Съвременните ИТ ландшафти изискват координирано взаимодействие на ИТ ресурси, мрежови инфраструктури, хардуерни и софтуерни приложения и различни видове услуги. Ключът към високопроизводителната и сигурна работа се крие в правилното конфигуриране на всички участващи системи, компоненти и приложения. Новият контрол 8.9 в областта на информационната сигурност, "Управление на конфигурацията" от актуализираната версия на ISO 27001:2022, формулира подходяща мярка за сигурност за проектиране, прилагане и редовен преглед на управлението на конфигурацията. Тази публикация в блога очертава значението на управлението на конфигурацията в информационната сигурност с оглед на нарастващите рискове за сигурността и съдържанието на новия контрол за сигурност.
Нарастваща сложност и заплахи
Неправилните настройки и конфигурации за сигурност крият неизчислими рискове за информационната сигурност. С оглед на нарастващата сложност на съвременните ИТ среди управлението на конфигурациите - т.е. непрекъснатото и систематично определяне, документиране, прилагане, наблюдение и преглед на конфигурациите за сигурност - се превръща в предизвикателна задача, която обхваща и управлението на съответствието на организацията.
За външен наблюдател ИТ инфраструктурата представлява объркваща мрежа от приложения, устройства, мрежови компоненти и услуги, независимо дали са хоствани на място или в облак. Особено последните са се увеличили драстично по време на пандемията от коронавируса. За ИТ екипите обаче конфигурирането на нарастващия брой системни компоненти и непрекъснатото наблюдение и адаптиране на конфигурациите на системите означава значителен обем работа, който често претоварва служителите. Без системно управление на конфигурацията това може да доведе до значителен риск за сигурността и загуба или злоупотреба с данни (включително лични данни).
В крайна сметка 81% от мениджърите по сигурността в германско проучване от 2022 г. заявяват, че уязвимостите и неизвестните неправилни конфигурации причиняват най-големите проблеми със сигурността в техните инфраструктури. А в Pandemic Eleven, проучване на Cloud Security Alliance за най-сериозните уязвимости в изчислителните облаци по време на пандемия, неправилните конфигурации също са на видно трето място.
Следователно логично следствие от развитието през последните години е да се обърне по-голямо внимание на управлението на конфигурациите в информационните технологии, например в контекста на неоторизирания достъп. Ето защо е правилно, че новият стандарт ISO/IEC 27001:2022 е посветил отделен контрол на информационната сигурност на тази тема.
Управление на конфигурацията в контекста на ISO 27001:2022
Преструктурираното приложение А на ISO 27001 от 2022 г. съдържа 93 мерки (контроли) за информационна сигурност, включително 11 нови. С актуализацията контролите вече са организирани тематично в четири раздела
- Организационни мерки
- Персонални мерки
- Физически мерки
- Технологични мерки
Сигурното управление на конфигурациите в информационните технологии попада в тематичната област на технологичните или техническите мерки и е посочено в допълнение А в точка 8.9. То е един от превантивните инструменти, които подпомагат и трите цели на защитата на информационната сигурност (поверителност, цялостност и наличност).
Стандартни образци
Определянето на стандартни шаблони помага на организациите да систематизират своето управление на конфигурацията. При това разработване трябва да се вземат предвид следните основни аспекти:
- Публично достъпни насоки, например от доставчици или независими органи по сигурността
- Необходими нива на защита за осигуряване на адекватна сигурност
- Подкрепа за вътрешна политика за информационна сигурност, специфични за темата насоки, стандарти и други изисквания за сигурност
- Осъществимост и приложимост на конфигурациите в контекста на организацията
Разработените стандартни шаблони трябва да се преглеждат и актуализират редовно, особено когато е необходимо да се обърне внимание на нови заплахи или уязвимости или когато в организацията се въвеждат нови версии на софтуера или хардуера.
Има и редица други моменти, които трябва да се вземат предвид при създаването на шаблоните. Всички те спомагат за предотвратяване на неоторизирани или неправилни промени в конфигурациите:
- Намаляване на броя на идентичностите с привилегировани или административни права на достъп
- Деактивиране на ненужни, неизползвани или несигурни идентичности
- Деактивиране или ограничаване на функции и услуги, които не са необходими
- Ограничаване на достъпа до мощни помощни програми и настройки на параметрите на хоста
- Синхронизиране на часовници
- Промяна на данните за удостоверяване по подразбиране и паролите по подразбиране на производителя веднага след инсталиране и проверка на важни параметри, свързани със сигурността
- Извикване на средства за изчакване, които автоматично изключват компютърните устройства след определен период на неактивност
- Проверка дали са изпълнени изискванията за лиценз
Въпроси и отговори за новия ISO/IEC 27001:2022
Нашите експерти по стандартите обясняват
Задълбочете познанията си за преработения стандарт с безплатната Бяла книга. Нашите експерти по стандартите отговарят на 44 важни въпроси от практиката и дават представа за ключовите промени. Широкият спектър от теми варира от декларацията за приложимост до сертифицирането.
Управление и наблюдение на конфигурациите
Всички конфигурации трябва да се записват и промените да се регистрират надеждно, за да се изключат погрешни конфигурации след инцидент. Тази информация трябва да се съхранява по сигурен начин, например в бази данни за конфигурации или в шаблони.
Всички промени се извършват в съответствие с контрол 8.32 "Контрол на промените", който описва насока за промени в насоките за обработка на информация и информационните системи. Конфигурационните записи трябва да съдържат цялата информация, необходима за проследяване както на състоянието на дадена ИТ система или актив, така и на всички промени, направени в нея по всяко време. Това включва например следната информация
- Текуща информация за въпросния актив - Кой е собственикът или лицето за контакт?
- Дата на последната промяна в конфигурацията
- Версия на шаблона за конфигурация
- Връзки и взаимоотношения с конфигурациите на други активи
Изчерпателен набор от инструменти за управление на системата - като програми за поддръжка, дистанционна поддръжка, инструменти за управление на предприятието и софтуер за архивиране и възстановяване - помага за наблюдение и редовна проверка на конфигурациите. С помощта на тези инструменти мениджърите могат да проверяват настройките на конфигурацията, да оценяват силата на паролите и да оценяват извършените дейности.
Действителните състояния също могат да бъдат сравнявани с определените целеви шаблони и в случай на отклонения да бъдат инициирани подходящи реакции - чрез автоматично налагане на определената целева конфигурация или чрез ръчен анализ на отклонението и последващи коригиращи мерки. Автоматизацията, например чрез инфраструктура като код (програмируема инфраструктура), позволява ефективно и сигурно управление на конфигурациите за сигурност във виртуализирани среди и изчисления в облак.
Актуалният ISO 27001
Научете повече за международния стандарт за управление на информационната сигурност.
Управление на конфигурациите в информационната сигурност - резюме
Управлението на конфигурациите в информационната сигурност е важен инструмент за сигурност и има траен принос за значително намаляване на пропуските в сигурността, причинени от неправилни конфигурации. Системният му подход облекчава тежестта върху вътрешните екипи и допринася за ефективните ИТ операции, както и за укрепването на системите и за наличността на информация и поверителни данни. Очевидни са и положителните ефекти върху защитата на личните данни, например.
Управлението на конфигурацията може да бъде интегрирано и в процесите за управление на активите и свързаните с тях инструменти. Централизираното управление на настройките за сигурност дава възможност за бърза реакция на нови заплахи и уязвимости в наличността на системите и защитата на данните, като по този начин спомага за минимизиране на потенциалните повърхности за атаки в системите. Новият контрол на информационната сигурност 8.9 от ISO 27001 осигурява важен принос за сигурността на организациите и тяхното управление.
Тази добавена стойност трябва да се прилага от компаниите и организациите. Изискванията от контрол 8.9 трябва да бъдат сравнени с текущото състояние и допълнително оптимизирани чрез контролиран процес на промяна. С над 35-годишен опит в одитирането и сертифицирането ние сме вашият идеален партньор и можем да ви предоставим съвети и подкрепа по темата за информационната сигурност.
Какво означава актуализацията за Вашата сертификация?
Стандартът ISO/IEC 27001:2022 е публикуван на 25 октомври 2022 г.
Това води до следните крайни срокове и периоди за преход за потребителите
Последна дата за първоначални/ресертификационни одити по "стария" ISO 27001
- След 30 април 2024 г. DQS ще извършва само първоначални и ресертификационни одити в съответствие с новия стандарт ISO/IEC 27001:2022
Конвертиране на всички съществуващи сертификати съгласно "стария" ISO/IEC 27001:2013 към новата версия от 2022 г.
- Прилага се 3-годишен преходен период, считано от 31 октомври 2022 г.
- сертификатите, издадени в съответствие с ISO/IEC 27001:2013 или DIN EN ISO/IEC 27001:2017, са валидни най-късно до 31 октомври 2025 г. или трябва да бъдат оттеглени на тази дата
ISO/IEC 27001:2022 - Информационна сигурност, киберсигурност и защита на личните данни - Системи за управление на информационната сигурност - Изисквания
DQS: Simply leveraging Security
Организациите все още разполагат с известно време, за да преминат към новата версия на ISO/IEC 27001. Настоящите сертификати, основани на стария стандарт, ще загубят валидността си на 31 октомври 2025 г. Въпреки това е добре те да се справят с променените изисквания към системата за управление на информационната сигурност (СУИС) на ранен етап, да инициират подходящи процеси на промяна и да ги приложат по съответния начин.
Като експерти в областта на одитите и сертификацията с повече от три десетилетия опит, ние можем да Ви подкрепим при въвеждането на новия ISO 27001:2022. Научете от нашите многобройни опитни одитори за най-важните промени и тяхното значение за вашата компания - и се доверете на нашата експертиза. Очакваме с нетърпение да се свържете с нас.
С готовност ще отговорим на Вашите въпроси
Научете повече. Без задължения и безплатно.
Доверие и опит
Нашите статии и бели книги са написани изключително от нашите експерти по стандарти или дългогодишни одитори. Ако имате въпроси относно съдържанието на текста или услугите, които предоставяме на нашия автор, моля, свържете се с нас.
DQS Бюлетин
Markus Jegelka
DQS експерт по системи за информационна сигурност (ISMS) и дългогодишен одитор по стандарти ISO 9001, ISO/IEC 27001 каталог за ИТ сигурност съгласно параграф 11.1а от германския Закон за енергийната индустрия (EnWG)