Savremeni IT pejzaži zahtjevaju koordiniranu interakciju IT resursa, mrežnih infrastruktura, hardverskih i softverskih aplikacija i različitih vrsta usluga. Ključ za visoke performanse i siguran rad leži u pravilnoj konfiguraciji svih uključenih sistema, komponenti i aplikacija. Nova kontrola 8.9 u informacionoj sigurnosti, "Upravljanje konfiguracijom" iz ažurirane verzije ISO 27001:2022, formuliše odgovarajuću sigurnosnu mjeru za dizajniranje, implementaciju i redovan audit upravljanja konfiguracijom. Sljedeći blog post ističe važnost upravljanja konfiguracijom u informacionoj sigurnosti s obzirom na sve veće sigurnosne rizike i sadržaj nove kontrole sigurnosti.
Povećana kompleksnost i prijetnje
Neispravne postavke i sigurnosne konfiguracije nose neprocjenjive rizike za sigurnost informacija. S obzirom na sve veću složenost modernih IT okruženja, upravljanje konfiguracijom – tj. kontinuirano i sistematsko definisanje, dokumentovanje, implementacija, praćenje i pregled sigurnosnih konfiguracija – postaje izazovan zadatak koji se proteže na upravljanje usklađenošću u organizaciji.
Za autsajdera, IT infrastruktura je zbunjujuća mreža aplikacija, uređaja, mrežnih komponenti i usluga, bilo da se hostuju na licu mjesta ili u oblaku. Potonji su se posebno dramatično povećali tokom pandemije koronavirusa. Za IT timove, međutim, konfigurisanje sve većeg broja komponenti sistema i kontinuirano praćenje i prilagođavanje konfiguracija sistema znači znatnu količinu posla, koji često opterećuje zaposlene. Bez sistematskog upravljanja konfiguracijom, ovo može dovesti do značajnog sigurnosnog rizika i gubitka ili zloupotrebe podataka (uključujući lične podatke).
Uostalom, 81% sigurnosnih menadžera je u njemačkoj studiji od 2022 navelo da ranjivosti i nepoznate pogrešne konfiguracije uzrokuju najveće sigurnosne probleme u njihovoj infrastrukturi. I Pandemija jedanaest, Studija Cloud Security Alliance o najozbiljnijim ranjivostima u računalstvu u oblaku tokom pandemije, pogrešne konfiguracije su također na istaknutom trećem mjestu.
Stoga je logična posljedica razvoja posljednjih godina da se više pažnje posveti upravljanju konfiguracijom u informacionoj tehnologiji, na primjer u kontekstu neovlaštenog pristupa. Stoga je ispravno da je novi ISO/IEC 27001:2022 ovoj temi posvetio posebnu kontrolu sigurnosti informacija.
Upravljanje konfiguracijom u kontekstu ISO 27001:2022
Restrukturirani Aneks A standarda ISO 27001 iz 2022. sadrži 93 mjere (kontrole) sigurnosti informacija, uključujući 11 novih. Sa ažuriranjem, kontrole su sada organizovane tematski u četiri sekcije
- Organizacione mjere
- Lične mjere
- Fizičke mjere
- Tehnološke mjere
Sigurno upravljanje konfiguracijom u informacionoj tehnologiji spada u predmetno područje tehnoloških ili tehničkih mjera i navedeno je u Dodatku A pod 8.9. To je jedan od preventivnih alata koji podržavaju sva tri cilja zaštite sigurnosti informacija (povjerljivost, integritet i dostupnost).
Standardni predlošci
Definicija standardnih predložaka pomaže organizacijama da sistematiziraju svoje upravljanje konfiguracijom. U ovom razvoju treba uzeti u obzir sljedeće osnovne aspekte:
- Javno dostupne smjernice, na primjer od prodavaca ili nezavisnih sigurnosnih tijela
- Potrebni nivoi zaštite kako bi se osigurala odgovarajuća sigurnost
- Podrška za internu politiku sigurnosti informacija, smjernice specifične za temu, standarde i druge sigurnosne zahtjeve
- Izvodljivost i primjenjivost konfiguracija u kontekstu organizacije
Razvijene standardne predloške treba redovno pregledavati i ažurirati, posebno kada se treba pozabaviti novim prijetnjama ili ranjivostima, ili kada se nove verzije softvera ili hardvera uvode u organizaciju.
Postoji i niz drugih tačaka koje treba uzeti u obzir prilikom kreiranja predložaka. Sve ovo pomaže u sprječavanju neovlaštenih ili netačnih promjena konfiguracija:
- Minimiziranje broja identiteta s privilegiranim ili administrativnim pravima pristupa
- Deaktiviranje nepotrebnih, neiskorištenih ili nesigurnih identiteta
- Deaktiviranje ili ograničavanje funkcija i usluga koje nisu potrebne
- Ograničavanje pristupa moćnim uslužnim programima i postavkama parametara hosta
- Sinhronizacija satova
- Promjena zadanih podataka za autentifikaciju proizvođača i zadanih lozinki odmah nakon instalacije i provjera važnih parametara relevantnih za sigurnost
- Pozivanje timeout objekata koji automatski odjavljuju računarske uređaje nakon određenog perioda neaktivnosti
- Provjerite da li su ispunjeni zahtjevi za licencu
Pitanja i odgovori o novom ISO/IEC 27001:2022
Naši stručnjaci za standarde objašnjavaju
Produbite svoje znanje o revidiranom standardu uz besplatni Bijeli papir. Naši stručnjaci za standarde odgovaraju na 44 važna pitanja iz ove oblasti i pružaju uvid u ključne promjene. Širok spektar tema kreće se od izjave o primjenjivosti do certifikacije.
Upravljanje i monitoring konfiguracija
Sve konfiguracije bi trebale biti zabilježene i promjene pouzdano evidentirane kako bi se isključile pogrešne konfiguracije nakon incidenta. Ove informacije moraju biti sigurno pohranjene, na primjer u konfiguracijskim bazama podataka ili predlošcima.
Sve promjene se vrše u skladu sa kontrolom 8.32 "Kontrola promjena", koja opisuje smjernice za promjene smjernica za obradu informacija i informacionih sistema. Zapisi o konfiguraciji moraju sadržavati sve informacije potrebne za praćenje statusa IT sistema ili sredstva i bilo koje promjene napravljene na njemu u bilo koje vrijeme. Ovo uključuje, na primjer, sljedeće informacije
- Aktuelne informacije o predmetnoj imovini - Ko je vlasnik ili osoba za kontakt?
- Datum posljednje promjene konfiguracije
- Verzija predloška konfiguracije
- Veze i odnosi sa konfiguracijama drugih sredstava
Sveobuhvatan skup alata za upravljanje sistemom – kao što su programi za održavanje, udaljena podrška, alati za upravljanje firmom i softver za pravljenje rezervnih kopija i vraćanje – pomaže da se nadgledaju i redovno provjeravaju konfiguracije. Uz pomoć ovih alata, menadžeri mogu provjeriti postavke konfiguracije, procijeniti snagu lozinke i procijeniti izvršene aktivnosti.
Stvarna stanja se također mogu uporediti sa definisanim ciljnim šablonima i mogu se pokrenuti odgovarajući odgovori u slučaju odstupanja - bilo automatskim nametanjem definisane ciljne konfiguracije ili ručnom analizom odstupanja i naknadnim korektivnim akcijama. Automatizacija, na primjer putem infrastrukture kao koda (programabilna infrastruktura), omogućava efikasno i sigurno upravljanje sigurnosnim konfiguracijama u virtueliziranim okruženjima i računalstvu u oblaku.
Trenutni ISO 27001
Saznajte više o međunarodnom standardu za upravljanje sigurnosti informacija.
Upravljanje konfiguracijom u informacionoj sigurnosti - sažetak
Upravljanje konfiguracijom u informacionoj sigurnosti je važan sigurnosni alat i daje trajan doprinos značajnom smanjenju sigurnosnih praznina uzrokovanih pogrešnim konfiguracijama. Njegov sistematski pristup rasterećuje interne timove i doprinosi efikasnom IT poslovanju, kao i očvršćavanju sistema i dostupnosti informacija i poverljivih podataka. Očigledni su i pozitivni efekti na zaštitu ličnih podataka, na primjer.
Upravljanje konfiguracijom se također može integrisati u procese upravljanja imovinom i povezane alate. Centralno upravljanje sigurnosnim postavkama omogućava brzo reagovanje na nove pretnje i ranjivosti u dostupnosti sistema i zaštite podataka, čime se pomaže da se minimiziraju potencijalne površine napada u sistemima. Nova kontrola sigurnosti informacija 8.9 iz ISO 27001 daje važan doprinos sigurnosti za organizacije i njihovo upravljanje.
Ovu dodatnu vrijednost moraju implementirati kompanije i organizacije. Zahtjevi iz kontrole 8.9 moraju se uporediti sa trenutnim statusom i dalje optimizirati putem kontrolisanog procesa promjene. Sa preko 35 godina stručnosti u auditima i certifikaciji, mi smo vaš idealan partner i možemo vam pružiti savjete i podršku na temu sigurnosti informacija.
Šta ažuriranje znači za vašu certifikaciju?
ISO/IEC 27001:2022 objavljen je 25. oktobra 2022.
To rezultira sljedećim rokovima i periodima prijelaza za korisnike
Zadnji datum za inicijalne/recertifikacijske auditeprema "starom" ISO 27001
- Nakon 30. aprila 2024., DQS će provoditi samo inicijalne i recertifikacijske audite u skladu s novim standardom ISO/IEC 27001:2022
Konverzija svih postojećih certifikata prema "starom" ISO/IEC 27001:2013 u novu verziju 2022
- Prijelazni period od 3 godine primjenjuje se od 31. oktobra 2022. godine
- Certifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 važe najkasnije do 31. oktobra 2025. ili moraju biti povučeni na ovaj datum
ISO/IEC 27001:2022 - Sigurnost informacija, sajber sigurnost i zaštita privatnosti - Sistemi upravljanja sigurnošću informacija - Zahtjevi
DQS: Simply leveraging Security
Organizacije imaju još vremena da pređu na novu verziju ISO/IEC 27001. Trenutni certifikati zasnovani na starom standardu će izgubiti svoju važnost 31. oktobra 2025. Ipak, savjetujemo im da se pozabave promjenjenim zahtjevima za sistem upravljanja sigurnosti informacija (ISMS) u ranoj fazi, pokrenu odgovarajuće procese promjena i implementiraju ih u skladu s tim.
Kao stručnjaci u auditima i certifikacijama sa više od tri decenije iskustva, možemo vam pomoći u implementaciji novog ISO 27001:2022. Saznajte od naših brojnih iskusnih auditora o najvažnijim promjenama i njihovoj važnosti za vašu kompaniju - i povjerite se našoj stručnosti. Radujemo se Vašem upitu.
Rado ćemo odgovoriti na vaša pitanja
Saznajte više. Bez obaveza i besplatno.
Povjerenje i ekspertiza
Naše članke i Bijele papire pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, kontaktirajte nas.
DQS Bilten
Markus Jegelka
DQS ekspert za sisteme upravljanja sigurnošću informacija (ISMS) i dugogodišnji auditor za standarde ISO 9001, ISO/IEC 27001 i katalog IT sigurnosti prema paragrafu 11.1a/b Zakona o energetskoj industriji Njemačke (EnWG) sa kompetencijom za proceduru ispitivanja za § 8a (3) BSIG