Današnji pejzaži sajber prijetnji se brzo mijenjaju. U skladu s tim, neophodno je sistematsku zaštitu informacione sigurnosti stalno ažurirati i dalje razvijati – savremenim, širokim i fleksibilnim katalogom savremenih mjera informacione sigurnosti. Novi ISO/IEC 27001:2022 podržava upravo ovaj cilj i pruža jedanaest novih kontrola, od kojih ćemo tri detaljnije ispitati u nastavku, koje su efikasne u spriječavanju i otkrivanju napada.
Implementacija mjera iz Anexa A u trenutnoj verziji podržana je identično strukturiranim vodičem za implementaciju ISO/IEC 27002:2022, koji je već ažuriran u februaru. Generičke kontrole za prevenciju strateškog napada i brže otkrivanje su novo uključene.
Tri nove kontrole za detekciju i prevenciju
Sadašnje 93 mjere u Anexu A standarda ISO/IEC 27001:2022 sada su reorganizirane prema ažuriranju u četiri teme
- Organizacione mjere,
- Lične mjere,
- Fizičke mjere i
- Tehnološke mjere.
Tri od jedanaest novouvedenih kontrola sigurnosti informacija odnose se na prevenciju i pravovremeno otkrivanje sajber napada. Ove tri kontrole su
- 5.7 Obavještajni podaci o prijetnjama (organizacijske).
- 8.16 Aktivnosti praćenja (tehnološke)
- 8.23 Web filtriranje (tehnološko).
U nastavku ćemo detaljnije pogledati ove 3 nove kontrole.
Obavještajni podaci o prijetnjama
Organizaciona kontrola 5.7 bavi se sistematskim prikupljanjem i analizom informacija o relevantnim pretnjama. Svrha mjere je da organizacije budu svjesne vlastite situacije prijetnje kako bi naknadno mogle poduzeti odgovarajuće mjere za ublažavanje rizika. Podatke o prijetnjama treba analizirati na strukturiran način prema tri aspekta: strateškom, taktičkom i operativnom.
Analiza strateške prijetnje pruža uvid u promjenu okruženja prijetnji, kao što su tipovi napada i akteri, na primjer, akteri motivirani državom, sajber kriminalci, napadači po ugovoru, haktivisti. Nacionalne i međunarodne vladine agencije (kao što su BSI - Njemački savezni ured za informatičku sigurnost, enisa - Agencija Evropske unije za kibernetičku sigurnost, američko Ministarstvo domovinske sigurnosti ili NIST - Nacionalni institut za standarde i tehnologiju), kao i neprofitne organizacije i relevantni forumi, pružaju dobro istražene podatke o prijetnjama u svim industrijama i kritičnim infrastrukturama.
ISO/IEC 27001:2022 Q&A
"Novi" za sigurnost informacija: 38 pitanja i odgovora
Šta trebate znati o "novom klincu u bloku" za sigurnost informacija: 38 odgovora naših stručnjaka na 38 korisničkih pitanja.
- O čemu su sve nove kontrole?
- Kada treba da pređemo na novi standard?
- Gdje mogu pronaći listu starih i novih korespondencija?
- ... kao i još 35!
DQS Audit smjernice za ISO 27001
Vrijedno znanje
Naš vodič za audit ISO 27001 - Anex A kreirali su vodeći stručnjaci kao praktični vodič za implementaciju i odličan je način za bolje razumijevanje odabranih zahtjeva standarda. Vodič se još ne odnosi na revidiranu verziju ISO 27001 iz oktobra 2022.
Sajber napadi ostaju nedetektovani predugo
Eminentna vrijednost informacija i podataka u poslovnom svijetu 21. stoljeća sve više tjera kompanije i organizacije da se fokusiraju na sigurnost informacija i ulažu u sistematsku zaštitu svojih digitalnih sredstava. Zašto? U dinamičnom okruženju prijetnji, taktike napadača postaju sve sofisticiranije i višeslojnije - što rezultira ozbiljnom štetom po imidž i reputaciju pogođenih kompanija i milijardama dolara godišnjih ekonomskih gubitaka širom svijeta.
Stručnjaci se slažu da više ne postoji potpuna zaštita od sajber napada – makar samo zbog ljudskog faktora neizvjesnosti. Ovo čini rano otkrivanje potencijalnih i stvarnih napada još važnijim kako bi se ograničio njihov lateralni vektor u korporativnim mrežama i održao što manji broj kompromitabilnih sistema. Ali još uvijek postoji ogromna količina da se nadoknadi u ovoj oblasti: istraživanje provedeno kao dio IBM-ove "Troškovi kršenja podataka 2022" studije pokazuje da je bilo potrebno u prosjeku 277 dana za otkrivanje i obuzdavanje napada 2022. godine.
Novi ISO 27001:2022
Kako bi pomogao kompanijama i organizacijama sa savremenim, standardiziranim okvirom za sisteme upravljanja sigurnosti informacija, ISO je 25. oktobra 2022. objavio novi ISMS standard ISO/IEC 27001:2022. Anex A pruža kontrole/mjere koje se mogu koristiti na specifičnoj kompaniji kao osnova za rješavanje rizika sigurnosti informacija.
Certifikacija prema ISO 27001
Koji napor treba da očekujete da bi vaš ISMS bio certificiran prema ISO 27001? Dobijte informacije besplatno i bez obaveza.
Radujemo se razgovoru s vama.
Da bi se otkrilo ovo neobično ponašanje, relevantne aktivnosti moraju biti praćene u skladu sa zahtjevima sigurnosti poslovanja i informacija i sve anomalije se moraju porediti sa postojećim podacima o prijetnjama, između ostalog (vidi gore, zahtjev 5.7). Sljedeći aspekti su relevantni za sistem praćenja:
- Ulazni i odlazni mrežni, sistemski i aplikacijski promet,
- Pristup sistemima, serverima, mrežnoj opremi, sistemima za nadzor, kritičnim aplikacijama, itd.,
- Sistemske i mrežne konfiguracijske datoteke na administrativnom ili kritičnom nivou;
- Dnevnici sigurnosnih alata [npr. antivirus, sistemi za otkrivanje upada (IDS), sistem za sprječavanje upada (IPS), web filteri, zaštitni zidovi, sprječavanje curenja podataka,
- Dnevnici događaja koji se odnose na sistemske i mrežne aktivnosti,
- Provjera da izvršni kod u sistemu ima integritet i ovlaštenje,
- Upotreba resursa, na primjer, snaga procesora, kapacitet diska, upotreba memorije, propusni opseg.
Osnovni zahtjevi za funkcionalno praćenje aktivnosti su čisto i transparentno konfigurisana IT/OT infrastruktura i ispravno funkcioniranje IT/OT mreže. Svaka promjena u odnosu na ovo osnovno stanje detektuje se kao potencijalna prijetnja funkcionalnosti, a time i kao anomalija. U zavisnosti od složenosti infrastrukture, implementacija ove mjere je veliki izazov uprkos relevantnim rješenjima dobavljača. Važnost sistema za detekciju anomalija prepoznata je gotovo istovremeno sa zahtjevom 8.16 standarda ISO/IEC 27002:2022 za operatere tzv. kritične infrastrukture. Dakle, u nacionalnom obimu relevantnih, zakonskih propisa, postoji obaveza za njih da efikasno primenjuju tzv. sisteme za otkrivanje napada sa rokovima.
Web filtriranje
Internet je i blagoslov i prokletstvo. Pristup sumnjivim web stranicama i dalje je prolaz za zlonamjerni sadržaj i zlonamjerni softver. Kontrola sigurnosti informacija 8.23 Web filtriranje ima preventivnu svrhu zaštite vlastitih sistema organizacije od upada zlonamjernog softvera i sprječavanja pristupa neovlaštenim web resursima. Organizacije bi trebale uspostaviti pravila za sigurnu i odgovarajuću upotrebu online resursa u tu svrhu – uključujući obavezna ograničenja pristupa neželjenim ili neprikladnim web stranicama i web aplikacijama. Organizacija bi trebala blokirati pristup sljedećim vrstama web stranica:
- Web stranice koje imaju funkciju učitavanja - osim ako bi to bilo potrebno iz legitimnih, poslovnih razloga,
- Poznate ili čak sumnjive zlonamjerne web stranice,
- Komandni i kontrolni serveri,
- Zlonamjerne web stranice identificirane kao takve iz podataka o prijetnjama (vidi također mjeru 5.7),
- Web stranice sa ilegalnim sadržajem.
Mjera web filtriranja stvarno funkcioniše samo s obučenim osobljem koje je dovoljno svjesno sigurne i odgovarajuće upotrebe online resursa.
Pogledajte sada: Šta se mijenja s novim ISO/IEC 27001:2022
Nova verzija ISO/IEC 27001, prilagođena savremenim informacionim rizicima, objavljena je 25. oktobra 2022. Šta to znači za korisnike standarda? U našem besplatnom snimku webinara saznat ćete o tome
- karakteristike ISO/IEC 27001:2022 - Okvir i Aneks A
- ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i hashtagovi
- Vremenski okvir za tranziciju i vaše sljedeće korake
Taktička obavještajna informacija o prijetnjama i njena procjena pružaju procjene napadačevih metoda, alata i tehnologija.
Operativna procjena specifičnih prijetnji pruža detaljne informacije o konkretnim napadima, uključujući tehničke pokazatelje, na primjer, trenutno ekstremno povećanje sajber napada putem ransomware-a i njegovih varijanti u 2022.
Analiza prijetnji može pružiti podršku na sljedeće načine:
- Proceduralno za integraciju podataka o prijetnjama u proces upravljanja rizikom,
- Tehnička preventiva i detekcija, npr. ažuriranjem pravila zaštitnog zida, sistema za otkrivanje upada (IDS), anti-malware rješenja,
- Sa ulaznim informacijama za specifične procedure testiranja i tehnike testiranja sigurnosti informacija.
Kvalitet podataka iz organizacijske kontrole 5.7 za određivanje situacije prijetnje i njenu analizu direktno utječe na dvije tehničke kontrole za aktivnosti praćenja (8.16) i web filtriranje (8.23) o kojima se govori u nastavku, a koje su također nove za ISO/IEC 27002.
Monitoring aktivnosti
Detektivska i korektivna kontrola sigurnosti informacija 8.16 o tehničkom praćenju aktivnosti fokusira se na otkrivanje anomalija kao metodu za otklanjanje prijetnji. Mreže, sistemi i aplikacije ponašaju se prema očekivanim obrascima, kao što su protok podataka, protokoli, poruke i tako dalje. Svaka promjena ili odstupanje od ovih očekivanih obrazaca detektuje se kao anomalija.
Tehnički zaključak
Nove kontrole otkrivanja i prevencije opisane ovdje imaju ključnu ulogu u obrani od organiziranog kibernetičkog kriminala i s pravom su našle svoj put u trenutnim verzijama ISO/IEC 27001 i ISO/IEC 27002. Uz kontinuirano ažuriranje i analizu dostupnih informacije o prijetnjama, opsežno praćenje aktivnosti u vlastitim IT infrastrukturama i osiguranje vlastitih sistema od sumnjivih web stranica, kompanije na održiv način jačaju svoju zaštitu od upada opasnog zlonamjernog softvera. Oni su se također doveli u poziciju da pokrenu odgovarajuće mjere odgovora u ranoj fazi.
Kompanije i organizacije sada moraju implementirati tri prezentovane kontrole/mjere u skladu s tim i dosljedno ih integrisati u svoj ISMS kako bi ispunile zahtjeve budućih certifikacijskih audita. DQS ima više od 35 godina sveobuhvatne ekspertize u polju nepristrasnih audita i certifikacija - i rado će vam pružiti podršku u upravljanju promjenama vašeg sistema upravljanja sigurnosti informacija u skladu sa ISO/IEC 27001:2022.
Šta ažuriranje znači za vašu organizaciju?
ISO/IEC 27001:2022 objavljen je 25. oktobra 2022. Ovo rezultira sljedećim rokovima i vremenskim okvirima za korisnike za tranziciju:
Posljednji datum za inicijalni/ recertifikacijski audit u skladu sa "starim" ISO 27001:2013
- Nakon 30. aprila 2024., DQS će provoditi inicijalne i recertifikacijske audite samo prema novom standardu ISO/IEC 27001:2022
Tranzicija svih postojećih certifikata prema "starom" ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022
- Postoji trogodišnji prelazni period počevši od 31. oktobra 2022.
- Certifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 vrijede najkasnije do 31. oktobra 2025. ili se moraju povući ovog datuma.
Najsavremeniji ISMS sa ekspertizom DQS-a
Prilikom prelaska na novu verziju ISO/IEC 27001, organizacije još uvijek imaju vremena. Aktuelni certifikati zasnovani na starom standardu prestaju da važe 31.10.2025. Ipak, savjetujemo vam da se pozabavite promijenjenim zahtjevima ISMS-a u ranoj fazi, pokrenete odgovarajuće procese promjena i implementirate ih u skladu s tim.
Kao stručnjaci za audite i certifikaciju sa iskustvom od više od tri decenije, podržavamo vas u implementaciji novog standarda. Saznajte od naših brojnih iskusnih auditora o najvažnijim promjenama i njihovoj važnosti za vašu organizaciju - i povjerite se našoj stručnosti. Zajedno ćemo razgovarati o vašem potencijalu za poboljšanje i podržavati vas dok ne dobijete novi certifikat. Radujemo se Vašem upitu.
DQS Bilten
Markus Jegelka
DQS ekspert za sisteme upravljanja sigurnošću informacija (ISMS) i dugogodišnji auditor za standarde ISO 9001, ISO/IEC 27001 i katalog IT sigurnosti prema paragrafu 11.1a/b Zakona o energetskoj industriji Njemačke (EnWG) sa kompetencijom za proceduru ispitivanja za § 8a (3) BSIG