Skip to content 
Co nowego w ISO/IEC 27040:2024?
W ubiegłym miesiącu opublikowano aktualizację normy ISO/IEC 27040 – Information technology. Security techniques. Storage security (w dalszej częśći w skrócie ISO 27040). Zmiany w nim zawarte dotyczą mają charakter techniczny, wymagają więc uwagi. Rozszerzono zakres normy o wymagania dodane w klauzulach 7, 9 i 10 – czyli organizacyjne, fizyczne i technologiczne mechanizmy kontroli przechowywania danych. Ponadto struktura klauzul została ściślej dostosowana do normy ISO/IEC 27002:2022, co ułatwia jej zrozumienie w kontekście SZBI. Pozmieniano załączniki w znaczący sposób, bo część została usunięta, a część informacji w nich przeniesiono do podstawowych klauzul.
Jak można przeczytać we wprowadzeniu „…ISO 27040 zawiera szczegółowe wymagania techniczne i wytyczne dotyczące sposobu, w jaki organizacje mogą osiągnąć odpowiedni poziom ograniczenia ryzyka poprzez zastosowanie sprawdzonego i spójnego podejścia do planowania, projektowania, dokumentowania i wdrażania bezpieczeństwa przechowywania danych. Bezpieczeństwo przechowywania odnosi się do ochrony danych zarówno podczas ich przechowywania w systemach technologii informacyjno-komunikacyjnych (ICT), jak i podczas ich przesyłania przez łącza komunikacyjne związane z przechowywaniem. Bezpieczeństwo pamięci masowej obejmuje bezpieczeństwo urządzeń i nośników, działania związane z zarządzaniem urządzeniami i nośnikami, aplikacjami i usługami oraz kontrolowanie lub monitorowanie działań użytkowników w okresie eksploatacji urządzeń i nośników, a także po zakończeniu użytkowania lub zakończeniu okresu eksploatacji…”
Istota bezpieczeństwa pamięci masowej wg ISO 27040
Bezpieczeństwo pamięci masowej jest istotne dla każdego, kto jest zaangażowany w posiadanie, obsługę lub korzystanie z urządzeń do przechowywania danych, nośników i sieci. Obejmuje to menedżerów wyższego szczebla, nabywców produktów i usług pamięci masowej oraz innych nietechnicznych menedżerów lub użytkowników, a także menedżerów i administratorów, którzy mają określone obowiązki w zakresie bezpieczeństwa informacji lub pamięci masowej, obsługi pamięci masowej lub którzy są odpowiedzialni za ogólny program bezpieczeństwa organizacji i rozwój polityki bezpieczeństwa. Jest to również istotne dla każdego, kto jest zaangażowany w planowanie, projektowanie i wdrażanie architektonicznych aspektów bezpieczeństwa sieci pamięci masowej.
ISO 27040 zawiera przegląd koncepcji bezpieczeństwa pamięci masowej i powiązanych definicji. Obejmuje on wymagania i wytyczne dotyczące zagrożeń, projektowania i aspektów kontroli związanych z typowymi scenariuszami i obszarami technologii pamięci masowej. Ponadto zawiera odniesienia do innych międzynarodowych norm i raportów technicznych, które dotyczą istniejących praktyk i technik, które można zastosować do bezpieczeństwa pamięci masowej.
Sama norma poza częścią terminologiczną ma jakby dwie części . Podstawowa struktura jej rozpoczyna się od wprowadzenia do bezpieczeństwa pamięci masowej w klauzuli 6 – czyli od przeglądu i koncepcji, po którym następują oddzielne klauzule dotyczące mechanizmów kontroli organizacji (klauzula 7), mechanizmów kontroli ludzi (klauzula 8), mechanizmów kontroli fizycznych (klauzula 9) i kontroli technologicznych (klauzula 10), które są istotne dla systemów i ekosystemów pamięci masowej.
Przykłady z normy ISO 27040.
Aby nie naruszyć warunków licencji może tylko wybiórczo pewne rzeczy wskażemy, które zostały zawarte w części wymagań, tj. Compliance i ciągłości działania, np.
- w zakresie zgodności – art. 7.4 c) zapewnienie zgodności pamięci masowej z obowiązkami użytkownika w zakresie monitorowania. Należy upewnić się, że pamięć masowa spełnia obowiązki użytkownika w zakresie monitorowania, tj. warstwa pamięci masowej powinna uczestniczyć w zewnętrznych środkach rejestrowania audytu; zdarzenia rejestrowania audytu powinny być monitorowane i w razie potrzeby ostrzegane.
Norma ISO 22301 określa strukturę i wymagania dotyczące wdrażania i utrzymywania systemu zarządzania ciągłością działania, który rozwija ciągłość działania odpowiednią do wielkości i rodzaju wpływu, jaki organizacja akceptuje po wystąpieniu zakłócenia. Wymagania określone w normie ISO 22301 są ogólne i mają mieć zastosowanie do wszystkich organizacji lub ich części, niezależnie od rodzaju, wielkości i charakteru organizacji. Zakres zastosowania tych wymagań zależy od środowiska operacyjnego i złożoności organizacji. Wymagania określone w normie ISO 22301 odnoszą się do kontekstu organizacji, przywództwa, planowania, wsparcia, operacji, oceny wyników i doskonalenia.
Norma ISO/IEC 27002:2022, 5.30 określa znaczenie gotowości ICT do zapewnienia ciągłości działania (IRBC) w celu zapewnienia dostępności informacji organizacji i innych powiązanych zasobów podczas zakłóceń. Norma ISO/IEC 27031 (obecnie w rewizji) opisuje koncepcje i zasady IRBC. Zapewnia również ramy metod i procesów w celu identyfikacji i określenia wszystkich aspektów (takich jak kryteria wydajności, projektowanie i wdrażanie) w celu poprawy gotowości ICT organizacji do zapewnienia ciągłości działania. Ramy te mają zastosowanie do każdej organizacji (prywatnej, rządowej i pozarządowej, niezależnie od wielkości), która opracowuje swój program gotowości ICT do zapewnienia ciągłości działania i wymaga, aby jej usługi/infrastruktury ICT były gotowe do wspierania operacji biznesowych w przypadku pojawiających się zdarzeń i incydentów oraz związanych z nimi zakłóceń, które mogą mieć wpływ na ciągłość (w tym bezpieczeństwo) krytycznych funkcji biznesowych. Umożliwia również organizacji mierzenie parametrów wydajności, które korelują z jej IRBC w spójny i uznany sposób.
Podsumowanie
Dla wszystkich tych, którzy zmagają się z bezpieczeństwem pamięci masowych, a więc dla wdrożeniowców, backup’owców, norma ta powinna stać się takim przewodnikiem – jak te zagadnienie systemowo poukładać w SZBI opartym na ISO 27001, ale także pokazać tą część ciągłości działania w kontekście gotowości ICT do jej zapewnienia.
Zapraszamy do współpracy i kontaktu,
Zespół Centre of Excellence & QSCert
Bibliografia:
- ISO/IEC 27040:2024 – Information technology. Security techniques. Storage security – https://www.iso.org/standard/80194.html,
- ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection. Information security controls – https://www.iso.org/standard/75652.html