פֿאַרעפֿנטלעכט אין יאנואר 2015, ISO / IEC 27040:2015 אָפפערס פולשטענדיק טעכניש גיידאַנס וועגן ווי אָרגאַנאַזיישאַנז זאָל ידענטיפיצירן אַ פּאַסיק מדרגה פון ריזיקירן רעדוקציע דורך אַ געזונט-פּראָווען, קאָנסיסטענט צוגאַנג צו דאַטן סטאָרידזש זיכערהייט צוגרייטונג, פּלאַן, דאַקיומענטיישאַן און ימפּלאַמענטיישאַן.
עס יימז צו אילוסטרירן פּראָסט ריסקס שייַכות צו די זיכערהייַט, ערלעכקייט און אַוויילאַבילאַטי פון דאַטן אויף פאַרשידענע אינפֿאָרמאַציע סטאָרידזש טעקנאַלאַדזשיז. ISO 27040 אויך ערדזשיז אָרגאַנאַזיישאַנז צו פאַרשטאַרקן זייער שוץ פון שפּירעוודיק אינפֿאָרמאַציע מיט טויגן אינפֿאָרמאַציע זיכערהייט קאָנטראָלס. די קלאַל אויך העלפּס פאַרבעסערן פארזיכערונג דורך ינקעראַדזשינג, למשל, אַסעסמאַנץ אָדער אַדאַץ פון אינפֿאָרמאַציע זיכערהייט מיטלען פּראַטעקטינג סטאָרד אינפֿאָרמאַציע.
סטאָרידזש זיכערהייט רעפערס צו דער שוץ פון דאַטן ווו עס איז סטאָרד. סטאָרידזש זיכערהייט אויך שייך צו דער פאַרטיידיקונג פון די טראַנסמיסיע פון אינפֿאָרמאַציע דורך קאָמוניקאַציע פֿאַרבינדונגען פארבונדן מיט די סטאָרידזש. זיכערהייט סטאָרידזש כולל:
דאַטן שוץ איז אַ זאַמלונג פון פּאַראַמעטערס און סעטטינגס וואָס מאַכן דאַטן רעסורסן צוטריטלעך און ינאַקסעסאַבאַל פֿאַר אנדערע ענטיטיז צו באוויליקט ניצערס און טראַסטיד נעטוואָרקס. די קענען אָפּשיקן צו ייַזנוואַרג, פּראָגראַממינג, קאָמוניקאַציע פּראָטאָקאָלס און אָרגאַנאַזיישאַנאַל פּאָליטיק.
עס זענען אַ ביסל ישוז וואָס זענען קריטיש ווען קאַנסידערינג אַ סטאָרידזש שטח נעץ (SAN) זיכערהייט פּראָצעס. סטאָרד דאַטן מוזן זיין בארעכטיגט פֿאַר אָטערייזד מענטשן, ענטיטיז און אָרגאַנאַזיישאַנז. עס מוזן אויך זיין טשאַלאַנדזשינג פֿאַר מעגלעך כאַקערז צו גווורע די סיסטעם. די ינפראַסטראַקטשער מוזן זיין פאַרלאָזלעך און סטאַביל אין פאַרשידענע ינווייראַנמאַנץ און באַניץ וואַליומז.
אָנליין טרעץ ווי ווירוסעס, וואָרמס, טראָודזשאַנז און אנדערע בייזע קאָד זאָל שטענדיק זיין באַוואָרענען. סענסיטיווע אינפֿאָרמאַציע מוזן זיין סיקיורד. ומנייטיק סיסטעמען זאָל זיין אַוועקגענומען צו עלימינירן מעגלעך זיכערהייט גאַפּס. דער אַפּלאַקיישאַן שפּייַזער זאָל רוטינלי ינסטאַלירן דערהייַנטיקונגען צו די אָפּערייטינג סיסטעם. דופּליקאַטיאָן אין די פאָרעם פון עקוויוואַלענט (אָדער מירערד) סטאָרידזש מעדיע קענען העלפן ויסמיידן קאַטאַסטראָפיק אָנווער פון דאַטן אויב אַ אַנפאָרסין דורכפאַל אַקערז. כל יוזערז מוזן זיין אַווער פון די גיידליינז און פּאַלאַסיז שייַכות צו די נוצן פון אַ קאָנטראָל נעץ.
צוויי קאַמפּאָונאַנץ קענען העלפֿן אַססעסס די פאָרשטעלונג פון סטאָרידזש זיכערהייט מעטאַדאַלאַדזשי. ערשטער, סיסטעם ימפּלאַמענטיישאַן קאָסט זאָל זיין אַ קליין בראָכצאָל פון די סיקיורד דאַטן ווערט. צווייטנס, עס זאָל קאָסטן מער אין טערמינען פון געלט און / אָדער צייט צו ברעכן די סיסטעם ווי סיקיורד דאַטן איז ווערט.
איך אַוואַדע וואָלט רעקאָמענדירן ISMS.online, עס מאכט באַשטעטיקן און אָנפירונג דיין ISMS ווי גרינג ווי עס קענען באַקומען.
ISO / IEC 27040:2015 איז דער ערשטער אינטערנאַציאָנאַלע ספּעסאַפאַקיישאַנז וואָס אַדרעסינג אַ ברייט קייט פון סטאָרידזש זיכערהייט ישוז. פאָרשונג סטאַרטעד אויף ISO / IEC 27040 אין דער האַרבסט פון 2010, פּריסידינג די SC27 זיצונג אַז יאָר. די פּרויעקט איז געווען שטעלן אויף אַ עקסטענדעד טערמין, צוגעשטעלט 48 חדשים צו פאַרלייגן די סטאַנדאַרט. די ISO/IEC 27040 נאָרמאַל איז באפרייט אויף 5 יאנואר 2015.
א רעוויזיע פּרויעקט פֿאַר ISO 27040 איז סטאַרטעד אין 2020. די פּרויעקט האט די פאלגענדע אַבדזשעקטיווז:
א וויכטיק קאָמפּאָנענט פון ISO / IEC 27040 נאָרמאַל איז פאָוקיסט אויף דיפיינינג זיכערהייט קאָנטראָלס פֿאַר פאַרשידן סטאָרידזש סיסטעמען און אַרקאַטעקטשערז. דאָס כּולל די פאלגענדע:
די ביבליאָגראַפי איז צווישן די מערסט ברייט זאַמלונגען פון דאַטן זיכערהייט באַווייַזן. ונטער זענען די דעפֿיניציע פון עטלעכע האַרץ טערמינען פֿאַר ISO 27040.
ISO/IEC 27040:2015 וועט לעסאָף זיין ריפּלייסט דורך ISO/IEC WD 27040. דער דערהייַנטיקט נאָרמאַל וואָלט אַדכיר צו יסאָ ס סאַסטיינאַבאַל אַנטוויקלונג גאָולז 9 און 12.
ציל 9 ינדאַסטרי, כידעש און ינפראַסטראַקטשער סטרייווז צו בויען אַ געזונט ינפראַסטראַקטשער, פאָוסטינג ינקלוסיוו און סאַסטיינאַבאַל וווּקס און פּראַמאָוטינג כידעש. כוועראַז ציל 12, פאַראַנטוואָרטלעך קאַנסאַמשאַן און פּראָדוקציע, זוכט צו שאַפֿן סאַסטיינאַבאַל קאַנסאַמשאַן און פּאַטערנז פון פּראָדוקציע.
בוך אַ טיילערד האַנט-אויף סעסיע באזירט אויף דיין באדערפענישן און גאָולז.
אין אינפֿאָרמאַציע זיכערהייט, אָטענטאַקיישאַן איז דער אַקט פון באַשטעטיקן צי עמעצער אָדער עפּעס איז טאַקע ווער אָדער וואָס זיי פאָדערן צו זיין. אָטענטאַקיישאַן וועראַפייז אַ מענטש, פּראָצעס אָדער מיטל ס אידענטיטעט, מאל ווי אַ פּרירעקוואַזאַט פֿאַר אַקסעס רעסורסן אין אַן אינפֿאָרמאַציע סיסטעם.
עס זענען דריי טייפּס פון אָטענטאַקיישאַן:
איין פאַקטאָר אָטענטאַקיישאַן, אָפט גערופן ערשטיק אָטענטאַקיישאַן, איז די סימפּלאַסט אופֿן פון אָטענטאַקיישאַן.
איין פאַקטאָר אָטענטאַקיישאַן ריקווייערז בלויז איין אָטענטאַקיישאַן מעקאַניזאַם (אַזאַ ווי פּאַראָל, זיכערהייט שטיפט, אאז"ו ו) צו באַקומען אַקסעס צו אַ סיסטעם אָדער דינסט. כאָטש די אַפּראָוטשיז זענען מער צוטריטלעך, זיי זענען אָפט פארבונדן מיט ווייניקער זיכערהייט פּראַקטיסיז. דאָס איז ווייַל זיי קענען לייכט זיין יידענאַפייד אָדער סטאָלען אין דאַטן בריטשיז, פישינג אָדער קיילאָגגינג אנפאלן. צוויי פאַקטאָר אָטענטאַקיישאַן (2FA) מוסיף נאָך קאַמפּלעקסיטי. 2FA דאַרף אַ צווייט קאָמפּאָנענט צו באַשטעטיקן אידענטיטעט. טיפּיש ניצט אַרייַננעמען רעגיסטרירט קאָמפּיוטער טאָקענס, איין מאָל פּאַסווערדז אָדער פּינס.
די בלויז עקזיסטענץ פון צוויי באַניצער אָטענטאַקיישאַן מעטהאָדס ימפּרוווז דיין קוילעלדיק זיכערהייט דראַמאַטיקלי, ווייַל 2FA וועט פאַרמינערן 80% פון דאַטן בריטשיז. כאָטש די זיכערהייט בענעפיץ פון 2FA זענען באַוווסט, נוצן איז אַ וויידספּרעד אַרויסגעבן. זינט Google ערשטער ימפּלאַמענאַד די אָפּציע צו לייגן 2FA צו באַניצער אַקאַונץ, ווייניקער ווי 10 פּראָצענט פון יוזערז האָבן אנגענומען 2FA אין 7 יאָר. איינער פון די סיבות פֿאַר וואָס זיי האָבן נישט נוצן 2FA איז געווען רעכט צו דער אַנויאַנס עס באשאפן פֿאַר יוזערז, שטייענדיק אַז ווייניקער ווי 10% פון יוזערז וואָס האָבן געפרוווט צו נוצן 2FA האָבן נישט אַרייַן די SMS באַשטעטיקונג קאָד ריכטיק.
מולטי-פאַקטאָר אָטענטאַקיישאַן (MFA) איז ביי ווייַט די מערסט אַוואַנסירטע אָטענטאַקיישאַן מעקאַניזאַם. עס ניצט צוויי אָדער מער פרייַ וועריאַבאַלז צו לאָזן באַניצער אַקסעס צו אַ סיסטעם. אין נאָרמאַל קאַסעס, MFA אַפּראָוטשיז צו נוצן לפּחות 2 אָדער 3 קאַטעגאָריעס:
אַקסעס קאָנטראָל איז די דיליבראַט באַגרענעצונג פון אַקסעס צו אַ אָרט, וועבזייטל אָדער אנדערע רעסורסן און אַסעץ. אַקסעס קען אַרייַנציען פּראַסעסינג, באזוכן אָדער ניצן אַ אַסעט. דערלויבעניש צו אַקסעס אַ אַסעט איז ריפערד צו ווי דערלויבעניש.
דערלויבעניש איז אַ שוץ אופֿן געניצט צו דעפינירן באַניצער / קליענט רעכט אָדער אַקסעס לעוועלס שייַכות צו רעסורסן, אַרייַנגערעכנט קאָמפּיוטער מגילה, דיירעקטעריז, באַדינונגס, אינפֿאָרמאַציע און פּראָגראַם פֿעיִקייטן. דערלויבעניש איז יוזשאַוואַלי נאכגעגאנגען דורך אָטענטאַקיישאַן פון באַניצער אידענטיטעט.
מיר פּעלץ ווי מיר האָבן
דער בעסטער פון ביידע וועלטן. מיר זענען געווען
קענען צו נוצן אונדזער
יגזיסטינג פּראַסעסאַז,
& די אַדאַפּט, אַדאַפּט
אינהאַלט האט אונדז נייַ
טיפקייט צו אונדזער ISMS.
א SED איז אַ זיך ענקריפּטינג שווער פאָר וואָס איז אַ פאָרעם פון שווער פאָר וואָס אויטאָמאַטיש און קאַנטיניואַסלי ינקריפּט דאַטן אָן באַניצער ינטערווענטיאָן. א זיך ענקריפּטינג פאָר יוזשאַוואַלי האט אַ קרייַז געבויט אין די דיסק פאָר קאָנטראָללער שפּאָן. דער שפּאָן ענקאָוד אַלע דאַטן צו די מאַגנעטיק מידיאַ און אויטאָמאַטיש דעקריפּץ אַלע דאַטן ווידער.
סאַפּרייזינגלי, אַ שיין נומער פון שווער דרייווז דערווייַל אויף די מאַרק זענען SEDs. ווייַל מאַניאַפאַקטשערערז טאָן ניט באַטראַכטן דאָס ווי אַ באַטייטיק שטריך, עס איז אָפט פאַרפאַלן אין אנדערע בכלל מער באַטייַטיק אַספּעקץ. אפילו ווען איר קויפן, ינסטאַלירן און אָנהייבן ניצן אַ SED פאָר, די ענקריפּשאַן איז אָטאַמאַטיק, אַזוי עס איז אַנלייקלי אַז דער באַניצער וועט פאַרשטיין אַז די פאָר איז אַ SED.
דער ענקריפּשאַן פּראָצעס איז אַטשיווד דורך ניצן אַ יינציק און טראַפ - דאַטאַ ענקריפּשאַן שליסל (DEK) וואָס די פאָר ריקווייערז צו ענקריפּט און דעקריפּט די דאַטן. ווען די דאַטן זענען געשריבן צו די פאָר, עס איז ערשטער ינקריפּטיד דורך די DEK. סימילאַרלי, אַמאָל אינפֿאָרמאַציע איז לייענען אויף די פאָר, די DEK דעקריפּט עס איידער עס איז געשיקט צו די רעשט פון די מיטל.
דער פּראָצעס ינשורז אַז אַלע די אינפֿאָרמאַציע אויף די פאָר איז ינקריפּטיד אַלע מאָל. איין טשיקאַווע טעכניק וואָס קענען זיין פארענדיקט מיט דעם איז צו מעקן אַ שווער פאָר כּמעט תיכף און לעגאַמרע. אַלע וואָס אַ באַניצער וועט טאָן איז צו זאָגן די SED צו שאַפֿן אַ נייַע DEK, און אַלע די דאַטן אויף די פאָר וועט גלייך ווערן גיבבעריש און איז כּמעט אַנריקאַווערד. דאָס איז רעכט צו דער שליסל וואָס איז פארלאנגט צו דעקריפּט די דאַטן ניט מער בנימצא. אַזוי אויב איר דאַרפֿן צו קאַנוויניאַנטלי און סיקיורלי ויסמעקן אַ פאָר איידער ריפּלוימאַנט אָדער באַזייַטיקונג, SEDs צושטעלן אַ שנעל און פאַרלאָזלעך מיטל צו טאָן דאָס. דער אַקט איז גערופֿן אַ פאַרשיידנקייַט פון נעמען באזירט אויף דער פאַבריקאַנט, אָבער עס איז מערסט קאַמאַנלי ריפערד צו ווי "זיכער מעקן."
סאַניטיזאַטיאָן איז דער טעכניש טערמין פֿאַר ינשורינג אַז דאַטן לינקס אויף סטאָרידזש אין די סוף פון זייַן נוצן איז אַנאַוויילאַבאַל. סאַניטיזאַטיאָן ינשורז אַז אַן אָרגאַניזאַציע טוט נישט ברעכן דאַטן ווען ריוזינג, סעלינג אָדער וואַרפן סטאָרידזש דעוויסעס.
סאַניטיזאַטיאָן קענען נעמען פאַרשידן פארמען דיפּענדינג אויף אינפֿאָרמאַציע סענסיטיוויטי און די סומע פון מי וואָס אַ פּאָטענציעל קעגנער קען פאַרברענגען אין טריינג צו צוריקקריגן דאַטן. מעטהאָדס געניצט אין סאַניטיזיישאַן בייַטן פון פשוט אָווועררייטינג, קריפּטאָגראַפיק שליסל צעשטערונג פֿאַר ינקריפּטיד טעקעס, צו גשמיות צעשטערונג פון די סטאָרידזש מיטל.
די פאַרנעם פון ISO 27040 קאָווערס:
אין אַדישאַן צו דעם, ISO 27040 קאָווערס די זיכערהייט פון די אינפֿאָרמאַציע טראַנספערד דורך די קאָמוניקאַציע פֿאַרבינדונגען פֿאַרבונדן מיט סטאָרידזש.
דער סטאַנדאַרט באשרייבט אינפֿאָרמאַציע ריסקס שייַכות צו דאַטן סטאָרידזש און קאָנטראָלס צו פאַרמינערן די ריסקס.
טראָץ די געוואקסן קאַפּאַציטעט פון פערזענלעכע קאָמפּיוטערס און דעפּאַרטמענטאַל ווערקסטיישאַנז, די צוטרוי פון סענטראַלייזד דאַטן סענטערס בלאָוז רעכט צו דאַטן ינטאַגריישאַן באדערפענישן, דאַטן קאַנטיניויישאַן און דאַטן קוואַליטעט. מיט אַ באַטייטיק העכערונג אין יקערדיק דאַטן וואַליומז, פילע קאָמפּאַניעס האָבן עמברייסט סטאָרידזש-סענטערד פראַמעוואָרקס פֿאַר זייער יקט ינפראַסטראַקטשער. דערנאָך, סטאָרידזש זיכערהייט פיעסעס אַ וויטאַל ראָלע אין פּראַטעקטינג די אינפֿאָרמאַציע און איז די לעצטע שורה פון פאַרטיידיקונג פון פונדרויסנדיק און ינערלעך טרעץ אין פילע סיטואַטיאָנס.
די פּלאַן פון סטאָרידזש זיכערהייט סאַלושאַנז איז ינפלואַנסט דורך קריטיש זיכערהייט קאַנסעפּס ווען קאַנסידערינג דאַטן סענסיטיוויטי, קריטיקייט און קאָס. פּונקט 6 פון די ISO 27040, שטיצן קאָנטראָלס, גיט גיידאַנס פֿאַר ימפּלאַמענינג סטאָרידזש-באַטייַטיק קאָנטראָלס אין די געבויט לייזונג.
די עצה איז ווייטער צעטיילט אין:
די פּלאַן און ימפּלאַמענטיישאַן קאַנסערנז אויך אַרייַננעמען:
א טיילערד האַנט-אויף סעסיע באזירט אויף דיין באדערפענישן און גאָולז
ווי ISO/IEC 27040:2015 גיט אַן איבערבליק פון סטאָרידזש זיכערהייט קאַנסעפּס, דער סטאַנדאַרט ינקלודז גיידאַנס וועגן די סאַקאָנע, פּלאַן און קאָנטראָלס פֿאַרבונדן מיט טיפּיש סטאָרידזש סינעריאָוז און סטאָרידזש טעכנאָלאָגיע געביטן וואָס זענען קאַמפּלאַמענטיד דורך עטלעכע אנדערע ISO סטאַנדאַרדס. אויך, עס גיט רעפערענצן צו פאַרשידענע סטאַנדאַרדס וואָס אַדרעס יגזיסטינג פּראַקטיסיז און טעקניקס וואָס קענען זיין געווענדט צו סטאָרידזש זיכערהייט.
ISO / IEC 27040 גיט זיכערהייט גיידליינז פֿאַר סטאָרידזש סיסטעמען און ינווייראַנמאַנץ און דאַטן שוץ אין די סיסטעמען. עס שטיצט אַלגעמיין ISO / IEC 27001 פּרינציפּן. ISO / IEC 27040 אויך גיט קלאָר, פולשטענדיק גיידליינז פֿאַר ימפּלאַמענטיישאַן שייַכות צו סטאָרידזש זיכערהייט פֿאַר וניווערסאַל זיכערהייט פּראָטאָקאָלס דיפיינד אין ISO / IEC 27002, צו נאָמען עטלעכע.
ISO 27040 אָפפערס גיידליינז פֿאַר די ימפּלאַמענטיישאַן פון אינפֿאָרמאַציע זיכערהייט טעקנאַלאַדזשיז אין די סטאָרידזש נעטוואָרקינג אינדוסטריע און עצה וועגן די אַדאַפּשאַן פון אינפֿאָרמאַציע פארזיכערונג צו סטאָרידזש סיסטעמען. דאַטן שוץ און זיכערהייט קאַנסערנז.
כאָטש אָפט אָוווערלוקט, סטאָרידזש שוץ איז וויכטיק פֿאַר אַלעמען וואָס פאַרקנאַסט מיט דאַטן סטאָרידזש דעוויסעס, מעדיע און נעטוואָרקס וואָס פאַרמאָגן, לויפן אָדער נוצן. דאָס כולל עלטער מאַנאַדזשערז, סטאָרידזש פּראָדוקט און סערוויס אַקווייערז און אנדערע ניט-טעכניש מאַנאַדזשערז אָדער יוזערז, ווי געזונט ווי מאַנאַדזשערז און אַדמיניסטראַטאָרס וואָס האָבן די יחיד פֿאַראַנטוואָרטלעכקייט פֿאַר אינפֿאָרמאַציע זיכערהייט אָדער סטאָרידזש זיכערהייט, אָדער וואָס זענען פֿאַר די קוילעלדיק ימפּלאַמענטיישאַן פון אינפֿאָרמאַציע זיכערהייט און זיכערהייט פּאָליטיק. עס איז אויך אָנווענדלעך צו די ינוואַלווד אין פּלאַנירונג, דיזיינינג און ימפּלאַמענינג סטאָרידזש נעץ זיכערהייַט אַרקאַטעקטשעראַל אַספּעקץ.
די אַדוואָקאַטעס פון דעם נאָרמאַל געדאַנק אַז די אינפֿאָרמאַציע שוץ דימענשאַנז פון דאַטן סטאָרידזש סיסטעמען און נעטוואָרקס זענען איגנאָרירט רעכט צו מיסקאַנסעפּשאַנז און אַ פעלן פון דערפאַרונג מיט סטאָרידזש טעקנאַלאַדזשיז, אָדער אַ לימיטעד וויסן פון טאָכיק ריסקס אָדער זיכערהייט פּרינסאַפּאַלז.
ISMS.online מאכט באַשטעטיקן און אָנפירונג דיין ISMS ווי גרינג ווי עס קענען באַקומען.
ISO 27040 באשטייט פון זיבן קורץ קלאָזיז און דריי אַנעקסיז. ISO / IEC 27040 דעוועלאָפּערס האָבן נישט פּלאַננעד צו נאָכפאָלגן אַלע אינסטרוקציעס, וואָס פירן צו די ינקלוזשאַן פון די דריי אַנעקסיז. באַטייַטיק סאַניטיזיישאַן דעטאַילס זענען דערלאנגט אין אַ גאַנג פון טישן אין אַנעקס א. אַנעקס ב איז דיזיינד צו העלפֿן אָרגאַנאַזיישאַנז אויסקלייַבן צונעמען קאָנטראָלס באזירט אויף דאַטן סענסיטיוויטי (הויך אָדער נידעריק) אָדער זיכערהייַט אַבדזשעקטיווז באזירט אויף די CIA טריאַד.
איינער פון די שוועריקייטן פון דיזיינינג ISO / IEC 27040 איז געווען אַז עס זענען געווען צוויי בוילעט אַדיאַנסאַז: סטאָרידזש פּראָפעססיאָנאַלס און זיכערהייט פּראָפעססיאָנאַלס. אַנעקס C כּולל ווערטפול טוטאָריאַל וויסן פֿאַר ביידע גרופּעס אויף:
100% פון אונדזער יוזערז דערגרייכן ISO 27001 סערטאַפאַקיישאַן ערשטער מאָל