación y el nivel de seguridad se basa. El análisis del riesgo de que el problema no se puede ignorar que muchos proveedores de servicios son cada vez más subcontratistas están encendidos. Por tanto, un contrato de servicio debe incluir una disposición en cuanto a si y en qué medida el proveedor de servicios puede ser subcontratada perdonar y qué requisitos de seguridad se deben cumplir allí.
En el lado de la acción es para el intercambio electrónico y almacenamiento de datos sensibles muy principalmente a
158
A.6
Organización de la seguridad de la información
pensar en un cifrado adecuado. Con respecto a la cuestión de la autorización por extraños especialmente los procesos de identificación y de autenticación (en el acceso a las instalaciones sensibles, el acceso a información sensible) debe estar diseñado adecuadamente y con seguridad. Tal vez tenga sentido desde un punto de vista legal, recibir al menos indicios de la confidencialidad de los contenidos o de la supresión requerida en caso de recepción accidental o no autorizado de documentos (no protegidas de otro modo) y correos electrónicos. Este control también puede dar lugar a pensar en lo que corre el riesgo de surgir dentro de sus propias organizaciones cuando los clientes ya no tienen acceso a "su" información y aplicaciones (aspecto disponibilidad). Tales riesgos deben ser mitigados por SLAs apropiadas, límite de exclusión de los pagos de compensación etc ..
A.6.2.2
Abordar la seguridad cuando se trata de clientes
Todos los requisitos de seguridad identificados que deben ser considerados antes de clientes el acceso a la información y valores de la organización se da. ISO 27002 explica que "clientes" en este control significa que todas las partes externas, básicamente, que intervienen en los procesos de negocio de la organización. Antes de que uno (por lo general a los valores) proporciona a los clientes acceso a sus propios datos y sistemas que garantizan los requisitos de seguridad necesarios deben ser determinados y reunirse con las medidas adecuadas. Tiene sentido ir en este caso análogo a la última medida antes, es decir, en el análisis de riesgos secuencia de pasos, evaluación de riesgos, la formulación de los requisitos, la selección de las distintas medidas apropiadas.
Es importante que los clientes estén informados de las medidas pertinentes reciben los requisitos correspondientes y cumplan y, si es necesario, los incidentes de seguridad informe. Dichos puntos deben ser considerados en el contrato con el cliente o sus propias condiciones como parte del contrato - incluyendo, por supuesto, las cuestiones de responsabilidad, el cumplimiento, la inspección de la ley, los derechos de autor y la protección de datos.
159
Editar metas de acción y medidas
A.6.2.3
Abordar la seguridad en los acuerdos de terceros
Acuerdos con terceros en relación con el acceso, procesamiento, comunicación y administración de información o de procesamiento de información de las instalaciones de la organización, o que ofrecen productos o servicios a las instalaciones de procesamiento de información deberán cubrir todos los requisitos de seguridad pertinentes.
Esta medida exige en los acuerdos con terceros - a tomar todos los requisitos de seguridad que son necesarias para alcanzar los objetivos de seguridad de la organización - como participantes en los procesos de negocio de la organización o como un "proveedor". hemos mencionado que en los dos controles anteriores algunas cosas. En ISO 27002 sección 6.2.3 una extensa lista de puntos que se da se pueden incorporar en tales contratos. Proporcionamos las siguientes palabras clave de búsqueda: ajuste o sustitución de la orientación, la protección de los objetos sensibles, formación de usuarios, comprobado de personal, obligación de publicar los fallos o defectos, derechos de inspección.
política de privacidad
160
Desde la perspectiva de la organización es importante en todos los acuerdos con los servicios de apoyo para hacer frente a la situación de que los servicios de aficionados pueden fallar. Una compensación financiera puede ser acordado, pero para los servicios críticos es el plan de sustitución y mantenimiento de (z. B. un segundo proveedor de servicios que saltar cuando sea necesario). No se descarta que los empleados del contratista pueden ver sus datos de carácter personal en el desempeño de su trabajo, los resultados de 11 BDSG obligaciones estipuladas en el contrato (procesamiento de datos de pedido). la participación de un socio externo es particularmente crítico para tratar si se trata de datos de una llamada portadora secreto profesional (por ejemplo, los médicos, abogados, contadores, etc.) es. Según el § 203 de la responsabilidad penal Código Penal puede existir si una lectura aleatoria de datos secreto profesional es por personas que no están autorizados para hacerlo. Dado que los empleados externos regularmente no pertenecen al círculo de oficiales, la externalización de procesamiento de datos en las nubes o el proveedor de servicios de centro de datos dinámicos (virtualización) es muy problemático aquí, porque por lo general no suficiente protección se puede ofrecer incluyendo el uso de la tecnología de encriptación aquí.
A.7
Gestión de los valores propios de la organización
Además de la exigencia en todos nuevo toman acuerdos incluyen arreglos o entendimientos del tipo descrito, es una revisión periódica ya existente hacer arreglos.
revisión
Cuando TI Protección de línea de base para encontrar la información en la descripción de las medidas para
-
M2.393 (control de intercambio de información)
-
(M2.253 contratos con el proveedor de servicios de externalización)
-
M2.226 (regulaciones para el uso de personal externo)
-
M5.87 (acuerdo sobre el acceso a redes de terceros) y
-
M5.88 (acuerdo sobre el intercambio de datos con terceros).
Independientemente de las medidas individuales identificados es fundamental en
externalización
este contexto la protección que el bloque de línea de base
-
M1.11 (externalización)
observado. Con certificaciones de BSI está más allá de la Directiva -
"La certificación de TI Protección de línea de base de los componentes subcontratados" de 08.03.2004
aplicada. Este, pero la política actual de mayor todavía se puede encontrar en la página web de BSI en la lista de documentos de esquema de certificación ISO 27001. Para profundizar en el tema que hemos añadido algunas explicaciones en este libro al final de la Sección 10.7.
A.7
Gestión de los valores propios de la organización
Esta zona de regulación de los aspectos de seguridad de gestión de dos categorías tratado de lograr y mantener una protección adecuada de los propios activos de información de la organización. A.7.1
La responsabilidad de los valores de la organización
A.7.1.1
Parte de los valores propios de la organización
Todos los valores propios de la organización (activos) deben ser claramente identificados y un inventario de todos los valores propios de la organización importante (activos) son creados y mantenidos.
161
Editar metas de acción y medidas
A.7.1.2
Propiedad de los valores propios de la organización
Toda la información y los valores propios de la organización (activos) en conjunto con las instalaciones de procesamiento de información deberán ser asignados a una parte específica de la organización como el propietario de estos valores.
A.7.1.3
El uso adecuado de los valores propios de la organización
Se identificarán las reglas para el uso permitido de la información y los valores propios de la organización (activos) en combinación con instalaciones de procesamiento de información, documentados e implementados.
La preparación de un directorio de inventario, nombrando a una persona responsable para cada valor de la información y la colocación de las reglas para el uso de los valores son pasos clave en la implementación de un SGSI. Estamos en los detalles en la sección 3.2 en la actividad Plan D y el detalle en el capítulo quinto A la cabeza y la actualización periódica de tales listas pueden ser relevantes en otros contextos - como prueba del cumplimiento de los requisitos legales, técnicos y de otro tipo para informar sobre las finanzas y los impuestos.
Cuando el inventario de TI Protección de línea de base de los activos de información es parte del análisis estructural (s. / BSI 100-2 /). el tema
propiedad es también el sujeto de la acción -
M2.225 (asignando la responsabilidad de información, aplicaciones y componentes de TI). Los requisitos de A.7.1.3 están básicamente en
-
M2.217 (clasificación cuidadosa y manejo de información, aplicaciones y sistemas)
pero entonces tratado en una variedad de medidas individuales para hacer frente (M2.118 / 2119), dispositivos móviles (M1.33 / 1,34 / 2,309) y medios (M2.218), etc. que tienen que ver con el uso de correo electrónico.
162
A.7 A.7.2
Gestión de los valores propios de la organización
Clasificación de la información
Las siguientes medidas, el énfasis está en el adecuación de protección.
A.7.2.1
Reglamento para la clasificación
La información debe ser clasificada en términos de su valor, requisitos legales, su sensibilidad y criticidad de la organización.
Se requiere que la demanda de clasificación de la información aquí por varios aspectos: la clasificación de la información bajo -
su valor para la organización,
-
los requisitos legales existentes,
-
la sensibilidad a la organización (expresada por una escalada de los objetivos de seguridad y los requisitos de protección),
-
criticidad (por los procesos de negocio de la organización).
Recomendamos elegir el número de tales clases o clasificaciones no demasiado grande. Tomemos el ejemplo del objetivo de seguridad confidencialidad: Una clasificación de la información confidencial para "abierto" y "Company Confidential" puede ser suficiente. Tal vez usted todavía va a agregar una tercera clase, por ejemplo, para proteger particularmente digno de know-how corporativo o para la estrategia de datos sensibles de la Junta.
Es importante que estas clases se acompañan de reglas que indican cómo hacer frente a la información de cada clase - si el igual reglas para todos Las clases son, la división no tiene sentido. Demasiado bien una clasificación tiene desventajas significativas debido a que la clasificación de una sola información, entonces se hace más difícil, el ISMS aumenta en su conjunto de complejidad y en última instancia, no puede ser práctico.
clasificado
Puede ser que se requiere la clasificación de la información por parte del cliente o cliente y uno debe comprometerse a respetar si quiere conseguir un trabajo. Esto es para. B. En el caso de la información secreta de estado (información clasificada, VS), de acuerdo con las cinco etapas abierta, VS sólo para uso oficial, VS confidencialidad
163
Editar metas de acción y medidas Lich, secreto VS y VS-Top Secret clasificarse. Las reglas para el manejo de dicha información se especifica en la cuenta de la información clasificada (VS-A). Los ejemplos anteriores se refieren a la seguridad de la diana Confidencialidad. La clasificación no sólo debe tener en cuenta la confidencialidad en función de las circunstancias específicas, pero también puede afectar a los aspectos de integridad y disponibilidad: Se puede definir clases similares de la integridad y la disponibilidad de los objetivos.
disponibilidad
En la disponibilidad de información (o más bien la necesidad de los mismos sistemas, aplicaciones o procesos de negocio) podría ser de normal, alto y muy alto hablar disponibilidad y establecer un tiempo de inactividad máximo permitido o una tasa de fracaso de cada una de estas etapas. Todos los sistemas de información (aplicaciones), que son esenciales para un proceso de negocio crítico se clasifican como uno de estos pasos - que son seguidos por reglas para tratar con esta información (sistemas, aplicaciones), por ejemplo. Por ejemplo, con respecto a la copia de seguridad de los datos, la fiabilidad del personal de mantenimiento o de administración, los requisitos para la provisión de dispositivos de repuesto.
criticidad
En el ámbito de la planificación de emergencia es el criticidad visto desde los sistemas, aplicaciones y procesos de negocio. Se determina el orden de recuperación de estos objetos en una situación de emergencia, con el fin de minimizar la pérdida de la organización como sea posible - pero también tiene influencia en las medidas preventivas y puede conducir a un general estrategia de continuidad conducir 61a Algunos más información, véase la sección sobre la continuidad del negocio a partir de la página 258. La clasificación del valor de la información puede cambiar: Una información podría ser rebajado por ejemplo como VS secreto confidencial clasificada. Una aplicación puede ser promovido z. A partir de la criticidad medio de alta criticidad. Incluso para tales cambios de clasificación necesitan en las reglas apropiadas existir especificaciones. Básicamente, para exigir también que las clasificaciones existentes de valores de la información se comprueban regularmente.
Cambios en la clasificación
61 Estos y otros temas del campo de la planificación de emergencia z. Al igual que en el libro sistema de gestión de emergencias de TI
/ KSK2011 / tratada de la Springer Vieweg Verlag.
164
A.7
Gestión de los valores propios de la organización
Cuando la protección de la línea de base, la cuestión de la clasificación se relaciona principalmente con la requisitos de protección considerado. Como medida es especialmente
-
M2.217 (clasificación cuidadosa y manejo de información, aplicaciones y sistemas) a nombre.
A.7.2.2
Etiquetado y manejo de la información
Los métodos adecuados para el etiquetado y la manipulación de la información deben ser desarrollados de acuerdo con la ley aplicada por el régimen clasificación de la Organización y puesto en práctica.
por debajo marca el proceso se entiende aquí para asignar una información (por ejemplo. como una carta, un archivo, un e-mail) de acuerdo con las reglas de clasificación aplicables de una clase, y esta clase indicado por un sello en la carta, o por un atributo para el archivo o el correo electrónico hacer. Ejemplos de esto que ya han dado en el control previo.
Para el marcado, no debería haber reglas pragmáticas que son sencillos y fáciles de usar. Cabe señalar que una clasificación sólo es útil si hay un suficientemente grandes diferencias entre clases y suficientes reglas diferenciadas.
también puede realizar esto en cuenta en la práctica que el cumplimiento de las normas debe ser monitoreado la emergente en el texto de la acción de los aspectos de la aplicación. El camino de la vigilancia de los grupos de la Organización se encuentra, si se trata de su propio esquema de clasificación; con esquemas externos (tales como el VS-esquema), el cliente determinará la metodología de control apropiada. En este punto, si bien únicamente en la información de identificación de la pregunta. Puede ser útil, sin embargo, las aplicaciones y los sistemas que procesan información clasificada, la marca correspondiente. Esto es seguido reglas pueden conectar, puede ser que algunos sistemas altamente clasificados instalados solamente en las zonas de protección especiales y operados, operado por personal adecuadamente de confianza y mantuvo el mismo con las aplicaciones y sistemas clásicos
165
Editar metas de acción y medidas sificación o pueden comunicarse a través de canales apropiadamente clasificados.
A.8
la seguridad personal
Entre ellas zona de regulación la seguridad personal caer tres categorías de seguridad que tienen que ver con la calificación y la fiabilidad del personal.
A.8.1
antes de contratar
la palabra empleo no debe tomarse literalmente. Más bien, significa cualquier designación de una persona con una nueva tarea relacionada con la seguridad o tomar una nueva responsabilidad (seguridad relacionada) por una persona. A partir de la garantía relativa a la exigencia de que se obtiene dicha delegación de tareas o responsabilidades siempre debe ser por escrito.
Una transferencia de este tipo puede empresa internamente, sino también en relación con los contratistas o proveedores tienen lugar. El objetivo es que los comisarios a entender su nuevo papel y la responsabilidad y la capacidad suficiente, para su ejecución. Además, para garantizar que las medidas son implementadas riesgos de personal (robo, fraude o abuso) se reduce suficientemente.
A.8.1.1
Roles y responsabilidades
tareas de seguridad y responsabilidad de los empleados, contratistas y terceros usuarios deberían definirse de acuerdo con las políticas de seguridad de la información de la organización y documentado.
Se procede a continuación a los empleados de una organización, sus responsabilidades de seguridad deben ser definidos y documentados. Esto puede, en el caso más simple por una directriz comportamiento laboral suceder que consigue entregado a cada empleado. Para actividades adicionales críticos para la seguridad (por ejemplo., Administración del sistema, copia de seguridad, gestión de incidentes de seguridad) deben se crean instrucciones de trabajo detalladas.
166
A.8
la seguridad personal
Esto también se aplica a los contratistas y "tercer-usuario": A modo de ejemplo, el papel del Comisionado de Privacidad mencionado, que es particularmente frecuencia emitida por las empresas más pequeñas a un externo. Otros ejemplos son los casos en que la infraestructura de TI se mantiene por un contratista o incluso alojado y gestionado. Está claro que este tipo de actividades críticas para la seguridad pueden llevarse a cabo sólo sobre la base de una descripción clara del trabajo, en todos los aspectos de seguridad se tratan. Lo que se considera como relevante para la seguridad y la forma de tratar con él, deberán ser compatibles con los principios de la guía ISMS y las normas y medidas resultantes.
Desde la perspectiva de la protección informática de referencia, la siguiente medida es principalmente mencionar:
-
M2.1 (definición de las responsabilidades y regulaciones para el uso de las TI).
A.8.1.2
revisión
Comprueba el pasado de todos los solicitantes, contratistas y tercer usuario debe ser realizado de acuerdo con las leyes, normas y principios éticos, y tienen los requisitos de negocio, la clasificación de la información que va a utilizar esto, y los riesgos identificados puede ser apropiado.
Los ejemplos del Comisionado de Privacidad y el apoyo externo de TI anterior dejan claro que sólo las entidades más fiables y de confianza son elegibles para la designación. Las conversaciones con las personas designadas - a la reposición de los solicitantes ya que hablan - son una manera de hacer alguna evaluación de tales características personales, posiblemente, también la consideración de las evaluaciones de empleadores anteriores que se presentan con una aplicación. Información sobre una persona debe preferirse solicitada como una auto-revelación. Si se toma una ruta diferente, por ejemplo mediante el encendido de una agencia de crédito es prestar atención a la protección de los derechos de privacidad de los individuos.
167
Editar metas de acción y medidas Por lo que esta prueba inicial es positiva, la presentación de un certificado de buena conducta puede contemplarse para actividades de seguridad particularmente críticos.
Se requieren más medidas si tal. para ser ejecutado como tareas en el área de información clasificada Estado: Se trata de una llamada iniciada control de seguridad. La crítica es objeto de medidas de protección básicas -
M3.33 (pruebas de seguridad de los empleados) y
-
M3.50 (selección de personal). Una faceta
del sujeto es también en -
M3.10 tratado (selección de un administrador de confianza y representativa).
A.8.1.3
las cláusulas del contrato de empleo
Como parte de sus obligaciones contractuales, empleados contratistas y tercer usuario debe estar de acuerdo con los términos del contrato de su contrato de trabajo y firmarlo; estas cláusulas tienen su y definen las responsabilidades de la organización para la seguridad de la información.
En muchas organizaciones, es común que la obligación de protección de datos de empleo se adjunta, que es la señal por separado. Recomendamos a entregar a la política de seguridad de la información y, posiblemente, la directriz de emergencia al firmar el contrato de trabajo y para confirmar la voluntad de su atención por la escritura. Especialmente cuando se accionan las actividades de desarrollo sensibles, puede ser razonable concluir acuerdos especiales sobre la protección know-how - posiblemente también con efectos a partir del final del trabajo también.
También hay que señalar que en realidad hay son obligaciones mutuas, la propia organización a fin de obtener al menos la obligación de crear las condiciones necesarias para el cumplimiento de seguridad de la información y para obtener permanente. En el plan de acción de la protección de línea de base de TI, las medidas encontraron esta
168
A.8
A.8.2
la seguridad personal
-
M3.2 (compromiso de los empleados para cumplir con las leyes, normas y regulaciones) y
-
M2.226 (regulaciones para el uso de personal externo).
mientras estaba empleado
Después de la puesta en marcha de una nueva actividad en el cumplimiento de las medidas garantizada en A.8.1 debe, que los funcionarios responsables. B. Consciente de las amenazas de seguridad típicos para su actividad específica, se comportan de acuerdo a las reglas de la organización y son venir de la organización con todo lo necesario. Esto permite que el riesgo de error humano se reduce, si no se elimina. Otros factores a considerar son la motivación de los empleados y las condiciones necesarias para la estación de trabajo.
A.8.2.1
responsabilidad de la dirección
La administración debe requerir que los empleados, contratistas y de seguridad de otro usuario se aplican de conformidad con las políticas y procedimientos de la organización establecidas.
una instrucción suficiente profundidad de las personas, una alta sensibilidad y motivación, así como el mantenimiento de las cualificaciones profesionales contribuyen a esta medida - no menos importante la conducta ejemplar de la gestión de autoestima del término. pauta en A.8.2.1 y ciertos otros controles, por
traducción
favor refiérase a la Sección 2.5. En este caso, la política de seguridad no está destinado. Por favor, corrija mentalmente para
Directiva. A.8.2.2
La sensibilización, la educación y la formación para la seguridad de la información
Todos los empleados de la organización, y, si, contratistas pertinentes y tercer usuario, actividades de sensibilización adecuadas en el campo de la seguridad de la información recibida, y para recibir información acerca de las reglas propias de la organización y los procedimientos para su importante labor.
169
Editar metas de acción y medidas
Los términos en el título de esta medida se entienden comúnmente como sigue: sensibilización es necesario entender el problema que tienen y el efecto que puede tener sobre la organización. Educación y formación servirá para satisfacer la prevista por la organización para resolver el problema con la suficiente profundidad. La conciencia es entonces adecuado cuando el conocimiento de los interesados respecto a la cuestión de seguridad continuo mantener suficientemente alta. Como resultado, usted tiene que repetir periódicamente las actividades de sensibilización. En la educación y la formación, es importante que cada participante llega a conocer al menos las normas que rigen sus reglas de actividad, procedimientos y medidas, de una profundidad y una intensidad que permite la aplicación práctica y el cumplimiento de las normas.
La importancia de la sensibilización y la formación para el SGSI y el éxito de la organización no se debe subestimar. Vale la pena aquí siempre proporcionar recursos adecuados. Por favor refiérase a la información de la DO-e en la página 71, señala en la página 74 y los detalles sobre los recursos humanos desde el lado de la 96ª Como parte de la protección de línea de base de TI están aquí, entre otras medidas
-
M2.312 (concepción de un programa de capacitación y sensibilización para la seguridad de TI)
-
M2.198 (conciencia de los empleados de la seguridad informática)
-
M3.5 (Educación sobre las medidas de seguridad de TI)
-
M3.11 (el personal de mantenimiento y administración de la formación)
a nombre, así como una variedad de formación e instrucción para los sistemas técnicos especiales.
A.8.2.3
procedimientos disciplinarios
Para los empleados que han cometido una infracción de seguridad, un procedimiento disciplinario oficial deben ser iniciados.
Donde hay luz, puede haber también sombra, que los incidentes de seguridad causados intencionadamente o por negligencia de las personas, siempre habrá. Esta medida se refiere a la
170
A.8
la seguridad personal
Procedimiento en tales casos, a saber, la posible iniciar procedimientos disciplinarios. Este término es cualquier medio de castigo de las violaciones de seguridad se puede ver aquí. Las sanciones pueden ir desde una simple advertencia, formal, trabajar amonestación jurídicamente significativa a la iniciación de un proceso penal. Este método consiste en la co-determinación y requiere de la participación de la representación de los trabajadores.
Aquí, sin embargo, se alcanza el límite del SGSI: implementación un proceso de este tipo ya no es el tema del SGSI, pero para instalarse en general en el campo principal de los departamentos de recursos humanos y de la responsabilidad del supervisor del empleado afectado. Cuando TI de línea de base Protección este tema "desagradable" estaría en -
clasificar M2.39 (respuesta a violaciónes de las normas de seguridad),
pero no será discutido allí. A.8.3
La terminación o cambio de empleo En esta categoría de seguridad es aproximadamente la correcto Finalización de una asignación - z. B. debido al cambio de una persona en otra actividad o salir de la organización o expiración de los contratos de servicio para el personal extranjero.
Este primer aspecto de correctamente es la exigencia de una jurisdicción para cambiar o detener de una asignación. Este aspecto se puede encontrar en el siguiente control.
A.8.3.1
Responsabilidades en que termina
Las responsabilidades para terminar o cambiar una relación de empleo deben estar claramente definidas y asignadas.
No directamente desafiado, pero sin duda es útil cuando la persona responsable de esta durante un definido proceso característica. Tal procedimiento establecido expedientes clásicos cuyos puntos tienen que ser procesados al cambiar o detener una actividad - se piensa en todo y nada olvidado. Consideración debe seguir las personas o entidades dentro o fuera de la organización de la planeada alterna
171
Editar metas de acción y medidas sel o el retiro de los empleados deben ser informados. Otro punto importante que debe ser informado acerca de, por supuesto, es que el papel hecho vacante en el futuro (y en qué momento) se hará cargo.
A.8.3.2
Retorno de los valores propios de la organización
Todos los empleados, contratistas y terceros usuarios deben devolver todos los valores propios de la organización en su posesión a la terminación de su empleo, contrato o acuerdo.
Esta medida se dirige a un punto importante en la agenda, es decir, el retorno de los utilizados para las actividades hasta la fecha, los activos de información de la organización. Esto puede ser por ejemplo (físico o lógico) clave de cifrado medios y dispositivos de cifrado, medios de autenticación (fichas, tarjetas inteligentes), documentos administrados restrictivas o computadora completa (por ejemplo, de la oficina en casa). Un caso particularmente crítico es cuando tal. A medida que los empleados utilizan sus propios dispositivos móviles (por ejemplo. A medida que los ordenadores portátiles o teléfonos inteligentes) ha sido autorizado para funciones oficiales y por lo tanto son los datos específicos de la organización de estos dispositivos. El retorno del valor de la información datos a continuación, incluye no sólo la transferencia de datos real, la cancelación de la misma en el dispositivo móvil privado.
A.8.3.3
Cancelar los derechos de acceso
Los derechos de acceso de todos los empleados, contratistas y terceros usuarios a las instalaciones de procesamiento de información y la información deben ser cancelados si termina su empleo, contrato o acuerdo, o se ajustan para reflejar los cambios.
El siguiente punto importante en la agenda: Todos los sistemas de TI, aplicaciones informáticas, almacenados en los permisos del sistema de control de acceso para esa persona que desea borrar (o se adaptan a la nueva actividad, si es que existe). Este punto se refiere a la inscripción de la persona en el papel y en grupo listas y listas de correo.
172
A.9
La seguridad física y ambiental
También puede ser necesario renovar por completo ciertos privilegios: pensar en las claves para asegurar áreas que han sido emitidas por la duración de un servicio a las personas extranjeras y posiblemente copiadas de ellos. Una vez finalizado el servicio que tiene que u. U. renovar todo el sistema de bloqueo.
Un punto importante es siempre la cuestión de la tiempo el levantamiento de los derechos de acceso. Si esto va a tener lugar al final de la relación de trabajo - o incluso tenerlo en la terminación? Puede haber situaciones donde se requiere una respuesta rápida. En los autores de otro punto en la norma no se aborda de manera explícita: Si bien hay en A.8.1.3 el requisito de la debida consideración de la seguridad en los contratos de trabajo, sin embargo, se siguen desaparecidos Entpflichtung en un cambio de trabajo o terminar el empleo. El interesado debe tenerse en cuenta en este punto de forma explícita a la persistencia de las obligaciones de confidencialidad; estas cláusulas pueden haber sido considerados no (lo suficiente) en los contratos de más edad, o el problema ha surgido solamente al hacerse cargo de ciertas tareas. Los tres requisitos A.8.3.x la Protección de TI de línea de base en virtud de la medida
-
M3.6 (Regulado procedimiento cuando los empleados se van)
subsumido y tratada concisa.
La seguridad física y ambiental
A.9
Esta área de control abarca la protección de zonas de seguridad es decir, las áreas dentro de la propiedad de la organización, en la que almacena los activos de información sensibles o procesada. Para este grupo de requisitos está disponible en los Catálogos de TI-Grundschutz propio y amplio catálogo de medidas: M1 (infraestructura). No nos referiremos a todas las medidas individuales.
A.9.1
zonas de seguridad
En la definición de las áreas de seguridad debe recordarse que las zonas son, por tanto, relevante para la seguridad, ya que están relacionados con el alcance del SGSI. Las discrepancias entre el alcance de las ISMS y posiblemente ya
173
Editar metas de acción y medidas existentes para las áreas de seguridad otras razones debe ser resuelto.
A.9.1.1
zonas de seguridad
Las zonas de seguridad (por obstáculos como paredes, acceso controlado tarjeta de acceso o áreas de recepción porteros recortadas) deben proteger a las secciones albergan las instalaciones de procesamiento de información.
Básicamente, esta medida significa que las áreas de seguridad deben estar separados de manera efectiva de otras zonas; a este se utiliza de vez en cuando la expresión protección perimetral. Esto significa que una zona de seguridad a) es correspondientemente marcados como tales,
b) puede ser controlado sucede en lugares definidos, c)
pero en cualquier otro es un acceso físico a la zona de seguridad no es posible o se detecta mediante el control de al menos una vez. Cuando TI Protección de línea de base se refiere a la medida existe
-
M1.55 (protección perimetral).
El grado de seguridad debe depender de la sensibilidad de los procesos dentro de la zona de seguridad.
Las limitaciones de los mismos. B. cercas, paredes y techos, puertas y cerraduras y ventanas caracterizan a la zona de seguridad. En casos extremos, una línea dibujada en la línea del piso ya se puede identificar un área de seguridad y definir: pensar en la zona privada en el banco o la zona de separación en el control de pasaportes. Es de evaluar, sin embargo, si una delimitación tales simbólico es suficiente, ya que la siguiente medida de muestra.
A.9.1.2
control de acceso
zonas de seguridad deben ser protegidos por controles de acceso adecuados que sólo el personal autorizado el acceso se concede a garantizar.
El acceso a las zonas restringidas de seguridad solamente puede ser posible utilizando un control de acceso cuya seguridad es apropiado para los activos de información protegida. Hay que asegurarse de que sólo
174
La seguridad física y ambiental
A.9
recibir acceso autorizado. Tales controles de acceso pueden practicar para. B. ser realizado por cerraduras con tarjeta inteligente o cheques clásicamente mediante la asignación controlada de llaves de las puertas, o por medio de controles por parte del personal de seguridad. Por supuesto, esto sólo tiene sentido si en la zona de seguridad de acceso no controlado en otros lugares es imposible o suficientemente rápidamente detectable (por ejemplo por medio avance seguridad, alarma). Muy eficaz es tener múltiples zonas de seguridad por niveles a través del cual se incrementa el valor de resistencia: Esto se refiere al tiempo en minutos que resiste un ataque guardia; ya que esto también depende de las capacidades del atacante, se define clases de resistencia en la combinación de tiempo y habilidad requerida del atacante (aficionado, experto con / sin herramientas especiales, etc.) para un ataque exitoso. siempre pertenece a un sistema de control de acceso y un registro del ejercicio de los derechos de acceso - ya sea automáticamente por un sistema de control de acceso o por la grabación manual (como en el ejemplo de libro de visitas). El fondo es que sólo este tipo de eventos de grabación se pueden reconstruir de manera fiable. Hay que reconocer, al menos, los siguientes datos: nombres de las personas, el nombre de la agencia, el momento de la entrada en el área de la seguridad y el momento de salir.
Los derechos de acceso siempre debe seguir el principio de mínima y después de la estrategia privilegios mínimos serán otorgados: sólo se asignan esos derechos, que son realmente necesarias. Con la eliminación de la necesidad de que los derechos deben ser retiradas. La lista de los derechos asignados en la medida seguimiento regular. Especialmente en las grandes organizaciones, es imperativo que todas las personas usan una característica de identificación visible, posiblemente diferenciados en función de los diferentes grupos de estado (tales como empleados de la empresa, el personal contratado, visitantes). Para que otras personas son fáciles de detectar.
Cuando TI Protección de línea de base se puede encontrar en este tema, la medida
-
M2.17 (control de acceso y vigilancia).
A.9.1.3
Asegurar oficinas, salas e instalaciones
La protección física para oficinas, habitaciones y las instalaciones debe ser planificado e implementado.
175
Editar metas de acción y medidas Esto incluye, por fuerza. B. oficinas simples caen sin grandes necesidades de seguridad -, así como las oficinas de los desarrolladores que están trabajando en proyectos sensibles, o locales por los administradores dentro de un centro de datos. Además, las áreas de tecnología deben ser considerados en el que correr juntos, por ejemplo, los enlaces de comunicación o el sistema de telecomunicaciones, el sistema de alimentación de emergencia, el SAI centrales, se instalan los aparatos de aire acondicionado. Otro ejemplo es salas de archivo. Por último, las instalaciones de servidores o centros de datos cubiertos por estas medidas A.9.1.3.
Especialmente delimitar áreas que son clientes están dejando y donde puede hacer funcionar esta sus sistemas (por ejemplo. Como resultado de un Tratado de Vivienda).
Para este tipo de objetos muy diferentes la necesidad de protección física debe ser dada a protegerse es planificar y poner en práctica adecuada. medidas de contrapartida de la Protección de TI de línea de base se incluyen normalmente en los siguientes componentes:
-
espacio de oficina B2.3.
-
sala de servidores B2.4.
-
archivo de datos B2.5.
-
B2.6 habitación de la infraestructura técnica.
-
B2.7 cajas fuertes.
-
B2.9 centro de datos.
-
reuniones, eventos y salas de formación B2.11. Casi banal: (. Ej directorio
telefónico) se consigue ya una primera protección, que no hay evidencia visible de las zonas de seguridad o documentos a disposición del público no contenga espacios y su propósito.
A.9.1.4
Protección contra las amenazas desde el exterior y desde el entorno
La protección física contra el fuego, el agua, terremotos, explosiones, disturbios civiles y otras formas de desastres naturales y artificiales se debe proporcionar e implementado.
176
A.9
La seguridad física y ambiental
Este requisito ha de entenderse que la primera tiene que ser analizado por el alcance del SGSI, que son pertinentes para los riesgos especificados en el texto de algunas habitaciones o edificios - solamente una protección física es planificar y poner en práctica. Como contribución a la protección contra el fuego Debe tenerse en cuenta dentro de las zonas de seguridad para el almacenamiento más prevenible de materiales inflamables (cargas de fuego). Otras medidas incluyen la construcción estructural con zonas separadas de incendios, extintores de incendios erigidas adecuados, dispositivos para la prevención de incendios (por ejemplo., Oxygen de reducción) y de detección de incendios (el más antiguo), si es necesario, un sistema de extinción automática. En los sistemas redundantes - tales como los servidores de aplicaciones críticas - asegurarse de que se colocan al menos en sectores de incendio independientes, si no una mayor distancia física (distribución de bienes por separado) se requiere.
De forma análoga, esto se aplica a todos los tipos de copia de seguridad: Debe ser una distancia de seguridad entre el original y la copia de seguridad. El módulo de protección razón
-
Centro de Datos B2.9
contiene su propio grupo de acción sobre protección contra incendios; los otros temas en A.9.1.4 ser tratadas más esporádicos.
A.9.1.5
El trabajo en las zonas de seguridad
protección física y directrices para trabajar en las áreas de seguridad deben ser desarrollados e implementados. Nos presentamos como un ejemplo de trabajo en un centro de cómputo, que se construye en una zona de seguridad. En las directrices se trata de normas de conducta en condiciones normales y en caso de emergencia (por ejemplo. Al igual que en caso de incendio), con el objetivo de trabajar en el personal de la zona de seguridad (por ejemplo. Como operador, administradores, técnicos de mantenimiento) en sus actividades necesarias para proteger. El trabajo es entre otras cosas una adecuada ventilación e iluminación, protección contra descargas eléctricas en condiciones inadecuadas, si es necesario, una limitación temporal del tiempo de trabajo por delante -
177
Editar metas de acción y medidas z. Al igual que en las zonas donde se ha realizado la reducción de oxígeno para la prevención de incendios. Se necesitan directrices para
-
Los técnicos de mantenimiento pueden realizar las reparaciones sólo después de la notificación y aprobación y bajo la supervisión,
-
El personal de limpieza pueden, si es necesario, tomar medidas sólo bajo supervisión,
-
personal autorizado con respecto a la conducción, que es acompañar a los visitantes (sobre las indicaciones de seguridad, incluyendo la grabación, la fotografía, el teléfono móvil y el tabaquismo en)
-
las áreas que salen ordenado de seguridad en caso de incendio (z. B. alarma audible antes de activar una eliminación automática),
-
el uso de los extintores portátiles en caso de incendio (que está permitido cuando ...).
A.9.1.6
áreas de acceso público, de entrega y de carga
Los puntos de acceso tales como las áreas de entrega y de carga y otros puntos de acceso donde personas no autorizadas pueden entrar en el local a ser inspeccionados, y, siempre que sea posible separar de instalaciones de procesamiento de información para prevenir el acceso no autorizado.
La propiedad es una organización requiere en la mayoría de los casos una protección perimetral, (empleados encargados, proveedores, proveedores de servicios, visitantes) es decir, la entrega o recogida de equipos y el acceso de ciertos individuos permite controlados, pero evita que cualquier otros entrantes o marcas por lo menos más difíciles y pueden descubrir ,
Ni que decir tiene que ha de ser comunicada con antelación y tienen que identificarse antes de que se introducen en el libro de oro (y posteriormente dados de alta en la salida). En la mercancía entregada una inspección de entrada se va a realizar, y en vista del contrato de suministro respectiva, así como en el contexto de los posibles peligros tales. B. entrega de material combustible o explosiva. Un control de salida en objetos inverosímiles también es útil.
178
A.9
La seguridad física y ambiental
¿Qué ocurre después de la inspección de entrada?
autorizaciones de acceso para más áreas de seguridad (edificios, locales) de la propiedad deben interpretarse de forma restrictiva y sólo pueden ser otorgados si la persona a causa de su trabajo en realidad requiere acceso. El acceso a tales zonas restringidas de seguridad, además de los empleados a menudo los de otras empresas (proveedor, técnicos de mantenimiento, servicio de limpieza, los auditores, eliminación de papel): desfavorable extrema cuando después de la protección del perímetro de la propiedad inmediatamente contigua a un área de seguridad es. En el control de entrada también la autorización para una o más áreas de seguridad se debe comprobar a continuación, además de la colección general y emisoras de tarjetas de visita, que siempre conduce a ciertas horas y en una mayor afluencia de visitantes problemas. Un informe de seguridad,
Por tanto, se recomienda encarecidamente enfoque multi-etapa y otra (seguridad) para proporcionar zonas después de la entrada a la propiedad sólo en una cierta distancia, y entonces sólo para permitir la entrada o la salida controlada. Como regla general, debe ser proporcionado por su propio personal dentro de una zona de seguridad acompañado por externa. Generalmente se tiene acceso a los sistemas de TI - si no se requiere de forma explícita - se puede prevenir con eficacia.
esclusas de material para las zonas de seguridad deben (al menos una puerta siempre está cerrada) se construirán dos etapas, que en ningún momento un acceso directo desde la propiedad debe ser posible en el área de seguridad. Cuando TI Protección de línea de base deambulan por una serie de medidas de este tema:
-
M1.55 (protección perimetral).
-
M2.16 (supervisión o vigilancia de personas extranjeras).
-
M2.17 (control de acceso y vigilancia).
-
M2.2 (gestión de recursos).
-
M2.90 (Comprobación de la entrega).
179
Editar metas de acción y medidas A.9.2
La seguridad del equipo Esta categoría de golosinas cuestiones dolorosas tales como pérdida, daños, robo y compromiso de los activos de información, así como el sabotaje de los procesos de negocio.
A.9.2.1
Colocación y protección de los recursos
El equipo debe estar dispuesto y protegida de manera que el riesgo se reduce por las amenazas del entorno por los desastres, así como la posibilidad de acceso no autorizado.
Aunque esta regla es un lugar común, a menudo observamos que el equipo esencial de la falta momentánea de espacio en los pasillos o salas de profesores se instalan y operan - pero sólo temporalmente, pero son sin embargo temporalmente expuesto a un acceso no autorizado. Por desgracia, a menudo resulta nada tan permanente como temporal. Otro ejemplo es el ajuste de la maquinaria no relacionada con la seguridad (por ejemplo, el almacén de suministro de papel) en zonas de seguridad. Esto plantea el problema de que muchas personas
necesitan tener acceso a la zona de seguridad, con el fin de alcanzar estos recursos - y pueden tener acceso a los recursos de información sensible en esta ocasión. En última instancia pertenecen a esta medida, las cargas de fuego ya mencionados en forma de cajas de papel y que pueden conducir a las amenazas del medio ambiente. Las tuberías de agua o posibles inundaciones también son una amenaza desde el entorno y nos lleve a la obligación de colocar sistemas de líneas que no son pertinentes o en zonas propensas a las inundaciones.
Protección de las instalaciones contra los efectos del rayo es otro ejemplo. El almacenamiento de cintas de respaldo en las bóvedas obesos es una buena cosa, pero poco sentido si la puerta está abierta permanentemente. El acceso no autorizado a continuación, es inevitable. contra la radiación
180
El tema de la radiación es también para ordenar en esta medida, ya que se trata de la posibilidad de acceso no autorizado a la información, como resultado de los recursos no protegidos (radiantes). Esto implica lo siguiente: Muchos electrónica
A.9
La seguridad física y ambiental
dispositivos africanos transmiten ondas electromagnéticas debido a las altas frecuencias de reloj usadas. Esta radiación puede llevar a información sensible en los sistemas de TI. Utilizando los medios apropiados, es posible recoger esta información a cierta distancia de la fuente y reconstruir. De esta manera, el objetivo de la seguridad de la confidencialidad se ve amenazada. Esta circunstancia es abstrahlgeschützten o especialmente en el campo militar a través de la (muy caro) utilizar el equipo abstrahlgeminderten (sistemas de Tempest o sistemas de modelo de zona) en cuenta. Para este círculo tela de juicio la BSI es el punto de contacto nacional.
A los recursos y los dispositivos móviles puede incluir que son salvaguardias adecuadas para proteger en caso de pérdida (por ejemplo., Por robo) al menos datos sensibles. Especialmente se utilizará el cifrado. Cuando se utilizan estos dispositivos en un área amplia, un soporte de equipo especial de gestión de dispositivos móviles incl. Recomendado (ver. Añadir sobre / KeKl2012 /).
Pero, por supuesto, también está el caso de los sistemas estacionarios, el riesgo de robo y el acceso a los datos.
La protección de los recursos contra las amenazas del medio ambiente también incluye toda la medición y alertar a la tecnología para detectar y condiciones ambientales inadecuadas (temperatura, humedad, caída de tensión, sobretensión, etc.) para ser capaz de reaccionar de forma apropiada.
A.9.2.2
Apoyando utilidades
El equipo debe ser protegido de los cortes de energía y los fracasos de otras utilidades. Electricidad, agua, climatización y líneas de datos son aquellos, equipos de apoyo necesarios. Tomemos el ejemplo de la fuente de alimentación, la protección básica, entre otras cosas, en -
M1.28 (sistema de alimentación ininterrumpida Local) y
-
M1.56 (fuente de energía secundaria)
se dirige. La protección más sencilla puede ser un dispositivo crítico USVPufferung que permite que al menos un cierre ordenado del sistema. Con el fin de no dejar que llegue sólo hasta, es también un suministro separado de electricidad por 2 unidades de rack o al menos los transformadores separados uno
181
Editar metas de acción y medidas RU útil. Otras medidas son el establecimiento de una estación de la batería central (conservación de energía en el rango más alto de minutos) para tender un puente, para opcionalmente un sistema de potencia (motor diesel) saltará (conservación de energía durante las horas / día, dependiendo del suministro de combustible). Aquí, también, varios puntos de entrega pueden ayudar a prevenir fallos en la red eléctrica.
Más recursos: -
La función de las cargas de calor para ser interpretado (con reservas) El aire acondicionado es muy importante para la producción ininterrumpida. Puede que sea necesario, incluso se construyen redundante.
-
Dos (lógica o físicamente separada) el acceso a Internet por diferentes proveedores o, al menos, dos puntos de transferencia separadas del mismo proveedor puede reducir el riesgo de precipitar la conexión a Internet.
-
Para redundante componentes de la red y que engrana de la red interna puede reducir los riesgos adicionales.
A.9.2.3
El cableado de seguridad
líneas eléctricas y de telecomunicaciones que suministran los datos de transporte o los sistemas de información estarán protegidos contra la interceptación o daños. Esta tiene como objetivo, por una parte a la manipulación indebida (z. B. tapones de la fuente de alimentación), por otro lado, la forma más común de interrupción debido al daño z. Al igual que en el curso de la construcción. cable de datos sin protección puede ser interceptada, la interrupción de la línea (s) al proveedor de Internet puede paralizar una organización por un largo tiempo.
El daño no debe ser siempre la intención, a menudo, los errores en el manejo de la causa. Por lo tanto la documentación de tramos de tubería y paneles de conexión es una medida importante para la prevención de problemas. Además, prestando atención a una separación de los cables de alimentación y de datos, con el fin de evitar interferencias. Tales temas se tratan en las siguientes medidas en la protección de TI de línea de base:
-
182
M1.22 (protección física de los tubos y distribuidores).
A.9
La seguridad física y ambiental
-
M5.5 (encaminamiento cable daño-reducción al mínimo).
-
M1.2 (disposiciones para el acceso a los distribuidores).
A.9.2.4
Mantenimiento de equipos
El equipo debe estar debidamente conservado y cuidado de asegurar su disponibilidad e integridad.
Este requisito no es necesario que se explicará más adelante: Usted debe extenderse a todos los electrodomésticos, debe observarse la información de los fabricantes o proveedores en cuanto a los trabajos de mantenimiento. Exhaustividad se entiende aquí en el sentido de la integridad y operatividad.
Para cumplir con este requisito A.9.2.4 que es útil tener una lista de los equipos en los que se enumeran todos los tiempos de mantenimiento y se introducen las obras terminadas. Por lo que existe seguro para los equipos, sino que también deben ser registrados; el cumplimiento de las condiciones de los seguros también se debe dar (posiblemente en el directorio mencionado anteriormente).
Con respecto a la disponibilidad mencionado hay que señalar que las pruebas regulares deben ser realizados por equipos importantes para detectar deficiencias en la función. Un ejemplo de esto es la prueba de funcionamiento regular de una emergencia. Se entiende en nuestro contexto diciendo que todos los trabajos de mantenimiento de los equipos debe ser realizada por personal cualificado y autorizado, y estas obras se registran.
Cuando TI Protección de línea de base es especialmente la medida
-
M2.4 (disposiciones para el mantenimiento y reparación) a nombre.
A.9.2.5
Befindlicher seguridad de los equipos fuera de las instalaciones
Los recursos que se encuentran fuera del sitio deben ser protegidos de acuerdo con los diferentes riesgos planteados por el uso fuera de un sitio.
183
Editar metas de acción y medidas En virtud de dicho equipo para el otoño. A medida que los sistemas móviles como notebooks / portátiles, PDAs, teléfonos móviles, tarjetas inteligentes -, así como el papel de los medios de comunicación clásicos. Por desgracia verdadera "fuera de la vista, fuera de la mente". Aquí el inventario puede ayudar, no olvidar esos recursos.
Cabe señalar que, fuera de la propiedad de la organización por lo general los supuestos en el concepto de seguridad ya no es válida. Los riesgos se evalúan mucho más alto. Para proteger los datos almacenados en los sistemas fuera de la organización en forma electrónica, en especial el cifrado se - complementarse con medidas que impiden el uso no autorizado del sistema. Para los dos últimos ejemplos:
-
El uso de películas polarizantes con pantallas de protección contra los surfistas que viajan del hombro o en las zonas frecuentadas por el público.
-
El uso de bloqueos de Kensington para proteger contra los ladrones de oportunidad en áreas controlables mal. Además de las medidas técnicas como seguro contra la pérdida y el robo se toman en consideración. Debe tenerse en cuenta que éstas cubren sólo el daño material puro es usualmente, pero no los daños causados por la pérdida (o la posible revelación) de la información contenida en los dispositivos.
En última instancia, las medidas descritas también están disponibles para la emisión
Ministerio del Interior relevante.
La página de control está en la protección de línea de base de TI por las medidas
-
M2.309 (normas y reglamentos para el uso móvil de TI de seguridad) y
-
M2.218 (control de los discos de conducción y componentes de TI)
cubierto. De algunas medidas adicionales hablan de temas detalle - incluyendo
-
M1.33 (Seguro mantenimiento de los sistemas informáticos portátiles para el uso móvil) y
-
M4.29 (El uso de un producto de cifrado de los ordenadores portátiles).
Nota sobre este tema y los comentarios sobre la gestión de dispositivos móviles bajo A.9.2.1.
184
La seguridad física y ambiental
A.9
A.9.2.6
La eliminación segura o la reutilización de los equipos
En cualquier equipo que contiene los medios de almacenamiento debe ser revisado antes de ser desechados si cualquier dato sensible y software con licencia se han eliminado o sobrescrito de forma segura.
En A.9.2.6 se trata de dispositivos que han de ser eliminados, pero z. B. medios instalados de forma permanente (por ejemplo, discos duros, tarjetas de
memoria) incluidas. Para la "eliminación" de la eliminación segura de los datos o la destrucción del disco fuera de la cuestión. la borrar está en la tecnología de almacenamiento de hoy, en general, al sobrescribir todo el volumen de almacenamiento - para asegurar - es posible con un patrón aleatorio. Les permite hacer esto desde una utilidad correspondiente, todos los bloques de escritura / sectores de la memoria direccionada. En la mayoría de los casos que aquí se descartarse los datos que se encuentran en áreas del disco, como estropeado están marcadas. Normalmente, sin embargo, uno será capaz de pasar por alto estas pocas cuadras.
Para obtener información muy sensible en el formateo de bajo nivel (procedimientos fabricante / BIOS) debe estar hecho de un destrucción mecánica de la memoria o para un almacenamiento seguro del soporte de datos. Este problema volverá a reunirse con nosotros en A.10.7 relacionada con los medios de comunicación (almacenamiento). Puede triturar el se puede encontrar en ella las medidas de protección básicas
-
M2.167 (supresión segura de los soportes de datos) y
-
M4.32 (supresión física de los medios de comunicación antes y después de su uso).
La referencia al software con licencia aborda el caso de que el descubridor de un electrodoméstico descartado, podría encuentra una licencia de software protegido se instala y utiliza - y en última instancia, la organización cometa una infracción de la licencia.
A.9.2.7
Distancia desde el establecimiento
Equipos, información o software que no deben ser retirados sin justificación desde el sitio.
185
Editar metas de acción y medidas Debe haber una disposición clara que la tomar de los recursos (por ejemplo, sistemas informáticos y componentes de TI.) proporciona información o datos en soportes de datos () bajo requisito de autorización explícita. De esta manera, se evita no sólo el robo, sino también el olvido, ver A.9.2.5.
En la práctica se requiere (evaluado regularmente) inventario en el momento del traslado, así de devolver la propiedad de la organización se registra.
La medida de protección básica mencionada
-
M2.218 (control de los discos de conducción y componentes de TI)
proporciona más información sobre este tema.
A.10
Operaciones y Gestión de Comunicaciones El correcto (adecuado) y seguro funcionamiento de todos los sistemas de información y comunicación está en la zona de regulación en el primer plano. bajo la regularidad procesamiento de datos, entendemos, entre otras cosas -
la organización adecuada de todos los procesos,
-
una división de responsabilidades papeles definidos,
-
separación de desarrollo y producción,
-
un seguimiento sistemático de todos los cambios y
-
repudio de transacciones de registros calificados.
A.10.1 proceso y las responsabilidades
A.10.1.1 documentado procesos operativos Los procesos operativos deben ser documentados y mantenidos y puestos a disposición de sus usuarios.
Los procesos operativos se deben documentar los procedimientos e instrucciones de trabajo. Para distinguir: procedimientos describen un método en la secuencia global, lo que indica en particular las funciones involucradas. Cada función debe ser una Procedimiento operativo tener, en el papel de este
186
A.10
Operaciones y Gestión de Comunicaciones
tareas específicas establecidas en los presentes métodos. Si la organización tiene una intranet, por lo que este debe ser el fármaco de elección para facilitar dicha documentación. La atención que se presta la versión actual, a continuación, fácil de hacer, y de notificar a los empleados acerca de nuevos documentos o nuevas versiones del medio es ideal. el término los procesos operativos incluye tales. B. (re) inicia, y el desmantelamiento de los sistemas, procesos de mantenimiento, copia de seguridad y archivado de datos, copias de seguridad y la evaluación de los registros - en la parte inferior, a continuación, toda la cadena de actividades comerciales a lo largo de los procesos de negocio. Clasifican aquí si es necesario, los procedimientos para el manejo de emergencias. Como en el caso de fallo del sistema.
Cualquier cambio en tales procesos operativos se debe documentar y sujeto a una gestión del cambio de nivel más alto (s. A.10.1.2). Las principales medidas a este requisito son A.10.1.1 Protección de línea de base de TI -
M2.219 (documentación continua de procesamiento de la información) y
-
M2.1 (definición de las responsabilidades y regulaciones para el uso de las TI). En los bloques
-
B1.9 (hardware y software de gestión) y
-
B4.2 (Red y Gestión de Sistemas), hay una sección separada operativo con
otras medidas individuales.
A.10.1.2 Gestión del cambio Los cambios en las instalaciones y sistemas de procesamiento de información deben ser realizadas controladas. Se trata de la gestión de los cambios que afectan a las instalaciones de procesamiento de información. Vayamos un poco más generoso con este punto de vista y un proceso de Gestión del Cambio, es responsable de cualquier tipo de cambios
187
Editar metas de acción y medidas -
(Procesos de negocio, así como los procesos de operación y mantenimiento)
-
Documentos (incluyendo los procedimientos e instrucciones de trabajo, los conceptos de seguridad, SLAs)
-
Funciones, responsabilidades y relaciones de derechos,
-
dotación de personal,
-
Hardware y software (incluyendo los datos de configuración)
-
de la red y
-
Infraestructura.
La gestión del cambio debe ser organizado de tal manera que cada vez que cambie respuestas a las siguientes preguntas (si es aplicable) se registran:
-
Que ordena un cambio o aprobarlos?
-
Cualquiera que planee cambiar (¿qué es exactamente a cambio)?
-
¿Qué impacto tendrá el cambio?
-
¿Quién dirigirá el cambio por dokumentativ y práctico?
-
¿Cómo será puesto a prueba el cambio en?
-
¿Quién vigila el cumplimiento de los requisitos?
-
¿Hay una reversión si la modificación debe ser retirada por cualquier motivo?
-
Que da la aprobación para la puesta en marcha o utilizar?
-
¿Quién es cuando se le informó acerca de los cambios?
-
¿Cómo es la eficacia de dicho cambio evaluarse y registrarse?
A este tipo de actividades de planificación, ejecución y control de frecuencia que hemos recibido. Debe encontrarse un modo que promete una optimización entre el costo y el efecto de acuerdo a las circunstancias imperantes. Tenga en cuenta especialmente que los cambios a menudo atraen a las necesidades de formación por sí mismo, puede causar nuevos errores o problemas de seguridad y dinero en general coste y esfuerzo. Por lo tanto, es un buen principio, sólo es realmente hacer cambios esenciales a los procesos de negocio existentes.
El tema general es la protección de línea de base de TI en la acción
-
188
M2.221 (gestión del cambio)
A.10
Operaciones y Gestión de Comunicaciones
tratada - aunque muy rudimentaria. Es aquí para asesorar en el proceso de ITIL adecuado (vea. También ISO 20000) para orientar esta área sensible bastante precisa.
A.10.1.3 división de responsabilidades Deberes y responsabilidades deben compartirse con el fin de reducir las posibilidades de alteración o mal uso de los propios valores de la organización (activos) no autorizado o deliberado.
En básico, esto implica que el objetivo es distribuir las responsabilidades de los diferentes procesos y procedimientos para que los derechos de las personas no son suficientes para hacer cambios intencionales o accidentales a los activos de información y permitir que se ejecute el abuso o sabotaje. Esto se puede lograr cuando los valores de información que están incrustados en procesos de trabajo varias unidades organizativas es fácil: Aquí funciones y áreas de responsabilidad están claramente definidos, y se puede ver cada una de las unidades como un cuadro negro con entrada y salida. Es entonces importante traer los deberes y las áreas de responsabilidad de conformidad con las interfaces reales. Cuando esto no es posible debido a la falta de separación organizativa,
Cuatro ojos principio
A modo de ejemplo, la tarea fue llamado para separar el diseño, implementación y mantenimiento de software entre sí. El objetivo podría ser know-how empresarial a lo largo de muchos hombros para permitir que los gastos y costes de control y reducir la dependencia de las personas individuales. Cuando TI Protección de línea de base es en la medida -
para referirse M2.5 (distribución de tareas y la separación de
funciones).
189
Editar metas de acción y medidas
A.10.1.4 división de desarrollo, prueba y productivo comodidades instalaciones de desarrollo, prueba y producción deben estar separados para evitar el riesgo de acceso no autorizado o cambios al sistema de producción.
Esto se refiere a una experiencia clásica de la práctica: desarrollo, prueba y producción - como ya se ha tratado en A.10.1.3 - separar. Esto es especialmente importante si el sistema de producción tiene que cumplir con los requisitos de disponibilidad: por la introducción precipitada de nuevo desarrollo de software y no se ha demostrado de manera sistemática puede causar fallos del sistema al fracaso total de la producción. Un aspecto importante que habla para la separación es el hecho de que para los sistemas de prueba y desarrollo en general es una práctica asignación autorización poco controlada. El fracaso para llevar a cabo la separación significaría que el control de autorización de los entornos de producción se desliza. Particularmente en el área de las aplicaciones relacionadas con la protección de datos es el uso de los datos de prueba especialmente acondicionados en los sistemas no productivos de interés, por lo que aquí puede tener lugar ningún acceso no autorizado.
Al configurar un sistema de ensayo separadas se convierte en la atención primaria posible utilizar el mismo entorno del sistema, como lo harán más tarde presente en la producción. Cuanto mayor es la desviación entre la prueba y el sistema de producción, mayor es obtener en los estados de error de producción y los fallos del riesgo.
Se hace especial debe ser colocado en las pruebas de integración para probar la interacción entre los nuevos y existentes componentes suficientes. Dependiendo del contexto, puede ser necesario para controlar el acceso, el acceso, el acceso al desarrollo, prueba y las instalaciones de producción en sentido estricto. Una intervención desapercibido en el proceso de desarrollo puede ser particularmente eficaz desde el punto de vista de los manipuladores ...
Las medidas de protección básicas
190
-
M2.62 (compra de software y método de liberación)
-
M2.9 (prohibición de la utilización de hardware y software no aprobado) y
-
M2.82 (desarrollo de un plan de pruebas para software estándar)
A.10
Operaciones y Gestión de Comunicaciones
el tratamiento de aspectos individuales de este tema. Tenga en cuenta, sin embargo, que A.10.1.4 no sólo se refiere a las pruebas de software.
A.10.2 Gestión de la prestación de servicios de terceros Con la reubicación de servicios a terceros no se es libre de responsabilidad, pero al menos el cumplimiento de los requisitos contractuales debe comprobar. En esta categoría de seguridad A.10.2 se trata de la configuración, control y mantenimiento de los requisitos para los servicios de terceros - siempre en el contexto de ser capaz de mantener la establecida por la seguridad de la organización.
A.10.2.1 prestación de los servicios Hay que asegurarse de que las medidas de seguridad, las descripciones de servicios y el grado de entregas contenidas en el contrato de suministro con un tercero, a ser implementados, ejecutadas y cumplidas por terceros.
Este punto realmente significa sólo que los requisitos contractuales se deben cumplir por el proveedor de servicios (por seguridad de la información, en particular), es decir, que tiene que ser cometer y para demostrar esto en una forma agradable. El tipo de pruebas puede variar según el tipo y la complejidad de los requisitos, la conveniencia operativa y en las consideraciones de costo. La forma de detección ya debe ser regulado en el contrato.
En el ámbito de la protección de datos, el requisito de la finalización de los términos del contrato de trabajo de datos (§ 11 Ley) deben ser observadas.
A.10.2.2 Control y revisión de DienstleistunGen de terceros
Los servicios proporcionados por terceras partes, informes y registros deben ser controlados regularmente y revisados, y las auditorías deben llevarse a cabo con regularidad. En la práctica, las expectativas de los terceros son a menudo bastante bien consagrados en los tratados y acuerdos, pero rara vez estos contratos también contienen algún tipo de evidencia del Comisionado o un derecho de control de la confirmación. esto debería
191
Editar metas de acción y medidas ser el caso si se desea llevar a cabo la tarea de gestión del régimen de cumplimiento adecuado. Por eso, cuando esta acción es tomar el control del servicio: Si los registros de contratos, informes, registros de errores o protocolos de medición (en relación, por ejemplo, los tiempos de respuesta, rendimiento, ancho de banda.) Como pruebas estaban de acuerdo, no es suficiente que el proveedor de servicios proporciona estos - que deben ser examinados por la organización y evaluar. Esto se aplica igualmente a los artículos de la entrega: Especificaciones Aquí están prescritos por contrato para comprobar su grado de cumplimiento. Dependiendo del tipo de servicio que puede ser necesario para garantizar el cumplimiento de la seguridad (y otras especificaciones) z. B. inspeccionar en el sitio del proveedor de servicios. Si la organización que realiza en sí, o asignar los auditores independientes, es secundario: Ambos sirven para cumplir con el deber de supervisión. Para la comunicación con el proveedor de servicios, la organización debe establecer una interfaz definida y por lo tanto regular la responsabilidad de la supervisión y monitoreo clara. Las obligaciones impuestas en el área de procesamiento de datos deben ser controlados de una manera apropiada por el cliente. Un control conveniente aquí comprende al menos la inspección de los respectivos informes cuya creación es abandonar el contratista. En casos individuales, más controles sobre el terreno o la producción de informes de seguimiento externos por auditores independientes se pueden visualizar. Las obligaciones impuestas en el área de procesamiento de datos deben ser controlados de una manera apropiada por el cliente. Un control conveniente aquí
política de privacidad
comprende al menos la inspección de los respectivos informes cuya creación es abandonar el contratista. En casos individuales, más controles sobre el terreno o la producción de informes de seguimiento externos por auditores independientes se pueden visualizar. Las obligaciones impuestas en el área de procesamiento de datos deben ser controlados de una manera apropiada por el cliente. Un control conveniente aquí comprende al menos la inspección de los respectivos informes cuya creación es abandonar el contratista. En casos individuales, más controles sobre el terreno o la producción de informes de seguimiento externos por auditores independientes se pueden visualizar.
Gestión A.10.2.3 de cambios en los servicios por parte de terceros
Los cambios en la prestación de servicios, incluyendo el mantenimiento y la mejora de la política de seguridad existente, los procedimientos y las medidas deben ser regulados, y esto teniendo en cuenta la criticidad de los sistemas de negocio y los procesos involucrados y una evaluación de riesgo adicional.
Si el proveedor de servicios anuncia cambios en sus servicios, tenga cuidado: Antes de aceptar el nuevo procedimiento debe ser revisada, relativo a las implicaciones en la seguridad de la organización. Los cambios que (nuestra organización) le da al cliente a sí mismo, pueden tener efectos al menos tan críticos: Cambios en la Guía (objetivos modificados de seguridad,
192
A.10
Operaciones y Gestión de Comunicaciones
otro nivel de seguridad, nueva evaluación del riesgo) y los cambios relacionados con la seguridad a los procesos operativos conducen a la necesidad de examinar todos los contratos de servicios pertinentes con terceros para determinar si las regulaciones existentes no son suficientes o es necesario realizar ajustes. Este último sólo funciona si ya se ha previsto en las cláusulas del contrato en el contrato que permiten tales ajustes ocasión.
Cuando TI Protección de línea de base es todo el servicio de emisión o contratación externa, ya que se trata en A.10.2.3 A.10.2.1 ser tratado en las siguientes acciones:
-
M2.250 (definición de una estrategia de externalización).
-
M2.251 (definición de los requisitos de seguridad para los proyectos de externalización).
-
M2.252 (elección de un proveedor de servicios de externalización adecuado).
-
M2.253 (contratos con el proveedor de servicios de externalización).
-
M2.254 (creación de un concepto de seguridad de TI para el proyecto de subcontratación).
-
M2.255 (migración segura en proyectos de externalización).
-
M2.256 (planificación y mantenimiento de la seguridad durante las operaciones de TI de outsourcing en curso).
-
M6.83 (preparación para emergencias en la externalización).
Planificación de sistemas A.10.3 y aceptación
Incluso con esta categoría de seguridad está destinada a reducir el riesgo de errores en el sistema y fallos del sistema.
Planificación de la capacidad A.10.3.1
El uso de los recursos debe ser supervisado y coordinado, y las estimaciones para las futuras necesidades de capacidad se debe tomar para garantizar el rendimiento del sistema requerido.
sobrecargas del sistema o cuellos de botella de rendimiento pueden ser una causa de la disponibilidad insuficiente o incluso fallos del sistema. Por lo tanto, esta medida, por un lado exige una monitoreo de la capacidad, para obtener cifras fiables, y, en base a una visión de futuro La planificación de capacidad.
193
Editar metas de acción y medidas La demanda futura va a ser incorporado en los ajustes de hardware o del sistema sistema de planificación. Cuando TI Protección de línea de base las medidas adecuadas para que se haya eliminado del catálogo; el sujeto es en términos muy generales en el bloque -
B1.3 (Manejo de Emergencias)
cubierto. Esto parece algo exagerado hasta ahora porque no todos los cuellos de botella de capacidad es directamente una emergencia. La planificación de capacidad debería ser más bien parte de la actividad normal de las operaciones de TI - tanto más cuanto que los cambios de capacitancia a menudo requieren un tiempo de aplicación más largo y por lo tanto operacionalmente a tiempo se debe iniciar.
Es recomendable orientar la acción apropiada en los requisitos de ITIL (ver. También ISO 20000) para el proceso de gestión de la capacidad.
disminución del sistema A.10.3.2
Criterios para la aceptación de nuevos sistemas de información, actualizaciones / actualizaciones y nuevas versiones deben ser introducidos, y las pruebas apropiadas de los sistemas que se llevarán a cabo durante el desarrollo y antes de la aceptación. Si z. Como resultado de la capacidad de planificación de una extensión de los sistemas se ha decidido que se debe hacer para mejorar en un proceso ordenado de un diseño bien pensado del ajuste, la adquisición, construcción de un sistema de prueba, pruebas significativas, si la instrucción y la formación necesaria para la liberación operativa suficiente. En nuestra experiencia, a menudo es el caso que se dispensa justo debajo de la presión del tiempo de la terminación oportuna de proyectos de pruebas y aprobaciones. Antes de eso, de nuevo deben ser advertidos aquí. Así A.10.3.2 requiere un proceso (documentado) para la aprobación de sistemas nuevos o revisados, donde la prueba es un requisito general. Además, los criterios de aceptación correspondientes se definen por adelantado. esta es organizado por un proceso de acreditación o aprobación formal de vez en cuando. Las siguientes medidas de seguridad de protección de línea de base tratan este problema con un enfoque diferente:
194
-
M2.216 (procedimiento de aprobación de los componentes de TI).
-
M2.62 (compra de software y el proceso de liberación).
A.10
Operaciones y Gestión de Comunicaciones
-
M2.85 (versión del software estándar).
-
M2.82 (desarrollo de un plan de pruebas para software estándar).
-
M4.65 (Pruebas de nuevo hardware y software).
Protección A.10.4 contra software malicioso y código móvil Las dos medidas siguientes sirven a la protección de la integridad del software - un tema clave que afecta prácticamente a todos los objetivos de seguridad de los sistemas de información y procesos de negocio de software no la integridad puede causar la pérdida de casi todos los imaginables.
A.10.4.1 medidas contra el software malicioso
Medidas para identificar, prevenir y restaurar para proteger contra software malicioso, y la sensibilización de los usuarios apropiados deben ser implementadas. el término software malicioso aquí se refiere a cualquier tipo de software que se introduce con la intención en los sistemas de causar daños. Por supuesto, esto incluye los virus conocidos y troyanos y programas espía que debe ser "succionados" información sensible. Por tanto, esta medida A.10.4.1 discreta dirigido todo el complejo -
la sensibilidad de los usuarios de los sistemas para la protección de la integridad,
-
los controles de rutina de software instalado,
-
la detección temprana de software malicioso,
-
la actualización permanente del patrón de reconocimiento,
-
la prevención de la carga útil de malware,
-
eliminación segura de malware de un sistema infectado con el
-
La recuperación de datos y sistemas después de un ataque con éxito.
La organización debe tomar medidas para cubrir estos puntos. No es simplemente medidas técnicas (escáner de virus, posiblemente utilizando dos productos diferentes) para tomar: Reglamentos de Organización para la instalación privada, en particular, que cobra el software de Internet como una prohibición, una cuestión de rutina debe ser. Este último tiene a la sensibilización
195
Editar metas de acción y medidas sierungsmaßnahmen ser apoyado de manera que los usuarios pueden clasificar correctamente el significado de tales disposiciones. Tenga en cuenta que el software malicioso puede incorporarse en entornos de producción no sólo, sino también en el desarrollo y prueba ambientes son particularmente eficaces debido a que los productos desarrollados / probadas pueden ser importados en muchos sistemas.
La base conceptual de esta medida de la norma se puede encontrar en TI Protección de línea de base en el bloque
-
B1.6 (concepto de protección contra virus informático).
El módulo contiene una serie de referencias a las medidas individuales.
Protección A.10.4.2 de software móvil (agente móvil) Cuando el uso de códigos de programa móviles (agentes móviles) aprobó, la configuración del sistema debe tener cuidado de que esto está actuando de conformidad con las directrices claramente definidos y código móvil no autorizada no se ejecuta.
software para móviles
por debajo software para móviles se entiende que significa una que - se transfiere de un sistema a otro y allí entonces se lleva a cabo de forma automática - a menudo oscurecido. Los ejemplos incluyen controles Active X, applets de Java y otras aplicaciones con nosotros el uso de Internet en grandes cantidades para satisfacer - no menos importante en conexión con dispositivos móviles como los teléfonos inteligentes y las almohadillas.
En muchas aplicaciones, el uso de software móvil es un "deber" - si se utiliza, ya no es un tema de debate. Sin embargo, la organización debe saber que en este caso existen graves problemas de seguridad y la renuncia es mirar a proporcionar medidas de seguridad ya considerados negligencia grave.
Una directiva relevante debe contener un requisito de autorización cuando el código móvil es para ser utilizado. Por otra parte, la directiva debería requerir una evaluación de los riesgos detallados y el nombramiento absichernder medidas antes de decidirse a liberar. En este sentido, las medidas son
196
A.10
Operaciones y Gestión de Comunicaciones
-
M5.69 (protección contra el contenido activo)
-
M4.23 (invocación segura de archivos ejecutables) y
-
clasificar M4.100 (Firewalls y el contenido activo) en la
protección de TI de línea de base.
copia de seguridad A.10.5
datos destruidas, ya no está disponible o manipulados pueden ser otro motivo por el mal funcionamiento y fallos del sistema.
información de respaldo A.10.5.1 copias de seguridad de la información y software deben ser periódicamente, de acuerdo con el método de respaldo aceptado, creado y probado.
Esta es la primera de método de respaldo aceptado Discusión: Esto significa que el conjunto de la organización en marcha procedimientos documentados de copia de seguridad de datos, que debe cubrir una variedad de aspectos:
-
los principios (tipo, alcance, frecuencia),
-
la implementación técnica (sistema de copia de seguridad, software de copia de seguridad, procedimientos de operación)
-
su detección (registro),
-
almacenamiento de los medios de copia de seguridad (para ello., así como la cuestión de cifrado)
-
el método de re-grabación,
-
la destrucción de los medios de copia de seguridad desechados. Otro requisito
importante en A.10.5.1 afirma que las copias de seguridad probado debe ser: Por lo tanto, no es suficiente para generar las reglas bajo las copias de seguridad, usted tiene que comprobar periódicamente el funcionamiento de los trabajos de restauración y conduce a los resultados esperados. Cuando TI Protección de línea de base es aquí, en primer lugar el bloque
-
B1.4 (política de copia de seguridad de datos)
llamar; medidas esenciales siguen representando -
M6.32 (copias de seguridad regulares)
197
Editar metas de acción y medidas -
M6.20 (almacenamiento adecuados del volumen de copia de seguridad) y
-
M6.41 (Formación reconstrucción de datos).
A.10.6 Gestión de seguridad de la red
Los procesos de negocio pueden llegar a detenerse cuando la infraestructura de red manipulado sobrecargado o inoperable por otras razones a pesar de los sistemas de integridad y datos. Además, la transmisión segura de datos en muchas aplicaciones un riesgo alto, especialmente con respecto a la confidencialidad y la integridad de los datos.
A.10.6.1 medidas para redes Para proteger las redes contra las amenazas a mantener la seguridad de los sistemas y aplicaciones en redes, así como para asegurar la información transmitida, una red necesita ser adecuadamente gestionados y controlados.
Para la red de la organización (Intranet, acceso telefónico y TKNetze; independientemente de si por cable o inalámbrico) la llamada se establece para administrar este (apropiado) y de controlar. una administración requiere en primer lugar la responsabilidad (Gestión de Red) y la determinación de las reglas y procedimientos apropiados.
Para el aspecto administrativo nos encontramos con medidas en los bloques de la protección de línea de base de TI
-
B4.1 (redes heterogéneas) y
-
B4.2 (gestión del sistema de la red y), en
particular -
M5.7 (gestión de la red). la control Además de una comprobación del
cumplimiento de todas las reglas existentes también incluye la realización de estudios sobre la seguridad de la red. Esto incluye pruebas de penetración para la protección de cortafuegos y aplicaciones críticas para la seguridad. La inspección debe hacer una regla para documentar todas las pruebas de seguridad de la red. El aspecto de control está presente en la protección básica en algunas medidas:
198
A.10
Operaciones y Gestión de Comunicaciones
-
M4.81 (actividades de auditoría y registro en la red).
-
M4.298 (auditorías periódicas de los componentes inalámbricos).
-
(M5.141 controles de seguridad regulares en las WLAN).
-
M5.71 (detección de intrusos y sistemas de respuesta de la intrusión).
Un requisito previo importante para una inspección, los registros apropiados de este tipo. B. registro de la actividad en la red, en las pasarelas y en relación con las aplicaciones.
A.10.6.2 Seguridad de los servicios de red
Funciones de seguridad, niveles de servicio y los requisitos de administración de todos los servicios de red deben ser determinados e incluidos en un acuerdo de servicios de red. Esto tiene que ser independiente de si tales servicios son proporcionados internamente o por proveedores de servicios externos.
Básicamente, todas las características de seguridad necesarias, los niveles de servicio deben ser documentados y requisitos para la administración de una red.
Si la operación de la red asigna a un proveedor de servicios, la documentación mencionada parte de los acuerdos con el proveedor de servicio tiene que ser. Esto se aplica independientemente de si se trata de una proveedores de servicios internos o externos. Se trata, en nuestro contexto, por supuesto, en particular, todos los requisitos en términos de seguridad de la información. pero para - aquí se puede ir a la especificación de cifrado, control de conexión y mecanismos de autenticación. Así como al método para limitar el tráfico. Muchos contratos de servicio incluyen disposiciones para prestar y afirmó Nivel de
Servicio. Los costos dependen entre otras cosas, los niveles de servicio acordados. Por lo tanto, tiene sentido (y posiblemente de ahorro de costes) para determinar el nivel de servicio requerido el negocio necesita de manera adecuada y llegar a un acuerdo apropiado. A no conforme con las reglas administración una red puede afectar significativamente la seguridad global de la organización. Esto se aplica incluso si la administración no conoce el contexto general de las operaciones de la organización o no tiene suficientemente en cuenta, así que tal vez sólo técnicas
199
Editar metas de acción y medidas tiene intereses específicos en mente. Este caso es a menudo el caso con los operadores externos. Aquí acuerdos pueden ayudar a realizar tareas administrativas (ciertas categorías) después de un principio de acuerdo con la organización. El ya la externalización (A.10.2.1 A.10.2.3 arriba) menciona las medidas de protección de TI de línea de base se aplican mutatis mutandis aquí.
A.10.7 almacenamiento manejo y medios de grabación A menudo se olvida que los objetivos de seguridad se relacionan confidencialidad, integridad y disponibilidad no sólo a los datos e información en el sistema actual, sino que también afectan a su almacenamiento en medios externos o extraíbles. Los siguientes cuatro medidas frente a este problema a través de todo el ciclo de vida de los medios de comunicación.
Gestión A.10.7.1 de medios extraíbles Debe estar disponible para hacer frente a los procedimientos de medios extraíbles. Esta medida requiere que un método de gestión de estos medios está documentado e implementado. Este procedimiento debe incluir los siguientes pasos: La compra de los medios de comunicación, el almacenamiento, su eliminación de la acción, su etiquetado, su uso o puesta en marcha, su almacenamiento seguro (si TT) (, los derechos de acceso, cesión a terceros, archivo, su reprocesamiento proporcionó posible o siempre) y su destrucción de los padres. Este método fue descrito de este modo los medios de almacenamiento tradicionales, tales como disquetes, CD, DVD, cintas, tarjetas de memoria y discos duros, así como incluir todos los tipos de medios de almacenamiento a través de interfaces externas (USB, PCMCIA, FireWire) se puede conectar. En última instancia, el método también podría ser el medio de almacenamiento papel miteinschließen. por lo que tiene una gran variedad de medios de comunicación, sino también un bastante extenso proceso de gestión con los pasos anteriores en este punto. Esto exige una descripción uniforme de proceso para el manejo general de medios extraíbles.
200
A.10
Operaciones y Gestión de Comunicaciones
Eliminación de los medios A.10.7.2
Si los medios de comunicación ya no son necesarios, deben ser protegidos y eliminarse de forma segura utilizando procedimientos formales.
Tal objetivo, por supuesto, no sólo en el caso de que el medios de almacenamiento sí deben ser desechados de, sino también para la eliminación de aparatos que contengan medios de almacenamiento instalado de forma permanente. Ya habíamos mencionado en A.9.2.6 ella. Los datos de medios que contienen de la organización tiene que ser decidido en función de los objetivos de seguridad para estos datos, los criterios por los que mantienen los medios de comunicación, reciclado y desecharse. Se debe exigir que la cuestión de los medios de comunicación y su destrucción se registrarán.
para dar cintas desechadas, discos, CD o DVD, tarjeta de memoria como un portador de datos confidenciales de forma segura en la basura, no es una solución. la destrucción de los medios de comunicación sería una alternativa si es técnicamente posible de forma fiable (la quema, trituración mecánica). medios de almacenamiento magnético de suspender a un fuerte campo magnético, puede - en función de la intensidad del campo
- ser suficiente para borrar los datos almacenados seguro. Utilizar especialmente previsto, se recomienda encarecidamente a granel Borrador cualificado. Tales medios pueden ser alimentados a un re-uso. Los discos duros se muestran en este punto bastante resistentes, entonces aquí una ayuda a la eliminación segura al sobrescribir por completo con los patrones de datos aleatorios. Puede triturar tienda y discos que están para ser reutilizado posteriormente, es un tema
reprocesamiento
muy difícil. este reprocesamiento es uno de los sistemas operativos de las funciones de seguridad certificadas. A esto se añade una Nota: Se recomienda la reescritura completa de las áreas de memoria con patrones aleatorios no soportar los requisitos de seguridad extremadamente alta. Técnicamente, es posible tener varias "capas" de los datos escritos para. para restaurar como en un disco duro, es decir sobreescritura única sería insuficiente en tales contextos. Remediado con sólo volver a escribir varias veces - después de un poco de edad por lo general al menos siete veces. Pero hoy no es más que aparece absolutamente seguro ...
201
Editar metas de acción y medidas Va por lo general no empujar un esfuerzo tal sería pensar en una eliminación segura de los medios de almacenamiento - pero ciertamente no es fácil en una regreso al proveedor. Bajo el A.10.7.2 medida la eliminación de papel impreso cae, puede contener información que el sensible (también z. B. relacionada con la privacidad), y destruido por lo que sólo cualificada y debe ser desechado.
Mientras tanto, los proveedores de servicios certificados en el mercado están activos, destruir el disco adecuado. El siguiente paso sería supervisar la destrucción de los medios de comunicación al servicio de su propio personal.
Esto es especialmente cierto si su propia empresa es un proveedor de servicios y realiza el procesamiento de los datos en virtud de la transferencia de funciones o por medio de procesamiento de datos. Si elimina los medios de comunicación con datos secretos profesionales de una empresa extranjera o salir de destruir, existe el riesgo de entendimiento (accidental) por los empleados de la empresa extranjera, para lo cual, según el § 203 del Código Penal - ha sido una exposición real, incluso sin - ya amenazada castigo.
A.10.7.3 el manejo de la información Los procedimientos para el manejo y almacenamiento de la información debe establecerse para proteger esta información de su divulgación o uso no autorizado.
Una vez medios que contienen datos sensibles, su uso, divulgación y retención deben ser regulados. Esto supone un etiquetado limpio. Si uno tiene por ejemplo. Para la clasificación (s. A.7.2.1 en la página 163) decidida por la información de la organización, los medios de comunicación deben además de exponer el contenido (incluso con su clasificación para. B. empresa confidencial o Los datos personales) caracterizarse. Si uno no tiene ninguna clasificación de este tipo, que tienen normas generales para el manejo de estos medios se formula como: La transferencia de los medios de comunicación
a las partes externas está estrictamente prohibido. Las excepciones deben ser aprobadas por ...
En tales organizaciones. desarrollar o como software para las evaluaciones de otros expertos, será por defecto de todos modos como parte de la garantía de calidad y los procedimientos de extradición, Medios
202
A.10
Operaciones y Gestión de Comunicaciones
solamente controlado para pasar. controlada dice que no tiene ninguna influencia sobre el contenido, así como el control de fugas intencionales o consignatario. Con respecto a las licencias de software, que posee la organización, siempre habrá un problema para evitar la copia y el uso de medios apropiados no autorizado.
A.10.7.4 Seguridad de la documentación del sistema La documentación del sistema debe estar protegido contra el acceso no autorizado.
En primer lugar, ¿qué sistemas y qué documentación se ven afectados por esta medida debe ser encontrado. La información públicamente disponible no necesita esta protección bastante obvio. ¿Qué puede encontrar en Internet o en la librería, es información públicamente disponible. Información sobre los sistemas de - si no está disponible públicamente - sin embargo, establece un valor y debe ser protegido adecuadamente. Esto es particularmente cierto para obtener información sobre sus propios sistemas instalados tales. B. redes, requisitos de configuración y conceptos de seguridad: Cuando fuera del alcance de personas no autorizadas, pueden presentar graves consecuencias - Los hackers toman información como nota. Quien exigió la protección lata Por lo tanto, los objetivos se refieren a la confidencialidad y la integridad, especialmente la disponibilidad de esta información será tratada.
Ellos se han preguntado por qué en los requisitos A.10.7.x no hay medidas de protección básicas se han especificado. Si hacemos el esfuerzo de buscar medidas de los catálogos que tocan estos temas, luego viene una gran cantidad:
-
M1.36 (Almacenamiento seguro de los medios antes y después de la entrega).
-
M1.45 (custodia de documentos y volúmenes administrativo).
-
M1.60 (almacenamiento adecuado de los medios de comunicación de archivo).
-
M2.2 (gestión de recursos).
-
M2.3 (Administración de discos).
203
Editar metas de acción y medidas -
M2.25 (documentación de configuración del sistema).
-
M2.43 (etiquetado adecuado de los medios de comunicación durante el transporte).
-
M2.44 (embalaje seguro del disco).
-
M2.45 (control intercambio de soporte de datos).
-
M2.112 (control de los archivos y datos de medios de transporte).
-
M2.167 (Secure Erase de Medios).
-
M2.218 (control de los discos de conducción y los componentes de TI).
-
M2.257 (seguimiento de los recursos de almacenamiento de la unidad de almacenamiento).
-
M2.401 (manejo de medios extraíbles y dispositivos).
-
M3.14 (entrenamiento del personal en el flujo regulado de transferencia de información y el intercambio de soporte de datos).
-
M3.60 (conciencia de los empleados sobre el manejo seguro de los medios extraíbles y dispositivos).
-
M4.32 (supresión física de los medios de comunicación antes y después de su uso).
-
M4.33 (usando un programa de detección de virus para el intercambio de datos y transmisión de datos).
-
M4.35 (verificación de los datos a ser transferidos antes del envío).
-
M4.64 (Verificación de los datos antes de la transmisión / eliminación de la información residual).
-
M4.169 (utilizando la unidad de almacenamiento apropiado).
-
M4.200 (manejo de medios de almacenamiento USB).
-
M5.23 (selección de un método apropiado del envío para el disco).
-
M6.20 (almacenamiento adecuados del volumen de copia de seguridad).
-
M6.47 (almacenamiento de los medios de copia de seguridad para el teletrabajo).
La lista no se ha completado. Algunas de estas medidas es el bloque de construcción
-
204
B5.2 (intercambio de medios de comunicación)
A.10
Operaciones y Gestión de Comunicaciones
asignado. Aquí, sin embargo, surge, de hecho, la cuestión de si un sistema integrado, completo en el proceso de tratamiento de sentido de este aspecto de la seguridad sería más útil.
A.10.8 Intercambio de información Ahora se trata de la seguridad de la información y los datos en la transmisión de datos, tanto dentro de la organización y con el exterior. A medida que el intercambio de otros activos tales. Al igual que en una relaciones mercancía-dinero, el intercambio de activos de información debe ser considerada como el flujo de valor y protegido. El camino tomado por la información es, por supuesto, apropiada para considerarlo. La información se intercambia a través de canales públicos, por lo general hay una necesidad especial de protección.
reglas y procedimientos de intercambio de Alemania A.10.8.1 formaciones
Las reglas formales, procedimientos y medidas deben estar en su lugar para proteger el intercambio de información para todo tipo de instalaciones de comunicación. Esta es la cláusula general, que requiere que los datos confidenciales en tránsito - deben proteger - de cualquier tipo. Esto primera visibles a nivel de reglas, entonces usted necesita para proteger los datos que se hayan establecido, que a su vez se entregan a través de acciones concretas. El intercambio de información por lo tanto puede tener lugar en muy diferentes contextos y formas tales. Como el correo electrónico, voz (teléfono, a través de Internet), fax, transmisión de vídeo, etc. Veamos un ejemplo: Un fabricante de software se comunica con sus clientes a través de Internet a través de correo electrónico y proporciona de esta manera el código del programa y la documentación en formato electrónico a partir. Supongamos que es un software personalizado. Entonces puede estar entre los clientes de los que quieren prevenir, que su código de programa a terceros (otros clientes o externa, que no son clientes) cae en las manos. El fabricante de software por su parte, sería quizá por lo tanto, proteger el código de programa de modo que no puede ser evaluada por la competencia, copiado o utilizado de otra forma.
205
Editar metas de acción y medidas normas
Por lo tanto, al menos dos requisitos son para proteger los datos. Por lo tanto, el fabricante de software adopta la regla de que el código del programa y la documentación básicamente sólo una canal seguro pueden ser transferidos. sin peligro en este contexto significa que sólo el cliente autorizado puede obtener los datos y cualquier cambio en los datos sobre las distancias de transporte es fácilmente reconocible.
proceso
tanto el cifrado (confidencialidad) y la firma electrónica (autentificación del remitente) se deben utilizar para asegurar los datos. También hay que asegurarse de que el cliente legítimo puede ser autenticado fuera de toda duda que también es posible mediante técnicas de firma electrónica.
medidas
Los clientes para este fin por los certificados de cifrado proveedor de software, firma y autenticación que se personalizan para cada cliente cualificado. Además, el cliente por el proveedor de software puede recibir un software de comunicación adicional que utiliza los certificados mencionados y por lo tanto puede establecer un canal seguro. El canal seguro no protege a ambos interlocutores se enfrentan al problema de software malicioso: Podría ser, por ejemplo, los archivos infectados con virus entregado. Por lo tanto, las medidas de seguridad apropiadas deben ser proporcionados para este caso. De manera que la parte técnica es quizás el hecho - pero puede ser necesario
-
Para hacer las cosas aún vinculante en el sentido legal (es decir, ambas partes se comprometen a aplicar realmente el método descrito)
-
establecer un centro de coordinación para ayudar al cliente en caso de problemas con la transmisión segura de datos,
-
encargar una unidad de la organización (o una tercera parte autorizada) con la exposición y la entrega de certificados, etc.
Se puede observar que tales métodos conducen a una serie de medidas en todas las áreas (organización, personal, tecnología e infraestructura). En la creación de las reglas y la identificación de los métodos, los dispositivos de protección básica puede
206
-
B5.2 (intercambio de medios de comunicación),
-
B5.3 (e-mail)
-
B3.404 (teléfono móvil)
A.10
Operaciones y Gestión de Comunicaciones
-
B3.402 (fax) y
-
B3.403 (contestador automático)
ayudar - con más referencias a muchas de las medidas individuales.
A.10.8.2 acuerdos para el intercambio de informanen Los arreglos para el intercambio de información entre las organizaciones y externa deben ser tomadas. Que la disposición de las posibilidades técnicas solo no es suficiente, ya hemos reconocido en nuestro ejemplo anterior, y mencionó algunos puntos para un acuerdo. Además, se puede tomar aquí: acuerdos sobre un depósito de claves (depósito de claves), métodos para la notificación de envío y recepción, los registros de etiquetado especial de los datos requeridos.
A.10.8.2 este punto también se ocupa de la medida -
M5.88 (acuerdo sobre el intercambio de datos con terceros) para la protección de TI de línea de base.
transporte A.10.8.3 medios físicos medios de comunicación, la
incluir información debe, antes de el acceso no autorizado, mal uso o corrupción durante el transporte, incluso a través de los límites organizacionales, ser protegido.
Los medios de comunicación física es sobre el transporte físico, que siempre está potencialmente en riesgo. Eso z. puede perderse ya que los envíos postales o de mensajería, es una experiencia común que durante el parto o la entrega de los medios de comunicación que pueden caer en manos equivocadas - de nuevo. Estas circunstancias no conducen necesariamente al abuso, esto no puede ser excluido. distorsionar el contenido de medios sin protección, por supuesto, es un ejercicio fácil, una vez que se tiene acceso.
No queremos hacer girar estos escenarios, pero tenga en cuenta que en resumen que los medios son similares a protegerlos en el transporte electrónico: cifrado y firma de datos, contenedor de transporte cerrado, utilice a-
207
Editar metas de acción y medidas servicios más confiables de mensajería, servicio a designado por el transmisor de los autenticarse contra la herramienta adecuada (por ejemplo. como con tarjeta de identidad de la compañía o). La lista de la página 203 a A.10.7.x incluye garantías de protección de la línea de base correspondientes.
A.10.8.4 comunicaciones electrónicas / Noticias (Messafuimos)
La información en los servicios de mensajes (mensajes) se puede utilizar, deberá protegerse adecuadamente. Aquí el énfasis está en enviados electrónicamente mensajes (por ejemplo, mensajes de correo electrónico, EDI.); se dice anteriormente en relación con la protección de los mensajes, por. B. El uso de cifrado y firma. Pero tenga en cuenta que los mensajes (distribución al cliente z. B.) son no sólo para proteger el contenido de los círculos más grandes destinatarios, sino también la lista de los nombres de los destinatarios es posiblemente vulnerables.
De-Mail
208
Desde 2012, los sistemas de correo electrónico se basan en los DeMailGesetzes alemanas y las directrices técnicas de electrónico correspondientes de la BSI de varios proveedores de servicios especialmente certificados. Puede ser útil usar tales servicios, además de los sistemas existentes. La demostrabilidad, la autenticidad y la responsabilidad de la entrega de mensajes asegurada es en gran medida en comparación con los tradicionales servicios de correo electrónico sin ninguna acción adicional por parte del usuario. Sin embargo, usted debe utilizar el proceso consciente de que el procedimiento no es adecuado para todos los propósitos. surgen limitaciones
-
Que de un correo electrónico es un procedimiento puramente nacional por el hecho
-
el proveedor de De-Mail debe todo el tráfico con fines de protección contra virus y abierto - sin cifrado separada del usuario - los requisitos de confidencialidad necesarios (por ejemplo, el cumplimiento de PCI para los datos de la tarjeta de crédito) no se cumplen de forma automática
-
en cuanto a la posibilidad de utilizar los identificadores de electrónico con seudónimo y un procedimiento complicado de revelar los seudónimos (ver. 16 § DeMailGesetz el derecho a la información).
A.10 puesto
Operaciones y Gestión de Comunicaciones
Además, sucede que los mensajes a los socios y clientes no por correo electrónico, pero por publicarla en una página web se publican. Si alguien hackea dicho sitio Web y distorsiona el contenido del mensaje, puede por lo tanto daños considerables - la reputación de la organización en relación con servirá. Conclusión: que por lo tanto no debe A.10.8.4 Esta medida pensando exclusivamente a e-mail, pero por lo general a la entrega de noticias - no menos importante en las redes sociales! Cuando la protección de la línea de base de este aspecto de la seguridad es especialmente en el bloque
-
B5.3 (e-mail)
tratado, consulte la lista de medidas, entre otras operaciones criptográficas; el SPAM temas y software malicioso se tratan.
A.10.8.5 sistemas de información de negocio
Procedimientos y regulaciones para proteger la información transmitida entre las aplicaciones de negocio necesitan ser desarrollado e implementado.
Hasta ahora hemos analizado el intercambio de datos entre organizaciones y dentro de una organización en lugar principio. Aquí está ahora en boca de todos Las aplicaciones de negocios. Entre ellos se encuentran por ejemplo. A medida que los sistemas de gestión de mercancías, sistemas ERP, etc. entender.
Técnicamente, estos se implementan a menudo en aplicaciones cliente-servidor, el acoplamiento de este tipo de aplicaciones entre diferentes organizaciones es común.
Aquí es importante para describir las reglas, procedimientos y medidas para proteger la información y poner en práctica que se procesan en dichas aplicaciones. En aplicaciones comerciales, como usuario rara vez se puede añadir funciones de protección individual a una aplicación, es por lo tanto dependen de este tipo de aplicaciones para. B. ofrecen la posibilidad de una comunicación cifrada. Por lo tanto, el requisito en el uso de este tipo de aplicaciones es a tratar en detalle con el proveedor y para obtener información sobre los canales de comunicación de la aplicación y su seguridad.
209
Editar metas de acción y medidas Si esto no es posible, o no se han instalado las medidas de seguridad, es posible que tenga la opción de utilizar un cifrado transparente de extremo a extremo entre los sistemas implicados. Sin embargo, esto no ayuda cuando se dentro de sistemas individuales deben implementar una protección: se encuentran Tales problemas cuando se conduce sobre aplicaciones diferentes requisitos de seguridad en el mismo sistema de TI - aquí se requiere una cobertura de cada aplicación. Puede ser necesario abstenerse aplicaciones diferentes necesidades de seguridad en uno para operar el sistema, sino que se realice una separación y proteger el sistema sea más sensible a las aplicaciones. Este tema se ofrece en una medida
-
M2.217 (clasificación cuidadosa y manejo de información, aplicaciones y sistemas)
TI de línea de base de rayas protección. Las descripciones de los módulos
-
B5.5 (Lotus Notes) y
-
B5.13 (sistema SAP) puede
ser concretos aquí. aplicaciones de comercio electrónico A.10.9
Se trata de la seguridad de las aplicaciones de comercio electrónico desde la perspectiva del operador, así como el usuario. Por supuesto A.10.9 puede considerarse como una expresión específica del A.10.8. La experiencia demuestra que el comercio electrónico, especialmente las amenazas y ataques muy específicos se exponen. Su atención especial en los siguientes tres medidas está, por tanto, plenamente justificada en nuestra opinión.
A.10.9.1 E-Commerce Información para aplicaciones de comercio electrónico que se transportan a través de redes públicas debe ser protegido de actividades fraudulentas, disputas de contratos, la divulgación no autorizada o modificación.
Básicamente, cualquier persona puede pedir productos en una tienda online, no en su propio nombre pero por
210
A.10
Operaciones y Gestión de Comunicaciones
el nombre y, a expensas de los demás. Un control de identidad en el momento del pedido sea ahora rara vez se realiza, una identidad falsa es por lo general sólo después de la entrega de las mercancías hacia fuera.
Por lo tanto, la puerta al fraude están abiertas en una aplicación de comercio electrónico. Se obtiene una identidad demostrable en la red, básicamente, sólo mediante un certificado electrónico reconocido y legalmente compatibles con las firmas electrónicas que aún no se han generalizado. Otro caso: procesos de órdenes que se ejecutan en Internet, pueden ser modificados por terceros para ver e ir por ,. B. cantidades cambiadas, cuenta bancaria y números de tarjetas de crédito son espiados. Aquí tenemos el problema de la integridad y confidencialidad de la información - una vez más, la firma y el cifrado están en redes abiertas el fármaco de elección. Estos métodos son utilizados por muchas tiendas, principalmente en la forma del protocolo SSL. Tenga en cuenta, sin embargo, que no habrá más de identificar a los individuos, pero están trabajando sobre la base de los certificados de software (no legalmente compatibles) para el cliente y el servidor. Pueden surgir en tales circunstancias inciertas en el comercio electrónico sobre el Derecho de Internet (contractual), es fácil de imaginar y la práctica común.
-
integridad de los datos y la confidencialidad de los datos están garantizados en la medida necesaria,
-
la ejecución de las operaciones individuales está protegida contra la actividad fraudulenta, y
-
hay posibilidad de cualquier litigio, a expensas de la organización por un acuerdo contractual correspondiente. el módulo
-
B5.4 (servidor web)
la Línea de Base protección que estos aspectos tratados con un ejemplo concreto.
A pesar de todos los conceptos y escenarios de fraude medidas no están completamente descartadas. En este contexto, ahora el tema vuelve a aparecer seguro - como último recurso, la compensación del daño financiero.
211
Editar metas de acción y medidas
las transacciones en línea A.10.9.2
Información transacciones en línea debe ser protegido para prevenir la transmisión incompleta, mala dirección, modificación no autorizada de los contenidos, la publicación, la duplicación y la restauración.
Mientras que en la medida anterior a aplicaciones de comercio electrónico como un todo, se trató A.10.9.2 transacciones individuales dentro de tal o entre tales aplicaciones. Además de los aspectos de la integridad y confidencialidad de la información que estamos hablando de amenazas contra transacciones abordarse son: -
transferencia incompleta, que una transacción no puede ser completada y por lo tanto tiene un estatus ambiguo.
-
Mala dirección: elementos de una transacción no han pasado por el camino previsto o en el lugar equivocado.
-
Explotar las debilidades en los registros de transacciones.
-
La duplicación y la repetición de los sistemas de información.
Con la multiplicación y los manipuladores de la pista para la repetición. Como el objetivo -
sobrecargar sistemas o varias veces para hacer que la misma acción,
-
para obtener servicios gratuitos por Restablecer juega idénticos o ligeramente modificada, teniendo las transacciones y los sistemas previamente ejecutadas de modo causados a las acciones para las que el manipulador no tiene autorización.
Aparte de los aspectos criptográficos del sujeto viene seguridad de las transacciones la protección de línea de base, especialmente en relación con las bases de datos y medianos - por ejemplo, en los bloques
212
-
B5.7 (bases de datos) y
-
B3.107 (S / 390 y zSeries unidad central).
A.10
Operaciones y Gestión de Comunicaciones
A.10.9.3 Información pública La integridad de la información que se proporciona en un sistema de acceso público debe ser protegido para evitar modificaciones no autorizadas.
Como regla general, es en el sistema público al sitio web de la organización que publica información de prospectos, clientes y socios de negocios y debe ser accesible desde el exterior. Sabemos que estos casos, encontrar las instituciones más conscientes de la seguridad un día que su sitio web fue hackeado y los contenidos se cambiaron - al menos con la consecuencia de daños a la reputación. escala comercial está más allá (z. B. Cambios en los precios de manipulación, modificación de las condiciones contractuales y de negocios) puede establecer pérdidas significativas
prevenir tales consecuencias se utiliza esta medida. Tenga en cuenta que es sólo el aspecto de la reputación ninguna diferencia si el sitio web es operado por la propia organización o por un tercero designado (socios de hospedaje).
En detalle, se debe asegurar que la información sólo se publica si se han completado con éxito un proceso de aprobación correspondiente. Se debe z. ser tan determinan y se publican previene internos de la organización o datos personales o del cliente. Este número está dedicado a la protección de línea de base del bloque de TI
-
B5.4 (servidor web),
entre las que se encuentran las siguientes medidas:
-
M2.173 (WWW establecer una estrategia de seguridad).
-
M2.272 (establecimiento de un equipo editorial WWW).
-
M4.93 (comprobación de integridad Regular).
-
M4.94 (Protección de archivos WWW).
monitoreo A.10.10 Aquí se trata ahora al descubrimiento de actividades, eventos y estados que se ejecutan los objetivos de seguridad y las normas de seguridad de la organización contraria.
213
Editar metas de acción y medidas Las medidas de seguimiento siempre persiguen al menos dos objetivos: quieren -
disuadir a los posibles infractores y así prevenir los actos; así como
-
la toma de eventos tuvo lugar reconocible y permitir su trazabilidad a las causas o los autores. Por supuesto, las medidas de control tienen en realidad sólo tiene sentido si sus resultados son significativos y se evalúan periódicamente competente.
política de privacidad
En el ámbito de la protección de datos son aquí bajo el término control de entrada aborda las medidas correspondientes en el BDSG. Protección de datos juega un papel con cara de Jano. Por un lado, se requiere la trazabilidad de todas las transacciones que alteran los datos personales, y por otro lado hecho en el área de protección de datos de los empleados ahora restricciones considerables, que no facilitan la implementación del control de entrada. Aquí para encontrar una forma aceptable requiere teniendo en cuenta el desarrollo actual de la ley de privacidad en el tacto considerable y la intervención temprana y abierto de representantes de los trabajadores.
registros de auditoría A.10.10.1
Debe ser creado en el cual las actividades del usuario, errores e incidentes de seguridad de información se graban los registros de auditoría. Ellos deben mantenerse durante un período acordado para ayudar en futuras investigaciones y monitoreo de control de acceso.
La palabra "~ protocolo" se utiliza aquí para significar grabación entiende como "Auditoría ~" de ninguna manera dice nuestra auditoría interna o externa, pero monitoreo o revisión de -
Condiciones de fallo y alarmas,
-
Los incidentes de seguridad y
-
la actividad del usuario (acceso no autorizado, los intentos de acceso no autorizados, operaciones privilegiadas). Por lo que la medida establece que estos tres tipos de registros de ocurrencias deben ser creados y almacenados a estos eventos - si es necesario en una fecha posterior - a evaluar.
214
A.10
Operaciones y Gestión de Comunicaciones
Lo que se debe registrar? Para el propósito de esta medida, es importante, los nombres de los usuarios (ID de usuario), fecha y hora de una actividad, lugar de la actividad (por ejemplo. ID AS terminal), actividad (por ejemplo. Como log-en tipo, cierre la sesión ) para capturar. eventos especiales, tales como el cambio de los privilegios del sistema, cambios de configuración, alarmas de unidades de vigilancia y de la conexión y la desconexión de estas funciones requieren posiblemente un registro más profundo.
Esta recogida de datos se le asigna a la fase de comprobación PDCA: El objetivo es obtener datos sólidos sobre las condiciones de error que intenta o ejercicio real de los derechos de los usuarios y de los incidentes de seguridad. En este caso, podría dar lugar a la evidencia sobre la eficacia de las medidas de cumplimiento de las normas de organización o modos de fallo de los sistemas críticos. Que les gusta DESATENDIDAS solicitar las pruebas de datos de protocolo dirigido a la protección de TI de línea de base de la acción
-
M2.64 (Comprobación de los archivos de registro).
Que la recogida de datos de registro debe estar en línea con los requisitos de protección de datos, aclara la -
Acción M2.110 (uso de los datos para el registro).
los datos de registro a menudo contienen datos personales. Desde una perspectiva de protección de datos, estos datos deben ser borrados después de la abolición de la finalidad encuesta o bloque. El uso de los datos de registro a través de los administradores operacionales debe ser limitado en relevancia protección de datos hasta el momento. Para fines de evaluación y reconocimiento posterior de los datos de registro en un servidor de registro a prueba de manipulaciones se pueden mantener fuera del alcance de acceso del personal normal de las operaciones de TI. De lo contrario, la información de protección básica se da en sistemas específicos, tales como
-
M4.25 (Uso de la tala en el sistema UNIX)
-
M4.47 (registro de actividades de puerta de enlace de seguridad)
-
M4.5 (registrar el trabajo TK-administración),
-
M4.81 (actividades de auditoría y de registro en la red)
-
M4.106 (Habilitar el registro del sistema) 62
62 En los sistemas Unix.
215
Editar metas de acción y medidas -
M4.167 (supervisión y registro de los sistemas de Exchange 2000)
-
M4.172 (registrar el acceso de archivo),
-
M4.205 (tala en los routers y conmutadores), y
-
M5.9 (inicio de sesión en el servidor).
Esta información se refiere parcialmente las siguientes medidas A10.10.2 y A.10.10.4 la norma.
monitoreo A.10.10.2 de uso del sistema Tenemos que desarrollar procedimientos para el seguimiento del uso de las instalaciones de procesamiento de información, y los resultados de la supervisión debe ser revisado periódicamente.
para obtener cifras de la utilización de los sistemas, la planificación de la capacidad y evitar los cuellos de botella que pueden afectar negativamente a la disponibilidad objetivo es la seguridad. La medida pide que las cifras para la utilización de los sistemas son identificados y evaluados con regularidad. Otro aspecto es que el seguimiento de la utilización de sistemas también está destinado a reconocer el abuso - al menos en retrospectiva. Sin embargo, para esto debe ser registrado en la información de seguimiento que hacen posible la identificación de los autores. La frecuencia de la evaluación de esta información deberá ser elegido de modo que el abuso no reconocida sólo puede conducir a pérdidas intolerables. Una vez más, debe observarse la política.
A.10.10.3 la protección de la información de registro
las facilidades de registro y la información de los registros deben ser protegidos contra la manipulación y acceso no autorizado.
Registros en su mayoría sirven para probar ciertos hechos. En cuanto a esto desde un punto de vista legal, es estar Evidencia. Por lo tanto los registros obtenidos este carácter a prueba, los datos deben ser necesariamente así recogidos y almacenados que
216
A.10
Operaciones y Gestión de Comunicaciones
-
personas no autorizadas en el proceso de grabación no se puede acceder,
-
Los registros no se pueden interrumpir deliberadamente mediante la creación de una escasez de espacio,
-
Modificaciones y manipulación de los datos registrados se impide o al menos son seguros detectable.
El tercer cuadro también hace referencia oficial, z. Tales como las personas que están instalando el proceso de grabación o de espera o evaluaciones de los registros. Se requieren derechos de sólo lectura para la evaluación de las grabaciones. Si estos derechos no son configurables o no pueden suficientemente fundida por el acceso de controlar el proceso de instalación y mantenimiento, tales como la regla de dos hombres que tiene que recurrir a medidas de organización. La segunda pintura en la lista aborda una técnica común de los hackers por una pluralidad (permitido) actividades durante el logging para producir un cuello de botella de memoria - con la esperanza de que la tala deja de funcionar y ya no es registrar las actividades ilícitas. Cuando la protección de la línea de base, estos aspectos no se abordan específicamente, pero z. B.
-
M4.93 (comprobación de integridad Regular) y
-
M4.135 (asignación restrictiva de derechos de acceso a los archivos del sistema)
tratada, interpretarse específicamente para archivos de registro.
A.10.10.4 administrador y los registros del operador Las actividades de los administradores y operadores de sistemas necesitan estar conectado.
En resumen: ¿Dónde altos privilegios en el juego, el registro es aún más importante. Esto se puede hacer por un registro automatizado, así como registros manuales.
217
Editar metas de acción y medidas
registros de errores A.10.10.5
Los errores deben ser registrados y analizados, y se deben tomar las medidas apropiadas. Esta medida está estrechamente relacionado con A.10.10.1: Pero no estaba más preocupado por la recolección de material para evaluaciones posteriores, mientras que aquí la recopilación y registro de fallas con el objetivo de solucionar problemas a tiempo a la vanguardia.
la medida -
M2.215 (control de errores) trata este tema en la
protección de TI de línea de base.
sincronización de tiempo A.10.10.6
Los relojes de todos los importantes sistemas de procesamiento de información de una organización o sector de la seguridad deben estar sincronizados con un tiempo de referencia precisa acordado.
Sin esta medida, no hay correlación de eventos complejos es factible que afectan a múltiples sistemas o están involucrados en varios sistemas. Además, los registros o pruebas pueden perder su carácter probatorio cuando no pueden ser fechados a la vez fiable. Aquí, se recomienda el uso de un servidor de tiempo (con liberación de la señal DCF77), y la distribución del tiempo en la red interna a través del protocolo NTP. En contextos más simples puede ser suficiente, en lugar de un servidor de tiempo propio para recuperar un tiempo de confianza de Internet (z. B. en el PTB).
Como medida para la protección de TI básica deberían mencionarse específicamente los siguientes:
-
A.11
M4.227 (utilizando un servidor local NTP para la sincronización de tiempo).
control de acceso
Con respecto a la traducción de control de acceso sección 2.5 Debe observarse que el control de entrada física se trata de activos bajo A.9.1.2 mientras que al
218
A.11
control de acceso
A.11 más bien para el acceso lógico y va acceso a los activos de la organización. Pero el pasaje correspondiente en la norma ISO 27002 declara que el acceso y la lógica de acceso por un lado y el acceso físico otra parte, en los conceptos de autorización debe considerarse siempre juntos. Por lo tanto, vamos a observar una separación nítida de estas formas de acceso (skontrolle) en nuestras explicaciones de A.11. Las reglas para el control de acceso en concreto a encontrar la entrada a la que se determinará conceptos de autorización, que deben ser implementadas en los sistemas y aplicaciones apropiadas. El control de acceso es siempre en relación con la clasificación de los activos de información (s. A.7.2.1 medida en la página 163), si existe.
A.11.1 requisitos de negocio para el control de acceso
control de acceso aquí significa poder controlar el ejercicio de los derechos de conformidad con las reglas del concepto de autorización aplicable. La organización debería, en principio, viable comunicar las reglas y evitar las estructuras excesivamente los derechos de filigrana como sea posible. Un sistema de derechos sencilla, claramente estructurado es fácilmente manejable, bien adaptable, fácil de comunicarse con los pacientes y por lo tanto cumple con el requisito esencial: que se respeta en la práctica.
A.11.1.1 reglas de control de acceso Reglas para el control de acceso se han establecido sobre la base de los requerimientos del negocio y de seguridad, documentado y controlado regularmente. En primer lugar están los habituales cuatro requisitos se aplican meta: Las reglas de control de acceso ha sido diseñado (establecido), los documentos son revisados regularmente y posiblemente revisado. Un conjunto de reglas para el control de acceso se describen las reglas generales de la organización en la asignación y el control de los derechos.
DAC, MAC
Por ejemplo, usted podría archivos en sistemas de TI control de acceso definibles por el usuario fingir. Aquí, cada productor especifica un archivo, que otras personas / los roles
219
Editar metas de acción y medidas el acceso a ese archivo (control de acceso discrecional / CAD).
Necesidad de Saber
Para las autoridades mantienen en secreto la información clasificada se aplica la costumbre allí Mandatory Access Control. Aquí la información de acuse de recibo se controla y supervisa el centro. El acceso a la información clasificada sólo se han autorizado las personas correspondientemente alto (Mandatory Access Control / MAC). Esta autorización es a menudo llamado holgura se hace referencia. Un espacio libre es el resultado de un control de seguridad, se autoriza al beneficiario a tener acceso a la información de un cierto nivel de secreto. La base de la necesidad de conocer dice que el acceso a la información sólo recibe, lo que realmente necesitan para su trabajo. Analógico: El acceso a una sala sólo se concede a las personas que requieren el acceso por razones funcionales realmente.
Por lo tanto, este principio excluye la posibilidad de que un sujeto tiene acceso a los datos sólo sobre la base de una autorización formal. En relación con los
principio 4-ojo
rodillos debe tener el alto privilegio en el acceso y el acceso es siempre superior a distribuir el trabajo entre varias personas para establecer al menos la regla de dos hombres llamada. Normalmente este es el caso con las actividades de la administración del sistema. Básicamente, usted tiene que considerar si usted quiere tomar un enfoque restrictivo ( "Todo está prohibido - a menos que un
Restrictiva / Open
acceso / acceso está explícitamente permitido") o una operación abierta diseñada ( "Todo está permitido - a menos que un acceso / acceso es explícitamente "prohibido). Una regla útil es que cada sujeto recibe apenas tanto como los derechos necesarios para sus actividades. Ser tal.
privilegios mínimos
B. temporal se concede más derechos, deben ser retirados después de la finalización de la obra. Ha habido casos en la práctica cuando dichas normas no de acumulación de derechos
han sido aplicadas consistentemente y una acumulación de derechos cesado cuando los sujetos: Como resultado, todos los sujetos poseían después de algún tiempo todos los derechos. Un control de los derechos era entonces casi obsoleto.
uno ya más o menos en una situación de este tipo es, sólo hay un método brutal: Todos los derechos se retiran a una fecha anunciada y deben ser solicitadas y aprobadas. segregación de
Será apropiado en la mayoría de los casos para separar las tareas administrativas de las tareas
funciones
operativas. Sistema Técnicamente, esto tiene ejemplos
220
A.11
control de acceso
jugar como resultado, las cuentas de la administración del sistema no son para ser utilizados para el uso normal del sistema. Tales divisiones o separaciones también son principios que deben figurar en las normas requeridas. Además de la división y separación, también existe la situación inversa, a saber, la
grupos
combinación de personas en grupos. En las reglas que se describirán, a la que los grupos terminales se pueden ajustar o grupos que ya están presentes. Esto se refiere a la utilización de los sistemas informáticos, así como sobre los derechos de acceso a los locales (ver. A.9.1.2).
El monitoreo regular en A.11.1.1 no significa que el control de los derechos de acceso individuales (más sobre esto en A.11.2.4), pero el control de Regulaciones. Por lo tanto, se solicita que los principios del Derecho dé siempre se prueban regularmente para comprobar su idoneidad, viabilidad y eficacia.
Especialmente en relación con la clasificación de la información en dicha revisión para. para ser considerado como casos en los que -
diferentes sistemas en lo mismo puede incluir cuadro de clasificación diferentes reglas de acceso a los datos,
-
diferentes sistemas también diferente puede ser dueño de los esquemas de clasificación.
A partir de tales circunstancias pueden surgir conflictos de acceso y de acceso cuando no hay un cuidadoso análisis anteriores se llevaron a cabo o hay una falta de regulaciones consistentes. El análisis podría tales. sobre el lanzamiento de una aplicación en modo supervisor - por ejemplo, que cierto procesamiento de una elevación de privilegios se realiza automáticamente por los sistemas implicados revelado. Esto puede conducir a serios problemas de seguridad cuando los usuarios de este tipo de aplicaciones pueden aprovechar el privilegio de lo contrario aumentará también. Los aspectos de las reglas anteriores se tratan de la protección de TI de línea de base con las siguientes medidas:
-
M2.220 (Directrices para el acceso o control de acceso).
-
M2.5 (distribución de tareas y segregación de funciones).
-
M2.38 (División de funciones de administrador).
221
Editar metas de acción y medidas A.11.2 Gestión de usuarios Funciones y los derechos de las personas debe concederse que necesitan para realizar sus tareas - y sólo el tiempo que necesitan estos derechos. Los siguientes cuatro medidas se ocupan de la gestión de la emisión y retirada de tales derechos.
El registro de usuarios A.11.2.1 Tiene que haber un registro de usuarios formal y registro DE para la concesión y el canje de los permisos de acceso para todos los sistemas y servicios de información. El punto esencial es que hay una proceso formal debe ser para la creación y eliminación de cuentas y la concesión y retirada de derechos: básicamente una solicitud por escrito y procedimientos de aprobación. Documentos de estos procedimientos deben ser archivados para probar fuera de toda duda la concesión o supresión de los derechos en determinadas ocasiones.
Es importante que este proceso está implicado en procesos de recursos humanos (ajuste y salida de los empleados, departamentos, tareas y cambios de rollo), y se activa inmediatamente a tales cambios. Cuando la creación de cuentas de prestar especial atención a la singularidad de toda la organización de los ID de usuario! Las únicas actividades posible asignar a cada persona sin ambigüedades detectadas por el control de acceso o de acceso. la mínimo gestión de derechos (privilegio mínimo) es otro punto esencial: se trata de ID de usuario sólo se concederá tanto de privilegios, como se requiere para la actividad prevista.
Además de las medidas antes mencionadas a A.11.1.1 siguientes medidas todavía se refieren a la protección de línea de base de TI para el registro del usuario y la cancelación del registro:
222
-
M2.30 (control para el establecimiento de los usuarios / grupos de usuarios).
-
M2.31 (Documentación sobre los usuarios autorizados y perfiles de derechos).
-
M2.7 (asignación de).
-
M2.8 (asignación de derechos de acceso).
A.11
control de acceso
-
M3.6 (Regulado procedimiento cuando los empleados dejan).
-
M4.13 (asignación cuidadosa de identificadores).
Gestión de derechos especiales A.11.2.2 La asignación y uso de los derechos especiales deben tener lugar restringido y controlado. Los llamados derechos especiales se ocupa de acceso o privilegios especiales. Tales son principalmente para funciones críticas para la seguridad, tales como administradores de sistemas, gestor de copia de seguridad, auditores de sistemas (z. B. para evaluar registros de registro) o incluso el personal de mantenimiento y con frecuencia se refieren a personal de proveedores de servicios externos. Está claro que este tipo de privilegios por lo general altos se otorgan únicamente con moderación y deben ser revisados regularmente. Para cada persona afectada una cuenta privilegiada separada se debe crear además de la cuenta de usuario normal, que es para ser utilizado exclusivamente para estos actividad de seguridad crítico.
En situaciones críticas (emergencias y otros incidentes graves) puede ser necesario para dar los presentes derechos de acceso temporal alta para alcanzar de nuevo la condición de funcionamiento normal tan pronto como sea posible. Aquí, la redención de tales derechos no se debe olvidar! Aparte de estas situaciones, no se requieren otros derechos especiales. Incluye la concesión de derechos especiales, sino más bien un diario, este puede tener dos razones: El actual sistema de derechos es poco práctico y, por tanto, debe ser rediseñada - y hay un gran número de personas en la jerarquía de la organización que no acepta la restricción de sus derechos de acceso y Por lo tanto, la demanda constante de los derechos especiales. Este último puede ser un problema de conciencia.
A.11.2.3 la gestión de contraseñas de usuario La asignación de contraseñas debe ser controlado a través de un proceso de gestión formal. El proceso de gestión formal puede ser que
223
Editar metas de acción y medidas -
Reglas para la formación de buenos contraseñas (z. B. relativa a la longitud mínima, el uso de caracteres especiales y números) ser adoptada y la prohibición de almacenar contraseñas,
-
Contraseñas para. B. preestablecer hora de crear una nueva cuenta desde una ubicación central, y se solicita al usuario a cambio oportuno,
-
el cambio regular de contraseñas se hace cumplir,
-
Los usuarios tienen de no almacenar las contraseñas en una forma no cifrada en sistemas, y se vigila el cumplimiento, si,
-
contraseñas por defecto se cambian fundamentalmente antes de hacer funcionar un sistema de proveedores de sistemas,
-
Ayuda del usuario cuestión escritorio una nueva contraseña sólo bajo los requisitos de seguridad especiales - sobre todo después de la identificación única de la persona en cuestión,
-
Estas normas deberán estar a disposición de los usuarios y para ser firmado por una obligación. Las siguientes medidas para la protección de TI de referencia se aplican estos aspectos importantes:
-
M2.11 (controlar el uso de contraseñas).
-
M2.22 (fondo de contraseñas).
-
M4.7 (contraseñas cambio de preset).
-
M5.34 (uso de contraseñas de un solo). contiene
próximo
-
M4.133 (selección apropiada de los mecanismos de autenticación)
la información de política importante.
Aunque la norma aquí coloca explícitamente demandas en la gestión de las contraseñas deben estar claramente que el uso de contraseñas puede proporcionar una seguridad limitada sólo para la autenticación. Esto depende del hecho de que los usuarios no se puede esperar simplemente a recordar muchas contraseñas. La consecuencia de que las contraseñas de longitud corta o contraseñas fácilmente recordadas se seleccionan. pero esto aumenta la posibilidad de graves como para adivinar las contraseñas. En este contexto, es ciertamente necesario cambiar a otros mecanismos tales. A medida que el uso de tarjetas inteligentes para todas las autenticaciones (Access, acceso, operaciones de pago, etc.)
224
A.11
control de acceso
dentro de una organización - incluso en este caso una necesidad PIN
o. ä. Recuerde, pero sólo a.
permisos de usuario A.11.2.4 Validar Los permisos de usuario debe regular un proceso formal de ser revisados por la dirección.
Los permisos de usuario deben ser revisados regularmente; mientras que se debe prestar atención al hecho de que los derechos innecesarias eliminadas se detectan las relaciones encubiertas derechos y deshechos, y los derechos de las personas que ocupan múltiples roles, se comprueban para la acumulación crítica de privilegios. Tales derechos agrupación puede permitir la manipulación menudo solamente. Altos privilegios deben ser revisados con mayor frecuencia que los privilegios normales.
En virtud de esta medida, el problema de las cuentas de usuario que se utilizará durante un período más largo Falls - puede haber sido nunca utilizado después de su lanzamiento en absoluto. Estos casos deben ser revisados, las cuentas deben ser borrados si es necesario. El aspecto de las pruebas A.11.2.4 Protección de línea de base es la TI en la acción
-
M2.31 (Documentación en usuarios autorizados y perfiles de derechos) son tratados como sub-elemento.
conclusión
Las cuatro medidas del grupo A.11.2.x sirven toda la aplicación de acceso, el acceso y el control de acceso, en particular, su aplicación por medios técnicos. Esto debe abarcar todas las posibilidades técnicas de los sistemas de control de instalaciones y considerado por los sistemas operativos y aplicaciones y se utilizan para el beneficio de la organización.
A.11.3 responsabilidades de los usuarios
Es importante que cada usuario reconoce su responsabilidad, como para la prevención de acceso no autorizado, el compromiso y el robo de los activos de información. Todo se ha dicho anteriormente sobre el tema de gestión de control de acceso sólo es eficaz si los usuarios a entender estos procesos y se aplican.
225
Editar metas de acción y medidas
Contraseña uso A.11.3.1 Los usuarios deben ser alentados a seguir las buenas prácticas de seguridad en la selección y uso de contraseñas.
Que provocó realizado por la adopción de normas apropiadas de contraseña (s. A.11.2.3) y la obligación del empleado para aplicarlos. Para ayudar al usuario en cualquier maneras existentes de los sistemas operativos y las aplicaciones deben ser utilizados para hacer cumplir las reglas de contraseña durante cada cambio de contraseña automáticamente. al prácticas
de seguridad incluye, por supuesto, que las contraseñas deben ser confidenciales, no circular entre colegas contraseñas para todo tipo de propósitos, contraseñas oficiales son diferentes contraseñas para fines privados.
La descripción de la acción -
M2.11 (controlar el uso de contraseñas) para la protección de línea de base de TI
proporciona información completa sobre las prácticas de seguridad. la medida
-
M3.26 (formación del personal en el uso seguro de la misma)
aborda el aspecto de la obligación de aplicar estas prácticas.
equipos de usuario desatendida A.11.3.2 Los usuarios deben asegurarse de que el equipo desatendido está debidamente protegido. Se procede entonces a aplicar la regla de interrumpir dispositivos adecuados para salir del trabajo para que alguien no puede usarlos. De nuevo, el usuario debe estar soportado, por ejemplo. Por ejemplo, será establecido por conveniente en los sistemas de TI en el protector de pantalla lugar de trabajo con protección por contraseña. Para otros dispositivos - por ejemplo en la producción - puede ser necesario, instalaciones o
226
A.11
control de acceso
bastidores del sistema básicamente completa o sello lo hizo. Especial atención requiere el punto es que los dispositivos móviles son seguros. A menudo se utilizan en el entorno inseguro (viajando en organización extranjera), donde la falta de atención o ausencia corta puede conducir rápidamente a problemas de seguridad. Como regla general, al menos, debe observarse la activación del protector de pantalla (con contraseña), así como la cancelación de los sistemas o las sesiones actuales para este tipo de situaciones. Además de la ya mencionada medida M3.26 especialmente las siguientes medidas de protección de la línea de base de TI tratar asegurar los sistemas desatendidos: -
M4.2 (bloqueo de la pantalla) y
-
M1.46 (uso de la seguridad a bordo)
A.11.3.3 El principio de escritorio limpio y una pantalla clara El principio de escritorio limpio para los papeles y medios extraíbles, así como de la pantalla en blanco para instalaciones de procesamiento de información debe aplicar. este Política de escritorio limpio tiene que negar el objetivo de que personas no autorizadas a acceder a los archivos, documentos en papel, medios extraíbles, etc., y que es cuando temporalmente por la noche o cuando ausencia tener el acceso al espacio titular de instalaciones adecuadas. Esto también se aplica al núcleo presencia Cuando otros se están quedando el titular del espacio con las encuestas cortas o reuniones en la sala. Bajo esta política, también puede Política claro de la pantalla creer cuando se trata de permitir que las pantallas sensibles sin la lectura no autorizada, sobre todo por la ausencia de corta duración del trabajo durante una activación de al menos protector de pantalla protegido por contraseña que preocuparse. El registro es necesario ausencia prolongada de encendido y apagado del equipo.
Cuando TI Protección de línea de base de este tema se trata con las siguientes medidas:
-
M2.37 (El lugar de trabajo ordenado).
227
Editar metas de acción y medidas El curso de la vida por encima de las medidas que sean respetados por los usuarios. Además del conocimiento de los empleados y el seguimiento de las cuestiones de cumplimiento. La gestión de la seguridad podría, por ejemplo, los controles periódicos para el cumplimiento de la conducta política de escritorio limpio (dejar).
conclusión
A.11.4
Control de acceso para redes
En esta categoría se trata de proteger la red de los servicios de la organización de ataques internos y externos de la red y. En este grupo se trata de siete en algunos casos, las medidas muy detalladas cuya aplicación está asociada con diferentes costos. Ante la pregunta de lo que debe ser implementado de prioridad en caso de necesidad de estas medidas, hay que responder que en realidad esta evaluación puede llevarse a cabo de forma individual en función de las circunstancias específicas. opta esenciales, por ejemplo, en la cuestión de si un proveedor de servicios con la operación o mantenimiento de la red fue comisionado.
A.11.4.1 de reglas para el uso de las redes Los usuarios sólo pueden tener acceso a los servicios de red para su uso están autorizados específicamente. La afirmación dice que incluso con el uso de los servicios de red, se deben observar los principios de autorización explícita y de privilegio mínimo, que el acceso o uso siempre deben estar vinculados a un (moderación asignado) autorización explícita. Análogamente, lo mismo se aplica a la utilización de la red de la organización en su conjunto y para las conexiones de red (dentro o fuera). Es importante tener en cuenta lo que se hacen adiciones a la red de la organización y sus servicios de red y son realmente necesarios para los procesos de negocios impulsados y la forma de asegurar este acceso. Reglas básicas para el uso de redes, conexiones y servicios deben ser presentados en un marco regulatorio apropiado. Además de la más general como prueba en
228
A.11
control de acceso
-
M2.220 (Directrices para el acceso o control de acceso) y
-
M4.133 (selección apropiada de los mecanismos de autenticación)
serán los temas específicos de TI Protección de línea de base abordan en
-
M2.71 (definir una política para una pasarela de seguridad) y
-
M2.172 (desarrollo de un concepto para el amplio uso Mundial de la web).
La autenticación de usuarios para A.11.4.2 Verbindun- externa gene
Para controlar el acceso de usuarios con acceso remoto medidas adecuadas para la autenticación debe ser tomada.
Se trata de la cuestión de cómo los usuarios de nuestros sistemas que marcan de forma remota conectar y se pueden autenticar de forma segura. Aquí, también, el orden del manejo restrictivo de dicho acceso se aplica, En particular, la mínimo Cesión de derechos.
administración remota
Un problema cardinal de la seguridad, la posibilidad de sistemas de hoy en día es ser capaz de ser configurado de forma remota y mantenido, en parte, más funciones están todavía disponibles. Por lo general se requieren altos privilegios de este. Si no se puede prescindir, en principio, para el acceso remoto, es esencial desde una perspectiva de seguridad para proporcionar autenticación adecuada de los usuarios de estos enfoques: la identidad de las personas debe determinarse con precisión antes de que tal acceso es permitido - especialmente si altos privilegios están en el juego.
Como mecanismos de seguridad tales lata. Como se utilizan métodos basados en certificados, que permiten por medio de técnicas de cifrado para cambiar de un canal seguro (tales como soluciones basadas en VPN).
Las excepciones son posibles si tal. B. sólo las líneas de su propia organización para servir de enlace usarse. circuitos de recuerdo también pueden aumentar el nivel de seguridad.
229
Editar metas de acción y medidas Pero para los intentos normales de acceso desde el exterior, realizar la autenticación de un bien (= grave), tales como mediante el uso de un métodos de desafío-respuesta.
Un problema particular surge cuando surge la oportunidad marcando en la red de una organización para bloquear a otras conexiones conocidas para el exterior (C todos los desvíos). Aquí es necesario tener en cuenta si existen tales posibilidades y estos son los propósitos de la organización. Por ejemplo, acceso a los servicios Tenga en cuenta que puede ser reparado de forma remota ya hoy a las impresoras conectadas en red. Debe tenerse en cuenta que algunas impresoras están técnicamente memoria evolucionar de manera que almacenan una pluralidad de páginas copiadas - y estos pueden ser leídos a distancia en función del ajuste de los técnicos de mantenimiento.
adopten medidas especiales en (redes de radio z. B. WLAN) que se requieren para prevenir registro no autorizado de enlace con el punto de acceso y el intercambio de datos a través de la "interfaz de aire", analizar y utilizar. el módulo
-
B4.4 (acceso remoto)
TI protección de línea de base es una gran cantidad de información y referencias sobre este círculo cuestión.
A.11.4.3 Identificación de los equipos en las redes
La identificación automática de dispositivos como un medio para autenticar las conexiones desde ubicaciones y aparatos específicos debe ser considerado. La autenticación de los dispositivos en una red de este tipo. B. medio de certificados de maquinaria, de cliente y servidor apropiados es un buen medio para permitir sólo las conexiones entre los dispositivos conocidos y auténticos para rechazar otras solicitudes de conexión. La protección que le da esta información de línea de base en la descripción de las medidas para
230
-
M4.82 (configuración segura de componentes de red activos), y
-
M4.133 (La selección apropiada de los mecanismos artículo autorización).
A.11
control de acceso
Protección A.11.4.4 de los puertos de diagnóstico y configuración
El acceso y acceso a los puertos de diagnóstico y de configuración deben ser objeto de control. Debido a que por lo general muchos, si todos los controles no pueden ser anuladas en el uso de dichos puertos, un control del acceso físico y lógico es esencial para este tipo de puertos. El fármaco de elección es una inspección del sistema técnico de estos puertos: su uso pudiera por. B. requiere autenticación. Están a punto de fines de inspección y mantenimiento de puertos físicos (interfaces de diagnóstico) se utilizan para una supervisión del sistema técnico no es posible, el acceso físico por bloqueo mecánico de los puertos de monitoreo visual (por cámara) o sellado de bastidores, equipos y ser asegurados puertos. En este caso, una violación de las normas de seguridad, al menos reconocible. Los puertos no utilizados o innecesarios deben, en principio, siempre se desactivarán.
Una medida importante en este contexto, la protección de línea de base es de TI
-
M4.80 (mecanismos de acceso seguro para la administración remota).
separación A.11.4.5 en redes Grupos de servicios de información, los usuarios y los sistemas de información deben mantenerse separados en las redes.
Esta medida responde a una, regla, aunque a menudo ignorado importante, a saber, la separación de los servicios, aplicaciones y grupos de usuarios. Todo en un servidor no es, a priori, una buena arquitectura de seguridad. Es aplicaciones críticas de seguridad propios segmentos de red, o lo desconecta por completo las zonas inseguras de la red central de la Organización, salva nos fijamos en una variedad de medidas de seguridad y más fácil de controlar.
La separación puede tener lugar tanto en la física, así como el nivel lógico. La separación física
231
Editar metas de acción y medidas redes, así como la separación física de Internet suelen ser un último recurso en áreas con requisitos de seguridad muy altos (por ejemplo, en entornos militares). tal separación de segmentos de red en el nivel lógico. Ejemplo por medio de puertas de enlace y servidores de seguridad.
Una separación lógica estable siempre es necesario si la organización clasificado (Por ejemplo. B. clasificado) se procesan los datos. Aquí se requiere que ciertos segmentos de la red de transporte de datos solamente de una clase particular o, como máximo, hasta una cierta clase, mayor es la clasificación debe ser interpretado más cierto segmento. Se ha de evitarse en el núcleo que es el flujo de datos más alta clasificado en segmentos menos seguras. Con respecto a la separación de redes para encontrar buenas instrucciones para las medidas de protección básicas
-
M5.77 (formación de subredes),
-
M5.61 (segmentación física adecuada) y
-
M5.62 (segmentación lógica adecuado).
A.11.4.6 control de las conexiones de red Las redes compartidas, especialmente para aquellos que se extienden más allá de los límites de una organización más allá de la capacidad del usuario tiene que iniciar sesión en la red, ser restringidos. Esta restricción debe ser coherente con la política y los requisitos de las aplicaciones de negocio (véase 11.1) de control de acceso.
, Redes y servicios utilizados por varias organizaciones (socios, clientes), por lo que, por tanto, los activos de información críticos son (al menos una de las organizaciones participantes) conectado en la mayoría de los casos. A partir de esto, el requisito de tener acceso a esta red y estos servicios da a unirse a un control de acceso y una autorización explícita. El acceso también se puede conectar a la hora o la duración de la conexión, lo que significa que las conexiones sólo en determinados momentos o para ciertos períodos de tiempo son permisibles. Además de lo anterior, en A.11.4.1, A.11.4.2 y A.11.4.3 indicaciones para la protección informática de referencia, aquí están los bloques
-
B3.301 (puerta de enlace de seguridad (Firewall)) y las
siguientes medidas para complementar:
232
A.11 -
M4.238 (utilizando un filtro de paquetes local).
-
M5.13 (El uso apropiado del acoplamiento de red).
control de acceso
control de encaminamiento para redes A.11.4.7
Los controles para el enrutamiento en redes deben ser implementados para asegurar que las conexiones de la computadora y los flujos de información no violan las reglas de control de acceso de las aplicaciones empresariales.
La protección de las aplicaciones de negocios tales. B. confidencialidad que utiliza datos también debe tener en cuenta el problema del flujo de información: No tiene sentido para poner en práctica las medidas de seguridad costosas si al mismo tiempo se alimenta de datos críticos en oa través de redes inseguras debido a las especificaciones de enrutamiento que faltan o no probado fuente y direcciones de destino y por lo tanto pueden ser accesibles a personas no autorizadas. Aspectos del control de encaminamiento para la Protección de TI de línea de base en los bloques
-
B3.301 (puerta de enlace de seguridad (Firewall)) y
-
B3.302 (enrutadores y conmutadores)
tratado, incluyendo referencias a las medidas
A.11.5
-
M4.82 (configuración segura de componentes de red activos),
-
M5.61 (segmentación física adecuada) y
-
M5.70 (traducción de direcciones NAT - (Network Address Translation)).
El control del acceso a los sistemas operativos
En esta sección, se discuten los requisitos para el control de acceso en los sistemas operativos. Cabe señalar aquí que certificado para sistemas operativos que después de la clase funcionalidad F-C2 (o superior) 63 han sido las siguientes medidas se implementan técnicamente, pero la seguridad general de Opciones de gestión cualificados depende. Todas las declaraciones realizadas en los siguientes seis medidas pueden ser útiles en los sistemas de TI de hoy en día a través de una
63 Ver. / TCSEC /, / ITSEC /, / CC /.
233
Editar metas de acción y medidas Implementación de la administración adecuada y siempre debe ser implementado.
método A.11.5.1 para inicio de sesión seguro
El acceso a los sistemas operativos debe ser controlado por un proceso de registro seguro. sin peligro Significa que en este momento
-
el proceso de solicitud no puede ser excluida,
-
el procedimiento de registro con respecto a la identidad del usuario no puede ser engañado,
-
no observaron las entradas del usuario en la aplicación y posteriormente puede ser utilizado por otros,
-
el número está limitado por los intentos de inicio de sesión,
-
El registro debe tener lugar antes de cualquier otra acción con el sistema operativo por la fuerza,
-
antes de la inscripción con éxito sin información superflua (textos de ayuda, de servicio o de servidor de nombres, etc.) se proporcionan,
-
No se da información por aplicación incorrecta que permiten conclusiones sobre la naturaleza o ubicación de la falla,
-
Las credenciales no son transportados por una red y abierto
-
intentos de conexión se registran. Estos requisitos son para. T. trata
adicionalmente en las siguientes acciones de la norma.
El acceso seguro a los sistemas operativos tratados bajo la protección de línea de base de TI
-
M4.15 (login Secure).
Para el caso especial de las arquitecturas cliente-servidor para encontrar información detallada en
234
-
M2.321 (Planificación del uso de las redes cliente-servidor) y
-
M2.322 (definir una política de seguridad en una red cliente-servidor).
A.11
control de acceso
La identificación del usuario y la autenticación A.11.5.2
Todos los usuarios deben tener un identificador único para su uso personal, y la técnica de autenticación adecuado deben ser utilizados para confirmar la identidad declarada de un usuario.
Todos los usuarios deben tener una identificación única (ID de usuario). Este tema no es necesariamente el secreto, pero los datos de autenticación (por ejemplo, contraseña, PIN). Un puramente basado en una identificación de asignación de grupo es fundamental para la vista, ya que los incidentes de seguridad no asignados a una persona, por ejemplo. Está claro que un ID de usuario / contraseña esquema de ningún proceso de registro seguro de por sí es, pero sólo por los parámetros apropiados (tales como selección de personaje, la duración de la frecuencia y el cambio de contraseña), cuyo cumplimiento está ganando seguridad - si la posible seguridad también está limitada en este método.
Tenga en cuenta que para una autenticación básicamente tres características están disponibles: conocer un secreto (por ejemplo. B. contraseña, PIN, clave lógico), posesión un objeto (tarjeta de ficha o inteligente, llave física) y la presencia de cierta características ( La mayoría de la naturaleza biométrica). Una combinación de tales características puede aumentar el nivel de seguridad sólido ( "autenticación fuerte"). El requisito básico en A.11.5.2 trató a la protección de la línea de base de TI con las medidas
-
M2.220 (Directrices para el acceso o control de acceso) y
-
M4.133 (La selección apropiada de los mecanismos artículo autorización).
A.11.5.3 sistemas para la gestión de contraseñas Los sistemas para la gestión de las contraseñas deben ser interactivos y garantizar las contraseñas de calidad de calidad. Esto se refiere a la propiedad de muchos sistemas operativos, elegir buenas contraseñas de conformidad con las normas y los regulares
235
Editar metas de acción y medidas El cambio (por ejemplo. Al igual que en el cumplimiento del historial de contraseñas) a la fuerza.
En este contexto, conviene también a la capacidad de los navegadores web (y otro software) para gestionar los ID de usuario, incluyendo contraseñas. Si estas oportunidades deben ser examinados de cerca por la organización y regulados. las medidas
-
M2.11 (controlar el uso de contraseñas), y
-
M4.133 (La selección apropiada de los mecanismos artículo autorización)
la protección que cubre estos requisitos de línea de base mientras que en el lado de planificación y control, pero no tratan el lado del sistema técnico.
Uso de las utilidades del sistema A.11.5.4 El uso de utilidades que son capaces de anular la configuración del sistema y de la aplicación debe ser restringido y estrictamente controlado.
La posibilidad de utilizar las herramientas del sistema, los programas con altos privilegios cuando es ejecutado y herramientas de hacking de control previstos por la organización o la gestión de la seguridad debe estar sujeto. estar bajo el control -
que prohíbe la instalación de privado o cobrado por el software de Internet,
-
el principio de usar sólo los programas del sistema o instalar tales que realmente se requiere para las operaciones comerciales mientras se aplica una norma estricta
-
para monitorear y uso de dicho Software
-
el principio para llevar a cabo el trabajo de configuración de seguridad crítico sólo en la regla de dos hombres, de acuerdo con un plan determinado y aprobado previamente y con herramientas fiables.
Estos aspectos incluyen la protección de TI de línea de base de la acción
-
236
M4.135 (asignación restrictiva de derechos de acceso a los archivos del sistema)
A.11
control de acceso
de - aunque rudimentaria.
A.11.5.5 sesión de tiempo de espera
sesiones inactivas deben cerrarse después de un período de inactividad.
Esto es para evitar, sea intencionalmente o no ( "Lost") para cancelar la suscripción sesiones abiertas que dejan tomadas por una persona no autorizada. El sistema operativo debe ser capaz de incluir tales sesiones a un tiempo de espera configurado apropiadamente (es decir, debe ser ejecutada una nueva aplicación). Las medidas enumeradas en la protección de línea de base de TI
-
M3.18 (obligación de que el usuario cierre la sesión de ejecución de la tarea) y
-
M4.2 (bloqueo de la pantalla)
ir en esa dirección, pero no llene A.11.5.5.
A.11.5.6 limitando el tiempo de conexión Las limitaciones de los tiempos de conexión deben ser usados para proporcionar seguridad adicional para aplicaciones de alto riesgo.
Para una aplicación que sólo en ciertos momentos (por ejemplo, durante las horas normales de trabajo de 7 a 18 pm) que se requiere, los sistemas operativos afectados se deben configurar de manera que el uso de la aplicación (conectar a la misma) fuera de estos tiempos se excluye. En un horario fijo para abrir aplicaciones deben configurarse de modo que no se pueden activar en diferentes momentos.
Para aplicaciones especialmente críticas también puede estar previsto que las sesiones más largas se interrumpen periódicamente y se requiere re-autenticación. la medida -
M4.16 (restricciones de acceso para las cuentas y / o terminales)
la protección que cubre los aspectos de la línea de base A.11.5.6.
237
Editar metas de acción y medidas A.11.6
El control del acceso a las aplicaciones y la información
De acuerdo con los sistemas operativos, las aplicaciones tienen ahora a su vez de nuevo, se trata de la prevención de acceso no autorizado a la información y aplicaciones.
A.11.6.1 Limitación de Acceso a la Información El acceso a la información y las funciones de un sistema de aplicación por los usuarios y el personal de apoyo debe restringirse de acuerdo con las reglas definidas para el control de acceso.
El acceso lógico de los usuarios de datos (por. Ejemplo, en una base de datos) y en la aplicación (por. Ejemplo, el DBMS) de comprobación, después de un conjunto de reglas. Esta inspección también debe ser eficaz cuando los usuarios z. utilizar como cualquier utilidades del sistema para tener acceso a los datos o para funciones de derivación de las aplicaciones. La eficacia está siempre presente cuando el acceso es posible sólo a través de una solicitud aprobada, por métodos aprobados (como se invoca mediante la selección de diferentes puntos del menú de la aplicación). Aquí, en muchos casos también diferir en lectura, escritura, modificación, etc .. El aspecto del personal de apoyo fue especialmente destacado. Este grupo de personas que se necesitan para llevar a cabo sus funciones a menudo amplios derechos - por lo menos se reclama la necesidad. Para tener una visión de los datos sensibles (y peor) es generalmente posible. Una supervisión de dichas operaciones por calificado El personal de la Organización es un "debe" absoluta incluso si por cualquier actividad no autorizada no se pueden prevenir, porque no todos los pasos en detalle deben ser trazables.
se procesan en organizaciones en las que la información clasificada necesario que se controlen cuidadosamente si las reglas de clasificación también se aplican al exportar datos a tener (por ejemplo, la información clasificada.) - o posiblemente más si es necesario mayor información clasificada se transmite a los datos destinados, posiblemente incluso en casos inadecuadamente habilitadas. Cuando un valor de referencia de protección, no hay medidas específicas relacionadas con las aplicaciones relativas a A.11.6.1. Más bien, nos referimos a las medidas básicas para el acceso y control de acceso - como
238
A.11
control de acceso
-
M2.8 (asignación de derechos de acceso)
-
M2.217 (clasificación cuidadosa y manejo de información, aplicaciones y sistemas)
-
M2.220 (Directrices para el acceso o control de acceso) y
-
M2.30 (control para el establecimiento de los usuarios / grupos de usuarios).
A.11.6.2
Aislamiento de sistemas sensibles
los sistemas sensibles deben estar ubicados en un entorno dedicado (aislado). Este clásico de la demanda del aislamiento que ya hemos encontrado en la seguridad de la red: se ejecuta en el mismo entorno de muchas aplicaciones diferentes necesidades de seguridad, no se puede descartar que una aplicación sensible se ve afectada por una aplicación menos segura, tal vez fácil de manipular. Esto es especialmente cierto cuando tales aplicaciones comparten recursos comunes (por ejemplo. Como las áreas de almacenamiento o datos). Incluso si va en contra de la necesidad de conectividad: es el aislamiento y sigue siendo una de las medidas de seguridad más eficaces.
A modo de ejemplo, la producción de claves raíz y certificados raíz para un centro de confianza pueden ser mencionadas. La producción, la confidencialidad y la integridad de la clave privada deben estar plenamente garantizados, por lo que en la mayoría de los casos un sistema físico se utiliza (lugar seguro separado, no hay líneas de datos al exterior). Si exporta los certificados generados en otros sistemas de producción de transferir los datos en su mayoría a mano sobre un nuevo disco o reciclados de manera segura.
Para la referencia a la protección de línea de base de TI comparar la información sobre A.11.4.5.
La informática móvil A.11.7 y el teletrabajo
Dentro de la organización, un nivel adecuado de seguridad para establecer es importante, pero no suficiente, si se permite que el procesamiento de la información sensible en los sistemas fuera de la organización y los enlaces a dichos sistemas, es una práctica normal.
239
Editar metas de acción y medidas ejemplos notables incluyen dispositivos móviles como ordenadores portátiles, ordenadores portátiles, PDAs, teléfonos inteligentes y las pastillas a las que la información sensible de la organización están al menos temporalmente almacenada y procesada, así como el teletrabajo, que se establecen cada vez más a reducir los costos.
La informática móvil y las comunicaciones A.11.7.1
Para protegerse de los riesgos del uso de dispositivos informáticos y de comunicaciones móviles, una directriz formal debe haber sido realizado medidas disponibles y adecuados.
En una directiva correspondiente se debe determinar si se permite el uso de dispositivos móviles y qué reglas especial debe ser observada. Elementos de tales políticas pueden ser los siguientes: -
la adquisición central, la configuración y la salida de los dispositivos móviles,
-
la obligación de notificar cualquier sospecha de abuso o incluso la pérdida de un dispositivo,
-
Para prevenir posibles robos,
-
El requisito básico para la utilización de métodos criptográficos,
-
Reglas para la copia de seguridad y restauración, si es necesario, la replicación en línea y protección contra virus,
-
problemas de licencia para el software utilizado,
-
(Un) la admisibilidad del uso de Internet a través de redes inalámbricas no seguras y puntos de acceso,
-
una aprobación por el arrastre de un dispositivo cuando viajan al extranjero (en contra de las restrictivas leyes nacionales fondo z. T. criptón).
Esto apunta más fundamentales son las medidas básicas de protección de TI
240
-
M2.309 (normas y reglamentos para el uso móvil de TI de seguridad) y
-
M2.218 (control de los discos de conducción y componentes de TI)
A.12
Adquisición, desarrollo y mantenimiento de sistemas de información abordarse. son interesantes en este contexto, los bloques de construcción -
B2.10 (estación de trabajo móvil)
-
B3.203 (laptop),
-
B3.404 (teléfono móvil) y
-
B3.405 (PDA).
Una presentación completa de este tema Gestión de dispositivos móviles se pueden encontrar en / KeKl2012 /.
A.11.7.2 teletrabajo Reglamentos e instrucciones de funcionamiento para el teletrabajo a desarrollarse e implementarse. El teletrabajo debe, en principio, sólo sobre la base de una acuerdo
ser permitido entre la organización y los empleados. En este acuerdo, todos los aspectos de seguridad (física y lógica) deben ser incluidos. También irá a problemas de suministro de un sistema informático (pre-configurado) y la conexión segura a la red corporativa. Estos esquemas se emplearán desde un punto de vista técnico método de autenticación fuerte de usuarios, así como la transmisión de datos cifrados y firmados.
Se recomienda encarecidamente, como parte del teletrabajo restringir el uso de los ordenadores con licencia a las cuestiones administrativas, ya que la seguridad de otra forma adecuada de estos sistemas no está disponible. En el caso de almacenamiento de datos en la oficina en casa también debe considerar el problema de copia de seguridad y regulada. el módulo
-
B5.8 (teletrabajo)
la Protección de TI de línea de base describe muchos aspectos individuales de este tema y los puntos de acción adicional.
241
Editar metas de acción y medidas A.12
Adquisición, desarrollo y mantenimiento de sistemas de información Esta zona de regulación se refiere a los aspectos de seguridad en la planificación, adquisición, desarrollo, integración y mantenimiento de sistemas de procesamiento de información de cualquier tipo. A.12.1 requisitos de seguridad para los sistemas de información
Al igual que con muchas otras medidas se trata aquí de que la seguridad no es después ( y luego es generalmente diseñado únicamente con compromisos podridos) y puesto en práctica sino que debe ser desde el principio parte integral de cualquier tipo de planificación del sistema, las adquisiciones del sistema e integración de sistemas.
análisis A.12.1.1 y la especificación de los requisitos de seguridad conclusiones
Requisitos de los requerimientos del negocio para los nuevos sistemas de información, o mejoras de los sistemas de información existentes deberán especificar los requisitos de las medidas de seguridad.
Es una tarea principal de control de gestión en nuestra opinión, para asegurar el cumplimiento de esta medida: un proyecto de compra siempre debe contener una indicación de si -
el objeto a ser adquiridos deben cumplir con ciertos requisitos de seguridad,
-
debe tener ciertas características de seguridad,
-
son necesarios para su uso en el entorno operativo más garantías
-
la seguridad de otros sistemas puede verse afectada en el entorno operativo.
Si estas propiedades son requeridas por fin realidad presente en los sistemas adquiridos debe ser comprobado. Así que es una gran ayuda si el mismo tipo de revisión se establece en la formulación de los requisitos.
Una variante de esto es el uso de sistemas apropiadamente certificados: Siempre que sea posible, deben ser preferidos los sistemas, que han sido evaluados de acuerdo con las normas de seguridad reconocidas internacionalmente y certificados. De esta manera, se ahorrará
242
A.12
Adquisición, desarrollo y mantenimiento de sistemas de información posiblemente poseer extensas pruebas. En tales casos, sin embargo, debe aclararse antes de la adquisición si las necesidades de seguridad de la organización eran o cuando la evaluación se basa, al menos contenían. Si este no es el caso, no se puede prescindir de sus propias pruebas y validaciones. Estas sugerencias van en su conjunto asume que la gestión de la seguridad está involucrada en el proceso de adquisición y aprobación!
La cuestión, por adelantado para especificar los requisitos es parte de los componentes de protección básicas
-
B1.9 (hardware y software de gestión) y
-
B1.10 (software standard)
que se refieren a una variedad de medidas - incluyendo el -
M2.80 (la creación de una lista de requisitos para el software estándar) y
-
M2.66 (observancia de la importancia de la certificación de las adquisiciones).
A.12.2 procesamiento correcta en aplicaciones
Después de que los sistemas son ahora las aplicaciones de la serie: se trata de la prevención de errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones. Por supuesto, es deseable - y de paso también dijo eficaz - si se tienen en cuenta los siguientes tres medidas en el desarrollo de aplicaciones. Por desgracia, esto no siempre es el caso, como se evidencia por ejemplo en la vulnerabilidad de las aplicaciones contra ataques tales como desbordamientos de búfer y la inyección de SQL. Sin embargo, esto sólo subraya la importancia de las medidas. Bajo las siguientes medidas A.12.2.1, A.12.2.2 y uno A.12.2.4 encuentra no es un buen partido con la protección de TI de línea de base, en el mejor sería hacer referencia a las siguientes medidas:
-
M2.83 (pruebas de software estándar).
-
M2.62 (compra de software y el proceso de liberación).
243
Editar metas de acción y medidas
datos de entrada A.12.2.1 validar Los datos introducidos en las solicitudes deben ser evaluados para verificar que esta información es correcta y apropiada.
Una validación de entrada de datos para representar las aplicaciones de negocio (crítico) es esencial: El negocio puede ser dañado cuando se trabaja datos falsos o corruptos sin ser detectados. La validación requerida puede ser manual o automatizado, completamente o por muestreo, detallada o bien superficial en forma de un control de plausibilidad. La naturaleza, el alcance y la profundidad de la importancia de la aplicación de negocios para la organización deben ser adaptados. Tales requisitos están particularmente a ser considerados cuando los datos de entrada como código o de control de instrucciones ejecutables (por lotes) incluyen.
Control de A.12.2.2 de procesamiento interno Para descubrir la corrupción de información a través de los errores de procesamiento o la intención, los cheques deben ser parte de la aplicación.
Esto es principalmente en el diseño y desarrollo de aplicaciones. En aplicaciones tales lata. B. rutinas están instalados para detectar información incorrecta debido a errores de procesamiento (z. B. debido a un fallo de hardware) o manipulaciones. Incluso la interceptación de los ataques de desbordamiento de búfer entra en esta categoría. Copia de seguridad de datos por valores de hash (para la transmisión y almacenamiento) y controlar la misma antes de su reutilización puede ser un elemento adicional - valores tales de hash proporcionado se almacenan de forma segura en otros lugares. el tema código ejecutable ya habíamos considerado en A.12.2.1.
244
A.12
Adquisición, desarrollo y mantenimiento de sistemas de información
A.12.2.3
Integridad de los mensajes
Los requisitos para asegurar la autenticidad y la integridad de los mensajes en las aplicaciones deben ser identificadas y seleccionadas las medidas adecuadas y se implementan.
La transmisión de datos entre partes de un enfoque de aplicación aquí está en: La comunicación es auténtica y no ser vulnerables. Esto se aplica a escenarios en los que se toma acción dentro de una aplicación en intención manipuladora de los flujos de información o el origen para ser oscurecida por datos.
Para poner en práctica esta medida firmas adecuadas en relación con los certificados electrónicos. Además de la demanda de un concepto de criptografía (módulo B1.7) se encuentran a A.12.2.3 los aspectos de TI de protección de línea de base z. Al igual que en las medidas
-
M4.34 (El uso de encriptación, o sumas de comprobación de firmas digitales) y
-
M5.66 (utilizando SSL).
A.12.2.4 revisión de los datos de salida La salida de datos desde una aplicación debe ser revisada con el fin de garantizar que el tratamiento de la información almacenada es correcto y apropiado en las circunstancias. Sin duda, es apropiado revelar a los resultados del procesamiento automático de información, una saludable cantidad de escepticismo en el día y no confiar ciegamente en los resultados. Lo que se ha dicho más arriba para la validación de datos de entrada, se aplica, mutatis mutandis, a los datos de salida.
A.12.3 medidas criptográficas La criptografía se utiliza hoy en día por muchas aplicaciones de TI sin que este hecho es necesariamente consciente de todos los usuarios.
Las técnicas de encriptación son a menudo los medios técnicos de elección - ya sea como un cifrado de datos puro o en forma de firmas y certificados electrónicos. tal procedimiento
245
Editar metas de acción y medidas ren la confidencialidad e integridad de los datos y la autenticidad de los compañeros de comunicación puede ser garantizada. Los siguientes dos medidas recordarán que la criptografía también requiere un nivel mínimo de gestión y por lo tanto es de ninguna manera el camino o incluso tener costo neutral.
A.12.3.1 guía sobre el uso de la criptografía Una guía sobre el uso de medidas criptográficas para la protección de la información que se ha desarrollado y puesto en práctica.
A.12.3.2 gestión de claves criptográficas Para apoyar el uso de técnicas criptográficas en una organización una gestión de claves apropiado debe estar presente.
concepto de cifrado
la palabra clave pauta A.12.3.1 dice en otra política adecuada. Otras fuentes, sin embargo, es de un detallado concepto de cifrado El discurso, que se requiere como requisito previo para la utilización con éxito de técnicas criptográficas.
La lista de extremo a considerar los puntos es larga - se debe determinar, entre otras cosas,
246
-
el cual los objetivos de seguridad para los que existen datos,
-
¿cuál de estos objetivos deberían implementarse mediante cifrado,
-
donde se aplica la criptografía (z. B. en el almacenamiento, en la transmisión, en el que la autenticación),
-
si y qué restricciones para el uso previsto de la criptografía se especifican en las leyes nacionales aplicables,
-
que los procedimientos (algoritmos, longitudes de clave, simétrica o asimétrica) para ser trabajado,
-
si el software o hardware (dispositivos de cifrado) se va a utilizar,
-
Cuando se compre estos software y hardware (pensar en el problema de la criptografía extranjera)
A.12
Adquisición, desarrollo y mantenimiento de sistemas de información -
¿Cómo se protege este software y hardware en la operación o en los sistemas,
-
tales como la generación de claves, distribución de claves y regulares cambio vonstattengehen clave,
-
si y cómo mantenerse activo y clave (z. B. Después de compromiso) se puede desactivar o se borran,
-
cuándo y con qué frecuencia es necesario cambiar la clave
-
como se asegura la autenticidad de la comunicación (por ejemplo.
Como que certificados de los que los emisores son de confianza) -
que entra en conflicto tales. puede surgir como en la detección de los virus en los datos cifrados o otros controles contenido de los archivos.
Hay que decir en este punto que las dos medidas de los estándares de la importante cuestión criptografía el tratamiento sólo es muy escasa. Aún más información se obtiene mediante el bloque -
B1.7 (concepto de cifrado)
TI protección de línea de base y sus referencias. En caso de duda y para más detalles sobre el método criptográfico de una persona técnicamente capacitada siempre debe ser consultado. A.12.4 Seguridad de los archivos del sistema
Funcionamiento del software de control A.12.4.1
Para controlar la instalación de software en los sistemas en funcionamiento se deben especificar los procedimientos apropiados.
Este punto es a menudo descuidado: Si se instala un sistema sólo una vez y funciona (aparentemente) sin problemas, casi nadie le importa si el software instalado manipulada sobre la marcha, cambiado por otro o para el beneficio de los manipuladores se ha configurado de forma diferente. La medida pide A.12.4.1 para establecer un mecanismo de control periódico. Técnicamente, esto
hashes
podría ser tan racha que los hashes del software (después de la instalación en otro lugar y GeSI
247
Editar metas de acción y medidas son sílex) almacenado y las comparaciones realizadas con regularidad. Posiblemente también se puede realizar una comparación binaria con los (sólo lectura) discos de distribución de software. Otro método consiste en un seguimiento continuo de la instalación de las herramientas que los cambios en el software instalado (y sus archivos de configuración).
Los sistemas operativos modernos ofrecen por lo general una función de reversión, lo que permite hacer la instalación del software de deshacer y restaurar el estado anterior del sistema. Esto puede ser útil si se ejecuta mediante programas recién instalados comportamiento dañino, o incluso archivos del sistema y los parámetros de configuración manipulados / destruidos.
Por otra parte, en este contexto, una buena estrategia de todos los sistemas de generación de código. (Tales como compiladores) de los sistemas de producción para ser retirado y debe ser revisado a fondo el software ejecutable en sistemas de prueba y de integración especiales antes de su introducción en la producción. En el software adquirido comercialmente es particularmente el problema de frecuentes, tales. para analizar cambios T. automatizado:
-
¿Es compatible con los principios de seguridad de la organización, si los proveedores descargar actualizaciones de software sin más examen?
-
Usted realmente tiene que ir con cada paso de actualización? O deben limitarse a corregir errores y para aumentar la seguridad, por lo que es relevante para la organización?
Uno se inclina a las dos primeras preguntas es no, la respuesta es sí tercera. Tenga en cuenta, sin embargo, que esto requiere información detallada sobre la naturaleza y el impacto de una actualización. Cuando se lo llamó régimen general de protección de línea de base para los procedimientos de prueba, aprobación e instalación. Sin embargo, apenas existen medidas específicas para cumplir con A.12.4.1 presente. El software de control operacional está en el mejor mencionado como una opción en las siguientes medidas:
248
-
M2.86 (asegurando la integridad del software estándar).
-
M2.87 (instalación y configuración de software estándar).
A.12
Adquisición, desarrollo y mantenimiento de sistemas de información
Protección de datos de prueba A.12.4.2
Los datos de prueba deben ser cuidadosamente seleccionados, protegidos y controlados.
Que los datos de prueba deben ser cuidadosamente seleccionados con el fin de obtener resultados significativos, no se discute. Quien la mayor demanda de protegido y
controlado
chapado sucede, recuerde que la mejor manera de evitar la detección de manipulación, es cambiar las herramientas y datos del ensayo de modo que las desviaciones ya no se reconocen. En otros aspectos, esta medida es importante: los protocolos de prueba con los datos de referencia pueden servir como prueba ante la sospecha de un mal funcionamiento del sistema o conducta poco clara. Esto puede incluso afectar a los contratos con proveedores y clientes, ya que con este tipo de datos de prueba y registra las quejas pueden ser justificadas. Dependiendo del contexto, puede suceder que los datos de prueba incluyen datos personales (por ejemplo., La transferencia de datos en el desarrollo de sistemas de información personal). Aquí son las precauciones de seguridad especiales a tomar para evitar chocar con los requisitos de protección de datos de este tipo. Ejemplo de datos de personas ficticias se utilizan.
Cuando TI Protección de línea de base en este tema es la medida
-
rayas M2.83 (pruebas de software estándar), pero sólo
está relacionado con el software.
A.12.4.3 Control de acceso a la fuente El acceso al código fuente debe ser restringido. cambios en el código fuente - no intencionales, no controlados, pero tal vez incluso manipuladoras - pueden tener un enorme impacto en las actividades de negocio de una organización. a la evaluación particularmente crítico hizo cambios a bibliotecas de software puede tener un impacto en una variedad de aplicaciones. El acceso incontrolado a las bibliotecas son un objetivo muy interesante para todos los manipuladores. Por lo tanto, el acceso al código fuente debe ser reducida a lo esencial. secreto lata desempeñar un papel;
249
Editar metas de acción y medidas pero por lo general se trata de la integridad del código fuente, el último en particular también para software de fuente abierta. la autorización formal de conformidad con las normas establecidas son el fármaco de elección aquí. Aspectos de A.12.4.3 ser tratados en la protección informática de la línea de base a través de las siguientes medidas:
-
M4.135 (asignación restrictiva de derechos de acceso a los archivos del sistema).
-
M2.9 (prohibición de la utilización de hardware que no sea aprobada y software).
-
M2.62 (compra de software y el proceso de liberación).
A.12.5 Seguridad en los procesos de desarrollo y soporte es en las organizaciones donde desarrollan profesionalmente software y otro tipo de apoyo del ciclo de vida, el cumplimiento de A.12.4.3 no es suficiente: Aquí hay requisitos adicionales para proporcionar tratados en las siguientes acciones.
Las tres primeras medidas son de continuación suave de las operaciones.
procedimientos de control de cambios A.12.5.1
La implementación de los cambios debe ser objeto de un procedimiento formal de control de cambios. Esta medida poco visible se refiere a la totalidad La gestión del cambio, no sólo por los cambios en sistemas, pero es particularmente importante en este caso. Desde el punto de vista de los autores no es sólo el
implementación el control de cambios, pero incluso la gestión (a largo plazo) de cambio. objetivos cardinales son, pues, que los cambios
250
-
ser planificada por completo (inicio y final del cambio, control de versiones, implementación, prueba y aceptación, puesta en servicio, documentación)
-
tomarse de forma explícita este oficial sólo después de la autorización correspondiente en el ataque,
-
ser probado a fondo, si es posible en un ambiente que es similar al entorno de producción,
A.12
Adquisición, desarrollo y mantenimiento de sistemas de información -
no son probados en un sistema de producción o que se ejecuta en un sistema crítico funcionamiento,
-
están documentados adecuadamente profundo,
-
se adopten o sólo después de la liberación explícita en la producción entregada al cliente. Por otra parte siempre debe estar claramente establecida, lo que el cambio ya se ha puesto en funcionamiento y se entregan a los clientes específicos.
Además de los procedimientos de aceptación y aprobación ya mencionadas de la protección de línea de base de TI (detallado) proporciona medidas
-
M2.221 (gestión del cambio) y
-
M2.34 (documentación de los cambios en un sistema existente).
Estas últimas cubiertas más de los cambios operacionales.
Inspección técnica de las solicitudes por A.12.5.2 cambios en el sistema operativo
Cuando se cambian los sistemas operativos, las aplicaciones críticas de negocios deben ser revisados y probados para asegurar que no hay un impacto negativo en el funcionamiento y la seguridad de la organización.
Los cambios en los sistemas operativos no deben hacerse directamente en el sistema de producción o incluso durante la operación antes de que no están en un sistema de prueba comparables con detalle la funcionalidad y sobre todo en compatibilidad con las aplicaciones existentes y El mantenimiento de la seguridad han sido probados. En la práctica, los fallos de las aplicaciones y procesos de negocio completos debido a los "pequeños" ajustes del sistema son muy comunes: Es en los sistemas complejos a menudo no es posible predecir con precisión el impacto de dichos cambios. Para este propósito hay medidas específicas para la protección de TI de línea de base; los fundamentos comenzarán a tratarse en dos medidas:
-
M2.62 (compra de software y el proceso de liberación).
-
M4.78 (aplicación cuidadosa de los cambios de configuración).
251
Editar metas de acción y medidas
A.12.5.3 Limitación de cambios en los paquetes de software º Cambios a los paquetes de software han impedido la medida de lo posible, se limitará a los cambios necesarios y todos los cambios son estrictamente controlados. En la mayoría de los casos, no se harán cambios a los paquetes de software comercial de concesión de licencias razones de todos modos - la mayor parte de su configuración o funcionamiento. Si no hay ningún problema antes de licencia (z. B. desarrollo interno), que está considerado como uno de A.12.5.1 y A.12.5.2 se ha dicho para estos paquetes de software.
divulgación no intencional A.12.5.4 de información Oportunidades para la divulgación inadvertida de información deben ser evitados. La divulgación de la información - y una pérdida para la organización - puede suceder de varias maneras: -
En el desarrollo de los sistemas de conocimientos puede ser la organización "succionado" por los internos y se vende a bien remunerados terceros.
-
El mismo principio se aplica al código fuente y documentación.
-
Al probar sistemas se utilizan a menudo los datos de negocio o datos de clientes, que son para protegerse, podría tener un caso de pérdida de confidencialidad incluso sanciones a ser. Siempre que sea posible, debe ser utilizado con datos de prueba no crítico (ficticio).
-
Los instrumentos de ensayo y procedimientos de ensayo, que ha desarrollado una organización pueden ser revelados, es decir, también para esto es necesario un control adecuado. Cabe destacar que en este contexto
canal secreto
252
el tema de la canales encubiertos un significado especial: En el desarrollo de software a instalar en este documento "puertas traseras", es un medio eficaz de manipuladores, ya que durante el funcionamiento posterior del software - será capaz de controlar este software como desee - siempre que esto se lleva a cabo. lo
A.12
Adquisición, desarrollo y mantenimiento de sistemas de información no requiere mucha imaginación para prever los posibles efectos. He aquí un paquete adecuado de reglas, técnicas y medidas de infraestructura para atar a la solicitud Para hacer frente a A.12.5.4.
Una asignación directa a dispositivos o medidas de ITGrundschutzes no es posible.
A.12.5.5 desarrollo de software externos desarrollo de software externos debe ser supervisado por la organización y supervisión. Esta medida es útil por varias razones, ya sea debido a la evaluación de desempeño en el desarrollo, el control de la utilización eficaz de los fondos (control de costes), la prevención de errores o vigilar el cumplimiento de las normas de seguridad. las pruebas adecuadas y una disminución formal en contrato de desarrollo siempre deben ser acordados para comprobar los resultados de desarrollo. Esto requiere, por supuesto que existe una especificación suficientemente precisa, el cumplimiento de que en realidad puede ser probado. También es considerar lo que ocurre si el comprador externalización - por cualquier razón - el trabajo de desarrollo no puede terminar. Se conoce el nivel actual de desarrollo? Si los resultados se han depositado en el cliente? ¿Pueden los demás poner esto y traer el desarrollo a su fin?
no existen garantías específicas de protección de la línea de base, es esta, se refieren a los detalles relevantes sobre la externalización. Comparar las notas sobre A.6.2.x y A.10.2.x
A.12.6 gestión de vulnerabilidades Las vulnerabilidades están en todas partes - en muchos casos es (verdadero), el punto más débil es el hombre. Pero en la siguiente medida tiene como objetivo el núcleo técnico Vulnerabilidad: El riesgo es que este tipo de vulnerabilidades ser explotadas para obtener acceso no autorizado a los activos de información de la organización.
253
Editar metas de acción y medidas
A.12.6.1 control de las vulnerabilidades técnicas información acerca de vulnerabilidades técnicas tienen basarse en el tiempo de los sistemas de información utilizados, evalúa el riesgo para la organización de este tipo de vulnerabilidades y se adopten medidas apropiadas para hacer frente a los riesgos asociados.
CERT
hacer aquí Servicios del CERT ayuda valiosa. No se puede suscribir por ejemplo adaptado a sus propios mensajes de sistemas que llaman la atención a las vulnerabilidades descubiertas, evaluar los riesgos y posiblemente proporcionar pistas sobre las dificultades.
El requisito es que uno puede mapear los mensajes CERT a sus propios activos de información, lo que presupone la existencia de un inventario correspondiente. Son mensajes para sus propios activos de información es relevante considerar los riesgos derivados de la organización y cómo éstas han de evaluarse.
para obtener en este análisis a la conclusión de que hay que hacer algo, pueden se toman los mensajes posiblemente también el tipo de solucionar la vulnerabilidad o un camino hacia la reducción del riesgo. De lo contrario, las medidas adecuadas por su cuenta se establezcan. La eliminación de las vulnerabilidades descubiertas tales lata. Como la instalación de parches o las opciones de configuración se producen las. Aquí, también, se debe tener especial cuidado por los parches en general, sólo después de pruebas exhaustivas - son importados - en particular, la compatibilidad con las aplicaciones existentes. A veces, la vulnerabilidad no se puede corregir, es decir, el riesgo de explotar la vulnerabilidad permanece. En el caso de los riesgos causados por tanto graves deben ellos se comunicarán a la línea opuesta; reconfigurado puede productos o sistemas debe ser reemplazado por completo en casos extremos o procesos de negocio específicos o incluso interrumpido - hay otras decisiones
por supuesto, representan un tipo especial de riesgo representan vulnerabilidades que son el público no sabe - pero es probable que sean numerosos.
254
A.13
Gestión de la vulnerabilidad
Manejo de incidentes de seguridad de la información
Básicamente se puede resumir los comentarios sobre este A.12.6.1: La organización debe establecer una gestión de vulnerabilidades cualificado y operar. Las correspondientes medidas de protección de la línea de base de TI se pueden encontrar en
A.13
-
M2.35 (información sobre los fallos de seguridad del sistema) y
-
M2.273 (manchas puntuales de importación relacionados con la seguridad y actualizaciones).
Manejo de incidentes de seguridad de la información
Leer en preparación para la descripción bajo DO-h en el lado 73, así como bajo CHECK-g en el lado 80, en particular a causa de la diferencia entre el incidente y una emergencia. El término utilizado allí incidente de seguridad se encuentra en incumplimiento Información de eventos de seguridad o incidente de seguridad de la información.
El tratado en cuestión A.13 se dirigió a la protección de TI de línea de base en el centro del bloque
-
B1.8 (tratamiento de incidentes de seguridad) en la que todo el ciclo de
mecanizado de detectan incidentes mostrados para resolver y seguimiento y se hace para otras medidas individuales (M6.58 a M6.66). Por razones prácticas, que el proceso de Gestión de Incidencias 20000 ISO ITIL y detectada es de notar también incidentes de seguridad debe tener en cuenta. En esa medida, es recomendable hacer un proceso integrado.
A.13.1 de informes de eventos de seguridad de la información y las vulnerabilidades
Los incidentes de seguridad y vulnerabilidades existentes a tener en cuenta, es un primer paso, pero la segunda debe seguir: Tales descubrimientos son enviados inmediatamente a los órganos competentes de la organización con el fin de realizar oportunamente las medidas adecuadas y coordinadas.
255
Editar metas de acción y medidas
eventos de seguridad de la información y de Información A.13.1.1
vulnerabilidad eventos de seguridad de la información deben ser reportados a través de canales de gestión adecuadas tan pronto como sea posible.
Una oficina central debe estar configurado en la primera aparición de los informes de los eventos. A menudo, este punto será organizada por temas, es decir, por ejemplo, llevan el nombre de contacto diferente para los incidentes de TI y los problemas en la infraestructura. Los datos de contacto de estos puntos focales deben haber sido anunciado en la organización o ser fácilmente identificados. Estos cuerpos necesitan para hacer una evaluación inicial de los hechos denunciados e informar al responsable de resolver los (esperemos) listas actuales basados personal de incidentes. Esto a menudo se considera escalada se describe el procedimiento imprescindible para todos los incidentes de seguridad -
escalada
especialmente para las emergencias - ser parte del plan de gestión de incidentes.
A.13.1.2 debilidades de seguridad de Información
Todos los empleados, contratistas y tercer usuario de los sistemas y servicios de información deben ser obligados a cualquier observada o tienen deficiencias de seguridad sospechosos en los sistemas o servicios y el informe.
El cumplimiento de estas compromiso "moral" que será incapaz de obligar. En cualquier caso, tiene sentido incluir tales disposiciones de los acuerdos con los proveedores de servicios, clientes y usuarios. Sin embargo, queremos señalar que los conocimientos y habilidades se requieren para detectar vulnerabilidades de seguridad o incidentes de mayo, de las personas mencionadas no necesariamente tiene que tener. A.13.1.2 debe, por tanto, siempre se considerará que flanquean A.12.6.1 como. El requisito anterior puede ser tomado para significar que las personas mencionadas sobre sí mismo proporciona pruebas apropiadas para la detección de puntos débiles - y
256
A.13
Manejo de incidentes de seguridad de la información
puede interferir los procesos críticos de negocio o incluso interrupciones.
A.13.2 manejo de incidentes de seguridad de la información y mejoras
La gestión de los incidentes de seguridad es un elemento clave de la gestión de la seguridad. El proceso que hemos descrito en el DO-h en la página 73 y en suplementaria CHECK-g en la 80a lateral De esta manera usted puede ser diferente y diseñar su propio enfoque, por supuesto - pero es importante siempre un enfoque coherente y eficaz para la gestión de incidencias.
responsabilidades y procedimientos A.13.2.1 Se deben establecer responsabilidades para el manejo y procedimientos para asegurar una respuesta rápida, eficaz y sistemática a los incidentes de seguridad de la información.
Primera nota la palabra de acuerdo al plan - en contraposición a sin orden ni concierto. El resultado es que los procedimientos contemplados en un plan que se describe en un documento. Contenido de dicho plan de gestión de incidencias debe cubrir pregunta cinco condados: -
¿Qué tipo de incidentes, eventos, alarmas, etc. cubiertos por la Administración de Incidentes?
-
¿Cómo están estos incidentes captar y grabar?
-
A quien se comuniquen los incidentes?
-
¿Cómo se procesan este tipo de incidentes (enfoque paso a paso a través de resolver el incidente)?
-
¿En qué se los monitores de Gestión de Incidentes (utilizando personal autorizado y cualificado, remedio a tiempo, calidad de la documentación, el cumplimiento de las líneas de información)?
A.13.2.2 Aprender de los incidentes de seguridad de la información
Debe ser en el lugar para controlar la naturaleza, el alcance y los costos pueden ser evaluadas por los incidentes de seguridad de la información y procedimientos de vigilancia.
257
Editar metas de acción y medidas Bajo CHECK-h en la página 80 ya hemos dicho, que crean registros de incidentes de seguridad y evaluar. La medida requiere A.13.2.2 describe con más detalle que la naturaleza, el alcance y los costos (= daños derivados) serán registrados y evaluados. El objetivo es reducir la frecuencia de tales eventos en el futuro y limitar los daños sufridos - puede contribuir a que las acciones preventivas y correctivas apropiadas, sino también la reutilización de las evaluaciones en eventos de sensibilización y formación.
la recopilación de pruebas A.13.2.3
Cuando un siguiente para una acción incidente de seguridad de la información en contra de una persona u organización que implica una acción legal (ya sea civil o criminal), la recoge, almacena y la evidencia presentada debe tener la necesaria en la calidad de la prueba jurisdicción aplicable.
Esta medida no debe ser malinterpretado: La gestión de la seguridad debe llevar a cabo cualquier "investigación forense", sino que se limita a garantizar que los registros exactos y completos recogidos y almacenados de manera segura.
En el caso de posibles conflictos, los registros deben tener valor probatorio. Peso de las pruebas incluidas pruebas de que se excluye cualquier cambio ulterior de los registros. es un punto crítico que rastrea izquierda no se destruyen o distorsionada en el análisis de un incidente. tales cuestiones forense pero ir más allá de nuestro libro. Para completar, hay que señalar que A.13.2.3 se aplicará mutatis mutandis en el caso de las consecuencias de la legislación laboral.
A.14
Asegurar la continuidad del negocio Incluso si la TI es a menudo el centro de atención - básicamente se trata de la los procesos de negocio una organización que está más o menos con el apoyo de TI. Sólo sobre la fiabilidad de sistemas de TI para hablar, por lo tanto, está a la altura.
258
A.14 La continuidad del negocio
Asegurar la continuidad del negocio
La zona de regulación subsiguiente Business Continuity Management ( BCM), sin embargo, aborda la holístico Vista de los procesos de negocio. Se trata de -
para evitar la interrupción o inaceptable retraso de los procesos de negocio,
-
para limitar el impacto de los fallos técnicos y humanos o desastres naturales tienen sobre los procesos de negocio y
-
tan pronto como sea posible para garantizar la continuidad de los procesos
de negocio de las interrupciones. A medida que lamentablemente hemos observado con frecuencia las disposiciones discutidas a continuación se descuidan, especialmente en sus detalles: Si bien las cuestiones de representación de personal suelen ser lo suficientemente regulados, a menudo carecen de disposiciones sobre los detalles de la reanudación después de la interrupción de las operaciones comerciales. Tiempo de los canales de notificación no están claras, responsabilidades veces no claramente definidos, o el orden correcto de los pasos individuales se desconoce. A veces carecen de los medios más básicos para establecer una operación de emergencia y mantener. Con demasiada frecuencia se coloca en la familiaridad práctica de los empleados con valor procedimientos apropiados. Los simulacros de emergencia son aquí adecuadas para remediar la situación.
TI relacionados Emergencias, especialmente aquí los bloques de construcción
-
B1.3 (planificación concepto de contingencia) y
-
B1.8 (tratamiento de incidentes de seguridad). La visión holística no es
realmente refleja en los catálogos. Tal representación del tema, sin embargo, se encuentra en / BSI 100-4 /. Básicamente, hay que distinguir entre las medidas preventivas y reactivas:
prevención
La parte preventiva pretende incidentes graves para evitar (en caso de emergencia) como sea posible. herramientas importantes son los análisis de riesgos y evaluaciones y, basándose en la selección de medidas adecuadas para reducir los riesgos. Los análisis y las medidas se pueden encontrar en Concepto de seguridad.
reacción
El lateral reactivo, sin embargo, siguió la dirección de destino, por para limitar el impacto de los daños de la entrada (al menos) incidentes graves y llegar lo más rápido posible al funcionamiento normal. Esto es especialmente para aquellos general
259
Editar metas de acción y medidas procesos de negocio deben tener una alta relevancia (ventas, reputación, etc.) para la organización. Business Impact Analysis
Similares consideraciones expresadas en los llamados Business Impact Analysis ( BIA). Las medidas medidas reactivas deben estar en una plan de emergencia ser incluidos. Estos incluyen - posiblemente como una inversión - planes de emergencia y los planes de recuperación.
criticidad
Una parte importante de la BIA proporcionar encuestas, evaluaciones y evaluaciones como parte de la criticidad . Lo que dice la criticidad en este punto? la palabra crítico aquí significa tiempo crítico. A esta solución son inicialmente un eje de tiempo antes y lo divide en períodos (por. Ejemplo, 0-4 horas, 4-8 horas, 8-24 horas, más de 24 horas). Esta clasificación se debe basar en las especificaciones de los procesos de negocio considerados (por ejemplo. Al igual que en el contexto de SLAs). el daño será más largo en un escenario de fracaso sigue siendo el fallo, el más alto en general. En nuestra división de tiempo: El daño (como máximo) (en un período) se incrementará de un período a otro - al menos no disminuir.
Ahora se comparte mediante un sistema de puntuación estandarizado, la pérdida esperada asciende en las clases o niveles, y habla de criticidad o - poco a poco.
reinicio de clases
herencia
260
Para resumir: En caso de fallo de manera procesos de negocio con un período de progresiva recibirán una criticidad más y más alto - siempre y cuando se resolvió hasta el fracaso. se mira en el mismo período de tiempo de varios procesos, que por supuesto puede tener diferentes niveles de criticidad. Esto significa que en una concurrente El no causa diferente graves daños a la organización. Esto a su vez significa que los procesos que se van a restaurar en caso de fallas en un período determinado en primer lugar, que tiene la más alta criticidad. En otras palabras, la criticidad determina el orden de los procesos de recuperación. En este sentido se habla en lugar de criticidad también clase reinicio.
Ahora cada proceso de negocio utiliza una variedad de recursos organizativos, humanos y la naturaleza técnica de la criticidad de un proceso de negocio se hereda de alguna manera a los recursos necesarios -. La metodología es similar a la herencia de los requisitos de protección en la protección de TI de línea de base.
A.14
Asegurar la continuidad del negocio
Después de realizado este procedimiento para todos los procesos de negocio relevantes y el heredado en cada criticidad recurso compensar uno contra el otro (por ejemplo. B. añadido) tiene, cada recurso tiene su propio criticidad. Siguiendo la misma puede crear planes de recuperación de los recursos críticos - pero también reconocen la necesidad de adoptar medidas preventivas redundancia, posiblemente incluso desarrollar estrategias de continuidad uniforme.
Estas declaraciones están destinadas a proporcionar solamente una visión general del tema de la preparación para emergencias y nos proporcionará el material de apoyo necesario para la reunión de la ISO-Controls (equipan detalles sobre este tema, por. Ejemplo, en / KeKl2012 /).
A.14.1
los aspectos de seguridad de información para garantizar la continuidad del negocio
A.14.1.1 Incluyendo seguridad de la información en el Proceso para garantizar la continuidad del negocio
A lo largo de la organización de un proceso guiado para asegurar la continuidad del negocio necesita ser desarrollado y mantenido, que se ocupa de la protección de las operaciones comerciales (continuidad del negocio) requiere requisitos de seguridad de la información en la organización.
Si hay requisitos del proceso de negocio para un funcionamiento continuo y prestación del servicio, deben ser analizados y documentados con cuidado. Es necesario establecer un proceso adecuado en la organización, son absorbidos por el estos requisitos y continuamente adaptado a los términos y condiciones. Objeto del proceso dirigido es a
-
para todos los procesos de negocio para analizar los riesgos y su impacto en la organización,
-
para dar prioridad a los procesos de negocio en términos de su importancia para la organización,
-
respectivamente para determinar la criticidad al menos para los procesos de alta prioridad en una trama período especificado,
-
para capturar todos los necesarios para estos procesos recursos (activos de información) y como se describe para determinar su criticidad (herencia)
261
Editar metas de acción y medidas -
Basado en el diseño de estos planes los números de emergencia y de reinicio y
-
para practicar situaciones de emergencia de forma regular (al menos en el contexto de la práctica Simulaciones).
Durante la primera capa que incluye adelante análisis común de riesgos y evaluación, los siguientes cuatro puntos de la bala son el tema del análisis del impacto empresarial ya se ha mencionado y se basan en un concepto de emergencia. Estos pasos se trataron adicionalmente en la acción subsiguiente.
A.14.1.2 garantizar la continuidad del negocio y Risikoeinestimación
Eventos que pueden causar interrupciones en los procesos de negocio deben ser identificados, junto con la probabilidad y el impacto de estas interrupciones y sus consecuencias para la seguridad de la información.
Cuando se requiere una cierta cantidad de la disponibilidad de los procesos de negocio de la organización, la probabilidad y el impacto de los acontecimientos perturbadores debe ser determinado, que debe ser considerada en el análisis de riesgos y evaluación de riesgos. Si ha seguido el principio de la propiedad de los activos de información (ver. Página 54), estas funciones son la persona de contacto para llevar a cabo estos análisis y evaluaciones juntos.
A.14.1.3 Desarrollo e implementación de planes de seguridad contendrá la posición de la empresa, seguridad de la información
Los planes deben ser desarrollados e implementados para mantener o restablecer el funcionamiento y la disponibilidad de información a la medida necesaria y el tiempo necesario después de interrupciones o fallos en los procesos de negocio críticos aseguran.
Lea las declaraciones de la DO-h en esta página 73f. El plan de gestión de incidencias, la seguridad y el plan de emergencia (en conjunción con los manuales de emergencia y la reinversión
262
A.14
Asegurar la continuidad del negocio
ejecutar planes) puede cumplir con este requisito en la página Programación.
A.14.1.4 marco de planes para garantizar la las operaciones comerciales
Un marco para los planes para garantizar la continuidad del negocio se debe establecer con el fin de garantizar que todos los planes son consistentes, para tratar los requisitos de seguridad de la información de manera uniforme, y para determinar las prioridades de prueba y mantenimiento.
Nota: En la versión en Inglés de la norma es en este punto "A solo marco de los planes de continuidad de negocio debe ser mantenido ...". En la versión alemana tiene marco único solamente marco traducido. Sólo la palabra
solo es aquí, pero esencial: En situaciones complejas (muchos procesos de negocio, extensa, tal vez desplegado en diferentes lugares), puede ocurrir que, dependiendo del área responsabilidades separadas consisten, a su vez, han dado lugar a diferentes planes de gestión de incidencias, históricamente desarrollados. No se excluye que hay dependencias, inconsistencias o bloqueos mutuos cuando se comparan los esquemas. Para evitar esto debe ser una preocupación de la organización.
Esto se consigue -
Base de estos planes se establecen uniforme,
-
El consumo de los recursos naturales
poderes locales superan
a continuación, se requiere un permiso,
-
Las simulaciones no sólo para emergencias aislados, sino para las cadenas de tales cajas - también en los límites del sitio - son desarrollados y probados,
-
si es necesario, las prioridades se establecen cuando hay varios escenarios de emergencia se producen simultáneamente.
Prioridades para la pude. ser determinado por el ejemplo criticidad mencionada.
263
Editar metas de acción y medidas
Prueba A.14.1.5, mantenimiento y reevaluación de Los planes para garantizar la continuidad del negocio
Planes para asegurar la continuidad del negocio deben ser probados y actualiza regularmente para asegurarse de que son eficaces en la fecha y.
Es la continuación de las consideraciones de la medida anterior a: El marco y los planes de gestión de incidentes individuales necesitan ser actualizados con regularidad. proporcionar una entrada esencial -
Los cambios en los procesos de negocio, personal de TI y la infraestructura,
-
La experiencia de los ejercicios y actividades de capacitación para situaciones de emergencia, y
-
la experiencia de los incidentes ocurrió. El penúltimo punto asume que
estos ejercicios se llevan a cabo con regularidad. Sólo dos ejemplos: -
Si se invierte mucho dinero en un centro de emergencia independiente o los datos de copia de seguridad haría bien para ensayar la cosa real, es decir, el cambio entre el centro de datos originales y alternativos en ambas direcciones (!) Para practicar regularmente y completamente.
-
para diseñar estrategias de respaldo hermosas para los datos y poner en práctica es una buena cosa - pero en última instancia sólo es útil si el proceso de restaurar y recuperar el sistema se practica una y otra vez en el real (o al menos comparable).
Para evitar este tipo de ejercicios con el argumento, pero no tenemos tiempo o ponerlas a ir, ya tiene el carácter de una negligencia!
A.15
cumplimiento de la normativa
En los siguientes seis categorías de seguridad, pero ahora nos encontramos con temas conocidos, bajo el punto de vista de la calificación jurídica. Hay que recordar que esta es la Junta lleva sólo una responsabilidad delegada muy limitada. conformidad
264
Por lo tanto, el resultado, la estricta observancia del marco legal (cumplimiento) es en el mejor interés propio de la alta dirección y la línea.
A.15
cumplimiento de la normativa
El cumplimiento de los requisitos legales A.15.1
En esta categoría se habla en el título de requisitos legales, esto quiere decir en el sentido de legal Especificaciones, incluyendo contratos y obligaciones de los empleados de los clientes pertenecen. es la dirección de destino, violaciónes de las leyes, contratos y obligaciones (especialmente en relación con la seguridad) debe ser evitado. Para utilizar otro término Inglés: Se trata de la Gestión de Cumplimiento.
A.15.1.1
Identificación de las leyes aplicables
Todo legal pertinente, los requisitos oficiales y contractuales y el enfoque para satisfacer estos requerimientos de la organización, deben explícitamente definido, documentado y mantenido al día para cada sistema de información y la organización.
Uno podría esta medida análisis de los requisitos Sobrescribir: Es para documentar los requisitos derivados de la seguridad en relación con las leyes y los tratados y cómo estos requisitos se aplican en la práctica. Esta demanda, por un lado a la mente por una yuxtaposición apropiada de los requisitos y las medidas de cumplimiento de los parámetros ocupar para poder, por el contrario, incluso para transmitir una certeza y la organización que se comportarán adecuadamente en sus negocios y en la ley.
Cabe señalar en este punto que el número y la complejidad de los requisitos legales - sobre todo en organizaciones de orientación internacional - puede ser casi imposible de manejar. Aquí es importante incluir experiencia legal en todos los casos y no confiar en la interpretación de las leyes por los técnicos.
Una realización significativa de A.15.1.1 es crear un cuadro de cumplimiento se incluyen en las siguientes columnas: -
Fuente de la solicitud,
-
Texto de la solicitud,
-
interpretación,
-
aplicable / no aplicable
265
Editar metas de acción y medidas -
las actividades de la Organización existente con el fin de cumplir con el requisito 64a
Esta tabla es para ser sometido a un proceso de mantenimiento regular. Esto, que alguien se preocupa debido tiempo para realizar cambios en los requisitos legales y contractuales, por lo que requiere un Gerente de Cumplimiento. Cuando la protección de la línea de base el tema 1,16 (gestión de requisitos) es ampliamente y de forma global tratado en el módulo. Las tareas principales se describen con las siguientes medidas:
-
M2.340 (observando marco legal) y
-
M3.2 (compromiso de los empleados para cumplir con las leyes, normas y regulaciones). A.15.1.2 Derechos de Propiedad Intelectual
procedimientos adecuados deben ser implementados para asegurar el cumplimiento de los requisitos legales, oficiales y contractuales para el uso de material, para lo cual se podrían hacer los derechos de propiedad intelectual, y para el uso de productos de software con derechos de autor.
esto se refiere
-
cualquier tipo de uso legal de patentes y licencias, si tal ser utilizado por la organización o incurre en la organización,
-
el uso de software con licencia sujetos a los requisitos de licencia,
-
También se podría considerar el cumplimiento de los derechos de autor para la impresión normales apropiadamente protegido y textos en línea publicados.
normas apropiadas deben ser adoptadas y el cumplimiento deben ser revisados. el tema El desguace de software con licencias ya habíamos tratado en el contexto de A.9.2.6. Cuando TI Protección de línea de base se puede encontrar en estos temas las siguientes medidas:
-
M2.217 (clasificación cuidadosa y manejo de la información, aplicaciones y sistemas).
64 en los requisitos de desgaste aquí una referencia a un documento separado.
266
A.15
cumplimiento de la normativa
-
M2.10 (verificación de inventario de hardware y software).
-
M4.99 (protección contra los cambios posteriores de la información).
Protección A.15.1.3 de los registros propios de organización registros importantes estarán protegidos de acuerdo con las necesidades legales, oficiales, contractuales y comerciales de pérdida, destrucción y falsificación.
Para demostrar que se cumplen los requisitos legales, contractuales o de organización, se hacen los registros. En parte, dichos registros hacerse cumplir por los requisitos legales. Pueden ser z. B. actuar -
reservas
-
facturas electrónicas 65,
-
Base de datos y otras operaciones,
-
Key (para el descifrado de datos cifrados),
-
Entrar protocolos
-
protocolos de foca
-
La evidencia de las acciones de formación y sensibilización, si es necesario
-
Visitantes Libros,
-
Evidencia de las actividades críticas para la seguridad (listas de control) y
-
Evidencia de incidentes de seguridad. el tema Evidencia de incidentes de
seguridad ya habíamos tratado en A.13.2.3, específicamente en relación con acciones legales contra las personas u organizaciones (palabra clave: evidencia). Con los registros fue siempre cuestiones juegan un papel para los períodos de retención y archivo permanente. 65 Aquí es el llamado de la Ley del IVA hay que señalar que para garantizar la autenticidad del origen y la integridad del contenido de una factura electrónica (z. B. realiza por medio de la firma electrónica cualificados).
267
Editar metas de acción y medidas El procedimiento debe ser tal que una lista de todos los registros se realiza de la manera y el lugar de almacenamiento, los períodos de retención y otros requisitos (por ejemplo. Como autorización para la evaluación) en este día.
Tenga en cuenta también que, dependiendo del tipo y la calidad del medio de almacenamiento de datos (electrónicos) deben ser replicados con regularidad para evitar la pérdida de datos en el tiempo. El esfuerzo aquí no se debe subestimar. Además, los dispositivos y el software deben estar disponibles para la lectura de los datos archivados electrónicamente, ya que en pocos años los medios de hoy y formatos de datos ya no puede ser legible con los sistemas existentes en ese momento.
No es de extrañar que, teniendo en cuenta estos problemas, papel o microfichas archivado todavía tienen una gran importancia. Merece especial atención el tema como parte del archivo El cifrado de datos no es posible un posterior acceso a la información sólo en presencia de método de cifrado y la clave utilizada. Por lo tanto, ambos están incluidos en la presentación. Los archivos cifrados e información clave deben ser archivados por separado en la mayoría de los casos. La información clave tiene que ser de un alto nivel de protección contra la pérdida de confidencialidad y por encima (deliberadas, accidentales) cambia.
A.15.1.4 Protección de datos y confidencialidad información personal Privacidad y confidencialidad se debe garantizar, en caso necesario, las cláusulas del contrato requeridas en las leyes, reglamentos y pertinentes.
Este tema se trata en muchos países por las leyes de protección de datos. En Alemania, aquí la Ley Federal de Protección de Datos (Ley aplica a los organismos públicos de la Federación y las organizaciones privadas) y las leyes estatales correspondientes a nombre (se aplica a las autoridades públicas de los estados federales). Las estrategias tradicionales de protección de datos son la
268
A.15
cumplimiento de la normativa
-
la minimización de datos y supresión (datos personales deben recogerse sólo si esto se hace por la ley o con el consentimiento de las personas afectadas y sólo en la medida necesaria en cada caso)
-
el control preliminar (restricción de procesamiento de datos en riesgo particularmente alto para las personas afectadas, en el que la personalidad no intencionada, el comportamiento o clasificación de rendimiento), y el
-
Identificación individual, (datos personales deben ser procesados sólo para el propósito o el uso para el que se recogieron).
Los fines de procesamiento permisibles se establecen por ley o requieren el consentimiento por escrito de la parte interesada. A partir de estos objetivos básicos, entre otras cosas, los ocho objetivos de control del anexo derivan al § 9 BDSG: control de acceso, control de acceso, control de acceso, control de relé, el control de entrada, control de pedidos, control de la disponibilidad y el cumplimiento de la asignación. Tienen que ser tratadas adecuadamente para la seguridad de TI y son el mismo carácter que los controles en el Anexo A de la norma ISO 27001, básicamente. La aplicación ( " El cumplimiento de la Ley Federal de Protección de Datos
") seguir principios muy similares:
-
Una jurisdicción (Gestión de privacidad, Supervisor / r) está configurado.
-
Un directorio método consiste en dirigir (equivalente a la visión general de los procesos de negocio en la norma ISO 27001), y siempre a la última.
-
El diseño específico de protección de datos con las numerosas medidas individuales se puede describir en un concepto de protección de datos.
-
El cumplimiento de la privacidad z lata. B. apuntalado con las auditorías llevadas a cabo con éxito la privacidad, tales como los ofrecidos por los organismos de prueba y certificación pertinentes.
Como parte del procesamiento de datos de al menos estos objetivos básicos (si es aplicable) debe ser resuelta por contrato a fondo y adecuadamente supervisado. Cuando la protección de la línea de base muy grande de bloques tratada
-
B1.5 (Privacidad)
269
Editar metas de acción y medidas este círculo cuestión. Este módulo de protección de datos es adoptado por la Conferencia del Oficial Estatal de Protección de Datos, siempre en el caso de la certificación de un proceso aparte. En el ámbito de la protección de datos se puede utilizar en tres áreas de acción adicionales. Es aquí -
el bloqueo,
-
seudonimización y
-
anonimización de los datos. cuando bloqueo de datos, se trata de proteger
los datos personales (a menudo derecho comercial) no deben ser eliminados a causa de otras leyes contrarias a la normativa de protección de datos. En estos casos, los datos no se elimina después de la ley de protección de datos permitida período de retención, pero con eficacia más allá del alcance del personal que participa en los procesos operativos de personal. Los derechos de acceso tienen entonces sólo los usuarios que necesitan para mantener fuera de razones comerciales, estos datos si es necesario. cuando seudónimos los datos personales se sustituye por un marcador de posición, lo que permite solamente el uso de una restauración tecla correspondiente de la referencia personal. mantener los datos con seudónimo, debido a la reversibilidad del proceso (así como el cifrado) la propiedad de la referencia personal y no afectan a la aplicabilidad de la normativa de protección de datos. la anónima por el contrario, es un proceso irreversible o un proceso en el que uno tendría que operar para restaurar la referencia personal de un esfuerzo extremo. Además de la simple sustitución de los datos personales por comodín aquí es posiblemente también el hecho de tener en cuenta es la de un posible perfil de los datos resultantes establece para contrarrestar eficazmente.
A.15.1.5 prevenir el mal uso de instalaciones de procesamiento de información
Los usuarios deben ser disuadidos de utilizar las instalaciones de procesamiento de información para fines no autorizados.
270
A.15
cumplimiento de la normativa
El uso no autorizado o involuntario de los equipos informáticos (sistemas, redes, aplicaciones) puede ser un problema para la organización: -
Considere el uso de la organización de servicios de correo electrónico para el correo electrónico privado: Aquí, la organización puede caer en el papel de un proveedor de telecomunicaciones que puede tener consecuencias financieras y legales masivas.
-
Este escenario también se aplica a muchos otros servicios (por ejemplo. A medida que el uso de Internet en el lugar de trabajo).
-
El uso no autorizado puede conducir a la reducción de la disponibilidad de los sistemas y procesos de negocio de la organización, con el resultado de pérdidas financieras y admitir las manipulaciones ocasión.
En cuanto a las contramedidas, debe tenerse en cuenta toda la gama de legales, personal y medidas técnicas. Las medidas de control pueden conducir a problemas legales con ello: Si deja z. A medida que el uso del correo electrónico privado a ellos o tolera, un control de todos los correos electrónicos ya no se permite, ya que podría ser datos personales de los empleados. En la medida en que los usuarios de la propia organización están destinados a ser encontradas en los envíos de TI Protección de línea de base en el bloque
-
B1.13 (concienciación sobre la seguridad de TI y formación) y en
la medida
-
M3.26 (formación del personal en el uso seguro de la misma).
A.15.1.6 regulaciones sobre las medidas criptográficas medidas criptográficas deben ser aplicadas de conformidad con todos los acuerdos, leyes y regulaciones pertinentes.
Además de los requisitos que pueden resultar de la adquisición de equipo adecuado, hay que señalar que en muchos países las leyes regulan la importación, exportación y utilización de dispositivos criptográficos. Los sistemas de cifrado fuerte en ciertos países pueden no ser introducidas con el fin de no excluir la lectura no autorizada de información de los organismos gubernamentales: Esta puede ser. en cuanto a
271
Editar metas de acción y medidas Misiones significan que las computadoras portátiles son confiscados realizadas con la criptografía, en casos extremos, cuando los controles fronterizos. En otros países, el uso de sistemas criptográficos está generalmente prohibido si la longitud de la clave es demasiado grande o llaves no se han presentado con los organismos gubernamentales.
Aquí, también, es importante averiguar detalles acerca de los requisitos legales de los respectivos países.
En el área pública existe para los datos que se clasifican (VS) representan las directrices para el uso de los métodos criptográficos. Correspondientes algoritmos y dispositivos necesitan un cierto nivel por el estado VS autorizado ser. Consejos de preguntas medidas criptográficas se pueden encontrar en la protección de línea de base de TI -
M2.163 (la recogida de los factores para los métodos y productos criptográficos) y
-
M2.165 (Selección de un producto criptográfico adecuado).
A.15.2 cumplimiento de las normas de seguridad y normas y directrices técnicas Las siguientes medidas reflejan la responsabilidad de todos los gerentes para hacer no sólo los reglamentos, sino también para controlar su cumplimiento. obligación de control
Este segundo control Administrador de servicio es a menudo (en el verdadero sentido de la palabra) sin motivo descuidado. Las estadísticas muestran que el control del cumplimiento de las normas de seguridad se llevan a cabo en el 10-15% de las empresas - Te importa el 10-15% de las empresas en las que existen normas de seguridad escritas en absoluto.
El cumplimiento A.15.2.1 con las normas de seguridad y
- normas Los gerentes deben asegurar que todos los procedimientos de seguridad se aplican correctamente en su área de responsabilidad con el fin de lograr el cumplimiento de los reglamentos y normas de seguridad.
Con este fin, los gerentes necesitan en su área de responsabilidad y el alcance del SGSI según la re-
272
A.15
cumplimiento de la normativa
efectuarán periódicamente controles (dejar) y los resultados en el contexto de las revisiones por la dirección de evaluar. Este último ya hemos discutido en detalle en la sección 3.11. Acciones con este enfoque están en la z TI Protección de línea de base. B.
-
M2.199 (mantenimiento de la seguridad de TI) y
-
M2.193 (construcción de una estructura organizativa adecuada para la seguridad de TI).
A.15.2.2 la verificación del cumplimiento de las especificaciones técnicas
Los sistemas de información deben ser revisados regularmente para el cumplimiento de las normas para la implementación de seguridad.
Cuando el cumplimiento de los requisitos técnicos para la seguridad de los sistemas de TI (y las personas que trabajan) es importante, las pruebas apropiadas deben llevarse a cabo. Donde no hay normas de seguridad o de seguridad están disponibles, los requisitos de seguridad definidos de la organización deben ocupar su lugar. Las pruebas necesarias y sus resultados deben ser incorporados en las evaluaciones regulares de desempeño de la efectividad del SGSI. Sujeto a estos controles pueden cumplimiento -
normas VDE,
-
condiciones ambientales
para
sistemas de TI
(Temperatura,
La humedad, la fuente de alimentación),
-
normas de planificación (por ejemplo. como la carga de los techos de los edificios)
-
Las regulaciones de salud y seguridad,
-
ser (en z. B. Un sistema de alarma contra incendios y la idoneidad de los sistemas de extinción de incendios) la normativa de protección contra incendios, sino también
-
la vulnerabilidad Nichtausnutzbarkeit y resistencia a la penetración.
Las pruebas pueden llevarse a cabo por los miembros de la organización o por terceros encargó manualmente, si automatizarse totalmente necesarias herramientas utilizando (herramientas), o correr.
273
Editar metas de acción y medidas A.15.3 consideraciones a las auditorías de los sistemas de información
A.15.3.1 medidas para revisiones sistemas de información
requisitos de auditoría y las actividades de auditoría relacionados con las pruebas de los sistemas en funcionamiento deben ser cuidadosamente planificadas y acordaron reducir el riesgo de interrupciones a los procesos de negocio a un mínimo.
Las auditorías deben ser realizadas por personas que aún no está activo en el uso operacional de los sistemas o dependen para garantizar la neutralidad de la sentencia. Ejemplos de tales actividades de auditoría están a punto
-
Comprobaciones de coherencia para bases de datos
-
comprobaciones de integridad de archivos,
-
Las evaluaciones de los registros de la máquina
-
la conmutación selectiva fuera de la fuente de alimentación externa para poner a prueba el principio de los sistemas de energía de emergencia y su capacidad de recuperación,
-
el (temporal) de apagar el aire acondicionado de los sistemas de TI para comprobar las alarmas apropiadas,
-
Comprobar la correcta aplicación de los conjuntos de reglas de cortafuegos,
-
Las pruebas de penetración para evaluar la resistencia a los ataques de los
extraños o los iniciados. En muchas pruebas de este tipo puede dar lugar a fallos del sistema y el tiempo de inactividad de las situaciones de sobrecarga, incluso una violación temporal de los objetivos de seguridad. Por lo tanto, dichas pruebas deben cuidadosamente planeado, establecido en los períodos de funcionamiento de baja o llevarse a cabo sólo bajo precauciones adicionales. Bajo ninguna circunstancia debe permitirse pero sin pruebas cualificados y significativas de este tipo.
El A.15.3.1 medida también considera que tales pruebas deben ser acordados habla: Esto se refiere a situaciones en las que los clientes (externos e internos) deben ser informados a su debido tiempo antes de que tales pruebas se llevan a cabo, por el contrario, los casos en que tales Las pruebas realizadas por consultores externos
274
A.15
cumplimiento de la normativa
hecho. En este sentido, los contratos deben, están de acuerdo en los casos de prueba prueba de criterios de tiempo / duración y de prueba. El aspecto de la planificación y el acuerdo sobre las revisiones es despojado de la protección de línea de base en virtud de TI
-
M2.199 (mantenimiento de la seguridad de TI).
Protección A.15.3.2 de herramientas de auditoría para sistemas de información
El acceso a las herramientas para el estudio de los sistemas de información debe ser protegida con el fin de evitar un posible abuso o peligro.
Sólo las herramientas utilizadas en el ejemplo anterior de las pruebas de penetración deben ser protegidos,
-
para evitar el uso no autorizado y accidental,
-
sino también para descartar la manipulación de las propias herramientas, que podrían impedir que se descubren vulnerabilidades.
Lógicamente, esto también se aplica a todos los demás aplicación sólo viene herramientas de revisión.
La ejecución de una herramienta de este tipo para fines de auditoría en un sistema en particular, que posiblemente puede ser protegido allí por el control de acceso. Por otro lado se mantendrá este tipo de herramientas por separado de los sistemas de ensayo bajo. La cuestión es cómo las herramientas están protegidos allí. Aquí tienes todo el ciclo de vida, básicamente, - desde la adquisición (o anterior) a la jubilación son considerados. Cuando la protección de la línea de base, este problema es muy general, se considera bajo
-
M4.93 (comprobación de integridad Regular).
***
Por lo tanto, llegamos a la conclusión de la presentación y explicación de las medidas del Anexo A de la norma ISO 27001 y los componentes asociados y las medidas individuales de protección de TI de línea de base.
275
8
Medidas: validación y liberación En el capítulo anterior, hemos introducido las medidas (controles) del Apéndice A de la norma y explicamos. La fase de planificación en el ciclo PDCA también incluye la opción de pertenecer a los controles de las distintas medidas, s. Sección PLAN-g desde el lado de la 59a Ahora vamos a tratar con otros aspectos de las medidas, a saber, los temas de la validación y aprobación.
8.1
Validación de las medidas Para las acciones o medidas más complejas, la eficacia o eficiencia aún no se conoce o no se pueden estimar, es aconsejable para recoger las primeras experiencias.
Simulación, pruebas
Esto se puede hacer en simulaciones - o bien realizando pruebas en la práctica. Queremos que esta como una generalización validación llamar. No toda medida es adecuada para Pruebas. Tomemos, por ejemplo, aparentemente trivial el vallado de un edificio por una alta valla de dos metros. Sería un error tratar de esta medida mediante el establecimiento de un sólo veinte centímetros de altura cerca - para proporcionar la misma manera que no aporta nada al principio sólo una pequeña parte del edificio con una valla y dejar el resto libre. Conclusión: Una medida su eficacia depende del hecho de que, en un sentido completamente se implementa, es de uso limitado para la prueba. Aquí es una simulación adjunta. Incluso con la introducción del SGSI y más tarde en cada fase de planificación, pues, determinar,
-
las medidas que se refiere a,
-
qué tipo de validación es que debe proporcionarse,
-
que los objetivos perseguidos por la presente se
-
qué características deben ser considerados una medida
-
en qué contexto (escenario, los participantes, tiempo) esto se debe hacer,
277 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_8, Springer © 2013 Fachmedien Wiesbaden
Medidas: validación y liberación -
que es responsable de la ejecución,
-
¿Quién realiza la evaluación.
factores de validación
Si desea realizar la validación sistemática para cada programada y cualquier medida existente, en un principio se plantea la cuestión de las características apropiadas o factores de validación.
aptitud
En primer lugar, debe examinarse si una medida para el fin previsto, básicamente, adecuado , Es decir, al contribuir a la consecución de las medidas objetivas.
efectividad
El siguiente paso será validar si la medida fundamental suficiente apropiada efectivo es mitigar los riesgos existentes en la medida prevista. Aquí, las vulnerabilidades existentes se tendrán en cuenta.
economía
En comparación entre la reducción de riesgo y las medidas resultantes para los costes externos e internos se puede determinar si la medida propuesta económicamente es. Otro criterio es la viabilidad de una acción: es la acción manejable, fácil de
practicabilidad
implementar y fácil de manejar? Luego lo harían practicable.
O más bien cierto: La medida es complejo, difícil de implementar o de funcionamiento propenso a errores. Entonces no es práctico. En tales casos, lata ayudar a aumentar la intensidad del entrenamiento y el conocimiento. aceptación
adecuación
Por lo tanto, hay acciones tomadas por grupos de interés (empleados, clientes, posiblemente también órganos de control) sean perjudiciales o discriminatorios sociales consultados (z salud. B.) como algo superfluo, de negocios o personal y no aceptable son. el método puede ser mencionado como un ejemplo para llevar a cabo todas las autenticaciones dentro de una organización a través de una exploración del fondo de ojo (reconocimiento de patrones de retina). Aquí podría rechazar la implantación de estos sistemas en cuanto al daño potencial a los empleados de los ojos. Aquí, básicamente, no importa si estas suposiciones demuestran ser exacta. Estas medidas pueden ser "quemados" en el primer lugar y por ello han dejado de cumplir su tarea. Se podría seguir examinando si una medida en comparación con requisitos de protección el valor de la información en cuestión es apropiado o inapropiado. Análogamente, lo mismo se aplica para la adecuación en comparación con el Los riesgos del negocio.
Este es un factor de validación muy suave - a veces es bueno tener este tipo.
278
Las medidas de vigilancia y verificación cifras clave
Para apoyar una evaluación, es útil cifras clave deducir que pueden proporcionar declaraciones sobre el propósito de la validación. Por supuesto, las variables detectadas en términos del objetivo debe ser significativa y clara. La selectividad es particularmente necesaria cuando una validación de dianas es la evaluación de alternativas. Un ejemplo es la cuestión de los indicadores para el factor de validación practicabilidad aclarar. Este es un ejemplo de que uno por uno simulación puede trabajar: Digamos que la organización quiere dar a conocer a los visitantes un control de admisión con el libro de visitantes. Un empleado de la recepción está a cargo y para recoger ciertos datos, tales como nombre, apellido, fecha de nacimiento, medios de identificación (DNI, pasaporte, permiso de conducir) y de la compañía del visitante y el nombre y el departamento del visitado. Por otra parte, una tarjeta de visitante se va a crear y salida. La simulación muestra que la detección de los datos requeridos y la compilación del mapa de visitas incluyendo la notificación de la visitados dura un promedio de 5 minutos. Mientras no más de dos visitantes llegan al mismo tiempo, esto no es ciertamente un problema. Sin embargo, las reuniones z. B. 6 visitantes al mismo tiempo, hay ya un tiempo medio de espera de 15 minutos por visitante.
El tiempo medio de espera sería una medida para la medida control de entrada con el libro de visitantes validar en términos de practicidad. Suponiendo un cierto número de visitantes, uno puede realizar extrapolaciones y decidir a la luz de estas cifras sobre la introducción de la medida o un reemplazo.
8.2
Las medidas de vigilancia y verificación Si no es bien conocido por una medida convertida qué efectos tendrá, esta medida debe ser observado en la práctica. Esto significa que los indicadores de rendimiento se establecen que pueden ser medidos por la ejecución de la acción o capturados, y que estas variables se registran en la medida necesaria. El período de observación no debe extenderse sobre un período demasiado largo ,; seis meses sólo deben ser superados en casos excepcionales. Un período de tiempo más largo es particularmente contra el efecto de habituación.
279
Medidas: validación y liberación Vamos a entrar en más detalle en el siguiente capítulo 9 sobre el problema de las métricas. Vamos a mostrar ejemplos que el conteo solo no hay medio útil para controlar un ISMS también en términos económicos.
8.3
liberación de las medidas
Una aprobación explícita de medidas sólo tiene sentido para las acciones que fueron validados previamente adecuado. Si no se han validado medidas alternativas, la liberación de las alternativas ofrece la claridad necesaria en lo que finalmente fue seleccionado las alternativas. Sobre todo después de las pruebas prácticas o simulaciones permiten a los participantes y los trabajadores afectados en el futuro debería darse a conocer, los canales de comunicación habituales se deben utilizar para. B. intranet. La liberación debe ser realizada por el consejo responsable de este tipo de punto de acción de la organización.
Con la introducción del SGSI es una característica especial puede dar lugar a: comunicado de forma individual en lugar de cada acción seleccionada, la liberación de todas las medidas debe ser en bloque aquí. Esto se puede hacer de forma explícita por cada medida aparece en la liberación, o implícitamente sumariamente por la introducción de la decisión y la promulgación del SGSI. A menudo se prefiere este segundo método. Otra característica especial es obtenido cuando la medida de uno o más de otras medidas compartida reemplazado. A continuación, la declaración de liberación debe especificar explícitamente qué acciones anteriores que ser reemplazado. Un comunicado siempre está relacionada con una fecha, por lo que es claro en cuanto a si la medida en cuestión es válida y debe ser observada.
8.4
Procedimiento alternativo Validación y medidas de acción utilizado entre otras cosas, en la evaluación de la eficacia y la mejora continua del SGSI. Recordamos que la organización debe estar protegido con los valores de la información SGSI seleccionados (activos). La efectividad del SGSI y sus medidas individuales, por tanto, puede también observando la los activos de información se valoran en sí. Este enfoque se muestra con más detalle en la norma ISO 27003, Apéndice E. En primer lugar, la diferencia entre los dos enfoques se ilustrará con un ejemplo. Supongamos que los datos a
280
Procedimiento alternativo contratos de los clientes y las ofertas de una empresa se almacenan en el servidor. Se clasifican como ser preservado. Como una medida para proteger el servidor está configurado para que sólo permite el acceso autorizado al sistema de archivos, es decir, antes de acceder a un inicio de sesión con nombre de usuario y contraseña que se requiere. Ahora se puede ver dos.
-
-
Por un lado, todo un éxito y no (!) Se pueden registrar intentos de acceso exitosos. De esta manera, el medir observado. Por otro lado, todos pueden real Accesos se registran en los contratos de los clientes y las ofertas. En este caso, el los activos de información observado. Ambos tipos de observación tienen su lugar, pero también un significado diferente.
Observaciones, si se refieren a actividades o activos de información deben entenderse como un proceso y organizados. Como tales, son para planificar, ejecutar y evaluar. La planificación responde a las siguientes preguntas: -
Lo que se debe observar con qué propósito?
-
Cuando se deben observar?
-
Lo que (mortal) situación se puede detectar observando?
Para responder a estas preguntas, la información obtenida durante el análisis de riesgos se debe utilizar. Si se utilizan medios técnicos para la observación, una impulsada impulsada por eventos
por eventos La recolección de datos sea de gran utilidad y ventajas con respecto a una permanente proporcionar la adquisición de datos.
En la fase de desarrollo de la observación, se requieren diversas actividades. Dependiendo del tipo de los registros de observación se mantendrá, que puede ser generado por medios técnicos - en el ejemplo anterior ocurrir en los archivos de registro del servidor - o como un protocolo para preparar por un operador son. En la determinación de los activos de información observables y la forma de su observación se deben tomar para garantizar que la seguridad incidentes se detectan y anotan, si no lo ha hecho a través de medidas especialmente definidas.
Es esencial que los registros creados durante la observación a ser revisados y evaluados. Mediante el control de las grabaciones se determina si
281
Medidas: validación y liberación la observación se llevó a cabo en absoluto. Esto es necesario incluso si la grabación automática - ningún sistema técnico siempre funciona correctamente y de forma fiable. El análisis, sin embargo, muestra que se hayan producido incidentes de seguridad e indirectamente, si las medidas adoptadas para proteger el valor de la información observada son eficaces y suficientes.
La evaluación puede ser en el caso individual relacionado con el esfuerzo. En el ejemplo anterior, el acceso de los usuarios autorizados se contraiga y de suministro debe ser evaluado. Un primer paso sería comprobar si las solicitudes registradas son plausibles. Estos pueden ser evaluados, de la que se accedió, a través del cual los usuarios y en qué momento autorizado. Ocurrido el acceso durante las horas de trabajo? Se accede desde el lugar de trabajo de la mirada del usuario, como? El usuario era en el momento en el trabajo? Cuando haya accedido como parte de las tareas del usuario?
Por lo tanto, es también determinan la forma en que se realiza la evaluación, por supuesto, por quién y con qué propósito. El resultado de la evaluación se presentará a la administración en forma de informe. También puede resultar útil para evaluar también los resultados encontrados y para derivar las opciones de actuación de la misma. El informe es un documento de trabajo para la Revisión de
la gestión, en donde se evalúa también en las opciones de acción.
Validar y compartir medidas, si es ahora mediante la observación y evaluación de la medida en sí misma o del valor de información protegida, es parte del proceso de SGSI y debe encajar perfectamente en el SGSI. También es un fin en sí mismo y por lo tanto debe seguir siendo aceptable desde hace del alcance y la complejidad.
282
9
Métricas a ISMS y medidas de seguridad El tema de la economía de la seguridad juega un papel no despreciable: se requieren mediciones fiables para obtener una base sólida para las decisiones de seguridad. Estas decisiones son siempre de naturaleza económica y tener que apoyar el uso de los limitados recursos disponibles con la mayor eficacia posible. El objetivo de un SGSI no debe ser principalmente la adquisición de una certificación de seguridad (certificado). La experiencia demuestra que después de la obtención de un certificado de pasar la tendencia peligrosa lata congelar los ISMS sustancialmente y reducir las continuas mejoras necesarias para la introducción de formalismos. En ninguno proporcionada por las áreas de gestión de certificación tiene efectos tal desarrollo peores que la gestión de la seguridad de la información.
A Real ISMS no conduce a un nivel constante de seguridad: Debido al continuo cambio en el nivel de amenaza y la creciente vulnerabilidad de las tecnologías de la información complejos, con frecuencia resulta una rápida caída en el nivel de seguridad de una organización.
9.1
Introducción de las métricas
Por lo tanto, tiene sentido para revisar la efectividad del SGSI y sus acciones de mediciones. El desarrollo de la norma ISO 27000 responde a esta necesidad por la que ahora se publica la norma ISO 27004 factura. Esta versión está limitada en la parte principal (Capítulo 5 y siguientes) para comúnmente llevada a cabo relativamente explicaciones. métrica
En primer lugar, se afirma lo que está involucrado en las métricas relevantes. Específicamente, se darán los siguientes objetivos de prioridad: -
permitir mejoras en la seguridad desde la perspectiva de los riesgos de negocio o facilitar,
-
Evaluación del SGSI y su mejora continua,
283 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_9, Springer © 2013 Fachmedien Wiesbaden
Métricas a ISMS y medidas de seguridad -
base de cálculo para la revisión por la dirección,
-
Entrada para el proceso de gestión de riesgos,
-
Ayudar con la comunicación de seguridad de la información en la organización,
-
Evaluación o validación de las medidas de seguridad (z. B. orden de potencia, funcionalidad, aceptación),
-
Proporcionar cifras comparativas para fines de evaluación comparativa,
-
Verificación del cumplimiento de los requisitos de seguridad y la declaración de conformidad,
-
Entrada para auditorías de seguridad.
Para cumplir estos objetivos, 27004 ve la ISO para la introducción de un programa de métricas de seguridad y un proceso asociado. Ambos son para ser implementado en el contexto de una certificación ISO 27001 ISMS existente. Durante la configuración o el desarrollo de las variables medidas, la norma ISO 27004 se refiere a los controles del Anexo A de la norma ISO 27001. En resumen, la norma recomienda el desarrollo de medidas de este tipo de controles, que están vinculados con el más alto grado con la existente para los riesgos de la organización. Por lo tanto, no es necesario cada La aplicación de un control para desarrollar una medida. El enfoque aquí es una vez más la prioridad que debe ser llevada a cabo por la propia organización y no puede ser regulado como parte de una norma.
En los capítulos siguientes, que luego se va a la aplicación operativa, el análisis de los resultados de datos de encuesta y de medición, la comunicación de los resultados y la mejora continua del programa de medición. sobre la ISO 27004 estándar incluye también dos anexos que complementarán la parte principal orientada más teóricamente a ayudas prácticas: -
El Anexo A contiene una plantilla, que proporciona asistencia con documentación y planeación métricas.
-
De acuerdo con esta plantilla una serie de ejemplos más o menos útiles de métricas de seguridad en el Anexo B de la lista.
Los ejemplos que figuran en la versión actual de la norma en el anexo B han convencido a los autores ni
284
Introducción de las métricas
sin útiles para la práctica de la calidad 66ª Debe quedar en este punto a una frase que se atribuye a Albert Einstein: "No todo lo que cuenta puede ser contado, y no todo lo que se puede contar cuenta" De acuerdo con la crítica también debe hacer frente a la a menudo significaba en la práctica métricas. Mediante los siguientes ejemplos nos gustaría explicar por qué puede ser mejor, alguna recomendación de medida bien intencionada 67 al menos no seguir desde el anexo B de la norma ISO 27004 y sin previo aviso:
B.1.1: Relación de personas que han recibido una formación ISMS a aquellos para los que dicha formación está aún pendiente. B.1.2: relación análoga con respecto a la formación en sensibilización seguridad de la información.
crítica
El peligro aquí es que, independientemente de la calidad el contenido de la formación puramente formalistas se recogen los datos. Además, los indicadores sugieren que es suficiente para la seguridad, ISMS y Seguridad de la Información La sensibilización llevar a cabo. En la práctica, esto no es suficiente para garantizar la seguridad de la información y existe el peligro de que las prioridades equivocadas se establecen. Lo que realmente cuenta: seguridad de la información está en los planes de formación de todos los empleados de acuerdo con su lugar de trabajo existente tiene que tomar. La integridad y la calidad de la ejecución de planes de formación pueden ser evaluados sobre la base de los registros de una sinopsis. Cabe señalar que una extensión técnica específica de habilidades especiales a menudo se debe dar una prioridad mucho mayor para la seguridad, como una prueba formal de instrucción en habilidades generales.
B.2.1: Relación de las contraseñas que cumplan con la normativa aplicable a las contraseñas, que esto no es así.
66 Una colección más extensa suministra el "documento ISO / IEC 27001 y 27002 Guía de Implementación y métricas "bajo www.iso27001security.com. 67 El texto sombreado a continuación son citas de / ISO27004 /.
285
Métricas a ISMS y medidas de seguridad
B.2.1: La proporción de contraseñas puede ser violada dentro de 4 horas se determina. crítica
Aquí la ilusión se fomenta que la calidad de las contraseñas es crucial para la seguridad. Pero el hecho es que los sistemas basados en contraseñas abrumar las capacidades mentales de las personas en la práctica y por lo tanto deben ser considerados al aumentar el número de complicada y cambia constantemente las contraseñas como inherentemente insegura. Esto se aplica no sólo cuando se trata de máquinas de contraseñas o cuando un único inicio de sesión se implementa en la empresa, en el que cada usuario debe usar una sola contraseña para recordar.
Lo que realmente importa: Como parte de la introducción estructurada de una identidad centralizada y gestión de accesos fuertes métodos de autenticación debe ser implementado. Para determinar los sistemas y los servicios se siguen prestando durante el proyecto realizable a largo plazo con los mecanismos de control de acceso débiles y propensos a errores, es más significativa. También se debe tomar en consideración la gravedad de las diferencias restantes son.
B.3.1: Cantidad de planeado con el número de inspecciones de seguridad realizadas por consultores de seguridad externos. crítica
El número formado ofrece, en nuestra opinión, no hay información más detallada acerca de las relaciones causales nada realmente por la seguridad esclarecedor. Lo que realmente cuenta: Menos de la relación número aquí es la calidad de las auditorías externas y el seguimiento es importante. controles externos se pueden realizar tanto desde la propia organización, así como por parte del cliente o debido a un requisito legal (por ejemplo, de la Ley). Es importante que las auditorías externas necesarias planeó, organizó y se trató. En este punto, una evaluación en términos de cada una ocurrió en las observaciones investigaciones deben hacerse. Aquí puede ser útil para clasificar las diferencias en la gravedad y capturar varias veces ocurrido observaciones de circunstancias similares.
286
Introducción de las métricas
B.4.1: comparando el número de incidentes de seguridad reportados a umbrales predefinidos (valores del semáforo: rojo, amarillo, verde).
crítica
Sólo que aquí la cantidad es llevado a la calidad de los incidentes de seguridad, se debe recordar que los umbrales numéricos pueden afectar a la seguridad de un trabajo muy fácilmente contraproducente en esta área. Los umbrales proporcionan un incentivo adicional para el encubrimiento de sucesos de seguridad debido a su naturaleza. Lo que realmente importa: la falta de cultura de error es una de las razones principales para la gestión de incidentes que no funciona. Para la carrera es mejor sólo para informar cosas positivas y sobre todo no por causar "luz roja" debe ser considerado responsable. Incluso si la aplicación es difícil, por lo tanto, debe ser trabajado
Aquí se recomienda B.5 para detectar la frecuencia de las revisiones por la dirección y por la presente se menciona como un objetivo de una recurrencia mensual. crítica
Aquí, también, en nuestra opinión, no debe ser la cantidad sino la calidad de las revisiones por la dirección en el primer plano. No es necesario en la práctica para llevar a cabo dichas revisiones con frecuencia de 1-2 veces al año. Una frecuencia demasiado alta significa que el resultado no puede ser llenado con suficiente material interesante que realmente merece la atención de la administración. A una frecuencia demasiado alta existe el riesgo de que la administración puede ser representado por sub-fabricantes y no aparecen, las decisiones necesarias no pueden ser llevados o un Condes puros Ermin lleva a cabo. Lo que realmente cuenta: Para una gestión bien preparado revisa los más altos responsables de las decisiones de la empresa tienen que sacrificar la gestión del tiempo. Tiene sentido podría compromiso de la administración medirse por si la gestión participa plenamente, está siendo representados, las decisiones próximas a servir como conclusión. Con el fin de mejorar la preparación y aceptación de la revisión por la dirección, se podría proporcionar un cuestionario estructurado.
287
Métricas a ISMS y medidas de seguridad conclusión
En este extracto de un análisis de los criterios de medición, que se enumeran en el anexo B de la norma ISO 27004, queremos dejar las cosas al principio. La calidad de las otras recomendaciones es comparable. Se requiere que el usuario considera cuidadosamente el grado en el que absorbe las recomendaciones como sugerencias e implementos.
9.2
recomendaciones prácticas para la introducción métricas Independientemente de la situación actual de la norma se pueden experiencia demuestra que distinguen entre cuatro tipos de mediciones:
-
Las métricas suaves: tienen por objeto proporcionar una indicación de la capacidad de una organización para establecer y mantener sistemas seguros. Tales métricas son z. Como los ofrecidos por los modelos de madurez.
-
Konformitätsmetriken: Listas de control para medir el grado de cumplimiento de las normas establecidas.
-
Métricas sobre la base de los indicadores de riesgo de orientación económica.
-
Las métricas duros basados precisamente medible o fenómenos contables; lo que permite una visión objetiva sobre la seguridad.
En la práctica, no se puede dejar de considerar la aplicación de los cuatro tipos de indicadores considerados. Dependiendo de las circunstancias, sin embargo, puede ser aconsejable metros más fuertes y otros más débiles de peso cada especie. Dado que las mediciones son muy complejas, en principio, debe ser planificado y establecido -
lo que uno espera de la medición,
-
siempre que la medición se lleva a cabo y
-
cómo los resultados se van a reportiert. A continuación brevemente sobre
los distintos tipos de métricas.
Las métricas suaves
Modelos como el Ingeniería de Sistemas de Seguridad Modelo de Capacidad 68
(ISO 21827) caen métricas bajo "suave". Esto es especialmente cierto debido a que los resultados de la medición de tales modelos - dependiendo de las personas que realizan - difieren ampliamente Kon
68
288
Software Engineering Institute (Carnegie Mellon University).
recomendaciones prácticas para la introducción métricas
NEN. pero tienen la ventaja de que se pueden aplicar a toda la organización y hacen una acción muy rápida significativamente. Los resultados, sin embargo, son muy inexactos; Comparaciones a lo largo de un período más largo o entre diferentes organizaciones no deben ser demasiado muy valorados por razones de importancia. Además de la norma ISO 21827, somos uno de los lugares suaves métricas de registro es rápido / BSI KRIT / y el método COBIT. Los autores han aplicado con éxito estos modelos en la práctica, sin embargo, prefiere un modelo de desarrollo propio, que inspiró en gran medida por la estructura de la certificación ISO 27001. Una idea del procedimiento y la presentación de los resultados da la siguiente imagen.
Figura 4:
ISMS necesidad de una acción general
La presentación de la araña se basa en 11 áreas de regulación (página 103f.) Y el marco para el ISMS (capítulo 3 de este libro) de la norma ISO 27001. Es cada caso una evaluación basada en las siguientes mediciones:
289
Métricas a ISMS y medidas de seguridad Tabla 19:
Métricas suave
Nivel Significado 0 No se requiere ninguna acción. 1 Hay una acción abstracta, que sólo puede hacerse en un requisito formal de la norma debido a la encuesta realizada. 2
Se encontraron fallas de seguridad concretas. 3 Hubo deficiencias o violaciónes de la ley que potencialmente puede tener consecuencias para la organización por sí sola de seguridad detectadas. 4
Hubo deficiencias de seguridad detectadas, que se pueden esperar con consecuencias sensibles o privilegiadas consecuencias negativas. 5 Las deficiencias de seguridad con un impacto significativo o potencialmente destructiva.
Sobre la base de esta metodología, los resultados de una auditoría o evaluación en una forma estructurada presentará cómoda y de una manera convincente. Las calificaciones están respaldadas con las conclusiones y recomendaciones concretas de acción.
Konformitätsmetriken
por debajo Konformitätsmetriken entendemos fácilmente las listas de control pertinentes en este punto. Hay una variedad de fuentes para este tipo de listas de verificación. Algunas listas de control muy útiles se pueden encontrar en las normas ISO, tales como el estándar para la seguridad de la red ISO 18028 69, el programa de la lista de verificación de otras fuentes nacionales de normalización NIST Estados Unidos o. Un catálogo de listas de comprobación distinta también está disponible en forma de catálogos de protección básicos de BSI. Del mismo modo, las normas PCI (página 11 f. S.) Puede utilizarse muy bien para este propósito.
El resultado de una medición es, por un lado, en el estado de si una determinada zona subyacente a las normas
69 se transfiere en una forma revisada en la ISO 27033 (partes ya presente).
290
recomendaciones prácticas para la introducción métricas
es justo o no. Si no cumple con los estándares, y en segundo lugar la necesidad de una acción puede ser identificado utilizando la lista de verificación misma. De esta manera se puede obtener una visión general de los elementos de una organización, que en términos de seguridad es algo que hacer. Este tipo de métricas es en principio aplicable a las zonas demarcadas y definidos, tales como -
centro de datos,
-
sala de servidores,
-
Plataforma para un servidor o una estación de trabajo o
-
La planificación de emergencia.
métricas de riesgo
ALE
ROSI
En el contexto de los riesgos existe una variedad de métricas. Sin embargo, debido a la actual definición de riesgo - como una combinación de la probabilidad y consecuencias - que existe una amplia variedad de diferentes enfoques para medir aspectos de riesgo. más comúnmente utilizado en el campo de los indicadores de riesgo de seguridad de la información se aferran el aspecto más importante del riesgo de - a saber, la difusión - y reducir el riesgo para el daño esperado. Un indicador común tales, en realidad neutral al riesgo es la denominada ALE. Detrás de estas siglas, los cueros plazo Estimación promedio de pérdida o Expectativa de pérdida anual. La ALE se calcula simplemente multiplicando la frecuencia anual prevista de aparición con el impacto monetario de un incidente de seguridad.
Otra novedad es la Rosi-concepto. Rosi significa Retorno de la Inversión en Seguridad ( la inversión seguridad de los ingresos). Este concepto de economía es la inversión en seguridad aprecia teniendo lugar, una comparación con la influencia de la ALE.
Reducción de la ALE
Rosi
El coste anual de medida de seguridad (s)
= El coste anual de medida de seguridad (s)
Tales conceptos sugieren a primera vista, una actuación que es casi imposible de realizar en la práctica. En muchos casos, las organizaciones prometen, una especie de contabilidad riesgo realizar inversiones en seguridad y económicamente
291
Métricas a ISMS y medidas de seguridad ser capaz de hacer plena y objetivamente verificable. En la práctica, estos enfoques fallan miserablemente a continuación, por las siguientes razones:
-
-
-
Los riesgos individuales no son independientes y no pueden simplemente ser añadidos a partir de ahí. La solución matemática de la agregación de riesgo no es trivial: -
Integridad, disponibilidad y confidencialidad riesgos están relacionados entre sí.
-
Los sistemas analizados operan en una red y entre sí en relaciones complejas.
-
existen dependencias entre las personas, hardware y software.
Un agregan en función indicador de riesgo ALE o Rosi como una organización tiende a ser efectos contraproducentes en términos de gestión de la seguridad: -
Un pobre y correr con poca motivación gestión de la seguridad identificaría sólo ligeramente ALE.
-
Un compromiso de gestión de la seguridad acción sería, sin embargo, tienden a identificar más riesgos y, por tanto, una mayor ALE.
La aplicación de los conceptos también está muy fuertemente afectada por la falta de disponibilidad de datos fiables para realizar los cálculos. Una aplicación puede darse en casos individuales para la presentación de casos de negocios - la forma puede ser la utilización de los presupuestos de seguridad y este análisis se utilizará como base para la elaboración de un nuevo presupuesto de seguridad de un análisis retrospectivo.
Las métricas duras
métricas duros indican muy fuerte, donde la acción es; que son objetivamente medible y están directamente relacionados con el objeto de protección. Dondequiera que se justifica económicamente, se deben utilizar este tipo de métricas. Esto es especialmente cierto en los casos en los que ya es una colección de datos, en base al cual se pueden recoger las mediciones. En los casos en que la medición se realizan exclusivamente por razones de seguridad, el primero deberá ser superior a qué medida mediante el procedimiento de toma de muestras u otras simplificaciones
292
recomendaciones prácticas para la introducción métricas se puede lograr económicamente justificable generación de una encuesta.
Antes de aplicar una métrica también la posibilidad de interacciones negativas de la medida se debe tomar a medida: La formación de una medida que hace que el número de incidentes de seguridad para el tamaño de destino puede provocar que los empleados deciden los incidentes de seguridad en la duda no más reportar - sólo para producir una "buena" medida.
En la tabla siguiente nos damos algunos ejemplos de métricas duras los cuales han demostrado su eficacia en nuestra opinión. Tabla 20: Las métricas duras
aspectos de seguridad
métrica
Desastres y Recuperación
El tiempo requerido para la implementación de medidas de recuperación.
Y la vulnerabilidad de Patch
Porcentaje de sistemas completamente con los
Management
últimos parches, parches, parches de seguridad críticos. Los resultados de análisis de vulnerabilidad y pruebas de penetración.
Configuración de
Porcentaje de sistemas perfectamente curados.
seguridad del sistema
Human Computer
Porcentaje de trabajo para los procedimientos
Interaction Seguridad
especiales de seguridad (control de acceso, procedimientos de inicio de sesión, de restablecimiento de contraseña, etc.).
Costes de la recopilación de la incertidumbre partidas de costes que aparecen en las cuentas y se comunican con los incidentes de seguridad relacionados.
Sistema o servicio de tiempo de inactividad
Con causa representación de la falta de disponibilidad de los sistemas individuales y los servicios centrales y su impacto en el negocio.
293
Métricas a ISMS y medidas de seguridad
294
aspectos de seguridad
métrica
incidentes de seguridad
Proporción de operaciones de seguridad iluminados o incidentes de seguridad en la que la repetición no se puede excluir.
10
Auditorías y certificaciones Para comprobar el cumplimiento de los requisitos para un sistema de gestión de auditorías y certificaciones son una herramienta importante. En este capítulo, por lo tanto, queremos hacer hincapié en la motivación y la preparación de tales procesos relacionados con la norma ISO 27001 y TI Protección de línea de base - incluso si las declaraciones sobre la preparación y realización de las auditorías son en gran medida independiente de la norma específica.
10.1
Objetivos y Beneficios Conformidad con las normas
En primer lugar, está la cuestión de por qué uno siempre debe alinearse con un estándar? Normas tienen en cuenta la experiencia a largo plazo (internacional). por lo tanto usted describe el estado de la técnica y proporciona un punto de referencia sobre el que se puede orientarse sin mayor riesgo. el reconocimiento internacional
Otra motivación para la aplicación de las normas es la aceptación internacional y la oportunidad para que las organizaciones internacionales para representar adecuadamente a sus propias calificaciones en todo el mundo. Sin embargo, cabe señalar que las características bastante nacionales desempeñan un papel en la aplicación de normas y pueden causar ligeras diferencias en la aplicación de las normas. Idealmente, un estándar en nuestro contexto debe determinar
-
qué propiedades debe tener el SGSI,
-
cómo estas propiedades deben ser revisados y
-
bajo qué condiciones deben llevarse a cabo dicho examen.
Más precisamente, estos puntos están definidos, se anima a la mayor consistencia y comparabilidad. En ISO 27001 sustancialmente el primer punto en
requisitos
la lista ha sido tratado, es decir, que describe el (mínimo) debe cumplir un requisitos ISMS. En lo que respecta al reconocimiento internacional que tiene, por supuesto, con un ISO mejores tarjetas estándar. Debe despreciable
295 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_10, Springer © 2013 Fachmedien Wiesbaden
Auditorías y certificaciones su Lich, quieren adicional depende de la protección de TI de línea de base. grado de cumplimiento
La estructura clara de la norma ISO 27001 permite obtener información general relativamente rápido de lo lejos que estamos todavía lejos de plena conformidad y donde todavía se puede tener déficit. El nivel de rendimiento es más o menos medible.
exámenes
Con respecto al tipo de pruebas en la norma ISO 27001 es solamente hablar de auditorías y revisiones internas de gestión, que se llevan a cabo regularmente y contribuyen a las fases de la PDCAZyklus. Sin embargo, las condiciones pertinentes de las auditorías no El objeto de esta norma. Con el avance de la serie estándar de tres estándares se han creado para hacer frente a este círculo pregunta: -
ISO 27006 describe los requisitos para los organismos que llevan a cabo las auditorías y certificaciones. Esta parte debe ser algo secundario para el operador de un SGSI.
-
ISO 27007 trata sobre el tema "auditoría de gestión de un SGSI" y por lo tanto es relevante para auditorías internas y externas.
-
ISO TR 27008 se refiere a la auditoría técnica de los sistemas informáticos, redes, etc.
Para los operadores de un ISMS con respecto a llevar a cabo auditorías internas así al menos ISO 27007 es relevante y debe estar disponible para auditores. Por cuestiones básicas para auditar las normas anteriores siguen apuntando a la norma ISO 19011, que se debe mejorar. Con la nueva alineación de la protección informática de referencia sobre las auditorías internas ISO 27001 son también parte de un SGSI para ello la protección de línea de base.
El uso de auditoría y certificación requisitos externos
La conformidad con la norma ISO 27001 puede ser importante con el fin de satisfacer los requisitos legales (por ejemplo. A medida que el KonTraG) para cumplir con los requisitos externos de los clientes, los reguladores o los bancos, o sea condición previa para general a participar en las ofertas.
competencia
Independientemente de tales demandas concretas y ocasiones tiene una conformidad con la norma de conseguir una competencia correspondiente de la organización en términos de seguridad de la información.
retroceder
296
En el caso de un litigio o incluso una regresión demandas por motivos de seguridad de la información insuficiente
Objetivos y Beneficios
siempre debe tener con la conformidad comprobada de los buenos argumentos estándar.
para la mejora
Incluso si las auditorías determinan el resultado de que los déficits están presentes o, en algunos puntos hay desviaciones de la norma, esto es hasta ahora un desarrollo positivo, ya que ahora existe una clara mejoría que puede ser objeto de un nuevo trabajo.
descarga
Si el ISMS ha demostrado ser práctico, eficaz y fortalecido, llega rápidamente al punto en el que se pregunta, además de una externo a someterse a auditoría y que, posiblemente, incluso certificada. Después de una auditoría externa exitosa se alivia al personal de seguridad responsable de la información en un sentido, porque (de la organización) independiente expertos han confirmado que cuando se trata de la seguridad de la información, todo está bien.
informe de auditoría
Los resultados de una auditoría deben ser registrados en un informe escrito de la auditoría siempre: la comunicación puramente oral de resultados no es compatible con la norma ISO 19011, todavía se considera válido para la organización.
certificación
describe que un informe de auditoría en muchos lugares internos de la organización y juzgado es obvio. Si uno quiere a su conformidad con la norma tercera sobre pruebas tendría que pasar en el informe de auditoría, por el que (también) mucho más abierta. Aquí es útil para presentar el informe de auditoría de una autoridad independiente y de confianza certificación que emitirá sobre esta base un certificado de conformidad reconocido. Esto no incluye los elementos internos críticos y por tanto es adecuado para la transferencia a terceros y para demostrar el cumplimiento de los requisitos externos.
certificado de registro
Mientras tanto ISMS certificación pertenece en ciertas áreas (por ejemplo. Al igual que en Asia) casi la norma. , Esto se puede ver cuando el registro de certificado internacional 70 inspeccionado y se encuentra que la mayoría de los certificados en países como Japón, India, Taiwán, China (y el Reino Unido) se han concedido - a cierta distancia siguió hasta. B. Alemania. En la dirección indicada, consulte "Proceso de Certificación ISMS" y una lista de entidades de certificación internacional (incluido el de "Alemania").
70 www.iso27001certificates.com
297
Auditorías y certificaciones auditores reconocido
Otra razón para la intervención de un organismo de certificación es que cuenta con procedimientos para el reconocimiento de los auditores cualificados, tales resultados en las listas y por lo tanto facilita la selección de los auditores cualificados. Los auditores reconocidos a menudo sujetos a vigilancia por el organismo de certificación y que tienen una licencia del organismo de certificación.
./ interna. auditorías
- Las auditorías realizadas adecuadamente cualificado y - siempre ofrecen la
externas
oportunidad de obtener una valiosa evaluación de la conformidad y la seguridad real desde un punto de vista neutral. Básicamente, esto se aplica igualmente a las auditorías internas y externas. Ocasionalmente, sin embargo, se puede oír la opinión de interna Auditorías serían más a menudo cerrado los ojos y minimizó los déficits existentes o no nombrado. Sin embargo, la experiencia de los autores con este punto es otro: Las auditorías internas son realizadas por miembros de la organización que conocen la situación en la organización a través de distancias más largas y no tienen ninguna razón para pasar por alto las deficiencias. Sin embargo, el problema es que fuera de la organización, las auditorías internas solo como prueba del cumplimiento de una norma
no debe ser aceptado. 10.2
Procedimiento básico Iniciar una auditoría
La decisión de tener ellos mismos auditado, puede provenir de la gestión de la organización - sino también de la gestión de la seguridad. Para apoyar esta propuesta, se pondrán de relieve las ventajas y beneficios para la organización y, por supuesto, también hay que cuantificar los costos asociados.
especificaciones
298
Después de la decisión básica de someterse a una auditoría interna o externa, se encuentran a un número de otros detalles, a saber: -
¿Cuál debe ser el objeto de la auditoría?
-
¿Qué tipo de auditoría se prefiere? Terminlich auditorías coordinadas y / o el contenido de las auditorías previstas, o incluso sin previo aviso y el contenido no especificado?
-
El que los auditores deben realizar la auditoría?
-
¿Qué esfuerzo interno se requiere, o que los costos internos para la gestión de la seguridad se puede esperar de la auditoría?
Procedimiento básico -
¿Cómo será la auditoría aceptado formalmente?
-
Es una certificación (ahora o en una fecha posterior auditoría) planes?
-
¿Cuáles son los costos para la contratación de los auditores externos y el organismo de certificación? Vamos a discutir los puntos que se indican en las siguientes secciones.
repeticiones
Otro enfoque es recordar: No tiene sentido en la regla a ser auditado una vez. Más bien, estos procesos deben repetirse regularmente - tener que soportar la idea de ley para la mejora continua. En consecuencia, también se encuentra en la certificación de manera que es limitada y sólo puede mantenerse mediante la repetición de auditorías o extendida. La duración de la validez de un certificado se maneja de manera diferente en el cas. Algunos prefieren para proporcionar una validez de dos o tres años, pero que requieren pruebas anuales de repetición sin embargo, en este intervalo. Otros lugares limitan la validez desde el principio para un año y requieren la re-emisión de un certificado anual de cada uno para realizar una nueva auditoría. A pesar de estos procedimientos es la regla importante que los cambios relacionados con la seguridad en el SGSI se comunicarán a los auditores y, si es necesario, el organismo de certificación y una de las llamadas ocasión
causado puede probar resultado. En este contexto, sólo puede ser aconsejado fuertemente los procesos de auditoría a largo plazo plan.
calendario
auditorías de rotación que está haciendo tal. Como siempre poner en el mismo mes del año pasado, mientras que es posible, elija un mes en el que el impacto de otras actividades es menor. Si uno decide, además de las auditorías internas y auditorías externas, se debe realizar la programación de manera que se comienza a partir de la fecha de auditoría externa y de la planificación hacia atrás desde allí - por ejemplo, así: 8 semanas de antelación: preparación de contenido
6 semanas antes:
Información a todos los empleados sobre el plan
4 semanas antes:
Las auditorías internas (también llamada marcha en seco)
299
Auditorías y certificaciones 2 semanas antes: información repetida a todos los empleados con reglas de conducta para la auditoría externa, posiblemente en la forma de un evento de información
Vamos a elaborar en estas etapas, desde el lado de la 306ª objeto de auditoría
La planificación se continúa con la determinación del objeto de la auditoría. Este puede ser por ejemplo una única unidad organizativa, un proceso de negocio o una particularmente importantes medidas de destino. Por supuesto, todo el ISMS se puede seleccionar como una materia de auditoría. Esto debe ser particularmente para la primera auditoría interna del caso en el que la prueba de la profundidad, sino más bien la prueba de la anchura no es el foco tanto.
Tipo de auditoría
Con este fin, tenemos que retroceder un poco: hay auditorías que se llevan a cabo sin programar coordinación y sin dar enfoque del contenido. Para las organizaciones con múltiples ubicaciones, incluso la selección del sitio permanece abierta. Tales auditorías "sorpresa" son sobre todo recomendable en los momentos importantes en el mantenimiento permanente de una alta seguridad y un continuo alto nivel de conciencia de seguridad entre todos los empleados. Por el contrario, terminlich anunciado auditorías podrían, en principio, tienen la desventaja de que la organización pueda adaptarse a - en casos extremos es auditar la fecha bien, antes y después del nivel de seguridad es más bien modesto. esta es nuestra experiencia, pero no la regla. Además, las actividades sustantivas de la auditoría y, posiblemente, también accedió a ser probado antes de sitios con la organización de que se trate (y mantiene el auditor a ella), la existencia de una auditoría es un problema solucionable. Es definitivamente mejor, se empieza con el contenido, auditorías local y en tiempo coordinado, nada que ver. Tal vez es la manera de coordinar con antelación y puntualmente el contenido con los auditores durante la primera auditoría, de hecho. En las auditorías posteriores será necesario
300
Procedimiento básico Para obtener información general adicional para la ejecución de las auditorías internas y externas se puede observar la norma ISO 27007 y ISO19011. Los auditores deben estar familiarizados con él. Seleccione los auditores
¿Quién es auditor de un SGSI en cuestión? Consideremos en primer lugar las auditorías internas
auditorías internas. Está claro a partir de los principios de neutralidad y objetividad que los agentes de seguridad, la Auditoría no llevar a cabo. Del mismo modo, no tiene mucho sentido que los empleados son extraídas de dichos departamentos implicados en sí en la realización de la seguridad de TI. En particular, debe solicitar al departamento de TI o el centro de datos.
sería adecuado, en principio - con la experiencia adecuada en el campo de la seguridad de la información - los empleados de auditoría, gestión de calidad o funciones transversales o similares personal. Puede ser útil contar con un especialista en TI, además de que el auditor en el equipo de auditoría que puede evaluar los aspectos específicos de la seguridad de TI del SGSI. Siempre es importante seleccionar individuos con conocimientos y habilidades relevantes. Las condiciones personales juegan un papel. Los auditores deben ser capaces de llevar a cabo las auditorías de forma objetiva e imparcial. Dado que los auditores tienen que cumplir una tarea de supervisión y evaluación, deben producirse educado, correcto y determinado sin ser dominantes.
Dado que las acciones de los supervisores pueden ser objeto de revisión, si es necesario, los auditores no deben estar sujetos a este supervisor. La administración también debe asegurarse de que los auditores internos pueden ejercer su actividad auditor bajo el plan de auditoría cualquier instrucción. auditorías externas
Que uno de auditorías externas sólo auditores cualificados le gustaría usar, es obvio. ¿Cómo se puede reconocer estas calificaciones? Déjese presentar calificaciones tales. B. el -
Formación o las calificaciones de instituciones reconocidas,
-
Acreditaciones en los institutos pertinentes 71 o
-
proyectos de referencia implementadas.
71
en Alemania Organismo de Acreditación Alemán ( DAkkS), así como la BSI.
301
Auditorías y certificaciones Incluso con los auditores que están en la lista de acreditación de las instituciones pertinentes, que puede ser de interés para preguntar si las auditorías que ya se han realizado en la rama especial de la organización. Cada auditor debe también puede llegar a una descripción del proceso (o material similar), en el que describe su acercamiento.
La estimación de costos
Costo surge en la preparación, implementación y evaluación de una auditoría. Este esfuerzo puede derivado fácilmente desde el descrito en los procedimientos de las secciones posteriores. No debe esperarse que costar lo que el de cumplir normas se requiere (trabajo de documentación implementar medidas), o bajo demanda basado en el resultado de una auditoría de una corrección debido a este esfuerzo es de hecho independiente de la aplicación de una auditoría.
Esa es la teoría - en la práctica se ve natural como que todo ser eliminados antes de que los déficits de auditoría y todo lo que es posteriormente para reparar, se incluye en la determinación de los gastos, que la (aparente) puede aumentar los costos , Para las auditorías externas y la certificación de los costes externos se incurre a partir del cual se discutirá en la siguiente sección para los contratos.
Acuerdo una auditoría auditoría externa
una auditoría externa debe ejercerse sobre la base de un acuerdo o un contrato en el que se detectan todos los datos y condiciones clave: -
Objetivo de la auditoría
¿Qué objeto o aplicación a la auditoría se basan? ¿Qué estándar es el punto de referencia? ¿Qué otros requisitos para ser aplicado? ¿Cuál es el propósito de la auditoría? -
Los nombres de los auditores
El contrato debe enumerar todos los auditores involucrados, sobre todo para evitar que el hecho de que los auditores cualificados son notificados, pero en realidad en comisión de representación que no tienen las calificaciones o la experiencia necesarias.
302
Procedimiento básico -
La documentación del cliente esperado debería existir entre todas las
partes interesadas claridad sobre qué documentación para preparar la auditoría y para cumplir Se espera que las exigencias de la norma. Es muy útil si estos documentos no sólo el nombre, pero al menos se describe de forma abreviada con el fin de evitar malos entendidos. Proporciona la motivación de los implicados en su mayoría a una dura prueba cuando el proceso se extrae a través de necesidad permanente de más documentación y las pruebas escrito en la longitud o incluso no se puede completar.
-
Fecha, el lugar y el contenido de una auditoría
Especificar el tipo de sus auditorías deseada en el contrato: En un extremo: Terminlich, espaciales (ubicación) y el contenido de auditorías coordinadas. En el otro extremo: auditorías sorpresa. -
plan de auditoría por escrito
Un plan de auditoría, que avanzará enviado a la organización que no tiene sentido en auditorías sorpresa, pero en todos los demás casos - y debe entonces también ser solicitado. Independientemente de cada una de la auditoría debe ser compatible ya previstas de antemano por los auditores para sus propios fines, por lo que no (a pagar) crearon un esfuerzo adicional. -
clasificación
Tratamiento de los resultados
Nadie lo quiere, sin embargo, es práctica normal: Durante se encuentran las deficiencias de auditoría - la necesidad de ser resuelto. Por supuesto, es fácil, medio o problemas difíciles. Un auditor debe tener un método para clasificar sus hallazgos. Esta clasificación debe describir (y certificación) el impacto de los resultados en el resultado de la auditoría.
Algunas entidades emisoras utilizando una clasificación con tres etapas: la recomendación, señalando error. recomendación significa lo que la palabra expresa: La organización no tiene que seguir, pero esto, entonces debe ser capaz de justificar. una indicio proporciona un déficit temporal tolerable es que necesita ser corregido por una medida en un tiempo fijo, pero no impide la certificación. una desviación Sin embargo, es un déficit intolerable, en contra de la norma subyacente y evita hasta resolver el problema de la certificación.
303
Auditorías y certificaciones -
Oportunamente un informe de auditoría
La regla es: "No auditoría sin ningún informe de auditoría escrita inmediata" El contrato debe contener una fecha para cuando el informe de auditoría se presenta al cliente a más tardar. Esto podría, por ejemplo. Por ejemplo, ser un máximo de dos semanas después de la auditoría. Es el período más largo, existe el peligro de que el informe es en realidad cada vez menos, debido a que los auditores simplemente no recuerdan todos los detalles, o contiene hallazgos de que no fue mencionado en la auditoría.
-
Interactuar con una CA.
Es una certificación proporcionada, el contrato debe incluir el nombre del organismo de certificación con el que trabajar los auditores. Averiguar acerca de las condiciones y los costos asociados con una certificación! ¿Es esta una aplicación independiente para el organismo de certificación se requiere?
Ir a raíz de cualquier requisitos de certificación de uno? En general, usted asumirá la obligación de proporcionar la información y debe mostrar cambios serios en su SGSI de la entidad de certificación. -
nueva auditoría
Como ya he dicho, una auditoría rara vez es una acción de una sola vez. Por ello, el Tratado debe mantenerse, con qué frecuencia se realizan auditorías de nuevo? El alcance de esta? Pueden auditorías no programadas son necesarias y, en caso afirmativo, en qué ocasiones? Tome estos acuerdos en el contrato!
-
procedimiento de reclamación
No se puede descartar que no está de acuerdo ni con el desempeño de los auditores, los resultados obtenidos y el procesamiento de la orden. ¿Cómo entonces procede? Usted debe comprobar primero si el contratista tiene un procedimiento de quejas y cómo se ve. Si tal no es disponible, tomar esa referencia expresa en el contrato!
Ciertamente existe un proceso de apelación a los organismos de certificación acreditados. Antes de tomar acción legal, debe seguir el camino de la queja. Los organismos de certificación a menudo tienen un órgano de gobierno con una sala de recurso, en el que expertos de diferentes empresas y autoridades
304
Procedimiento básico son el presente y en el intento de lograr un neutro a clarificar su queja. En general, la queja será tratada de forma anónima, para asegurar que la decisión único objetivo influencia consideraciones. -
costos
Una imagen clara de todos los gastos (incl. Gastos de viaje) con auditoría externa es evidente por sí mismo. costos de verificación de la certificación en el contrato están contenidos, o si deben ser pagados por separado. -
Separación del asesoramiento y apoyo Sea especialmente escépticos si
ofrece un auditor potencial de ayudar inicialmente a través de la adquisición de trabajo de documentación y asistencia en la implementación de medidas antes de que realiza la auditoría.
neutralidad
Una auditoría es sólo para los estándares cuando se hace por un asesoramiento personal diferente y apoyo. De otro modo sería una violación del requisito de imparcialidad y objetividad - después de todo, no tiene sentido cuando un auditor comprueba su propio trabajo o sus propias propuestas. Es un organismo de certificación involucrados, se asegurarán de que los auditores no ofrecen orientación y apoyo para la implementación de un SGSI.
Que los auditores consultoría permitirse hasta ahora, explica el contenido como los requisitos individuales de los déficits estándar o establecidas, no es crítica y es parte de su trabajo normal. Por lo tanto, el requisito mínimo sería que los servicios de orientación y apoyo en el sentido estricto son proporcionados por otros empleados designados del contratista. Las disposiciones pertinentes deben ser incluidos en el contrato. auditorías internas
Todos los puntos mencionados anteriormente en las auditorías externas - menos que se refieran al tema de la certificación - que fue incluida en una auditoría interna mutatis mutandis consideran y aceptan de ninguna manera con los auditores designados o niegan! Esto también se aplica al costo: Se le hará una estimación de costes analogía; si es necesario, el auditor interno tendrá que lograr un alivio de su cuenta. En el Anexo C de la norma ISO 27006 para el asesoramiento sobre la manera de estimar el esfuerzo para una auditoría ISMS. Teniendo en cuenta que hay Cronología ( Auditor Tiempo Gráfico) indica el periodo de tiempo requerido para una auditoría inicial del SGSI en función del número de empleados
305
Auditorías y certificaciones sucesivamente. Lo que se quiere decir aquí no es el número total de empleados de la organización, pero sólo la parte que funciona dentro del alcance del SGSI. También se les dará instrucciones debido a qué factores puede extender o acortar el período de lata de auditoría. Por lo tanto, un vistazo a la norma ISO 27006 puede ser de interés para el operador del SGSI.
10.3
Preparar una auditoría Ahora esperamos que se han tomado todas las necesidades (sujeto auditoría, los auditores, día, hora y lugar de la auditoría, contrato o acuerdo). Por otra parte, existe un plan de auditoría de la cual el momento de la auditoría y la participación requerida por los empleados de la organización serán evidentes auditada. queremos tratar con un poco más de detalle y pasar por las diferentes etapas de preparación del calendario aproximado en el lado de la 299ª
1.Bekanntgabe la auditoría
Todos los empleados de la organización (por lo menos aquellos que se ven afectados por el objeto de la auditoría) tienen que ser informados de que una auditoría interna o externa se llevará a cabo. Hay que decir que propósito es el de auditoría, que es el tema de cómo se ve la programación adicional. desmontar la información en el tablón de anuncios, ha demostrado ser muy eficaz ya que no todos los empleados se ven aquí con regularidad. Fuertemente recomendada, la información mencionada en el IS esmalte para enviar a todos nos vamos en este caso de un entorno de oficina, en la que el medio de correo electrónico está disponible para todos. En un entorno de producción, cambiarlo a otro medio de comunicación adecuado debe ser elegido.
Las diversas etapas de la programación que volverá a ser un recordatorio por correo electrónico antes de cada paso, para. Como antes de la prueba de funcionamiento o antes del evento interno. Especialmente cuando uno auditoría
2.Aktualisieren de documentos
306
inicial es todavía muy incierto si la documentación existente cumple con los requisitos de la Norma o auditores. Aquí debe considerarse en el acuerdo contractual con los auditores,
-
qué documentos son necesarios y las pruebas y si están disponibles (documentos posiblemente a corto plazo que falta para proporcionar)
-
si son contenidos hasta la fecha,
Preparar una auditoría -
si ellos (z. B. Detalles del nivel de versión, la versión correcta de la historia, las referencias actuales en los anexos) están en orden formal,
-
(Es decir, se han establecido correctamente en vigor) si llevan una nota de prensa,
-
si los documentos fueron entregados demostrado que las personas que lo necesitan,
-
si las versiones anteriores se han retirado de la circulación.
Aparte de quizá el primer punto debe realizar esta comprobación, incluso con una nueva auditoría. Además, se debe considerar si recientemente ha cambiado el nombre de la empresa u organización y roles designaciones, si se han realizado cambios en el entorno de TI (por ejemplo. A medida que la red) o reestructuración de la organización. Estos deben apretarse en la documentación. documentos modificados son para ser liberados para su uso!
En cuanto al contenido: Dado que la organización define su orientación ISMS y objetivos de seguridad en sí, puede que no sea hasta los auditores para llamar a una alineación diferente de la guía, otros objetivos de seguridad u otras evaluaciones de riesgo. En cuanto a la documentación, es más una cuestión de que esto es consistente y coherente y cumple con los requisitos de la norma.
No se olvide: en anteriores auditorías correctivas y medidas preventivas se pueden acordar que los auditores quieren ver durante la próxima auditoría en términos de eficacia. deberían haberse implementado este tipo de medidas, pruebas documentadas debe demostrar la eficacia. Si la documentación ha sido así puesto al día, que puede ser enviado por contrato a los auditores.
3. Los participantes
Básicamente, siempre siguientes funciones están involucrados en la auditoría de un SGSI:
-
los auditores (internos o externos)
-
la gestión de la organización auditada (al menos para las carreras de potencia Bienvenida e introducción, tomando nota de los resultados)
-
gestión de la seguridad (la gestión de sesiones o facilitación deben tomar) y
307
Auditorías y certificaciones -
Responsable de ciertos sujetos (sólo hasta el momento para el plan de auditoría necesario o útil).
De esta lista, el distribuidor para el envío de correo electrónico muestra la información. Aquellas personas con la asistencia obligatoria debe ser anunciado tan pronto como sea posible. Bajo ciertas circunstancias, los representantes deben ser nombrados. Los auditores realizarán las inspecciones en la auditoría en el lugar que desee mirar a ciertas premisas (z. B. centro de datos), o puestos de trabajo, o tal vez ciertos procesos (por ejemplo. Como desarrollo, producción, ventas). Si esta información se puede encontrar en el plan de auditoría, se debe planificar con antelación el camino a través de la propiedad en la preparación y anticipación ir al menos una vez, incluso tal vez a identificar las áreas problemáticas. Recuerde que debe mantener a este camino durante la auditoría posterior y no para hacer un recorrido por toda la empresa, más que mostrar cuanto más ataque licitación superficie. No sería la primera auditoría en el que se detectaron solamente debido a los viajes desviaciones por descuido.
Por otra parte, no hace nada si, por tanto, la comisión diseñado un poco difícil porque tienes que, por ejemplo, un número de control de acceso a pasar o teclas tienen que preocuparse por ciertas premisas. Esto demuestra que los auditores solamente que la seguridad es en realidad vivió. En el sitio de los auditores de inspección deben estar acompañados, por supuesto, no en mano de obra, pero siempre en proporción al número de auditores. La experiencia demuestra que la actitud positiva del personal para auditar y siguiendo unas reglas de conducta constituyen una buena base para una auditoría exitosa. Negativo siempre
4. Conducta
308
afectará cuando
-
Los auditores no se sienten tomados en serio,
-
los empleados no se les informa acerca de la auditoría y su objeto,
-
Piden a los auditores no están sólo parcialmente o no contestadas correctamente,
-
recibir información no solicitada en todo tipo de cuestiones,
-
obviamente está manejado muy casual o incluso negligencia en el día de la auditoría con la seguridad.
La realización de una auditoría
Aquí es importante hacer que los empleados sobre todo en las primeras auditorías con las normas apropiadas de conducta familiar - de ahí la referencia a una prueba o un evento de la información correspondiente.
Un factor importante para el éxito auditorías, mientras que el lenguaje es la disciplina: Un oficial de seguridad se hace cargo del líder de la conferencia para la organización y hace preguntas de Cuentas miembros individuales de la organización para dar información a. El siguiente principio se aplica: El auditor le pregunta, respondemos! Los miembros de la organización, en particular, no pueden estar en una discusión entre sí, no se contradicen entre sí y se expresan sólo a los hechos que ustedes representan.
5. Prueba de ejecución
Una prueba de funcionamiento es muy recomendable - al menos si una auditoría externa que se avecina.
Para mantener los costos bajo control, es posible ver la auditoría como se realizó prueba de funcionamiento de todos modos interna. Planificar tranquila un ensayo de dureza por los artículos de la prueba y la fecha exacta de la prueba de funcionamiento no se comunican, pero preparar toda sorpresa apropiado. Con el tiempo oportuno para la ejecución de prueba, una distancia de alrededor de 4 semanas ha demostrado la Auditoría "oficial". Esto es, por un lado el tiempo, ni para corregir algunos defectos encontrados, por otro lado, el funcionamiento en seco y la experiencia acumulada estancia, el personal todavía recordaba.
Está claro que una auditoría interna requiere un informe de auditoría, que enumera las deficiencias. Corregir tales defectos mediante acciones correctivas y preventivas adecuadas! Los auditores externos serán siempre ver los informes de auditoría interna de la organización y considerar el procedimiento para la adecuación y la conformidad con las normas. no presentar informes o sólo aquellos que "todo está bien" han llegado a juicio, corresponde a los auditores, a más tardar la segunda vez, la experiencia demuestra simplemente que tal cosa no tiene nada que ver con la realidad. No es un defecto, si no se encuentran deficiencias o revelados, sino más bien, incluso si más tarde se derivan conclusiones se extraigan.
10.4
La realización de una auditoría
Las auditorías tienen el carácter de una instantánea: La auditoría sólo puede determinar el estado real en el momento de la auditoría, el tiempo entre dos auditorías, sin embargo, sólo sobre la base de escrita
309
Auditorías y certificaciones evaluar las pruebas. Además, una auditoría no puede todos aspectos completamente consideran que está limitado a una muestra más o menos cualificado. Sólo después de varias auditorías de este tipo una imagen completa se obtiene para los auditores. Caducidad de una auditoría
El procedimiento básico de una auditoría es generalmente como sigue:
-
En una reunión conjunta de las partes, la planificación de la auditoría (sujeto de auditoría, el propósito y el final de la auditoría, las personas requeridas) y otra vez discutidos aquí de hecho un acuerdo.
-
Luego continúa con discusiones técnicas: la organización, los cambios desde la última auditoría es que los auditores hacen preguntas y para documentar y comentar si las solicitudes de corrección necesarias.
-
Ahora el tema "comprobar la conformidad de la documentación y la realidad" es: A través de entrevistas y visitas de inspección evidencia objetiva recopilada o déficit observado.
En la preparación para una auditoría, los auditores pueden crear listas de comprobación, por los que tienen la intención de proceder en la auditoría para determinar el estado real de la sección seleccionada de las ISMS. Las entrevistas entrevistas
se llevaron a cabo con empleados de la organización (a diferentes niveles) a z. a considerar como la conciencia de seguridad, el conocimiento y cumplimiento de las normas de procedimiento, el acceso a los documentos importantes. En la visita al sitio, los auditores se verá en las medidas de seguridad individuales: Esto puede ir
visita al sitio
desde la observación de los procesos de inspección de la configuración de los sistemas informáticos individuales. En la concordancia entre la documentación y la práctica, los problemas inesperados pueden surgir en este sentido y se detectan déficits: Durante una auditoría, puede pasar cualquier cosa.
archivos
Todos los pasos de la prueba, los resultados adquirida en esto y mira a escondidas en documentos o pruebas grabadas por los auditores. Estas notas hacen ningún secreto, sino que sirven la posterior redacción del informe de auditoría. Después de la visita al sitio, los auditores querrán votar entre sí acerca
resultado
310
de cómo el resultado global de auditoría es que los déficits son para ser enumeradas en el informe de auditoría y cómo se clasifican.
La realización de una auditoría
En la reunión conjunta final, los auditores dividen el resultado de las pruebas a continuación, la organización al menos por vía oral 72a La organización debe insistir en que todos Las quejas se muestran de nuevo y se clasifican. El informe de auditoría posterior debe contener ninguna sorpresa en este sentido. Los auditores deben siempre tener la oportunidad de comentar sobre los problemas identificados auditado. Malentendidos deben limpiarse inmediatamente.
correcciones
El auditado será capaz de nombrar las acciones correctivas y preventivas en función del tipo de déficit ya, o unos días pedir en casos difíciles, a cambiar de opinión y luego comunicar sus acciones por escrito. Acuerdos a cabo a menudo por las medidas correctivas con nombre cuando se llevarán a cabo estas medidas y cómo esto es demostrar a los auditores. En caso de desviaciones graves, puede ocurrir que los auditores se reservan el derecho de una inspección repetida en el lugar.
logística
El moderador de la organización siempre debe prestar atención al cumplimiento del plan de auditoría y hacer que la atención amable con los tiempos de espera considerables.
Por último, una fecha límite para el envío del informe de auditoría debe ser votado. Tratar con deficiencias identificadas
¿Cómo hacer frente a las deficiencias constatadas - ya sea porque están relacionadas con la documentación, o que han surgido durante la auditoría? El siguiente procedimiento se puede recomendar: -
No mostrar cualquier decepción o incluso ira, mantener la calma!
-
Cuestionar los resultados y otras declaraciones críticas por los auditores para comprender las cuestiones en juego!
-
Sentarse demandas no con brusquedad de, pero se sostienen de manera objetiva (posiblemente con idoneidad y coste, valor de seguridad, la aceptación, el sentido práctico)!
72 Mejor: Debe haber una (posiblemente única mano) lista escrita de todas
Los déficits se pasan (con clasificación).
311
Auditorías y certificaciones -
Si en la crítica justificada fácil de implementar acciones correctivas y probar la reacción de los auditores!
-
Evitar acordado acciones correctivas a las fechas de finalización cortos por lo tanto, nadie ayudó.
-
Tratar, si es necesario, rebaja en los déficits de clasificación a través de buenos argumentos!
Una vez que haya recibido el informe de auditoría, comprobar que el contenido coincida con la mencionan en el resultado de la auditoría. Si hay diferencias importantes aquí, usted debe hacer objeciones al informe sostiene. Mantenga un caso en todos los plazos acordados para la acción correctiva y proporcionar los documentos acordados.
10.5
Las experiencias de auditorías reales
En esta sección queremos recoger algunas experiencias de las auditorías real de acuerdo con la norma ISO 27001 para todos los que están planeando dicha auditoría y deben soportar para dar alguna orientación.
Tratamos a algunos problemas en el proceso de seguridad, sin ningún intento de integridad.
organización directriz
312
Vamos a empezar con las observaciones sobre las directrices y la organización. Las experiencias son:
-
El nivel de gestión no puede incluir: directrices no será encargado o creados no poner en vigor mediante la firma, no existe un plan de recursos aprobado para la seguridad de la información, una organización oficial de seguridad no puede ser visto, no informar de que se ha instalado.
-
Los departamentos de la organización no jueguen con: ningún interés en participar, no es transparente funcionamiento de los procesos de negocio disponibles o deseados, no se contribuye a la planificación de la seguridad, el grado de aplicación de las medidas y sigue siendo desconocida, no hay flujo de información dentro de la organización total es poco clara situación de seguridad.
Las experiencias de auditorías reales
-
Los empleados no están adecuadamente informados y motivados, la guía (s) no sé, no hay avisos de formación, las personas no son conscientes de sus responsabilidades de seguridad que los documentos pertinentes no están presentes en el lugar de trabajo.
-
La gestión de la seguridad es notoriamente congestionado, tiene deberes en conflicto está desmotivado y actúa sólo como una figura decorativa.
-
Socios y clientes no tienen normas transparentes, hay interfaces poco claras y precisas ningún acuerdo, ambas partes directrices existentes son incompatibles.
alcance
También fue testigo de auditorías, que no está claro si y cómo se estableció el alcance del SGSI - o si simplemente no se documentó. En el contexto, lo más rápido posible para obtener un certificado, el alcance es demasiado pequeño corte (es decir, no incluye los principales procesos de negocio de alto riesgo).
PDCA
Durante la inspección de la PDCA y la continua mejora se observó que -
El modelo PDCA se observó sólo como una teoría y no se entiende o se aplica ampliamente,
-
las cuatro etapas no eran, o no completamente a través,
-
los intervalos para un ciclo completo de las cuatro fases eran demasiado largo o demasiado corto,
auditorías internas
-
No hay evidencia (actas, registros, informes) sobre existían que las fases de la PDCA nunca han llevado a cabo a través,
-
el circuito de control simplemente no funcionó. La información requerida por la norma interna
Las auditorías fueron déficits típicos antes:
-
No existía planificación de la auditoría.
-
Las auditorías no se llevaron a cabo o para largas distancias.
-
Las auditorías internas no fueron norma y de una manera profesional (proceso y contenido).
-
En parte, el personal de seguridad llevaron a cabo las propias auditorías.
-
Fue creado no informe de auditoría.
313
Auditorías y certificaciones -
los activos de información
Los hallazgos no fueron evaluados, no realizar un seguimiento de su finalización.
Se hicieron los valores de información siguientes experiencias: -
valores de información no fueron identificados y registrados.
-
Directorios estaban fuera de fecha o incompleta.
-
Existió en la misma organización de diferentes directorios de los activos de información.
-
Los directorios eran demasiado detalladas (no agrupados adecuado) o demasiado abstracto.
-
valores de información fueron asignados a un dueño responsable.
-
No llevaban la clasificación con respecto a sus necesidades de protección y de valor para la organización.
riesgos
En parte como resultado de los déficits descritos anteriormente se observó:
-
No se identificaron los riesgos típicos pertinentes.
-
Los riesgos y las vulnerabilidades no eran para todos los activos de información considerada.
-
No existía ninguna norma uniforme documentado para la evaluación de riesgos.
-
La evaluación del riesgo era demasiado detallada o farsa precisa; las cifras fueron adoptadas a veces muy alejados de la realidad (arriba o abajo).
-
El estado del análisis de riesgos llevada a cabo fue en gran medida obsoletos, actualizaciones regulares no eran reconocibles.
medidas
-
No había umbrales de riesgo razonables y clases de riesgo o que no han sido actualizados.
-
Se observó que los umbrales y las clases de riesgo habían sido "ajustado" más adelante a haber riesgos en la valoración aparecerá más favorable.
Al seleccionar las medidas de seguridad, una serie de quejas fueron: -
314
Las razones por las cuales se seleccionaron ciertas medidas que faltaban o no estaban localizables.
Las experiencias de auditorías reales
-
La razón dada fue de vez en cuando que la medida se recomienda en ningún catálogo. Cuando esto fue visto como una justificación estándar, una enorme lista de medidas cuya utilidad no era justificable revelado.
-
Las medidas eran. T. plateado, no es eficaz, escogido entre sí o con discapacidad - por lo general en el contexto de que las áreas de la organización vorgingen diferente o no sabían el uno del otro.
-
Validaciones en términos de sentido práctico y la aceptación no se realizaron.
-
El hilo común, a saber, los valores de la información de asignación
riesgos
medidas
restante fue riesgos
No es reconocible.
riesgos restantes
implementación
Este tema apareció como uno de los más difíciles y fue dirigida por lo general ni siquiera, pero al menos mostró las siguientes deficiencias: -
Una evaluación del riesgo restante sólo era global, no especificado en base a los riesgos individuales.
-
La especificación y evaluación del riesgo residual no se justificaba o no comprensible.
-
De vez en cuando restantes riesgos fueron "manipuladas" para hacerlos parecer pequeña.
-
No había umbrales todavía un riesgo aceptable o no aceptable.
-
Determinados riesgos restantes de la línea no eran conscientes o no tomado de esta nota, en particular, no había firmado SOA.
-
Las opciones para el tratamiento de los riesgos restantes eran o completamente desconocido o no se documentaron o aplicados. no existía un plan de tratamiento de riesgos.
En la aplicación de las medidas, hubo una sola crítica, muy común: la práctica difiere ampliamente de la concepción, que un examen de si las medidas elaboradas (correcto) se habían aplicado era ni el principio ni siquiera periódicamente en su lugar. Al documentar las debilidades habituales que ya conoce la gestión de la calidad mostró: no auffind-
315
Auditorías y certificaciones bar, quiosco de edad, varias versiones, ninguna liberación de estado desconocido, ninguna persona responsable.
Si desea establecer el operador de una auditoría ISMS a algo bajo estrés, que acaba de meticulosamente según la documentación, o mejor aún, pedir los registros. Si se quiere hacer hincapié en el factor incluso aumentar algo, le preguntas para el análisis de los registros ...
10.6
Evaluación de la auditoría y optimización de procesos Informe de auditoría y análisis
Después de la auditoría, los auditores presentan, posiblemente con el apoyo de los especialistas add-dibujado, un informe de auditoría de la gestión de la organización. El informe de auditoría es describir el curso de la auditoría, los insumos utilizados y, en particular, la documentación de los problemas identificados y las desviaciones de la condición deseada. Las correcciones y mejoras acordadas o propuestas se exponen en el informe de auditoría. De este modo, el informe de auditoría a un documento que sirva de base para la preparación de la próxima auditorías regulares (interna, externa). La gestión de la organización utiliza el informe de auditoría a su vez para decidir la forma de la unión de las deficiencias encontradas para instruir y control. A partir de las medidas correctivas a llevarse a cabo sin demora excesiva. Si las citas ya se han acordado durante la reunión de cierre durante la auditoría, la gestión responsable debe vigilar el cumplimiento de los plazos. De esta manera, la interna regular (y cualquier externa) las auditorías, en cierta medida formar una cadena en la que se puede leer el progresivo desarrollo y mejora del SGSI.
optimización
Para prepararse para una primera auditoría, puede ser aconsejable comprar asesoramiento y apoyo, que es llamar a consultores externos que tengan experiencia en el tratamiento de la norma pertinente. Aquí se puede
316
-
Preguntas para entender los requisitos de la norma establecida,
-
para escribir documentos críticos o mejor que se vaya (:) ayuda
auditoría protección básica
-
puede someterse a un examen preliminar y documentos existentes
-
una evaluación recibida, lo lejos que estamos todavía lejos de la conformidad.
ayuda a hacer uso de estos servicios para evitar esfuerzos innecesarios para eliminar incertidumbres. Entre dos auditorías deben seguir las siguientes recomendaciones: -
documento cualquier cambio ISMS inmediatamente y asegurarse de que sus documentos de seguridad estén siempre al día.
- Antes cambios relacionados con la seguridad usted debe preguntar a sus auditores a una evaluación de si estos cambios podrían causar algún problema en la conformidad.
-
10.7
reunir casos de seguridad No hasta unos días antes de la auditoría, pero continuamente. ¿Le preocupa cómo archivar estos registros y la forma de realizar el acceso rápido.
auditoría protección básica
Todos los procedimientos que se han mostrado en los apartados anteriores son básicamente como auditorías del programa de BSI "ISO 27001 sobre la base de la protección informática de referencia". En la preparación de una auditoría de protección tales básica, sin embargo, algunos ciclos de trabajo adicionales tienen que ser planificado. En el enfoque más orientado a la acción de protección de TI de línea de base, se pone especial énfasis en asegurar que las medidas descritas en el plan de acción y se aplican para la red de TI de la organización 1: 1, respectivamente. En consecuencia, se debe prestar especial atención a hacer una comparación detallada entre la documentación y la realidad en las garantías de protección de referencia necesarios. Las formas de los controles de seguridad básicos (o la herramienta de base de datos correspondiente para el uso) pueden ayudar.
Las directrices de prueba para la certificación de protección básica, la BSI ha publicado en su página web. interesado
317
Auditorías y certificaciones catalizada hacer bien para familiarizarse con antelación con las directivas publicadas. las directrices se pueden encontrar bajo el título "esquema de certificación" de los principios generales para la certificación. IS-Revisión
En el caso de la certificación de una autoridad federal es también tener en cuenta el proceso de auditoría de SI. Para ello, el BSI ha creado su propio conjunto de reglas y una especialmente entrenado para los auditores de la piscina. Estos auditores se identifican específicamente en la lista de Auditore BSI.
Los métodos requieren una documentación muy elaborado. Dependiendo del tamaño de la red de información fácilmente cientos de estar lleno y para mantener listas de control (con alrededor de 10-100 puntos de prueba) se juntan, ya que existe una verificación requerida para cada mapeo objeto de destino bloque. La revisión por los auditores o auditores refiere a la documentación completa, sin embargo, está limitado en el examen Vorort en muestras relativamente pequeñas. Independientemente de las propias organizaciones de certificación de uno también puede verse afectada por una auditoría de TI de una política de externalización
autoridad federal o una auditoría de certificación de un cliente. En tales casos, la política de externalización de la BSI ha de notar en lo que respecta a la verificación, a la que posteriormente traer un artículo detallado.
La externalización en certificaciones BSI
En el caso de los órganos de contratación de adquisición es hecha a menudo el llamado a un "BSI-conformidad" o la certificación de protección básica. Subyacente a las disposiciones sobre todo a nivel estatal, donde muchos de la protección de datos del país está a cargo, o en el caso de las autoridades federales de no publicados, pero a menudo mencionado "UP-Bund": La Asociación de Plan de Implementación 73 es que es un paquete de medidas de las autoridades, en la que entre otras cosas, el cumplimiento del método prescrito por BSI para implementar el ISO 27001 basado en TI Protección de línea de base está predeterminado.
73 Sobre la base de la adoptada en 2005 y en el sitio web recuperables Ministerio Federal del Interior Plan Nacional de Protección de
Infraestructuras ( NPSI) fue fundada en 2007 por el gabinete federal con el plan de aplicación para garantizar la seguridad de TI en la administración federal ( UP Bund) acordó ITSicherheitsleitlinie para la administración federal.
318
auditoría protección básica
Con esto el porcentaje de compradores de servicios de TI que demandan un acceso apropiado aumenta el cumplimiento o certificación, a partir de un número relativamente pequeño de empresas certificadas prácticamente la mayor parte del mercado de la contratación pública de servicios de TI en Alemania.
Si un servicio de TI Leister se enfrenta en la práctica con un requisito tan tierna, es muy importante conocer el alcance de la acción del principal. En el poco tiempo disponible, será imposible obtener una certificación. Aparte de eso, puede ser aconsejable para favorecer un modelo diferente de presentación de la seguridad de la información desde la perspectiva de la empresa. En este caso, es importante conocer las líneas de actuación que la BSI ha publicado en su política de externalización publicada 2004.
A continuación se ofrece un resumen e interpretativo a la aprobación de esta Directiva pasos de la prueba de nuevo. La Directiva original se publicó en el sitio web de BSI bajo el esquema de certificación y, posiblemente, puede ser usado por el lector en caso de emergencia con.
Paso 1: Aclarar - Si hay un intercambio? El tratamiento como la externalización supone en primer lugar, hay una página en absoluto se afirma. Este es el caso cuando el poder -
entregada fuera del marco de la organización del respectivo a certificar los activos de TI
-
y si el rendimiento es debida a certificarse red de información.
Aquí es irrelevante que las redes de información de recursos, tales como personal, los locales, aplicaciones y sistemas informáticos de uso común. El factor decisivo es si un aislamiento sustancial de los activos de TI y la red de información puede ser justificada si llevar el rendimiento.
Paso 2: Aclaración - es la externalización relevante?
Para los casos de alto identificado externalización es ahora la comprobación de la gravedad para determinar si los casos de externalización tienen que ser considerados cuando se modela en absoluto. De acuerdo con las declaraciones del programa de ensayos de BSI es el caso si se cumplen las siguientes condiciones:
319
Auditorías y certificaciones -
Hay una escala para un compromiso de tiempo más largo para el proveedor de servicios (outsourcing comprador).
-
El servicio puede afectar a la seguridad de TI del cliente (codificador externalización).
-
Proporciona los servicios de gestión de la seguridad de manera regular y en el contexto del servicio afectado.
-
Los servicios de la gestión de la seguridad de TI no están carácter marginal, pero vale la pena mencionar.
Paso 3: ¿Qué es la externalización caso? Aquí, el BSI distingue cuatro casos:
Caso 1 externalización : Riesgo insignificante para Investigación. Este caso externalización sólo es aplicable si coinciden tres criterios: 1. Las preocupaciones de externalización únicos componentes menores de los activos de TI.
2. Los requisitos de protección del componente de contratación externa no está en la gama alta.
3. La necesidad de protección en la placa de red que no esté en el rango alto de la acumulación.
El caso 1 es poco probable que ocurra en la práctica, ya que habría clasificado un intercambio sobre la base de criterios predeterminados, más que irrelevante. A consecuencia de la asignación a esta categoría es la aplicación opcional de la B1.11 bloque (externalización) por el proveedor de externalización. Una CA está sujeta sólo a la interfaz el contratista la subcontratación de una revisión, no a sí mismo.
Caso 2 externalización : Componentes subcontratados son muy en peligro de extinción.
Este caso externalización es para ser aplicado si el contratista externalización no está sujeto a suficientemente fuerte certificación BSI (GS ISO 27001) y aplicar uno de los dos criterios siguientes: 1. Al menos un componente de contratación externa requiere un alto nivel de protección requerido.
320
auditoría protección básica
2. El intercambio incluye porciones significativas de los activos de TI.
El caso 2 es el más relevante para la práctica. Para la empresa a ser certificado y sus socios de externalización ahora siguiendo necesidad de una acción: -
El B1.11 bloque (externalización) es obligatoria desde el proveedor de externalización.
-
El B1.0 módulos (Administración de Seguridad), B1.1 (Organización), B1.2 (personal), B 1.3 (gestión de emergencias), B 1.8 (manejo de incidentes de seguridad), B1.9 (software de gestión Hardund) están en los donantes de externalización y en la medida aplicable - siempre por separado - en el aplicar contratista de externalización. Todos los demás componentes están a ambos socios en convenientemente
base de uso, es decir, cuando una clara separación de funciones exclusivo
en la externalización o la externalización de donante-receptor, con la fase dependiente 74 intersecciones junto ambas. Además, cabe señalar: -
Grupos que incluyen componentes del campo del contratista proveedor de externalización y la subcontratación, no son posibles.
-
El contratista externalización es de la verificación aleatoria como parte de los controles de seguridad afectados, así (es decir, en relación con la importancia de la parte externalizada del material compuesto al total para ser certificado red IT) como el proveedor de externalización.
Caso 3 externalización :
"Caso especial" con la limitada extensión de los daños.
Este caso es por BSI aplicable solamente si cumplen con los siguientes criterios: primero Contrato es la protección informática de la línea de base, es decir, el cumplimiento de las
medidas A, B y C los catálogos de protección básicas - si procede - acordado. segundoSólo
puede caracterizarse de lo contrario el daño financiero y no en el área del contratista de externalización plantea.
74 planificación, operación, desmantelamiento, etc.
321
Auditorías y certificaciones Otros tipos de daños serían: -
Las personas no deben ser amenazados por el daño potencial.
-
Un acto de contratista de externalización que violaciónes de la ley en el canje implica pueden no ser posibles.
-
deterioro de informativo Selbstbestimmungo derecho debe ser excluida en el área de intercambio.
-
El daño potencial se debe describir con claridad y por contrato escrito para que los daños pueden ser reclamados.
-
La solvencia del contratista de externalización debe ser examinado.
-
debe ser transparente, la aplicabilidad del "caso especial". Dado que estos
criterios se formulan extremadamente restrictiva, viene desde la perspectiva del autor de este caso, no tiene relevancia práctica para, es por eso que no vamos a proporcionar una explicación adicional para la presentación de pruebas.
Caso 4 externalización El contratista tiene la externalización una certificación fiable. Aquí se deben cumplir tres criterios: 1. El contratista de externalización tiene un certificado BSI ( "ISO 27001 basado en TI de línea de base de Protección")
2. Los componentes son parte de los activos de TI certificados del proveedor de externalización. 3. El concepto de seguridad del contratista de externalización cumple con los requisitos del concepto de seguridad del codificador externalización de una manera transparente.
322
auditoría protección básica
Este caso 4 tiene el siguiente resultado 75:
" Al modelar todos los módulos pertinentes deben aplicarse por separado al cliente y el proveedor de servicios. El auditor debe verificar que los componentes de terceros (o módulos) ya están cubiertos por la certificación. Todos los objetivos que ya han sido probados, entonces no tienen que ser probado de nuevo. El auditor en la auditoría informan su decisión de reconocer el certificado del proveedor de servicios de externalización, precisamente documentado y justificado ". conclusión
Como resultado, la selección del caso 4 para el contratista la subcontratación y externalización de los donantes significa el mayor esfuerzo.
Caso 2 puede ser considerablemente más ligero y ajustar con menos riesgo para la seguridad que comprobar cada situación. El caso 2 es necesario implementar en el corto plazo y puede ser fácilmente en una ya existente (si ya certificado ISMS) integran. Por otra parte, los esfuerzos burocráticos en el contratista esencialmente a la creación y mantenimiento de las listas se pueden reducir a la comprobación de seguridad básica. Además, por supuesto, los gastos de cierre, posiblemente detectan fallos de seguridad. Estos esfuerzos, sin embargo, la experiencia ha demostrado que compensada por la ganancia realizada en la seguridad a menudo más.
75 Cita original de la Directiva externalización BSI del 08.03.2004.
323
11
Para concluir ... En este libro usted aprendió sobre los elementos esenciales de la norma ISO 27001 (y otros) estándares. A medida que nos vamos de aquí?
Grupo de Usuarios
Puede ser que sea de su interés, el ISMS Grupo de Usuarios 76 conecte 27001 norma ISO para discutir cuestiones relativas a la interpretación de las normas o estar involucrado en el desarrollo de la norma. El BSI espera en sus páginas web con una gran cantidad de información en torno a la protección de TI de línea de base. Como ya se ha dicho, incluye una certificación de protección básica nuevo tipo tanto la conformidad de los SGSI según ISO 27001, así como evidencia de que las medidas a aplicar, de acuerdo con la protección informática básicos fueron elaborados total y correctamente. Dicha certificación combinada es, por supuesto, mucho más significativo que una mera gestión o una certificación de la acción pura. Sin embargo, la cuestión sigue siendo si que todos los aspectos de seguridad están cubiertos desde el punto de vista de la organización. La respuesta es:
No. pruebas de penetración
Carece de tales. B. Ensayos de la seguridad de los activos de TI en el sentido de resistencia a la penetración. En el caso más simple, estos son los llamados pruebas
fuera de sitio iniciado por un equipo remoto, y luego comprobar la seguridad de la transición entre la intranet de la empresa e Internet. En este caso, el examinador pone en el papel de un hacker, que no saben mucho acerca de la organización aparte de unas pocas direcciones IP de los equipos implicados. Por el contrario, el mercado también pruebas in situ
Oferta en la que el examinador conoce la estructura de la red interna y las aplicaciones de TI de la organización y trató de atacar a los ordenadores individuales o aplicaciones; Estas pruebas se realizan normalmente en los sitios de la organización. No sólo en aplicaciones complejas de TI que tiene sentido
Análisis de aplicaciones
para comprobar la documentación de la solicitud en primer lugar una relación Si
76
Ver www.iso27001certificates.com/ISMS_IUG.htm con datos de contacto de este capítulo alemana de este grupo de usuarios.
325 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8_11, Springer © 2013 Fachmedien Wiesbaden
11 Por último ... cherheitsanalyse realizar con el fin de realizar un seguimiento en el nivel de las vulnerabilidades de arquitectura y los mecanismos de seguridad utilizados. Debido a que el entorno de TI subyacente de la organización y los métodos de los piratas informáticos están cambiando constantemente, es evidente que este tipo de análisis y pruebas tienen que ser repetido periódicamente con el fin de obtener una evaluación real de la seguridad. Como fácilmente visible es el hecho de que la persona que quiere llevar a cabo este tipo de análisis y pruebas debe tener como sea posible sobre la experiencia correspondientes, herramientas y habilidades.
La tecnología de seguridad
son esenciales para la seguridad global, además, por supuesto, las declaraciones sobre el nivel de seguridad (técnica) de los componentes centrales en la red informática de la organización. ser mencionados aquí son los sistemas operativos utilizados, bases de datos, sistemas de encriptación y firma, cortafuegos, etc. Como se ha descrito en la sección
mencionó 1.4 "modelos Zertifizierfähige," este es el dominio de los Criterios Comunes (ITSEC y / ITSEC /, / CC /).
A fin de utilizar la información de los informes de certificación de estos productos! Operar productos certificados como sea posible, ya que se describe en los respectivos informes. No tenga miedo de hacer preguntas a los organismos de certificación y los fabricantes de dichos productos, si usted tiene la información en los informes o problemas debe diferir de la información, pero el impacto no puede ser estimado.
acreditación
Esto nos lleva a la cuestión de cómo el sistema de pruebas y certificación en Alemania el problema de seguridad es general. Para la acreditación de organismos de certificación es central desde 2010 y el único lugar del organismo de acreditación alemán (DAkkS 77) para la legalmente no regulado 78 Área opera. Se requiere el cumplimiento de los organismos de certificación con las normas
-
DIN EN 45012 (Guía ISO 62) para los organismos de certificación para sistemas de gestión 79, así como
77 www.dakks.de 78 pruebas y certificaciones que no son por una ley / a Reglamento se prescriben. 79 Aplicable a ISMS certificación para la certificación ISO 27001.
326
11 Por último ... -
DIN EN 45011 (ISO Guía 65) para los organismos de certificación de productos.
Estos estándares se describen los requisitos para la organización, el personal, la infraestructura y se describen procesos de estas posiciones.
la certificación productos realizado sobre la base de una evaluación en un laboratorio acreditado. cumplimiento de la norma ISO 17025 para la acreditación de tales laboratorios (anteriormente DIN EN 45001) prevalecer. Cuando DAkkS obtener una lista de los laboratorios de ensayo acreditados y organismos de certificación.
Las entidades emisoras, a su vez listas de plomo de ellos tienen una relación contractual laboratorios (licencia) de pie (y sus evaluadores) o los auditores que trabajan para ellos. la acreditación es una cualidad importante: demuestra, entre otras cosas, que un puesto es compatible organizado su personal - incluyendo los auditores externos y los evaluadores - es relevante calificado y los procesos de prueba y certificación son transparentes y rastreables.
Por lo tanto, los lugares que no cuentan con dicha acreditación no debe ser peor: pero hay que resolver el problema, para demostrar lo contrario las partes interesadas sobre las características antes mencionadas. Es interesante en este contexto que la BSI como organismo de certificación hasta el momento ni el TI de línea de base Protección todavía Criterios Comunes ITSEC y se ha convertido acreditados - en contraste con las instituciones comparables en el extranjero. El BSI hace referencia a su mandato estatutario. En principio, sin embargo, que los certificados de BSI no caen debido a la falta de acreditación en virtud de los acuerdos internacionales de reconocimiento de que los donantes de acreditación y por lo tanto z. B. No 27001 registros se enumeran en la norma internacional ISO.
327
Ejemplo de una política de seguridad de la información
El ejemplo siguiente se incluye una política de seguridad de la información que satisface el estándar (que no debe confundirse con cualquier seguridad o -planes). En él se describe el siguiente escenario: La organización llamada QualSoft GmbH, perteneciente al segmento de empresas. Tiene una sola ubicación (Berlín) y donde posee dos edificios con zona de oficinas, área de desarrollo y centros de datos. La compañía opera desarrollo de software en nombre de los clientes (software a medida para aplicaciones comerciales normales). Consiste en el CEO, 2 personas en gestión y marketing / ventas y 8 desarrolladores.
Una política de seguridad "adecuada" podría tener este aspecto (sin los comentarios insertados):
la política de seguridad de la información
la QualSoft GmbH Las empresas y el objetivo comercial
Nuestra empresa es un innovador proveedor de servicios en el desarrollo de software a medida. Estamos organizados en administración, marketing / ventas y desarrollo de software. Este último es también responsable de la operación de nuestro TI. En la actualidad, Berlín es nuestra ubicación central y sólo.
comentario
"Las empresas y el objetivo comercial" Este párrafo es muy breve en esta organización - por otra parte, es todos los elementos esenciales presentes. podría complementarse entre sí información sobre el tipo de clientes, el software desarrollado y la importancia de la seguridad para los clientes y los pedidos individuales. Alcance / Campo de aplicación
La competencia requiere, además de la producción y entrega de software de alta calidad y para demostrar la calidad y seguridad de los procesos internos. Esta política de seguridad de la información se dirige a esta exigencia con respecto a la seguridad del procesamiento de la información dentro de nuestra empresa. Por lo tanto, se aplica a la toda empresa.
329 H. Kersten, J. Reuter, K.-W. Schröder, La gestión de seguridad de acuerdo con la norma ISO 27001 y la protección básica, Edición , DOI 10.1007 / 978-3-658-01724-8, Springer © 2013 Fachmedien Wiesbaden
Ejemplo de una política de seguridad de la información
comentario
Este texto bajo "Alcance / Campo de aplicación" se determina como el alcance (Alcance) la organización indicando los motivos. Más no es necesario!
Requisitos, riesgos y objetivos
La confianza de nuestros clientes y en última instancia el éxito de negocio basado en el hecho de que todo -
los requisitos legales y, no menos importante, aquí las leyes de protección de datos cumplen (cumplimiento)
-
nuestros secretos comerciales protegen,
-
la confidencialidad de la verdad de nuestros clientes,
-
nuestros proyectos y servicios en el tiempo previsto o se comprometió a procesar,
-
facilitar la seguridad de los productos de integridad (software) y archivo.
En este contexto, el éxito del negocio de nuestra empresa depende de que reconocemos los riesgos asociados con los objetivos planteados, evitadas por las medidas apropiadas o reducir y tratar los riesgos restantes adecuado.
Los riesgos incluyen el cumplimiento incompleto o incorrecto de los requisitos legales, la divulgación no autorizada y, posiblemente inadvertida de secretos comerciales, incumplimiento de requisitos de nuestros clientes debido a un fallo del sistema, pérdida de datos, la divulgación no autorizada de información.
comentario
En esta sección "requisitos, riesgos y objetivos" son resumidamente los objetivos de seguridad de la organización, incluidas las directivas externas y uno en los mismos riesgos y las amenazas relacionadas con el estilo. Esta información proporcionará un buen punto de partida para un análisis y evaluación de riesgos.
Importancia de la seguridad
A la luz de los requisitos externos e internos, pero por encima de todos los requisitos de seguridad de nuestros clientes debe ser una parte integral de nuestra cultura corporativa seguridad de la información. la necesidad de seguridad de la información, cada empleado / a cada empleado tiene que ser consciente y conocer el impacto fundamental de riesgos en el éxito del negocio.
330
Ejemplo de una política de seguridad de la información
comentario
Este párrafo "importancia de la seguridad" es que el cumplimiento de los requisitos de seguridad de la organización desde una perspectiva empresarial un "debe" es decir, de donde se sigue que cada empleado tiene que saber una responsabilidad de seguridad para su área de trabajo y contribuir.
normativa básica -
La administración ha establecido para la aplicación de los objetivos de seguridad en función del personal "Seguridad de la Información" y que dado a la tarea de crear un estándar común para el proceso de seguridad para asegurar el conocimiento suficiente de todos los empleados / interior, así como para verificar el cumplimiento de todas las políticas de seguridad de manera adecuada o cheque para hacer ,
-
comentario
Todas las unidades organizativas de cada acto por un agente / representante en un foro de seguridad en la que se coordinan las políticas y actividades básicas. La gestión de este foro de seguridad es para la función del personal "Seguridad de la Información". En particular, un concepto global de seguridad se desarrolla en el foro de seguridad y se sometió a la administración para su aprobación.
Los dos primeros puntos proporcionan información sobre la organización planificada de seguridad y sus funciones, en particular la creación de un concepto de seguridad. -
De acuerdo con esta directriz es inicialmente cada unidad organizativa de nuestra empresa para la seguridad de sus propios datos y su carga de procesamiento ( "e-mail Información"). Como parte de esta responsabilidad cada unidad organizativa hará una lista de sus activos (datos, sistemas y procesos), un análisis de riesgos y evaluación de la conducta y después de un patrón uniforme dada para actualizar periódicamente y después de cambios importantes.
-
Cuando se requiere una clasificación de los sistemas de información y procesamiento, se regula el uso de tales sistemas de información y en una directiva específica.
-
Para proteger la confidencialidad, integridad, disponibilidad y autenticidad (en su caso) de los datos y los sistemas de visualización se basan en las medidas adecuadas de evaluación de riesgos en una política de seguridad y para poner en práctica.
331
Ejemplo de una política de seguridad de la información
-
comentario
Por las medidas técnicas, organizativas y de infraestructura adecuados de acceso a los sistemas sensibles a las zonas de seguridad y las instalaciones de infraestructura crítica y acceso deben ser evaluados para la información crítica y aplicaciones y para permitir que sólo las personas autorizadas. permisos de acceso de entrada y se proporcionan únicamente a los procedimientos formales de aplicación según sea necesario y se retira. Los propietarios de la información deben estar involucrados.
Los cuatro puntos anteriores hacen referencia al principio de propiedad, así como las normas de seguridad y las medidas (para datos, los sistemas y la infraestructura), en los que están involucrados los propietarios.
-
Los empleados reciben / dentro de nuestra empresa, si se requiere para las reglas de seguridad especiales para estaciones de trabajo, que incluyen, en particular, la obligación de informar de los incidentes de seguridad.
-
comentario
Todos los empleados / interior que participan regularmente en el entrenamiento de seguridad ofrecido
Este punto muestra el compromiso del nivel de gestión con respecto a la formación e instrucción de los empleados. -
A la luz de los objetivos de seguridad antes mencionadas las correspondientes pruebas de cumplimiento de todas las medidas de seguridad han de ser proporcionada y archivo.
-
Los documentos relativos a la seguridad de la información, informes, etc., para ser sometidos a una gestión de documentos de nivel superior, en el que se regulan la creación, publicación, distribución de archivos.
-
La función del personal "Seguridad de la información" se carga a presentar a la línea de informes trimestrales sobre la situación de seguridad de la empresa.
comentario
Estas tres directrices regulan el mantenimiento sumariamente registro, control de documentos e informes. pasivo La línea apoyará activamente a la organización de seguridad y el proceso de seguridad. Nuestra empresa se basará y la norma ISO 27001 da cuenta de los elementos de gestión de esta norma. Estos incluyen la ejecución de auditorías internas regular, un control apropiado de la documentación y de los registros, una evaluación de la gestión y la presencia
332
Ejemplo de una política de seguridad de la información
aplicación del modelo de mejora continua (PDCA).
comentario
Estos dos párrafos demuestran el compromiso del nivel de gestión en términos de apoyo a la seguridad y proporcionan orientación en cuanto a las normas aplicables. Cada empleado / a cada empleado está obligado a observar la general y la ley aplicable a las directrices de seguridad del lugar de trabajo y cumplido.
comentario
De esta manera, el compromiso de los empleados / interior se controla.
Esta política de seguridad es básicamente mantener sólo dentro de la empresa. Si es necesario, la línea decidirá si puede ser compartida con terceras partes (por ejemplo. Como clientes, contratistas, proveedores).
comentario
En este documento, el grado de confidencialidad de esta guía está regulada.
Este Sicherheitsleitleitlinie entrar en vigor el .
comentario
Las dos últimas líneas de la guía serán promulgadas oficialmente. Después de la firma, que deben ser publicados en la compañía.
333
Lista de las medidas en el Anexo A de la norma ISO 27001 Los siguientes puntos de directorio en el número especificado página a nuestros comentarios en las áreas de control específicos (primer nivel de esquema), categorías de seguridad (segundo nivel de división) y la acción (tercer nivel de división) de las normas ISO 27001.
A.5 política de seguridad ................................................. .............................................. 150
A.5.1
la política de seguridad de la información ................................................. ........ 150
A.5.1.1
Orientación sobre la seguridad de la información ............................... 150
A.5.1.2
revisión de directrices de seguridad de la información ...................................... 150
A.6 Organización de la seguridad de la información ............................................... ........... 151
A.6.1
organización interna ................................................ .......................... 151 A.6.1.1
compromiso de la administración Seguridad de la Información ................................................. ... 151
A.6.1.2
Coordinación de seguridad de la información ...................... 152
A.6.1.3
Asignación de responsabilidades para la seguridad de la información ............................................. ....... 153
A.6.1.4
Procedimiento de aprobación de
información de equipo de procesamiento ..................... 154 A.6.1.5
Los acuerdos de confidencialidad ..................................... 154
A.6.1.6
El contacto con las autoridades ............................................... ...... 155
A.6.1.7
Póngase en contacto a grupos de intereses especiales ..................... 156
A.6.1.8
revisión independiente de Seguridad de la Información ................................................. ... 157
A.6.2
Relaciones exteriores ................................................ ........................ 157 A.6.2.1
Identificación de los riesgos asociados con los empleados externos .......................................... ..... 158
A.6.2.2
Abordar la seguridad cuando se trata de clientes ........................................... ................................. 159
A.6.2.3
Abordar la seguridad en los acuerdos de terceros ........................................... ............................ 160
335
Lista de las medidas en el Anexo A de la norma ISO 27001 A.7 Gestión de los valores propios de la organización .............................................. 161
A.7.1
La responsabilidad de los valores de la organización ................................ 161
A.7.1.1
Parte de los valores propios de la organización ..................... 161
A.7.1.2
Propiedad de los valores propios de la organización ................ 162
A.7.1.3
El uso adecuado de los valores propios de la organización ............................................. ................................ 162
A.7.2
Clasificación de la información ............................................... ..... 163 A.7.2.1
Reglamento para la clasificación ................................ 163
A.7.2.2
Etiquetado y manejo de la información ............................................ ..................... 165
A.8 Seguridad del personal ................................................ .......................................... 166
A.8.1
Antes de contratar ............................................... .............................. 166 A.8.1.1
Roles y responsabilidades ............................. 166
A.8.1.2
Verificación ................................................. .................. 167
A.8.1.3
las cláusulas del contrato de empleo ................................................. . 168
A.8.2 Mientras empleado ............................................... .................... 169 A.8.2.1
Gestión ................................. 169 responsabilidad
A.8.2.2
La sensibilización, la educación y la formación para la seguridad de la información ........................................... ......... 169
A.8.2.3
A.8.3
Los procedimientos disciplinarios ................................................. ...... 170
La terminación o cambio de empleo .................................... 171 A.8.3.1
Responsabilidades en que termina .................... 171
A.8.3.2
Retorno de los valores propios de la organización ............... 172
A.8.3.3
Cancelar los derechos de acceso ..................................... 172
A.9 La seguridad física y ambiental .............................................. 173 A.9.1
zonas de seguridad ................................................. ........................... 173
A.9.1.1
Las zonas de seguridad ................................................. ............ 174
A.9.1.2
El control de acceso ................................................. ............. 174
A.9.1.3
Controlar oficinas, habitaciones y Instalaciones ................................................. ................. 175
A.9.1.4
Protección contra las amenazas desde el exterior y desde el entorno ......................................... ....................... 176
A.9.1.5
El trabajo en las zonas de seguridad ............................................. 177
A.9.1.6
de acceso público, de entrega y carga de las zonas ........................................... ............................ 178
336
Lista de las medidas en el Anexo A de la norma ISO 27001 A.9.2
La seguridad del equipo ............................................... ........... 180 A.9.2.1
Colocación y protección de equipos ................. 180
A.9.2.2
utilidades de apoyo ................... 181
A.9.2.3
El cableado de seguridad ........................................... 182
A.9.2.4
Mantenimiento de equipos ................................. 183
A.9.2.5
Befindlicher seguridad de los equipos fuera de las instalaciones ........................................... ...... 183
A.9.2.6
La eliminación segura o la reutilización de equipos ............................................ ............ 185
A.9.2.7
Distancia desde el establecimiento .............................................. 185
A.10 Operaciones y Gestión de las Comunicaciones .............................................. ..... 186
A.10.1 Proceso y responsabilidades ............................................... . 186 A.10.1.1 procesos operativos documentados ................................... 186
A.10.1.2 La gestión del cambio ................................................. ... 187
A.10.1.3 Compartir la responsabilidad ............................ 189 A.10.1.4 Distribución de desarrollo, prueba y Las instalaciones de producción ................................................. . 190
A.10.2 La gestión de la prestación de servicios de terceros .............. 191 A.10.2.1 Prestación de servicios de .................................. 191 A.10.2.2 Seguimiento y revisión de Servicios de terceros ......................................... 191 A.10.2.3 Gestión de cambios Servicios de terceros ......................................... 192 A.10.3
la planificación del sistema y la aceptación ............................................... ........... 193
A.10.3.1 Planificación de la capacidad ................................................. ......... 193
A.10.3.2
A.10.4
disminución Sistema ............................................... ............. 194
La protección contra software malicioso y código móvil ............... 195 A.10.4.1 Medidas contra el software malicioso ................................ 195
A.10.4.2
Protección de software para móviles (agente móvil) .......................................... ................................ 196
A.10.5 ................................................. copia de seguridad .............................................. 197
A.10.5.1 información de respaldo ............................................ 197 A.10.6 Gestión de seguridad de la red ............................................... ........ 198
A.10.6.1 Medidas para redes ............................................... ..... 198 A.10.6.2
La seguridad de los servicios de red .......................................... 199
337
Lista de las medidas en el Anexo A de la norma ISO 27001 A.10.7 Manipulación y almacenamiento de los soportes de grabación ................ 200
A.10.7.1 Gestión de medios extraíbles ................................... 200 A.10.7.2 Disposición de los medios de comunicación ............................................... 201 ..
A.10.7.3 Tratamiento de la información ........................................... 202
A.10.7.4
La documentación del sistema de seguridad ............................ 203
A.10.8 Intercambio de información ............................................... ............ 205
A.10.8.1 Normas y procedimientos de intercambio de Información ................................................. ................ 205 A.10.8.2 Los arreglos para el intercambio de Información ................................................. ................ 207
A.10.8.3 Transporte medios físicos ........................................ 207 A.10.8.4 Las comunicaciones electrónicas / Noticias (Mensajería) ............................................... ...................... 208 A.10.8.5 sistemas de información empresarial ....................................... 209 A.10.9 aplicaciones de comercio electrónico ............................................. ................ 210 A.10.9.1 El comercio electrónico ............................................... ..................... 210
A.10.9.2 Las transacciones en línea ............................................... ...... 212
A.10.9.3 La información disponible públicamente ............................ 213
A.10.10 Monitoreo ................................................. .................................... 213 A.10.10.1 Los registros de auditoría ................................................. .............. 214
A.10.10.2 Seguimiento de uso del sistema ................................ 216 A.10.10.3 Protección de la información de registro ............................... 216
A.10.10.4 Administrador y operador registros ........................ 217 A.10.10.5 Los registros de errores ................................................. ............ 218
A.10.10.6 Sincronización de tiempo ................................................. ....... 218
A.11 El control de acceso ................................................. ............................................... 218
A.11.1 requisitos de negocio para el control de acceso ............................... 219
A.11.1.1 Reglas para el control de acceso .................................. 219 A.11.2 Gestión de usuarios ................................................. .......................... 222
A.11.2.1 Registro de Usuario ................................................. .... 222 A.11.2.2 La gestión de los derechos especiales ..................................... 223 A.11.2.3 Administración de las contraseñas de usuario .......................... 223
A.11.2.4 Validar permisos de usuario .................. 225
338
Lista de las medidas en el Anexo A de la norma ISO 27001 A.11.3 Responsabilidad de los usuarios ................................................. .................... 225
A.11.3.1 uso de la contraseña ................................................. .... 226
A.11.3.2 equipos de usuario desatendida .......................... 226 A.11.3.3 El principio de escritorio limpio y claro de la pantalla ........................................... 227 A.11.4 Control de acceso para redes ............................................... ............... 228
A.11.4.1 Normas de uso de las redes ............................. 228 A.11.4.2 La autenticación de usuario para aplicaciones externas
Los compuestos ................................................. ................ 229 A.11.4.3 identificación de dispositivos en redes ....................................... 230
A.11.4.4
Protección de los puertos de diagnóstico y configuración ........... 231
A.11.4.5 La separación de las redes ............................................... 231
A.11.4.6 El control de las conexiones de red .................................. 232 A.11.4.7 control de encaminamiento para redes ............................................ 233
A.11.5 El control del acceso a los sistemas operativos .............................................. 233
A.11.5.1 Procedimientos para la conexión segura ................................. 234
A.11.5.2 identificación y autentificación del usuario ................. 235 A.11.5.3
Sistemas para la gestión de contraseñas .................... 235
A.11.5.4 El uso de las herramientas del sistema ........................... 236 A.11.5.5
Sesión de tiempo de espera .............................................. .............. 237
A.11.5.6 Limitación de tiempo de conexión .................................. 237
A.11.6 El control del acceso a las aplicaciones y la información ............... 238 A.11.6.1 La restricción del acceso a la información ........................ 238
A.11.6.2
Aislamiento de sistemas sensibles ............................................ 239
A.11.7 la informática y el teletrabajo móvil .............................................. ..... 239
A.11.7.1 Computación Móvil y Comunicaciones ...................... 240 A.11.7.2 Teletrabajo ................................................. ....................... 241
A.12 Adquisición, desarrollo y mantenimiento de sistemas de información ............. 242 A.12.1
Requisitos de Seguridad para Sistemas de Información ........................ 242
A.12.1.1 Análisis y especificación de Requisitos de seguridad .............................................. 242 A.12.2 procesamiento correcto en aplicaciones ......................................... 243 A.12.2.1 Validación de datos de entrada .................................... 244 A.12.2.2 El control de procesamiento interno ............................. 244
339
Lista de las medidas en el Anexo A de la norma ISO 27001 A.12.2.3
Integridad de los mensajes ............................................. 245
A.12.2.4 Revisión de los datos de salida ................................... 245
A.12.3 medidas criptográficas ................................................ ............ 245 A.12.3.1
Directriz sobre el uso de la criptografía .................. 246
A.12.3.2 Gestión de claves criptográficas ......................... 246 A.12.4
los archivos del sistema de seguridad ............................................... ............ 247 A.12.4.1 El control de software en el funcionamiento ................................ 247
A.12.4.2
Protección de los datos de prueba ............................................. ...... 249
A.12.4.3 El control del acceso al código fuente .................................... 249
A.12.5
Seguridad en los procesos de desarrollo y soporte .......... 250 A.12.5.1 procedimientos de control de cambios .......................................... 250
A.12.5.2 Inspección técnica de aplicaciones de Los cambios en el sistema operativo .................................... 251
A.12.5.3 Limitación de los cambios en Los paquetes de software ................................................. ............ 252
A.12.5.4 divulgación no intencional de información .................... 252
A.12.5.5 desarrollo de software externos ............................... 253 A.12.6
La gestión de vulnerabilidades ................................................. ............ 253 A.12.6.1 El control de las vulnerabilidades técnicas ........................... 254
A.13 Manejo de incidentes de seguridad de la información ............................................... ... 255
A.13.1 De informes de eventos de seguridad de la información y
Debilidades ................................................. .................................. 255 A.13.1.1 Informar sobre los eventos de seguridad de información
y la vulnerabilidad ................................................ ........ 256 A.13.1.2 vulnerabilidades de seguridad informe ......................... 256 A.13.2 Manejo de incidentes de seguridad de la información y
Las mejoras ................................................. ................................ 257 A.13.2.1 Responsabilidades y procedimientos ............................. 257 A.13.2.2
Aprender de los incidentes de seguridad de la información ................ 257
A.13.2.3
La recopilación de pruebas ............................................... 258 ..
A.14 Asegurar la continuidad del negocio ............................................... ................. 258 A.14.1
los aspectos de seguridad de información para garantizar las operaciones comerciales ............................................ ................................... 261
A.14.1.1 Inclusión de seguridad de la información en el Proceso para garantizar la Las operaciones de negocios ................................................. ........... 261
340
Lista de las medidas en el Anexo A de la norma ISO 27001 A.14.1.2
Garantizar la continuidad del negocio y evaluación de riesgos ............................................. ............ 262
A.14.1.3 Desarrollo e implementación de planes de Fijación de la empresa, la seguridad de información contienen ................................... 262
A.14.1.4 Marco para los planes para garantizar operaciones comerciales ................................................ ..... 263
A.14.1.5 Pruebas, mantenimiento y revalorización de Los planes para garantizar la continuidad del negocio ......... 264
A.15 Cumplimiento de la normativa ............................................... ................................... 264
A.15.1 cumplimiento de la normativa ............................................... ..... 265 A.15.1.1
Identificación de las leyes aplicables ...................... 265
A.15.1.2 derechos de propiedad intelectual ...................................... 266
A.15.1.3
Protección de la organización de la propia
Registros ................................................. ............. 267 A.15.1.4 Privacidad y confidencialidad de información personal .............................. 268 A.15.1.5 El mal uso de información de equipo de procesamiento ................... 270 A.15.1.6 Reglamento de medidas criptográficas ............. 271 A.15.2 El cumplimiento de los reglamentos y normas de seguridad, y especificaciones técnicas ................................................ ........................ 272
A.15.2.1 El cumplimiento de las normas de seguridad y -
normas ................................................. ........................ 272 A.15.2.2 Verificación del cumplimiento de las especificaciones técnicas ............ 273
A.15.3 Consideraciones para las auditorías de Los sistemas de información ................................................. ....................... 274
A.15.3.1 Medidas para revisiones Los sistemas de información ................................................. ... 274
A.15.3.2
Protección de herramientas de auditoría para
Los sistemas de información ................................................. ...... 275
341
Lista de salvaguardias básicas En la lista siguiente, las medidas básicas de protección se hace referencia en la explicación de la norma ISO 27001 Controles se enumeran con sus respectivos números de las páginas de este libro.
Medidas Grupo 1 - Infraestructura M1.2
Disposiciones para el acceso a los distribuidores ............................................. ............... 183
M1.22 la protección física de los conductos y colectores ................................... 182 M1.33 mantenimiento seguro de sistemas de TI en el ordenador portátil
el uso móvil ................................................ ...................................... 162.184 mantenimiento M1.34 seguridad de los sistemas informáticos portátiles
uso estacionario ................................................ ........................................ 162 M1.36
almacenamiento seguro de los medios de comunicación antes y después
Envío ................................................. .................................................. ....... 183
mantenimiento de M1.45 segura de los documentos y el servicio Disco ................................................. .................................................. . 203 M1.46
El uso de la seguridad bordo ............................................. ................ 227
M1.60 almacenamiento adecuado de los medios de archivado ........................................... ........... 203
Medidas Grupo 2 - Organización M2.1
Definición de responsabilidades y reglamentos para el uso de las TI ........................................ ................................................. 167.187 M2.2 la gestión de recursos ................................................. ............................. 203
M2.3
Administración de discos ................................................. ................................ 203
M2.4
Los arreglos para el mantenimiento y las reparaciones ..................................... 183
M2.5
Tarea y separación de funciones ........................................ 189.221 M2.7 La asignación de ............................................... .......... 222
M2.8
La asignación de derechos de acceso ............................................... ....................... 222
M2.9
Prohibición de uso de hardware y software no aprobado ............ 154190250 M2.10 de
comprobar el inventario de hardware y software ................... .................. 267 M2.11
Regular el uso de contraseñas ............................................... .... 224 226 236 M2.22 Deje la
contraseña ....................................... .................................. 224 M2.25 Documentación de la configuración del sistema ............................................ ....... 204
343
Lista de salvaguardias básicas M2.30
Medios de control para el usuario / el usuario zergruppen ................................................. .................................................. 222
Documentación M2.31 en usuarios autorizados y en los derechos Perfil ................................................. .................................................. ... 222.225 M2.34 documentación de los cambios realizados en una ya existente Sistema ................................................. .................................................. ......... 251
M2.35
La información sobre los fallos de seguridad de la Sistema ................................................. .................................................. . 157.255 M2.37 El lugar
de trabajo ordenado .......................................... ............................ 227
División M2.38 de funciones de administrador ............................................ ....... 221 M2.39
Respuesta a violaciónes de las normas de seguridad ................................. 171
M2.43 etiquetado adecuado de los medios de comunicación cuando
Envío ................................................. .................................................. ....... 204
M2.44
embalaje seguro del soporte de datos .............................................. ............ 204
M2.45
El control de la intercambio de medios ............................................... ......... 204
M2.62
de aceptación del software y el proceso de aprobación ........... 154.190.194.243.250.251 de control
M2.64 de archivos de registro ........................ ............................................ 215
M2.66 cuenta de la importancia de la certificación para Adquisiciones ................................................. .................................................. 243
M2.71
Definir una política de una pasarela de seguridad ................................... 229
M2.80
Creación de una lista de requisitos para El software estándar ................................................. ......................................... 243
M2.82
Desarrollo de un plan de pruebas para software estándar .............................. 190.195 M2.83
Las pruebas de software estándar ............................................... .................. 243.249 M2.85
La liberación de software estándar ............................................... .................... 195
M2.86
Asegurar la integridad de software estándar ...................................... 248
M2.87
Instalación y configuración de software estándar ................................ 248
directrices para el registro de privacidad M2.110 ........................................... ... 215 Control M2.112 de los archivos y el transporte de datos de medios ........................................ 204
M2.118 concepto de correo electrónico seguro utilización ....................................... ............ 162 Reglamento M2.119 concerniente al uso de correo electrónico ....................................... ................... 162
M2.163 La determinación de los factores que influyen criptográfica
Procesos y productos ............................................... ................................ 272
selección M2.165 de un producto criptográfico adecuado ......................... 272 M2.167 Secure Erase Medios ........................................... ........... 185.204 M2.172 desarrollo de un concepto para el uso de WWW ........................... ... 229
344
Lista de salvaguardias básicas M2.173 establecer una estrategia de seguridad WWW .......................................... ..... 213
preparación M2.192 de la guía ............................................ .................................... 151 M2.193 la construcción de una estructura organizativa adecuada para TI
Seguridad ................................................. .................................. 151152153273 conciencia M2.198 empleado de seguridad de TI ..... .................................. 170 M2.199 mantener la seguridad informática ........................................ 151 157 273 275 M2 0,215 Solución de problemas ............................................... .......................................... 218
M2.216 proceso de aprobación para los componentes de TI .................................... 154.194 M2.217 evaluación detallada y manejo de la información, Aplicaciones y sistemas ............................................... ... 162 165 210 266 M2.218 regular el
transporte de soportes de datos y TI Componentes ................................................. ................... 162.184.186.204.240 M2.219 documentación continua de Informationsverarprocesamiento ................................................. .................................................. .. 162.187 M2.220 directrices para el acceso o control de acceso .................... 221229235 M2.221 gestión del cambio ........... .................................................. ............. 188.251 M2.225 asignación de responsabilidad por la información, Aplicaciones y componentes de TI ............................................. ...... 153.162 M2.226 regulaciones para el uso de personal extranjero ........................... 155161169 M2.250 establecimiento de una fuente externa estrategia ................................................ ....... 193
M2.251 definir los requisitos de seguridad para la contratación externa Proyectos ................................................. .................................................. .... 193
M2.252 elección de un servicio de externalización adecuada .................................... 193
M2.253 contratos con la externalización de servicios ................. 155161193 M2.254 creación de un concepto de seguridad de TI para el Outproyectos de abastecimiento ............................................... ........................................ 193
M2.255 migración segura en proyectos de externalización ......................................... ... 193
la planificación y el mantenimiento de la seguridad de TI M2.256 las operaciones actuales de externalización .............................................. ...................... 193 monitoreo M2.257 de los recursos de almacenamiento de la unidad de almacenamiento ........................ 204
M2.272 medio de un equipo de WWW editorial .......................................... ....... 213 M2.273 parches relacionados con la seguridad de importación oportuna y Actualizaciones ................................................. .................................................. ....... 255
normas y reglamentos para la TI móvil de seguridad M2.309 Términos ................................................. ........................................... 162 184 240
345
Lista de salvaguardias básicas M2.312 el diseño de una formación y sensibilización programa de seguridad de TI ............................................. .................... 157.170 M2.321 la planificación del uso de las redes cliente-servidor ................. ...................... 234
M2.322 definir una política de seguridad para un cliente-servidor ................................................. neta .................................................. ............. 234
M2.336 asunción de la responsabilidad general de la seguridad de TI
por la dirección ............................................... ............................... 152 M2.340 cumplimiento de las condiciones legales ............................................ 266 .. M2.393 controlar el intercambio de información ............................................ ..... 155.161 M2.401 manejo de medios y dispositivos extraíbles ................................... .... 204 Medidas del Grupo 3 - Recursos Humanos
M3.2
Compromiso de los empleados para cumplir con las leyes, normas y regulaciones ....................................... ................ 155
M3.5
La enseñanza de medidas de seguridad de TI ............................................. ......... 170
M3.6
Regulado procedimiento para separar Los empleados ................................................. ............................................ 173.223 M3.10 la
selección de una administrador de confianza y ................................................. representante .................................................. .... 168
M3.11
Formación de personal de mantenimiento y administración ............................ 170
M3.14
Formación del personal en el flujo controlado de la La transferencia de información y el intercambio de soporte de datos ......................... 204
M3.18 obligación de que el usuario cierre la sesión después de Cumplimiento de las tareas ................................................. ....................................... 237
M3.26
La formación del personal en el uso seguro de las TI ................ 226.271 M3.33 Las pruebas de seguridad de los empleados ............................................... ............ 168
selección M3.50 de personal ............................................ ...................................... 168
acuerdos de confidencialidad M3.55 ............................................. ..................... 155 M3.60
conciencia de los empleados sobre el manejo seguro de los medios de comunicación y dispositivos extraíbles ....................................... ..................... 204
Medidas Grupo 4 - Hardware y Software M4.2
Bloqueo de pantalla ................................................. .................................... 227.237 M4.5
El registro de la obra TK-administración ........................................ 215 M4.7
Cambiar las contraseñas preestablecidas ............................................... .......... 224
M4.13
asignación cuidadosa de identificadores .............................................. .......................... 223
M4.15 Secure Login ............................................. ............................................ 234
346
Lista de salvaguardias básicas M4.16
Las restricciones de acceso para las cuentas y / o Terminales ................................................. .................................................. .... 237
M4.23
invocación segura de archivos ejecutables .............................................. ............ 197
M4.25
El uso de anotaciones en el sistema Unix ........................................... ... 215
M4.29
El uso de un producto de cifrado de los ordenadores portátiles ....................... 184
M4.32
eliminación física de los medios de comunicación antes y después de
Utilice ................................................. ........................................... 185.204 M4.33 El uso de un programa de detección de virus en el disco el intercambio y la transmisión de datos ............................................... ................. 204
M4.34
El uso de encriptación, sumas de comprobación o firmas digitales .......................................... .................................................. ......... 245
M4.35 la verificación de los datos a transferir antes del envío .............................. 204 M4.47
El registro de actividades de puerta de enlace de seguridad ................................... 215
M4.64 verificación de los datos que va a transmitirse antes de la transmisión /
Eliminación de la información residual ............................................... .............. 204
M4.65
Ensayo de nuevo hardware y software ............................................ ....................... 195
M4.78
ejecución cuidadosa de los cambios de configuración ........................ 251
M4.80
mecanismos de acceso seguro para la administración remota ............................... 231
actividades de auditoría y de registro M4.81 en la red ................................... 215 M4.82
configuración segura de componentes de red activos ........................ 230.233 M4.93 la comprobación de la integridad regular ................................................ ...... 213217275 M4.94
Protección de archivos WWW ............................................. ............................... 213
M4.99
Protección contra los cambios posteriores Información ................................................. .............................................. 267
M4.100 Cortafuegos y contenido activo ........................................... .............................. 197
M4.106 activar el registro del sistema ............................................ ............. 215 M4.133 Adecuado elección de los mecanismos artículo autorización. 224.229.230.235.236 M4.135 asignación restrictiva de derechos de acceso a los archivos del sistema ......... 217236250 M4.167 supervisión y el registro de Exchange 2000 Sistemas ................................................. .................................................. .... 216 M4.169 utilizando la unidad de almacenamiento adecuada ............................................ ........... 204
M4.172 registro de acceso al archivo ............................................ .................. 216 M4.200 manejo de dispositivos USB .......................................... .................... 204 tala M4.205 en enrutadores y conmutadores .......................................... ....... 216 M4.227 utilizando un servidor local NTP para la sincronización de tiempo ...................... 218
347
Lista de salvaguardias básicas M4.238 usando un filtro de paquetes local ........................................... ...................... 232
Medidas Grupo 5 - Comunicación M5.5
Daño-reducción de gestión de cables ................................................ .............. 183
M5.9
Inicio de sesión en el servidor ............................................... ............................ 216
M5.13 El uso apropiado del acoplamiento red .............................. 233 M5.23 la selección de un método apropiado del envío para los discos .............................. 204
M5.34
El uso de contraseñas de un solo ............................................... .................... 224
M5.61 segmentación física adecuada ............................................ ... 232.233 M5.62 segmentación lógica adecuados ........................................ ..................... 232 M5.66 uso de SSL ............................................ ....................................... 245 M5.69
La protección contra el contenido activo .............................................. ........................... 197
M5.70 traducción de direcciones NAT - (Traducción de Direcciones de Red ........................... 233
formación M5.77 de subredes ............................................ .................................... 232
M5.87 acuerdo sobre el acceso a redes de terceros .................................. 161 M5.88 acuerdo sobre el intercambio de datos con terceros ................................... 161.207 Medidas del Grupo 6 - Preparación para Emergencias
M6.20 almacenamiento adecuado de los medios de copia de seguridad ............................. 197.204 M6.32
copias de seguridad periódicas ................................................ ...................... 197
Formación M6.41 reconstrucción de datos ............................................ .................. 198 M6.47 de almacenamiento de los medios de copia de seguridad para el teletrabajo .............................. 204
M6.83 preparación para emergencias en la externalización ............................................ .................. 193
348
Algunos términos técnicos: Inglés / Alemán Los pocos términos técnicos mencionados aquí son para la comparación entre el Inglés y la versión alemana de la norma ISO 27001. Véase también la discusión en la Sección 2.5 a problemas de traducción.
La aceptación de la (restante) ...... riesgo solicitud de admisión de riesgos ................... amenaza alcance ............. ...................... control de documentos amenaza .................. control de los documentos cumplimiento de los requisitos .. ......... declaración de cumplimiento de la aplicabilidad .... declaración de aplicabilidad de la política de seguridad de la información ... información de integridad política de seguridad ...................... ................. ISMS integridad directriz ............................. .. ISMS gestión de la política de la opinión .............. la gestión de la acción ............................ ....... objetivos medidas de control ......................... objetivos de control no repudio ........... ......... área de no repudio reguladora ........................ control de seguridad de evaluación de riesgos cláusula ......... ..............análisis de riesgos estimación del riesgo ............................... tratamiento Análisis de riesgos riesgo ............. ........... evaluación de riesgos del tratamiento del riesgo .......................... evaluación de riesgos evaluación de riesgos ....... ............... identificación de riesgos evaluación de riesgos .................. vulnerabilidad de identificación de riesgos ......... ..................... vulnerabilidad de sensibilización (procedimiento de extinción) ... conciencia (programa) incidente de seguridad ................ ......... (seguridad) la categoría de seguridad .................... incidente categoría (principal) de seguridad que impide ......... ............... operaciones de negocio de gestión de la continuidad del negocioidentificación de riesgos evaluación de riesgos .................. vulnerabilidad de identificación de riesgos ........................ ...... sensibilización de la vulnerabilidad (procedimiento de extinción) ... conciencia (programa) incidente de seguridad ......................... categoría de seguridad (seguridad) incidente. ................... categoría (principal) de seguridad que impide ........................ las operaciones de negocio de gestión de la continuidad del negocioidentificación de riesgos evaluación de riesgos .................. vulnerabilidad de identificación de riesgos ........................ ...... sensibilización de la vulnerabilidad (procedimiento de extinción) ... conciencia (programa) incidente de seguridad ......................... categoría de seguridad (seguridad) incidente. ................... categoría (principal) de seguridad que impide ........................ las operaciones de negocio de gestión de la continuidad del negocio
349
Algunos términos técnicos: Inglés / Alemán
riesgo residual riesgo residual ................... disponibilidad .......................... ..... disponibilidad confidencialidad ............................. valores de confidencialidad (información) ........ ........... (información) ............................. activos fiabilidad fiabilidad cedibilidad ... ........................... rendición de cuentas
350
Lista de figuras y tablas fotos Figura 1:
Descripción general de la norma ISO 27000-
serie estándar ................................................. . 14
Figura 2:
El ciclo PDCA .......................................... 48
Figura 3:
Apéndice A: Estructura ...................................... 108
Figura 4:
ISMS necesidad de una acción general ................ 289
tablas Tabla 1:
Descripción general de los modelos de certificación ......... 16
Tabla 2:
Normas relacionadas con el anexo A de la norma ISO 27001 ......................................... .............. 19
Tabla 3:
Definición de los requisitos de protección ........................ 33
Tabla 4:
PDCA-fase ............................................... 48 ..
Tabla 5:
Descripción general de las áreas de regulación y seguridad categorías .......................... 104
Tabla 6:
La agrupación de las áreas de regulación ......... 106
Tabla 7:
Las medidas de la categoría de seguridad
11.5 ................................................. .............. 107
Tabla 8:
Descripción general Análisis de Riesgos .............................. 128
Tabla 9:
lista de amenazas ........................................... 129
Tabla 10:
Lista de vulnerabilidades ............................ 131
Tabla 11:
La evaluación de riesgos ............................... 135
Tabla 12:
Visión general de los requisitos de protección ............................... 138
Tabla 13:
análisis Ejemplo requisito de protección (1) .............. 139
Tabla 15:
análisis de las necesidades Ejemplo de protección (3) .............. 141
Tabla 16:
Caso peor daño (I) .............................. 144
Tabla 17:
Caso peor daño (II) ............................. 146
Tabla 18:
La asignación de la responsabilidad .................. 147
Tabla 19:
Métricas suave ................................................ .... 290
Tabla 20:
Las métricas duras ................................................ 293
351
abreviaturas utilizadas condiciones
Términos y Condiciones
AktG
Ley de la Corporación
ALE
Estimación promedio de pérdida / Expectativa de pérdida anual
BCM
Gestión de Continuidad de Negocio
BDSG
Ley Federal de Protección de Datos
BGB
Código Civil
BIA
Business Impact Analysis
BNetzA
Bundesnetzagentur
BS
norma británica
BSI
Oficina Federal para la Seguridad de la Información
CAD
Diseño asistido por ordenador
TCC
Entrenamiento computarizado
CC
Criterios comunes
CD
disco compacto
CERT
Equipo de Respuesta a Emergencias Informáticas
CMM
Modelo de Madurez de Capacidad
CMMI
Capability Maturity Model Integration
CobiT
Objetivos de Control para la Información y Tecnología Relacionada
COSO
Comité de las Organizaciones Patrocinadoras de la Comisión Treadway
CSP
Proveedor de Servicios de Certificación
DAkkS
organismo de acreditación alemán
marcar
la transmisión de datos a distancia
DIN
Instituto Alemán de Normalización
DoS
Denegación de Servicio
DVD
Digital Versatile Disc
EDI
Intercambio Electrónico de Datos
353
abreviaturas utilizadas (E) DV
procesamiento de datos (Electronic)
ES
norma europea
ETSI
Instituto Europeo de Estándares de Telecomunicaciones
RU
Las compañías eléctricas
contabilidad financiera
Contabilidad financiera
GDPdU
Principios del examen de los documentos digitales
GoBS
Principios de los sistemas contables adecuados DVgestützter
HGB
Código de Comercio
ISAE
Estándar Internacional sobre Contratos de Aseguramiento
IDS
Sistema de Detección de Intrusos
IEC
Comisión Electrotécnica Internacional
IEEE
Instituto de Ingenieros Eléctricos y Electrónicos Inc.
IFRS
Normas Internacionales de Información Financiera
IKS
Sistema de Control Interno
IP
Protocolo de Internet
ISF
Información Foro de Seguridad
ISMS
Sistema de Gestión de Seguridad de la Información, Sistema de Gestión de Seguridad de la Información
ISO
Organización Internacional para la Estandarización
informática
tecnología de la información, tecnología de la información ...
ITIL ITSEC
Información de la Biblioteca Tecnología de la Información
Criterios de Evaluación de Tecnología de la Información de Seguridad
ITESM
Manual de Tecnología de la Información de Evaluación de Seguridad
IV
procesamiento de la información, procesamiento de la información ...
354
abreviaturas utilizadas PYME
pequeñas y medianas empresas
KonTraG
Ley de Control y Transparencia en los negocios
LAN
Red de área local
MTBF
MTBF
NAT
Traducción de Direcciones de Red
NDA
Acuerdo de Confidencialidad
NIST
Instituto Nacional de Estándares y Tecnología
ordenador personal
ordenador personal
PCI DSS
PCI DSS
PCMCIA
Asociación de Personal Computer Memory Card International (estándar para tarjetas de expansión PC)
PDA
Personal Digital Assistant
PDCA
Planificar-Hacer-Verificar-Actuar
PDF
Formato de Documento Portátil
PIN
Número de Identificación Personal
PUK
Clave de desbloqueo personal
QM
gestión de la calidad
ROSI
Retorno de la Inversión en Seguridad
RZ
Centro de datos
SAK
componente de aplicación de firma
firmas
ley de firma
SOA
Declaración de aplicabilidad
S-OX
Ley Sarbanes Oxley
SLA
Acuerdo de Nivel de Servicio
SQL
Structured Query Language
SSL
Secure Sockets Layer
SUG
Habilitación de seguridad
TCSEC
Trusted Computer System Evaluation Criteria
TDDSG
Ley de protección de datos de teleservicios
355
abreviaturas utilizadas
356
TDG
Teledienstegesetz
TK (-)
Telekommunikation(s-)
TKG
Telekommunikationsgesetz
UrhG
Urheberrechtsgesetz
USB
Universal Serial Bus
USV
unterbrechungsfreie Stromversorgung
VDE
Verband der Elektrotechnik, Elektronik und Informationstechnik
VS
Verschlusssache(n)
VS-A
Verschlusssachen-Anweisung
WLAN
Wireless LAN
Quellenhinweise Bei den folgenden Internet-Adressen kann man ergänzende Informationen zu den unten angegebenen Quellen erhalten, verschiedentlich ist auch ein Download der Standards und Dokumente möglich: British Standard ............. . ............................ www.bsi-global.com
Common Criteria
............. . ........ www.commoncriteriaportal.com
ETSI
..................................................... . www.etsi.org
ISO
...................................................... . www.iso.org
IT-Grundschutz
....................................................... . www.bsi.de
Signaturgesetz
............. . ............ www.bundesnetzagentur.de 80
TCSEC
............. . ................................... . www.nist.gov 81
/BS 7799-1/
BS 7799-1:1999 Information security management — Part l: Code of practice for information security management, www.bsiglobal.com
/BS 7799-2/
BS 7799-2:2002 Specification for Information Security Management, www.bsi-global.com
/BSI 100-1/
BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
/BSI 100-2/ /BSI 100-3/
BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
/BSI 100-4/
BSI-Standard 100-4: Notfallmanagement
/BSI-KRIT/
Audit-Materialien IT-Sicherheit zum StandortKurzcheck in kritischen Infrastrukturen, Version 1.0, 29.06.2005, www.bsi.de
/CC/
Common Criteria for Information Technology Security Evaluation, Version 3.1
80 Menüpunkte: Sachgebiete Qualifizierte elektronische Signatur. 81 Direkter Link: http://csrc.nist.gov/publications/secpubs/rainbow/.
357
Quellenhinweise /CEM/
Common Methodology for Information Technology Security Evaluation, Version 3.1
/DIN ISO 27000/
Informationstechnik — ITSicherheitsverfahren — Informationssicherheits-Managementsysteme — Überblick und Terminologie (ISO/IEC 27000:2009), deutsche Fassung 2010-05 von /ISO27000/
/DIN ISO 27001/
Informationstechnik — IT-Sicherheitsverfahren — Informationssicherheits-Managementsysteme —
Anforderungen (ISO / IEC 27001:2005), deutsche Fassung 2008-09 von /ISO 27001/
/DIN ISO 27002/
Informationstechnik — ITSicherheitsverfahren — Leitfaden für das Informationssicherheits-Management (ISO/IEC 27002:2005), deutsche Fassung 2008-09 von /ISO 27002/
/DIN 45011/
DIN EN 45011:1998 Allgemeine Anforderungen an Stellen, die Produktzertifizierungssysteme betreiben (entspricht ISO / IEC Guide 65:1996)
/DIN 45012/
DIN EN 45012:1998 Allgemeine Anforderungen an Stellen, die Qualitätsmanagementsysteme begutachten und zertifizieren (entspricht ISO / IEC Guide 62:1996)
/ETSI 101.456/
(ETSI TS 101456) ESI 82: Policy requirements for certification authorities issuing qualified certificates
/ETSI 102.042/
(ETSI TS 102042) ESI: Policy requirements for certification authorities issuing public key certificates
/ETSI 102.023/
(ETSI TS 102023) ESI: Policy requirements for time-stamping authorities
/ETSI 101.861/
(ETSI TS 101861) ESI: Time stamping profile
82 Electronic Signatures and Infrastructures (ESI).
358
Quellenhinweise /GdPdU/
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), BMF-Schreiben vom 16. Juli 2001 IV D 2 - S 0316 - 136/01, geändert durch BMF-Schreiben IV A 4 - S 0316/12/10001 vom 14.09.2012, www.bundesfinanzministerium.de
/GoBS/
Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), BMFSchreiben vom 7. November 1995 - IV A 8 - S 0316 - 52/95- BStBl 1995 I S. 738
/GS/
IT-Grundschutz, Bundesamt für Sicherheit in der Informationstechnik, www.bsi.de
/ISO 13335/
ISO/IEC IS 13335: Information Technology — Security techniques — Management of information and communications technology security (Part 1 to 5)
/ISO 15408/
ISO/IEC 15408:2008/2009 standardisierte Fassung einer früheren Version der Common Criteria /CC/
/ISO 17025/
ISO/IEC 17025:2005 Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien
/ISO 18045/
ISO/IEC 18045:2008 standardisierte Fassung einer früheren Version von /CEM/
/ISO 19011/
DIN EN ISO 19011:2010 Leitfaden für Audits von Managementsystemen
/ISO 73/
ISO/IEC Guide 73:2009 Risk management — Vocabulary
/ISO 17799/
ISO/IEC 17799:2005 Information technology — Security techniques — Code of practice for information security management
/ISO 18028/
ISO/IEC 18028: Information technology — Security techniques — IT network security, Part 1 bis Part 5 (2005/2006)
/ISO 21827/
ISO/IEC 21827:2008 Information technology — Systems Security Engineering — Capability Maturity Model (SSE-CMM®)
/ISO 27000/
ISO/IEC 27000:2009 Information technology — Security techniques — Information security management systems — Overview and vocabulary
359
Quellenhinweise /ISO 27001/
ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems — Requirements
/ISO 27002/
ISO/IEC 27002:2005 Information technology — Security techniques — Code of Practice for Information Security Management
/ISO 27003/
ISO/IEC 27003:2010 Information technology — Security techniques — Information security management system implementation guidance
/ISO 27004/
ISO/IEC 27004:2009 Information technology — Security techniques — Information security management — Measurement
/ISO 27005/
ISO/IEC 27005:2008 Information technology — Security techniques — Information security risk management
/ISO 27006/
ISO/IEC 27006:2007 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
/ISO 27007/
ISO/IEC 27007:2011 Information technology — Security techniques — Guidelines for information security management systems auditing
/ISO TR 27008/
ISO/IEC TR 27008:2011 Information technology — Security techniques — Guidelines for auditors on information security management systems controls
/ISO 9000/
ISO 9001:2008, Qualitätsmanagementsystem — Anforderungen
/ISO 14000/
ISO 14001:2004/2009, Umweltmanagementsystem — Anforderungen
360
/ISO 20000-1/
ISO/IEC 20000-1:2011 Information technology – Service management – Part 1: Service management system requirements
/ISO 20000-2/
ISO/IEC 20000-2:2012 Information technology – Service management – Part 2: Guidance on the application of service management systems
/ITSEC/
Information Technology Security Evaluation Criteria, Version 1.2, 1991
Quellenhinweise /ITSEM/
/KeKl2012/
Information Technology Security Evaluation Manual, Version 1.0, 1993 Mobile Device Management, mitp Professional, 2012, ISBN 978-3-8266-9214-7
/KSK2011/
IT-Nofallmanagement mit System, SpringerVieweg, 2011, ISBN 978-3-8348-1288-9
/PCI-DSS/
Payment Card Industry Data Security Standard (PCI DSS), Version 2.0, 2010
/SigG/
Signaturgesetz vom 16. Mai 2001 (BGBl. I S.
876), zuletzt geändert durch Artikel 4 des Gesetzes vom 17. Juli 2009 (BGBl. I S. 2091) /TCSEC/
Trusted Computer System Evaluation Criteria, DoD: 5200.28-STD, December 1985
361
Sachwortverzeichnis
Arbeitsanweisungen · 89, 113, 166, 186
A
Arbeitsplatz
Abnahmekriterien · 194
Begehung · 96 Verantwortung ·
Abstrahlschutz · 180 Active X
113 Verlassen · 226
Controls · 196 AGB · 65, 159
Arbeitsschutzbestimmungen ·
Akkreditierung · 8, 327 Aktiengesetz · 2 Akzeptanz · 101,
273
278 Akzeptanzschwellen · 30
Arbeitsvertrag · 71, 168, 173
Alarmierungstechnik · 181 ALE ·
Archivierung · 92, 187, 200
291 Algorithmen · 246 Allgemeine
Verschlüsselung · 268 Archivräume · 176 Audit · 157
Aufwand · 298, 302 externes · 77, 302 internes · 10, 77, 81, 97, 296,
Geschäftsbedingungen · 65 Anforderungsanalyse · 265 Angriffe ·
301 ISMS · 68 Kosten · 305
27
Planung · 313 Auditbericht · 78, 88,
Angriffspotenzial · 29, 70
97, 297,
Anlagenbuchhaltung · 117 Anmeldeverfahren · 107, 108, 234, 235
Anonymisierung · 270
304, 316
Auditoren · 179, 298
Anstellung · 166
Auswahl · 298, 301
Anwendungsbereich · 51, 54,
Beratung · 305 externe · 94
96, 272 anfänglich · 49 Festlegung ·
IT-Grundschutz · 317
40, 109 Organisationsbereiche · 152
Qualifikation · 298 System-
Risikoeinschätzung · 86
· 223 unabhängige · 192
363
Sachwortverzeichnis Auditplan · 78, 303, 308
Daten · 115, 164 Home Office ·
Aufgabenbeschreibungen · 68
241 Medien · 197 Methode · 197
Aufsichtsbehörden · V, 158,
Prozess · 187 Tapes · 180
296
Auftragsdatenverarbeitung · 160
Aufzeichnungen · 24, 80, 85,
87, 92, 214 Aktivitäten · 71
Tätigkeit · 166 Verschlüsselung · 197 Backup-Manager · 71, 223 Basel II/III · V, 2, 5, 16 Basis-Sicherheits-Check · 41
Archivierung · 267
BDSG · 6 Bedrohungen · 28, 99,
Aufbewahrungsfristen · 267 Aus- und
127,
Weiterbildung · 96 Beweise · 10, 258 Gesetze · 267 Kontrolle · 192 Lenkung · 92 Nachweise · 216 Notfälle · 75 Revision · 274 Zeit · 218 Ausbildung · 68, 95 Ausfälle · 28, 130 Ausgabedaten · 245 Auslagerungsrichtlinie · 318 Auslandsreisen · 240 Ausschreibungen · V, 7, 8 Außenverbindungen · 141
169 Änderungen · 64 Ermittlung · 129 Informationswert · 34, 55 Netze · 198 Umgebung · 136, 176 Begriffsglossar · 23 Benutzeraktivitäten · 214 Benutzeridentifikation · 107,
Außerbetriebnahme · 187 Authentisierungsmittel · 172 Authentizität · 27 Autorisierung · 228
235 Benutzerregistrierung · 222 Berichte · 87 Berufsgeheimnisträger · 6, 160,
202 Beschaffungsrecht · 7 Beschwerdeverfahren · 304 Besucher · 178 Besucherbuch · 81, 88, 175,
267, 279
364
B
Besucherschein · 179
Backup · 177, 264
Betriebsprozesse · 186
Betriebsmittel · 180
Sachwortverzeichnis Betriebsstoff · 182
Change Management · 187, 250
Betriebssysteme · 201, 226, 233,
Chipkarte · 235 Clean Desk Policy · 227
235, 251
Beweise · 216, 258 Beweiskraft
Clear Screen Policy · 227 Client-Server · 209 CMM · 21 CobiT · 8 Code
· 258 Bewerbergespräch · 167 Bildschirmschoner · 226 BilMoG · 2 Biometrie · 235 Blitz · 130 ausführbarer · 244 Common Criteria · 17, 20, 70,
Blitzschutz · 121, 133, 136 Brand ·
326, 327
130 Brandabschnitte · 177
Compiler · 248 Compliance · 104, 106,
Brandfrühsterkennung · 133,
127, 264
BDSG · 269 Management · 177
Brandlasten · 134, 177 Brandschutzbestimmungen · 273 BS 7799 ·
265 Compliance-Tabelle · 265 control · 42 Copyright · 266 COSO · 4
12
BSI-Standard · 34, 36, 142 Buchungen · 267 Bulk Eraser · 201 Bundesdatenschutzgesetz · 6,
268 Büro · 176 Bürokratie · 115 Business Continuity
Management · 103, 106, 164, 259, 261
Business Impact Analysis · 260
C CERT · 156, 254 Challenge-Response · 230
D DAkks · 301, 326 Datenkabel · 182 Datenschutz · V, 1, 6, 12, 15,
79, 159, 202, 215, 268 Assets · 125 Auftragsdaten · 191 Auftragsdatenverarbeitung ·
160, 192
Clouds · 160 Eingabekontrolle · 214 Protokolldaten · 215 Testsysteme · 190
365
Sachwortverzeichnis Datenschutzbeauftragter · 123,
Dokumentenlenkung · 86, 88, 98 Druckerwartung · 230
167
Datenschutzverpflichtung · 168
Durchbruchsicherung · 175
Datensparsamkeit · 269 Datenträger · 185, 200
Überschreiben · 201
E
Defekt · 55 Defizite · 55, 97, 298, 303, 310 DeMail · 208 Diebstahlschutz · 240 Dienstleister
Nachweise · 192 Netzbetrieb · 199, 228 Risiken · 5 Risikoverlagerung · 65 Service-Änderungen · 192 Sicherheit · 158 Verpflichtungen · 79 Vorgaben · 191 Dienstleistung · 25
E-Commerce · 210, 211, 212 Eigentümer · 54, 113, 123, 124, 125, 162
Eingabedaten · 244 Eingangskontrolle · 178, 279 Einspeisungspunkte · 182 Einstufung · 163
Informationswerte · 125 IT-Grundschutz · 138 Eintrittshäufigkeit · 143 Eintrittswahrscheinlichkeit · 27 Elementarereignisse · 28, 55, 56, 259
Email · 165, 205, 208
Vereinbarungen · 199 Vertrag
private · 271 Entpflichtung · 173
· 193 Diskretionszone · 174
Entscheidungsvorlage · 50
Disziplinarverfahren · 171
Entwicklungsprozess · 190
Dokumentation · 10 Dokumente
Erfolgskontrolle · 84, 94
· 24
Erfüllungskontrolle · 192 Erklärung zur Anwendbarkeit ·
Aktualisierung · 89 Freigabe · 88 Identifizierbarkeit · 90
366
40, 61, 66, 68, 87, 137
ISMS · 90 Klassifikation · 91
Eskalation · 11, 74, 256
Lesbarkeit · 90 Vernichtung ·
Eskalationswege · 73 Euro
91 Verteilung · 90
S-Ox · 2 Externe · 158, 178
Sachwortverzeichnis
F
Geschäftsanwendungen · 209,
Fachseminare · 83
Geschäftsführung · 100
Fahrlässigkeit · 28 FAQ ·
Geschäftsgeheimnisse · 93
14 Fehlbedienung · 28
Geschäftsleitung · 51
Fehler · 75
Geschäftspartner · V Geschäftsplan ·
244 Geschäftserfolg · V
49 Geschäftsprozesse · 113, 261
Fehlerprotokolle · 192, 218 Fehlerzustände · 214 Fernwartung Unterbrechungen · 259
· 229 Feuer · 177 Feuerlöscher · 177 Feuerwehr · 156 Forensik ·
Verfügbarkeit · 262 Geschäftsrisiken
258 Fortbildung · 68 Freigabe · 154
· 46, 58, 278 Geschäftstätigkeit · 24, 118, 151, 265
Gesetzesverstöße · 28, 32, 265 GoBS · 2, 3 Grundschutz-Audit · 317
Inbetriebnahme · 188 Maßnahmen · 277, 280 mobiler
Grundschutz-Bausteine · 35 Grundwerte · 26 Gruppen · 221
Code · 196 Software · 251 Fremdpersonal · 171, 173 Früherkennung · 75 Führungszeugnis · 168 Funktionstrennung · 221
H Hacker · 27, 29, 203, 236,
326 Handelsgesetzbuch · 2 Hashwerte · 244, 247
G
Häufigkeit
GdPdU · 2, 3 Gefährdungen · 32, 128 Gefährdungskatalog · 15, 32, 41 Geheimhaltung · 79, 91, 155
Eintritts- · 27 Home Office · 184, 241 Housing · 176
Geräte-Fehler · 56 Geschäftdaten · 252
I Identitätsprüfung · 211
367
Sachwortverzeichnis Identity Management · 286 Image
internes Audit · 97 Leitlinie · 76
· V, 25
Reifegrad · 46 Wirksamkeit · 76, 98,
Incident Management · 257 Incident
99 ISMS User Group · 325
Management Plan · 73,
ISMS-Leitlinie · 38, 53, 57, 63,
74, 80, 256, 262, 263
Information · 24 Informationsfluss · 312 Informationssicherheitsereignis
150, 167, 307 Änderungen · 72 Einhaltung · 67 Erstellung · 63
· 255
Informationssicherheitsleitlinie · 38, 53, 168
Informationsveranstaltungen · 96
Informationswerte · 38, 54, 117 Eigentümer · 54, 151 kritische · 261 Infrastruktur · 25, 122
Inkraftsetzen · 111 Veröffentlichung · 150 Zustimmung · 57 ISO 14000 · 10 ISO 17799 · 12 ISO 20000 · V, 10, 13, 18 ISO 9000 · 9, 88 Isolation · 239 IT Governance · 8 IT-Anwendungen · 25 IT-Grundschutz · 11, 15, 122,
Innentäter · 27, 112 Inspektionen · 81, 137, 308,
310
Instandhaltung · 183 Integrität · 26 142, 317, 325
Internetzugänge · 182 Intranet · 85, 92 Inventarverzeichnis · 117, 119, 162, 184 ISMS · 45
IT-Grundschutzhandbuch · 15 ITIL · 11, 18 IT-Service-Management · V IT-Sicherheit · V, 15 IT-Sicherheitsmanagement-
Akzeptanz · 82 Team · 152 IT-Verbund · 25, 35,
Anwendungsbereich · 51, 62 Audits · 94 Ausnahmen · 52 Dokumentation ·
317, 326
85 Dokumentenliste · 87 Eignung · 98 Grenzen · 52, 62
J Java Applets · 196
368
Sachwortverzeichnis
K
Kritikalitätsstufe · 260 Kryptogeräte · 246 Kryptogesetze · 6, 240, 246,
Kabelführung · 133 271
Kalkulationszins · 146 Kanal
Kryptografie · 245, 246, 271 sicherer · 206, 229 verdeckter ·
Kryptokonzept · 246 Kryptomittel ·
252 Kapazitätsmanagement · 11
172 Kryptotechnik · 246
Kapazitätsplanung · 193, 216
Kumulationseffekt · 139 Kunden ·
Kapazitätsüberwachung · 193
V, 59, 159, 274
Kennzahlen · 216, 279 Kennzeichnung · 165 Klassifizierung
L Informationswerte · 124, 163 Klimatisierung · 133 Kommunikationsverbindungen · 122, 176
Konfigurationsvorgaben · 203 Konformität · VI, VII, 92, 102,
Laufzettel · 81, 171, 172 Least Privilege · 175, 220, 222 Leitlinie · 87, 94, 95, 99, 101,
103, 169 Änderungen · 192 Feststellungen · 312 Informationssicherheits- · 38,
295, 296, 317
Konsistenzprüfungen · 274 Kontinuitätsstrategie · 164 KonTraG · 2, 296 Kontrollpflicht · 272 Kontrollsystem
54, 63, 150
ISMS · 30, 38, 54, 57, 63, 67 IT-Sicherheits- · 39 Leitungsebene · 152, 312 Leitungsführung · 180 Lernprozess · 94 Lieferanten · 59, 79
internes · 3, 110, 115 Korrekturmaßnahmen · 99, 101 Kosten · 61
Lizenzen · 266 Log-Dateien · 87 Logging · 217 Log-Protokolle · 267 Löschanlage · 177
Kosten-Nutzen-Analyse · 72 Kostenstelle · 55 Kreditwesengesetz · 5 Kreditwürdigkeit · V, 25 Kritikalität · 163, 164, 261 Kritikalitätsanalyse · 260
369
Sachwortverzeichnis
M
Medien · 207 Entsorgung · 201
Mailverteiler · 172
Kennzeichnung · 202
Managementaufgaben · 68
Klassifizierung · 202
Managementbewertung · 68,
öffentliche · 83 Transport ·
75, 76, 79, 84, 94, 97, 282 Aufzeichnungen · 81 Ergebnis · 100, 273 Qualität · 287 Verbesserungen · 81 Vorbereitung · 99 Management-Forum · 93, 152 Management-System · 45, 47
207 Vernichtung · 200 Wechsel- · 200 Messprotokolle · 192 Messungen · 70, 283 Metriken
Manipulation · 55 MARisk · 5
Hard Metrics · 288, 292 Konformität · 288, 290 Risiko · 288, 291 Soft Metrics · 288, 289
Maßnahmen · 35, 59, 103, 149
Anhang A · 107 Einzel- · 35, 60, 107 Erprobung · 277 präventive · 164, 259 reaktive · 259 Stärke · 70 Überwachungs- · 214 Wirksamkeit · 70, 72, 76 Maßnahmenkatalog · 41,
Mikrofiches · 268 Minimalprinzip · 175 Missbrauch · 270 Mitarbeitergespräche · 81 Mitbestimmungsrechte · 83 Mobile Computing · 240 Mobile Device Management ·
60 Maßnahmenziele · 59, 70, 103, 154, 181, 241
Mobiltelefone · 154, 184 Modellierung · 17, 35, 41, 142 Motivation · 84, 101 107
MTBF · 29
Ausschlüsse · 62 eigene · 65 Informationswerte · 34 SoA · 40 Übersetzung · 42
N
Materialschleuse · 179
Nachrichten · 209, 245
Maximumprinzip · 124, 139
Nachweisbarkeit · 186 Nachweise · 7 Nachweispflicht · 191
370
Sachwortverzeichnis Need-To-Know · 220 Netzersatzanlage · 176, 182
Passwörter · 107, 235
Historie · 236 Qualität · 286
Netzpläne · 203 Netzsicherheit ·
Regeln · 223, 235 PCI Compliance
198
· 12 PCI-DSS · 11 PDA · 154 PDCA
Kontrolle · 198 Netztrennung ·
· 47 Penetrationstests · 198, 274,
232 Verwaltung · 198 Zugangskontrolle · 232 Nicht-Abstreitbarkeit · 27 Notebook · 172, 184, 240 Notfall · 71, 73, 80, 164 Notfallbewältigung · 187 Notfallhandbuch · 73, 263 Notfallkonzept · 260 Notfallleitlinie · 168 Notfallmanagement · 156 Notfallplan · 73, 120 Notfallübungen · 259 Notstromversorgung · 133
275, 325
Perimeterschutz · 174, 178 Personal · 25 Personaldatenverarbeitung ·
118 Personaleinsatz · 61 PIN · 235 Planungsphase · 49, 62, 67 Plausibilität · 282 Plausibilitätsprüfung · 244 Praktikabilität · 278 Priorisierung · 69 Privilegien · 225
O Online-Shop · 210
geringste · 228 hohe · 217,
Ordnungsmäßigkeit · 25, 186
220 Produktion · 110, 248
Organisation · 24, 103
Protokolle · 87 Prozessanalyse ·
Feststellungen · 312
114 Prozesse · 9, 47
Organisationsstruktur · 47
Prüfroutinen · 244
Ortsbegehung · 310 Outsourcing
Pseudonymisierung · 270
· 36
Pufferüberläufe · 243
P Papier
Entsorgung · 202
371
Sachwortverzeichnis
Q
Revisionsstand · 90 Risiken · 38 Risiko · 27,
QM-System · 86
30, 34
Qualität · 79
Akzeptanz · 36 Barwert · 145
Qualitätsmanagement · V
Identifikation · 128, 134 Kriterien ·
Quellcode · 249, 252
94 Reduzierung · 58 Übertragung · 58 verbleibendes · 34, 37, 58,
R RACI · 153
Realisierungsplanung · 41 Rechenzentrum · 115, 176, 177
Aus¬weich- · 264 Rechnungen
60, 66, 95, 315
Verlagerung · 36, 65 Vermeidung · 58 Risikoabschätzung · 31, 56, 65 Risikoanalyse · 32, 40
elektronische · 267 Rechte Entzug · 222 minimale · 229 Vergabe · 222 Rechtesystem · 219 Redundanzmaßnahmen · 142,
IT-Grundschutz · 142 Risikobehandlung · 58, 68, 111
Kriterien · 39 Optionen · 36, 65 Risikobehandlungsplan · 37,
67, 68, 69, 80, 86, 315 261
Regelungsbereiche
Anhang A · 103 Reinigungspersonal · 178 Reisen · 227 Ressourcen · 94
Risikoberichterstattung · 128, 143
Risikobewertung · 31, 40, 95 Änderungen · 65 anlassbezogen · 77 Kriterien · 63 Vorgehensweise · 134
Management · 72, 94
Risikoeinschätzung · 32, 68,
Planung · 80 Ressourcenplan · 312 Review-Prozess · 90 Revision · 274, 301
103, 111, 127 Änderungen · 66 Dienstleistung · 193 Ergebnisse · 86 Methode ·
Prüfungen · 274 Tools · 275
372
39, 54 Vorgehensweise · 63
Sachwortverzeichnis Wiederholung · 77 Risiko-Exposition · 31, 127 Risiko-Identifizierung · 31 Risikokennzahl · 145 Risikoklasse · 29, 54, 59, 60, 86 Risikolage · 89, 128 Rollback-Funktion · 248 Rollen · 68, 124, 186, 188
Schlüssel · 172, 173, 235, 247,
267, 272
Schlüsselerzeugung · 247 Schlüsselhinterlegung · 207 Schlüsselverteilung · 247 Schnittstellen · 313 Schreddern · 201 Schulung · 71, 170 Schulungsnachweise · 80 Schutzbedarf · 15, 33, 36, 121,
Aufgabenzuweisung · 153 Betriebsprozesse · 186 hohe Privilegien · 112 ISMS · 50 Konflikte · 225 Rechtezuweisung · 222 sicherheitskritische · 71, 223 Wechsel · 222 RoSI · 291
122, 138, 139, 155
Schutzbedarfsanalyse · 17, 41, 125, 137
Schwachstellen · 29, 34, 99,
114, 119, 127, 130, 273 Änderungen · 64 Ausnutzen · 27 Ermittlung · 31 Fundstellen · 41, 83, 156 Identifikation · 55
Routingkontrolle · 233
Management · 253 Melden · 255
Rückruf-Schaltungen · 229
Sicherheitsmechanismen ·
Rufschädigung · 213
S
326 technische · 254
Sabotage · 180
Selbstauskunft · 167 Seminaranbieter ·
Sarbanes-Oxley · 2, 3, 111, 114,
157 Sensibilisierung · 68, 71, 75, 95,
115 Schaden
Beiträge · 143 Worst Case ·
170, 228
143 Schadenauswirkung · 33
Server-Räume · 176
Schadenerwartung · 145
Server-Zertifikate · 230 Service Level · 199 Sessions · 237
mittlere · 28 Schadenkategorien · 32
Sicherheitsbeauftragter · 111 Sicherheitsbelehrung · 179
Schadsoftware · 195, 206
373
Sachwortverzeichnis Sicherheitsbereiche · 173, 174, 179, 180
Sicherheitskategorien
Anhang A · 104 Sicherheitskonzept · 37, 39, 184, 259
Sicherheitslage · 312 Sicherheitsleitlinie
Software · 24, 185, 195,
247 Hintertüren · 252 Krypto- · 246 Libraries · 249 Lizenzen · 203, 240, 266 lizenzgeschützte · 252 mobile · 196 Open Source · 250 private · 236 Updates · 248 Software-Entwicklung · 250
· 37 Sicherheitsmängel · 112 Sicherheitsnachweise · 317 Sicherheitspläne · 80 Sicherheitsüberprüfung · 168 Sicherheitsverantwortung · 313 Sicherheitsvorfälle · 64, 101
ausgelagert · 253 Software-Hersteller · 205 Solvency
Auflistung · 99 Folgen · 74 Früherkennung · 75 Kenntnis · 255 Lernen ·
II · V, 5, 16 Sonderrechte · 223 S-Ox · 3, 4, 16 Speichermedien · 185, 200
82 Entsorgung · 201 SQL
Management · 20, 103, 166 Meldung · 287 Schulung · 71 Überwachung · 214 Umgang · 73 Urheber · 235 Sicherheitsziele · 26,
Injection · 243 SSL-Protokoll · 211 Standards · 19 Standorte · 51 Stärke
38, 55, Sicherheitsmaßnahme · 29 246
Sicherheitszonen · 173, 174, 177
Signaturen · 206, 208, 211, 245
Stromversorgung · 130 Strukturanalyse · 41, 122 Subjekte · 26 Supportpersonal · 238 Systemabnahme · 193 Systemadministration · 164,
Simulationen · 262, 277, 279 Sitzungsprotokolle · 85 SLA · 188 SoA · 40, 41, 61
166, 220
Systemadministratoren · 71, 223 Systemausfälle · 193
374
Sachwortverzeichnis Systemdokumentation · 203
Tresor · 180 Trojaner
Systeme
· 195 Trusted Site ·
zertifiziert · 242
18
Systemplanung · 193 System-Tools · 236
U
System-Utilities · 238
Überprüfungen · 286 Überspannungsschäden · 130
T
Umsetzungsphase · 67
Tätigkeit Beenden · 171 Wechsel · 166 Tayloring · VI Technik-Räume · 176
Umsetzungsplan-Bund · 318 Umweltschutz-Management · V Unbefugte
Telearbeit · 241 Telearbeitsplätze · 240 Telekommunikationsanbieter ·
Erkennung · 175 Unterauftragnehmer · 158 Unternehmensvorsorge · V Unversehrtheit persönliche · 33 USV
156 Testdaten ·
· 133, 181
249
Datenschutz · 249 Testeinrichtung · 190 Tests · 154
Aufzeichnungen · 249
V Validierung · 244, 277
Eingabedaten · 245
Off-Site · 325 On-Site · 325
Validierungsfaktoren · 278
Protokolle · 249 Software ·
Verantwortlichkeit
253 Testsystem · 194 Testwerkzeuge · 249 TK-Anlage · 176 Training · 71, 188
persönliche · 112 Verantwortlichkeiten · 52, 67, 166, 168, 186 Aufteilung · 186 Benennung · 152, 153 Festlegung · 68, 92, 111 Informationssicherheits-
Awareness · 285 Trainingspläne · 285 Transaktionen · 212, 267
vorfälle · 257 Management-System · 47 Prozesse · 189
375
Sachwortverzeichnis Risikobehandlungsplan · 68
Backup-Medien · 197 Dokumente ·
Standorte · 263 überschneidende ·
91 Medien · 201 Verschlüsselung ·
123 ungeregelte · 112, 259
159, 206, 208
Zuweisung · 110 Verantwortung Ende-zu-Ende · 210 Verschlusssachen · 155, 163, 232, 238, 272
Nutzer · 225 Sicherheits- · 166 Zuweisung · 94, 147 Verbesserungspotenzial · 101,
Versicherungen · 59, 211 Versiegelung · 227, 231 Verteilungseffekt · 140 Vertraulichkeit · 26, 164
297
Vier-Augen-Prinzip · 112, 153,
Verbesserungsvorschläge · 82 189, 217, 236
Verbindlichkeit Rechts- · 26
Verbindungskontrollen · 199
Viren · 195, 247 Vorbeugemaßnahmen · 74, 99, 102, 307
Verbindungszeit · 107, 237 Vereinbarungen
Audit · 302 Informationsaustausch · 207 Know
W Wachpersonal · 175
How Schutz · 168
Wärmelasten · 182
Korrekturmaßnahmen · 311
Wartung
Kryptografie · 271 Liefer- · 191 mit
Personal · 223 Prozesse
Dritten · 160 Netzdienste · 199
· 187 Techniker · 178
Telearbeit · 241 vertragliche · 91
Zeitpunkt · 183 Zugang ·
Vertraulichkeits- · 155 Vererbung ·
230 Wassereinbruch · 130
33, 139 Verfahrensanweisungen ·
Web-Site · 209, 213
186 Verfügbarkeit · 26, 164
Webtrust · 18 Werte
Verkabelung · 121, 182 Vernichtung
Informations- · 24 physische · 25 Wertschöpfungskette · 110 White Papers · 14 (Speicher)Medien · 200
376
Sachwortverzeichnis Widerstandsklassen · 175
Zertifizierungsreport · 30, 326
Widerstandswert · 175 Wiederanlauf ·
Zertifizierungsstelle · 9, 297,
73, 80 Wiederanlaufklasse · 260 Wiederanlaufpläne · 260 Wiederaufbereitung · 200, 201 Wiedereinspielung · 197, 212 Wiederholungsaudit · 307 Wiederholungsprüfungen · 299 Wirtschaftlichkeit · 114 WLAN · 240
304, 326 BSI · 327 Zugangskontrolle · 103, 219,
228, 233, 238, 249
Zugriffskontrolle · 103, 214, 233 benutzerbestimmbare · 219 vorgeschriebene · 220 Zugriffsrechte
temporäre · 223 Zulieferer · 158 Zutrittskontrolle · 174, 175 Zutrittskontrollsystem · 172
Z
Zuverlässigkeit · 27
Zeitsynchronisation · 218 Zertifikate · 206 Zertifizierung · 8, 158, 297, 299
Grundschutz · 8
Personal · 164, 167 Zuweisbarkeit · 27 Zweckbindung · 269
Produkte · 30
377