Publiée en janvier 2015, la norme ISO/IEC 27040 :2015 propose des conseils techniques complets sur la manière dont les organisations doivent identifier un niveau acceptable de réduction des risques grâce à une approche cohérente et éprouvée de la préparation, de la conception, de la documentation et de la mise en œuvre de la sécurité du stockage des données.
Il vise à illustrer des choses communes les risques liés à la sécurité, l'honnêteté et la disponibilité des données sur différentes technologies de stockage d'informations. La norme ISO 27040 exhorte également les organisations à renforcer leur protection des informations sensibles avec des contrôles de sécurité des informations adéquats. La norme contribue également à renforcer l'assurance en encourageant, par exemple, les évaluations ou les audits des sécurité de l'information mesures protégeant les informations stockées.
La sécurité du stockage fait référence à la protection des données là où elles sont stockées. La sécurité du stockage concerne également la défense de la transmission des informations via les liens de communication liés au stockage. Le stockage de sécurité comprend :
Protection des données est un ensemble de paramètres et de paramètres qui rendent les ressources de données accessibles et inaccessibles à d'autres entités, aux utilisateurs approuvés et aux réseaux de confiance. Ceux-ci peuvent faire référence au matériel, à la programmation, aux protocoles de communication et à la politique organisationnelle.
Certains problèmes sont critiques lorsqu’on envisage un processus de sécurité de réseau de stockage (SAN). Les données stockées doivent être facilement accessibles aux personnes, entités et organisations autorisées. Il doit également être difficile pour d’éventuels pirates informatiques d’exploiter le système. L'infrastructure doit être fiable et stable dans différents environnements et volumes d'utilisation.
Les menaces en ligne telles que les virus, vers, chevaux de Troie et autres codes malveillants doivent toujours être protégées. Les informations sensibles doivent être sécurisées. Inutile les systèmes doivent être supprimés pour éliminer d’éventuelles failles de sécurité. Le fournisseur d'application doit systématiquement installer les mises à jour du système d'exploitation. Duplication sous forme d'équivalent (ou miroir) supports de stockage peut aider à éviter une perte catastrophique de données en cas de panne imprévue. Tous les utilisateurs doivent être au courant des lignes directrices et des politiques liés à l’utilisation d’un réseau de contrôle.
Deux composants peuvent aider à évaluer les performances de la méthodologie de sécurité du stockage. Premièrement, les dépenses de mise en œuvre du système ne devraient représenter qu’une petite fraction de la valeur des données sécurisées. Deuxièmement, pirater le système devrait coûter plus cher en termes d’argent et/ou de temps que ne vaut la valeur des données sécurisées.
Je recommanderais certainement ISMS.online, cela rend la configuration et la gestion de votre ISMS aussi simple que possible.
ISO/IEC 27040:2015 est la première spécification internationale traitant d'un large éventail de problèmes de sécurité du stockage. Les recherches sur la norme ISO/IEC 27040 ont débuté à l'automne 2010, précédant la conférence SC27 de cette année-là. Le projet a été soumis à un délai prolongé, prévoyant 48 mois pour établir la norme. La norme ISO/IEC 27040 a été publiée le 5 janvier 2015.
Un projet de révision de la norme ISO 27040 a été lancé en 2020. Le projet avait les objectifs suivants :
Un élément important de la norme ISO/IEC 27040 se concentre sur la définition des contrôles de sécurité pour divers systèmes et architectures de stockage. Celui-ci contient les éléments suivants :
La bibliographie fait partie des collections les plus complètes de références sur la sécurité des données. Vous trouverez ci-dessous les définitions de certains termes clés de la norme ISO 27040.
L'ISO/IEC 27040:2015 sera finalement remplacée par l'ISO/IEC WD 27040. La norme mise à jour respecterait les objectifs de développement durable 9 et 12 de l'ISO.
Objectif 9 L’industrie, l’innovation et les infrastructures s’efforcent de construire une infrastructure solide, favorisant une croissance inclusive et durable et promouvant l’innovation. Alors que l’objectif 12, consommation et production responsables, cherche à créer des modes de consommation et de production durables.
Réservez une séance pratique sur mesure en fonction de vos besoins et de vos objectifs.
Dans le domaine de la sécurité de l'information, l'authentification est l'acte de confirmer si quelqu'un ou quelque chose est réellement qui ou ce qu'il prétend être. L'authentification vérifie l'identité d'une personne, d'un processus ou d'un appareil, parfois comme condition préalable à l'accès aux ressources d'un système d'information.
Il existe trois types d'authentification :
L'authentification à facteur unique, souvent appelée authentification primaire, est la méthode d'authentification la plus simple.
L'authentification à facteur unique ne nécessite qu'un seul mécanisme d'authentification (tel qu'un mot de passe, un code PIN de sécurité, etc.) pour obtenir l'accès à un système ou à un service. Bien que ces approches soient plus accessibles, elles sont souvent liées à des pratiques de sécurité moindres. C'est parce qu'ils peuvent facilement être identifiés ou volés lors de violations de données, de phishing ou d'attaques de keylogging. L'authentification à deux facteurs (2FA) ajoute une complexité supplémentaire. 2FA a besoin d’un deuxième composant pour confirmer l’identité. Les utilisations typiques incluent les jetons informatiques enregistrés, les mots de passe à usage unique ou les codes PIN.
La simple existence de deux méthodes d’authentification des utilisateurs améliore considérablement votre sécurité globale, car la 2FA atténuera 80 % des violations de données. Bien que les avantages de la 2FA en matière de sécurité soient bien connus, son utilisation constitue un problème répandu. Depuis que Google a mis en œuvre pour la première fois l'option permettant d'ajouter 2FA aux comptes d'utilisateurs, moins de 10 % des utilisateurs ont adopté 2FA en 7 ans. L'une des raisons pour lesquelles ils n'ont pas utilisé 2FA était la gêne que cela créait pour les utilisateurs, indiquant que moins de 10 % des utilisateurs qui ont tenté d'utiliser 2FA n'ont pas saisi correctement le code de confirmation SMS.
L'authentification multifacteur (MFA) est de loin le mécanisme d'authentification le plus avancé. Il utilise deux ou plusieurs variables indépendantes pour permettre à l'utilisateur d'accéder à un système. Dans les cas standards, MFA envisage d'utiliser au moins 2 ou 3 catégories :
Contrôle d'accès est la limitation délibérée de l’accès à un emplacement, un site Web ou d’autres ressources et actifs. L'accès peut impliquer le traitement, la visite ou l'utilisation d'un actif. L’autorisation d’accéder à un actif est appelée autorisation.
L'autorisation est une méthode de protection utilisée pour définir les droits de l'utilisateur/client ou les niveaux d'accès liés aux ressources, y compris les programmes informatiques, les répertoires, les services, les informations et les fonctionnalités des programmes. L'autorisation est généralement suivie de l'authentification de l'identité de l'utilisateur.
Nous avions l'impression d'avoir
le meilleur des deux mondes. Nous étions
pouvoir utiliser notre
les processus existants,
& l'adopter, s'adapter
le contenu nous a donné de nouvelles
profondeur à notre SMSI.
Un SED est un disque dur à cryptage automatique qui crypte automatiquement et continuellement les données sans intervention de l'utilisateur. Un lecteur à chiffrement automatique possède généralement un circuit intégré à la puce du contrôleur du lecteur de disque. Cette puce encode toutes les données sur le support magnétique et décrypte automatiquement toutes les données.
Étonnamment, une bonne partie des disques durs actuellement sur le marché sont des SED. Comme les fabricants ne considèrent pas cela comme une fonctionnalité importante, elle est souvent perdue dans d'autres aspects généralement plus importants. Même lorsque vous achetez, installez et commencez à utiliser un disque SED, le cryptage est automatique. Il est donc peu probable que l'utilisateur se rende compte que le disque est un SED.
Ce processus de cryptage est réalisé à l'aide d'une clé de cryptage de données (DEK) unique et aléatoire dont le lecteur a besoin pour crypter et déchiffrer les données. Lorsque les données sont écrites sur le lecteur, elles sont d'abord cryptées par le DEK. De même, une fois les informations lues sur le disque, le DEK les décrypte avant de les envoyer au reste de l'appareil.
Ce processus garantit que toutes les informations contenues dans le lecteur sont cryptées à tout moment. Une technique intéressante qui peut être réalisée avec cela consiste à effacer un disque dur presque immédiatement et entièrement. Tout ce qu'un utilisateur fera est de dire au SED de créer un nouveau DEK, puis toutes les données sur le disque deviendront instantanément du charabia et seront pratiquement irrécupérables. Cela est dû au fait que la clé nécessaire pour déchiffrer les données n’est plus disponible. Donc, si vous en avez besoin de manière pratique et effacer en toute sécurité un disque avant son redéploiement ou sa mise au rebut, les SED offrent un moyen rapide et fiable d’y parvenir. Cet acte porte différents noms en fonction du fabricant, mais il est plus communément appelé « Effacement sécurisé ».
La désinfection est le terme technique permettant de garantir que les données stockées à la fin de leur utilisation soient rendues indisponibles. La désinfection garantit qu'une organisation ne viole pas les données lorsqu'elle réutilise, vend ou jette des périphériques de stockage.
La désinfection peut prendre diverses formes en fonction à la fois de la sensibilité des informations et de la quantité d’efforts qu’un adversaire potentiel pourrait déployer pour tenter de récupérer les données. Les méthodes utilisées pour la désinfection varient du simple écrasement, à la destruction de la clé cryptographique des fichiers cryptés, jusqu'à la destruction physique du périphérique de stockage.
Le domaine d'application de l'ISO 27040 couvre :
De plus, la norme ISO 27040 couvre la sécurité des informations transférées via les liens de communication associés au stockage.
La norme décrit les risques liés aux informations liés au stockage des données et les contrôles permettant d'atténuer ces risques.
Malgré la capacité accrue des ordinateurs personnels et des postes de travail des départements, le recours aux centres de données centralisés persiste en raison des besoins d'intégration des données, de continuité et de qualité des données. Face à l'augmentation significative des volumes de données essentielles, de nombreuses entreprises ont adopté des cadres centrés sur le stockage pour leur infrastructure TIC. Par conséquent, la sécurité du stockage joue un rôle essentiel dans la protection de ces informations et constitue la dernière ligne de défense contre les menaces externes et internes dans de nombreuses situations.
La conception des solutions de sécurité du stockage est influencée par des concepts de sécurité critiques en termes de sensibilité, de criticité et de coût des données. L'article 6 de la norme ISO 27040, Contrôles de support, donne des conseils sur la mise en œuvre de contrôles pertinents pour le stockage dans la solution construite.
Les conseils sont divisés en :
Les préoccupations en matière de conception et de mise en œuvre comprennent également :
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Étant donné que la norme ISO/IEC 27040:2015 fournit une vue d'ensemble des concepts de sécurité du stockage, la norme comprend des conseils sur les menaces, la conception et les contrôles associés aux scénarios de stockage typiques et aux domaines technologiques de stockage qui sont complétés par plusieurs autres normes ISO. En outre, il fournit des références à différentes normes qui traitent des pratiques et techniques existantes pouvant être appliquées à la sécurité du stockage.
La norme ISO/IEC 27040 fournit des directives de sécurité pour les systèmes et environnements de stockage et la protection des données dans ces systèmes. Il prend en charge le général ISO / IEC 27001 des principes. La norme ISO/IEC 27040 fournit également des lignes directrices claires et complètes sur la mise en œuvre liée à la sécurité du stockage pour les protocoles de sécurité universels définis dans la norme ISO/IEC 27002, pour n'en nommer que quelques-uns.
La norme ISO 27040 propose des lignes directrices pour la mise en œuvre des technologies de sécurité de l'information au sein de l'industrie des réseaux de stockage et des conseils sur l'adoption de l'assurance de l'information dans les systèmes de stockage, ainsi que sur problèmes de protection et de sécurité des données.
Bien que souvent négligée, la protection du stockage est importante pour tous ceux qui possèdent, exploitent ou utilisent des périphériques, des supports et des réseaux de stockage de données. Cela inclut les cadres supérieurs, les acquéreurs de produits et de services de stockage, et d'autres gestionnaires ou utilisateurs non techniques, ainsi que les gestionnaires et administrateurs qui ont la responsabilité individuelle de la sécurité des informations ou de la sécurité du stockage, ou qui sont responsables de l'ensemble du processus. sécurité de l’information et mise en œuvre de la politique de sécurité. Il s'applique également à ceux impliqués dans la planification, la conception et la mise en œuvre du stockage. aspects architecturaux de la sécurité du réseau.
Les partisans de cette norme pensaient que les dimensions de protection des informations dans les systèmes et réseaux de stockage de données étaient ignorées en raison d'idées fausses et d'un manque d'expérience avec les technologies de stockage, ou d'une connaissance limitée des risques inhérents ou des principes de sécurité.
ISMS.online rend la configuration et la gestion de votre ISMS aussi simple que possible.
L'ISO 27040 se compose de sept articles courts et de trois annexes. Les développeurs de l'ISO/IEC 27040 n'ont pas prévu que toutes les instructions soient suivies, ce qui a conduit à l'inclusion des trois annexes. Les détails pertinents en matière de désinfection sont présentés dans un ensemble de tableaux Annexe A. L'Annexe B a été conçue pour aider les organisations à sélectionner les contrôles appropriés en fonction de la sensibilité des données (élevée ou faible) ou objectifs de sécurité basé sur la triade de la CIA.
L’une des difficultés de la conception de la norme ISO/IEC 27040 était qu’il y avait deux publics distincts : les professionnels du stockage et les professionnels de la sécurité. L'Annexe C contient des connaissances didactiques précieuses pour les deux groupes sur :
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup