Domanda sulla definizione dell'ambito ISO 27001: 2013

Naviga le tue risposte
4

La mia azienda vorrebbe essere certificata ISO 27001, quindi abbiamo avviato uno studio preliminare e stiamo lavorando a un progetto di ambito ISMS in conformità con lo standard (contesto aziendale, parti interessate, confini ...).

Diverse cose non mi sono chiare per le quali vorrei ricevere aiuto per una migliore comprensione di ciò che deve essere incluso o meno nell'ambito e altre potenziali conseguenze:

  1. Ubicazioni: la sede dell'ufficio aziendale è unica nel suo ambito (piccolo ufficio), ma dovremmo includere anche la sede del centro dati in cui sono ospitate alcune risorse? Si noti che questo non è il nostro data center, ma è esternalizzato (l'azienda affitta alcuni rack a un fornitore di datacenter locale).

  2. Fuori campo: la società detiene anche azioni di un'altra società che si trova all'interno dello stesso ufficio / locali. Possiamo considerare "locali condivisi", perché le persone di quest'altra azienda possono accedere all'intero ufficio (solo il controllo degli accessi è posto all'ingresso principale).
    Dal punto di vista della rete, la seconda azienda è isolata su una DMZ dedicata senza accesso alla rete della mia azienda (devono ancora essere confermati, possono utilizzare almeno una stampante condivisa).

La mia prima valutazione è stata quella di escludere la seconda azienda dall'ambito (compresa la DMZ dedicata), ma dopo un po 'di riflessione non sembra così facile decidere, dal momento che le persone possono spostarsi ovunque all'interno del nostro ufficio ...

  • È qualcosa che verrà sollevato attraverso l'analisi del rischio e il piano di trattamento (la conclusione sarà probabilmente isolare fisicamente questa seconda azienda o spostarla altrove)?
  • Che ne pensi della DMZ dedicata su un firewall in ambito se è fuori ambito (rete non protetta)?
posta Christophe.T 04.09.2015 - 17:32
fonte

2 risposte

2

27001 (2005 o 2013) è meno prescrittivo di quanto la maggior parte delle persone sembra pensare. Sta a te decidere come impostare l'ambito, ricorda solo che apparirà sul tuo certificato.

Se gli stakeholder esterni (clienti, partner, azionisti) investiti nella certificazione non ritengono che sia sufficiente, la certificazione stessa potrebbe essere inutile per i tuoi scopi.

Se la seconda azienda non rientra nel campo di applicazione, il revisore non la prenderà in considerazione da sola durante la valutazione. Le sue politiche, procedure e controlli non saranno rilevanti.

Tuttavia, questo non vuol dire che le cose escluse non causeranno alcuni problemi indirettamente. Puoi giustamente menzionare che altre persone che hanno accesso al tuo spazio di lavoro potrebbero essere un problema.

La sezione 11 tratta questo elemento: 11.1.1 (Physical Perimeter Security) e 11.1.3 (Securing offices, stanze e strutture) sono dove sarà necessario dimostrare controlli efficaci sulla Dichiarazione di applicabilità.

Lo standard non prescrive i controlli, solo che dovresti averli. Il lavoro di un auditor è dimostrare che li hai e che non sono ovviamente inefficaci - non che sono efficaci.

Il problema non è certamente insormontabile. Una serie di controlli su schermi autobloccanti, 802.1x sulle interfacce di rete e dipendenti che segnalano qualsiasi incidente di sicurezza delle informazioni pertinente alla presenza dei dipendenti di altre società è probabile che sia sufficiente per soddisfare un auditor nella maggior parte dei casi.

In effetti, in alcune organizzazioni che lavorano con informazioni privilegiate con membri del pubblico presente è necessario (ad esempio, gli stand ai piani delle banche al dettaglio) e questo non rappresenta un ostacolo per ottenere la certificazione 27001. Naturalmente, molti dipenderanno dal tuo ambiente e dal tuo auditor.

Gli auditor di UKAS tendono ad essere i più severi, ma alla fine giocano le stesse regole - c'è un controllo? C'è evidenza che non funzioni?

Infine, al punto del tuo centro dati: come una funzione di elaborazione delle informazioni sarà impossibile evitare di menzionare ripetutamente durante l'audit. Se la struttura stessa è certificata 27001 (non importa sulla versione), tutto ciò che devi fare è produrre il certificato e la dichiarazione di applicabilità. In caso contrario, è probabile che il revisore desideri visitare per testare la sicurezza che forniscono a tuo nome.

    
risposta data 12.09.2015 - 17:09
fonte
0
  1. I certificati dovrebbero essere rilasciati a una persona giuridica, quindi la seconda azienda dovrebbe essere al di fuori del campo di applicazione. Ciò presuppone che non aderiranno ai tuoi requisiti ISMS. Se esistesse un rapporto commerciale tra le due società, come se avessero lo stesso proprietario, allora potreste essere in grado di certificare entrambi, operando sotto lo stesso ISMS, soggetti a disposizioni di riservatezza inusuali.
  2. Ciò significa che è necessario proteggere le informazioni sia logicamente (che dichiari e presumo tu intenda che si trovano su una rete separata del tutto) e fisicamente. Quest'ultima sembra che tu abbia problemi, con lo staff di entrambe le società intrecciato.
  3. Il data center è nel campo di applicazione e può essere visitato dal revisore dei conti, o le disposizioni contrattuali e di sicurezza riviste al minimo. (Ospitano o forniscono un servizio gestito completo, ma è improbabile che l'ambito del certificato menzioni questa sede secondaria.
risposta data 28.04.2016 - 19:06
fonte

Leggi altre domande sui tag

Creare una sessione Web da un sito Web di terzi utilizzando un token oauth2 esistente Bruteforcing un PIN iOS