datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Управление на уязвимостта в контекста на ISO 27001

Андре Saeckel

Експерт на DQS по стандартите за информационна сигурност
май 23 , 2023
# Информационна сигурност и управление на риска

ISO 27001 се фокусира върху чувствителната и ценна информация на организацията: Нейната защита, поверителност, цялостност и наличност. ISO 27001 е международен стандарт за информационна сигурност в частни, публични или нестопански организации. Стандартът описва изискванията за създаване, внедряване, функциониране и оптимизиране на документирана система за управление на информационната сигурност (СУИС). Основният фокус на системата за управление е върху идентифицирането, обработката и третирането на рисковете.

СЪДЪРЖАНИЕ

Какви са заплахите и рисковете за информационната сигурност?

Управление на уязвимостта в контекста на ISO 27001 се отнася до техническите уязвимости. Те могат да доведат до заплахи за ИТ сигурността на компаниите и организациите. Те включват: 1:

  • Ransomware, софтуер за изнудване, който може да доведе до криптиране на носители на данни и получаване на компрометираща информация
  • Троянски кон за отдалечен достъп (RAT), който може да позволи отдалечен достъп до мрежата
  • Фишинг и СПАМ, които могат да доведат до загуба на контрол чрез електронна поща. Тук особено популярен шлюз е Общият регламент за защита на данните (GDPR) и искането в имейл да се проверят данните на клиента, като се кликне върху връзка. Често изпращачите изглеждат като банки или дори като PayPal.
  • DDoS/ботнети, които могат да доведат до нарушаване на наличността и целостта на системите поради огромни пакети данни
  • Държавно спонсорирани кибертерористи, активисти, престъпници, както и вътрешни извършители, които носят голямо разнообразие от заплахи
  • Неподходящи или липсващи процеси

Идентифицирането на уязвимостите и пропуските в сигурността, които възникват в резултат на тези заплахи, изисква оценка на нуждите от защита с ISO 27001, защото това води до систематично управление на уязвимостите за осигуряване на ИТ инфраструктурата с постоянна оценка на уязвимостите.

ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements

Неефективни процеси - заплаха за информационната сигурност?

Без процес на анализ на системните логове и данните от тях, познаване на техническите уязвимости и по-задълбочен преглед на ИТ системите не е възможна реалистична оценка на риска. Липсата на или несъвършеният процес не позволява и установяването на критерии за приемане на риска или определянето на нива на риска - както се изисква от ISO 27001.

От това следва, че рискът за ИТ сигурността, а оттам и за информационната сигурност на предприятието, не може да бъде определен и трябва да се приеме, че е най-високият възможен риск за това предприятие.

Управление на уязвимостта в контекста на ISO 27001: оптимално осигуряване на инфраструктурата

Една от възможните подходящи мерки за защита на ИТ инфраструктурата е управлението на потенциалните уязвимости и пропуски в сигурността. Това включва редовно, систематично, контролирано от мрежата сканиране и тестове за проникване във всички системи за технически уязвимости. Всички установени уязвимости се записват в системата за управление на информационната сигурност (СУИС) в съответствие с ISO 27001.

По същия начин е важно да се определят заплахите за ИТ сигурността - както и всеобхватната информационна сигурност. В този контекст техническите уязвимости трябва да бъдат приоритизирани според сериозността (CVSS) и в крайна сметка да бъдат отстранени. Оценката на остатъчния риск от оставащите технически уязвимости и в крайна сметка приемането на риска също са част от управлението на уязвимостите съгласно ISO 27001.

За оценка на сериозността на дадена уязвимост може да се използва индустриалният стандарт"CVSS - Common Vulnerability Scoring System ". Общата оценка от 0 до 10 се определя от показателите за базова оценка, които отговарят на тези въпроси, наред с други: Колко "близо" трябва да стигне нападателят до уязвимата система (вектор на атаката)? Колко лесно нападателят достига до целта (сложност на атаката)? Какви права за достъп са необходими, за да се използва уязвимостта (Необходими права)? Необходими ли са помощници, например потребител, който първо трябва да последва връзка (User Interaction)? Застрашена ли е поверителността (Confidentiality Impact)?


Калкулатор CVSS може да бъде намерен на страниците на Националния институт за стандарти и технологии на САЩ (NIST).

Как една компания може да се защити от технически уязвимости?

Компанията може превантивно да се защити от зловреден софтуер, като например въведе и приложи мерки за откриване, превенция и защита на данните в съчетание с подходяща информираност на потребителите. В детайли това означава: За да се предотврати използването на техническа уязвимост в контекста на управлението на уязвимостите по ISO 27001, е необходимо да се:

  • Да се получи навременна информация за техническите уязвимости на използваните информационни системи
  • да се оцени тяхната уязвимост, и
  • да се предприемат подходящи мерки

Това може да стане чрез инсталиране на кръпки на сигурността (управление на кръпките), изолиране на уязвимите информационни системи или в крайна сметка чрез изключване на системата. Освен това трябва да се определят и прилагат правила за инсталиране на софтуер от потребителите.

Важни въпроси относно управлението на уязвимостта и концепцията за сигурност на ISO 20071

Следните въпроси могат да бъдат зададени по време на одит, затова е разумно да им се обърне внимание предварително:

  • Определили ли сте ролите и отговорностите за справяне с техническите уязвимости и тяхното наблюдение?
  • Научихте ли за източниците на информация, които могат да се използват за идентифициране на технически уязвимости?
  • Има ли краен срок за реагиране с действия при уведомяване и откриване на уязвимост?
  • Извършили ли сте оценка на риска на уязвимостите по отношение на активите на компанията, наред с други неща?
  • Познавате ли своите технически уязвимости?

Ако искате да получите изчерпателен и добре обоснован преглед на заплахите в киберпространството в Германия, можете да намерите "Доклад за състоянието на ИТ сигурността през 2019 г." на английски език от Германската федерална служба за информационна сигурност (BSI) на адрес https://www.bsi.bund.de.

Заключение

Управлението на уязвимостите в контекста на ISO 27001 е непрекъснат процес, който трябва да се извършва редовно. Според ISO 27001 резултатите трябва да бъдат "валидни". Това означава, че еднократното сканиране на уязвимостите и оценката на рисковете за внедряване или сертифициране вече не са валидни в по-късен момент, например при ресертификацията.

Сканирането на уязвимостите е валидно само в точния момент, в който е извършено. Но ако по-късно бъдат направени актуализации на софтуера или промени в топологията, те могат да доведат до нови уязвимости.

Ето защо за всяка организация е важно непрекъснато да проследява, проверява и повтаря процесите на управление на уязвимостите и да пренася съответната информация в системата за управление на информационната сигурност.

Сертифициране по ISO 27001

С какви усилия трябва да разчитате, за да бъде вашата ISMS сертифицирана в съответствие с ISO 27001? Получете информация безплатно и без задължение.

Очакваме с нетърпение да разговаряме с Вас.

DQS. Simply leveraging Quality.

Считаме се за важни партньори на нашите клиенти, с които работим на равностойно ниво, за да постигнем устойчива добавена стойност. Нашата цел е да дадем на организациите важни импулси за добавяне на стойност за техния предприемачески успех чрез най-прости процеси, както и максимално спазване на срокове и надеждност.

Основните ни компетенции са свързани с извършването на сертификационни одити и оценки. Това ни превръща в един от водещите доставчици в световен мащаб с претенцията винаги да поставяме нови критерии за надеждност, качество и ориентация към клиента.

Автор
Андре Saeckel

Продуктов мениджър в DQS за управление на информационната сигурност. Като експерт по стандартите в областта на информационната сигурност и каталога на ИТ сигурността (критични инфраструктури) Андре Сакел отговаря за следните стандарти и специфични индустриални норми, като: ISO 27001, ISIS12, ISO 20000-1, KRITIS и TISAX (информационна сигурност в автомобилната индустрия). Той е и член на работната група ISO/IEC JTC 1/SC 27/WG 1 като национален делегат на Германския институт за стандартизация DIN.

Имате ли въпроси?

Ние сме на Ваше разположение.
Контакт с нас