Upravljanje konfiguracijom u informacionoj sigurnosti

SADRŽAJ

• Povećana kompleksnost i prijetnje
• Upravljanje konfiguracijom u kontekstu ISO 27001:2022
• Kontrola 8.9 "Upravljanje konfiguracijom"
• Upravljanje konfiguracijom u informacionoj sigurnosti - Zaključak
• DQS: Vaš kontakt za certificiranu sigurnost informacija

Povećana kompleksnost i prijetnje

Neispravne postavke i sigurnosne konfiguracije nose neprocjenjive rizike za sigurnost informacija. S obzirom na sve veću složenost modernih IT okruženja, upravljanje konfiguracijom – tj. kontinuirano i sistematsko definisanje, dokumentovanje, implementacija, praćenje i pregled sigurnosnih konfiguracija – postaje izazovan zadatak koji se proteže na upravljanje usklađenošću u organizaciji.

Za autsajdera, IT infrastruktura je zbunjujuća mreža aplikacija, uređaja, mrežnih komponenti i usluga, bilo da se hostuju na licu mjesta ili u oblaku. Potonji su se posebno dramatično povećali tokom pandemije koronavirusa. Za IT timove, međutim, konfigurisanje sve većeg broja komponenti sistema i kontinuirano praćenje i prilagođavanje konfiguracija sistema znači znatnu količinu posla, koji često opterećuje zaposlene. Bez sistematskog upravljanja konfiguracijom, ovo može dovesti do značajnog sigurnosnog rizika i gubitka ili zloupotrebe podataka (uključujući lične podatke).

Uostalom, 81% sigurnosnih menadžera je u njemačkoj studiji od 2022 navelo da ranjivosti i nepoznate pogrešne konfiguracije uzrokuju najveće sigurnosne probleme u njihovoj infrastrukturi. I Pandemija jedanaest, Studija Cloud Security Alliance o najozbiljnijim ranjivostima u računalstvu u oblaku tokom pandemije, pogrešne konfiguracije su također na istaknutom trećem mjestu.

Stoga je logična posljedica razvoja posljednjih godina da se više pažnje posveti upravljanju konfiguracijom u informacionoj tehnologiji, na primjer u kontekstu neovlaštenog pristupa. Stoga je ispravno da je novi ISO/IEC 27001:2022 ovoj temi posvetio posebnu kontrolu sigurnosti informacija.

Upravljanje konfiguracijom u kontekstu ISO 27001:2022

Restrukturirani Aneks A standarda ISO 27001 iz 2022. sadrži 93 mjere (kontrole) sigurnosti informacija, uključujući 11 novih. Sa ažuriranjem, kontrole su sada organizovane tematski u četiri sekcije

• Organizacione mjere
• Lične mjere
• Fizičke mjere
• Tehnološke mjere

Sigurno upravljanje konfiguracijom u informacionoj tehnologiji spada u predmetno područje tehnoloških ili tehničkih mjera i navedeno je u Dodatku A pod 8.9. To je jedan od preventivnih alata koji podržavaju sva tri cilja zaštite sigurnosti informacija (povjerljivost, integritet i dostupnost).

Standardni predlošci

Definicija standardnih predložaka pomaže organizacijama da sistematiziraju svoje upravljanje konfiguracijom. U ovom razvoju treba uzeti u obzir sljedeće osnovne aspekte:

• Javno dostupne smjernice, na primjer od prodavaca ili nezavisnih sigurnosnih tijela
• Potrebni nivoi zaštite kako bi se osigurala odgovarajuća sigurnost
• Podrška za internu politiku sigurnosti informacija, smjernice specifične za temu, standarde i druge sigurnosne zahtjeve
• Izvodljivost i primjenjivost konfiguracija u kontekstu organizacije

Razvijene standardne predloške treba redovno pregledavati i ažurirati, posebno kada se treba pozabaviti novim prijetnjama ili ranjivostima, ili kada se nove verzije softvera ili hardvera uvode u organizaciju.

Postoji i niz drugih tačaka koje treba uzeti u obzir prilikom kreiranja predložaka. Sve ovo pomaže u sprječavanju neovlaštenih ili netačnih promjena konfiguracija:

• Minimiziranje broja identiteta s privilegiranim ili administrativnim pravima pristupa
• Deaktiviranje nepotrebnih, neiskorištenih ili nesigurnih identiteta
• Deaktiviranje ili ograničavanje funkcija i usluga koje nisu potrebne
• Ograničavanje pristupa moćnim uslužnim programima i postavkama parametara hosta
• Sinhronizacija satova
• Promjena zadanih podataka za autentifikaciju proizvođača i zadanih lozinki odmah nakon instalacije i provjera važnih parametara relevantnih za sigurnost
• Pozivanje timeout objekata koji automatski odjavljuju računarske uređaje nakon određenog perioda neaktivnosti
• Provjerite da li su ispunjeni zahtjevi za licencu

Upravljanje i monitoring konfiguracija

Sve konfiguracije bi trebale biti zabilježene i promjene pouzdano evidentirane kako bi se isključile pogrešne konfiguracije nakon incidenta. Ove informacije moraju biti sigurno pohranjene, na primjer u konfiguracijskim bazama podataka ili predlošcima.

Sve promjene se vrše u skladu sa kontrolom 8.32 "Kontrola promjena", koja opisuje smjernice za promjene smjernica za obradu informacija i informacionih sistema. Zapisi o konfiguraciji moraju sadržavati sve informacije potrebne za praćenje statusa IT sistema ili sredstva i bilo koje promjene napravljene na njemu u bilo koje vrijeme. Ovo uključuje, na primjer, sljedeće informacije

• Aktuelne informacije o predmetnoj imovini - Ko je vlasnik ili osoba za kontakt?
• Datum posljednje promjene konfiguracije
• Verzija predloška konfiguracije
• Veze i odnosi sa konfiguracijama drugih sredstava

Sveobuhvatan skup alata za upravljanje sistemom – kao što su programi za održavanje, udaljena podrška, alati za upravljanje firmom i softver za pravljenje rezervnih kopija i vraćanje – pomaže da se nadgledaju i redovno provjeravaju konfiguracije. Uz pomoć ovih alata, menadžeri mogu provjeriti postavke konfiguracije, procijeniti snagu lozinke i procijeniti izvršene aktivnosti.

Stvarna stanja se također mogu uporediti sa definisanim ciljnim šablonima i mogu se pokrenuti odgovarajući odgovori u slučaju odstupanja - bilo automatskim nametanjem definisane ciljne konfiguracije ili ručnom analizom odstupanja i naknadnim korektivnim akcijama. Automatizacija, na primjer putem infrastrukture kao koda (programabilna infrastruktura), omogućava efikasno i sigurno upravljanje sigurnosnim konfiguracijama u virtueliziranim okruženjima i računalstvu u oblaku.

Upravljanje konfiguracijom u informacionoj sigurnosti - sažetak

Upravljanje konfiguracijom u informacionoj sigurnosti je važan sigurnosni alat i daje trajan doprinos značajnom smanjenju sigurnosnih praznina uzrokovanih pogrešnim konfiguracijama. Njegov sistematski pristup rasterećuje interne timove i doprinosi efikasnom IT poslovanju, kao i očvršćavanju sistema i dostupnosti informacija i poverljivih podataka. Očigledni su i pozitivni efekti na zaštitu ličnih podataka, na primjer.

Upravljanje konfiguracijom se također može integrisati u procese upravljanja imovinom i povezane alate. Centralno upravljanje sigurnosnim postavkama omogućava brzo reagovanje na nove pretnje i ranjivosti u dostupnosti sistema i zaštite podataka, čime se pomaže da se minimiziraju potencijalne površine napada u sistemima. Nova kontrola sigurnosti informacija 8.9 iz ISO 27001 daje važan doprinos sigurnosti za organizacije i njihovo upravljanje.

Ovu dodatnu vrijednost moraju implementirati kompanije i organizacije. Zahtjevi iz kontrole 8.9 moraju se uporediti sa trenutnim statusom i dalje optimizirati putem kontrolisanog procesa promjene. Sa preko 35 godina stručnosti u auditima i certifikaciji, mi smo vaš idealan partner i možemo vam pružiti savjete i podršku na temu sigurnosti informacija.

Šta ažuriranje znači za vašu certifikaciju?

ISO/IEC 27001:2022 objavljen je 25. oktobra 2022.

To rezultira sljedećim rokovima i periodima prijelaza za korisnike

Zadnji datum za inicijalne/recertifikacijske auditeprema "starom" ISO 27001

• Nakon 30. aprila 2024., DQS će provoditi samo inicijalne i recertifikacijske audite  u skladu s novim standardom ISO/IEC 27001:2022

Konverzija svih postojećih certifikata prema "starom" ISO/IEC 27001:2013 u novu verziju 2022

• Prijelazni period od 3 godine primjenjuje se od 31. oktobra 2022. godine
• Certifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 važe najkasnije do 31. oktobra 2025. ili moraju biti povučeni na ovaj datum

ISO/IEC 27001:2022 - Sigurnost informacija, sajber sigurnost i zaštita privatnosti - Sistemi upravljanja sigurnošću informacija - Zahtjevi

DQS: Simply leveraging Security 

Organizacije imaju još vremena da pređu na novu verziju ISO/IEC 27001. Trenutni certifikati zasnovani na starom standardu će izgubiti svoju važnost 31. oktobra 2025. Ipak, savjetujemo im da se pozabave promjenjenim zahtjevima za sistem upravljanja sigurnosti informacija (ISMS) u ranoj fazi, pokrenu odgovarajuće procese promjena i implementiraju ih u skladu s tim.

Kao stručnjaci u auditima i certifikacijama sa više od tri decenije iskustva, možemo vam pomoći u implementaciji novog ISO 27001:2022. Saznajte od naših brojnih iskusnih auditora o najvažnijim promjenama i njihovoj važnosti za vašu kompaniju - i povjerite se našoj stručnosti. Radujemo se Vašem upitu.

Povjerenje i ekspertiza

Naše članke i Bijele papire pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, kontaktirajte nas.