È un requisito ISO27001 per registrare i dettagli di tutti i messaggi istantanei?

Normalmente ISO27k non richiede l'implementazione di metodi specifici. Richiede tuttavia documenti specifici (come il perimetro e la politica dell'ISMS, una descrizione del metodo di analisi del rischio, una dichiarazione di applicabilità, ...). Non leggerete mai "è necessario implementare una conservazione completa dei log per i messaggi istantanei".

La ISO27002 definisce alcune delle migliori pratiche per l'implementazione della ISO27001, forse qui troverai questo tipo di controllo. Ma di nuovo non obbligatorio.

Ciò che può (di solito) accadere per rendere questo un requisito è:

• Hai dichiarato nei tuoi documenti che lo fai
• Hai dichiarato nei tuoi documenti che devi rispettare la normativa X che richiede di conservare questi registri.

ISO27k è un framework che stabilisce come deve essere gestita la sicurezza, non come dovrebbe essere implementata la sicurezza. Tuttavia, chiederà di scrivere le descrizioni di ciò che stai facendo e gli audit verificheranno che tu faccia ciò che dici di fare.

ISO 27001 è uno standard di gestione e non ti dice direttamente cosa fare per essere sicuro.

Invece, ti dice come creare uno strumento chiamato Information Security Management System (ISMS); quindi usi l'ISMS per capire cosa devi fare.

Quindi la risposta alla tua domanda "dovremmo registrare Skype" è "cosa ci dice l'ISMS?".

(PS Non intendo, ma questo è molto fondamentale: se non si ottiene questa idea di base, allora non si capisce affatto il 27001 ed è necessario correggerlo prima di preoccuparsi dei dettagli dei controlli).

ISO / IEC 27001: 2013 4.2 afferma che è necessario definire le esigenze e le aspettative delle parti interessate che potrebbero includere i requisiti legali / normativi e gli obblighi contrattuali associati. In 6.1.2 si stabilisce un processo di valutazione del rischio per la sicurezza delle informazioni che identifica / analizza / valuta / dà priorità ai rischi per la sicurezza delle informazioni dell'organizzazione in base all'ambito del sistema di gestione della sicurezza delle informazioni, quindi in 6.1.3 si definisce / si applica / si documenta il trattamento del rischio processi.

Per quanto riguarda un esempio pratico, dì che esegui una valutazione del rischio (necessaria) e stabilisci che l'utilizzo dell'IM pubblico potrebbe esporre la tua organizzazione a rischi relativi alla privacy, alla sicurezza e alla responsabilità legale a causa della capacità di estrarre informazioni personali e scaricare virus / informazioni protette da copyright. Se il livello di rischio identificato supera i criteri di accettazione del rischio definiti tramite 6.1.2, sarebbe un requisito definire / applicare / documentare un piano di trattamento del rischio che affronti il rischio. Il piano di trattamento del rischio potrebbe comportare l'autenticazione, la crittografia, il controllo, la registrazione e il monitoraggio del traffico IM.

Alcune aree in cui potresti avere requisiti di registrazione, inclusa la registrazione IM:

• A.12.4.1 - Registrazione eventi - include la registrazione delle attività dell'utente
• A.13.2.1 - Politiche e procedure per il trasferimento delle informazioni - linee guida per la conservazione e lo smaltimento di corrispondenza commerciale, inclusi i messaggi
• A.18.1.1 - Identificazione della legislazione applicabile e dei requisiti contrattuali - potresti essere legalmente obbligato a registrare comunicazioni come se le comunicazioni fossero di dominio pubblico o per rispettare gli obblighi contrattuali.