.
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Upravljanje ranjivostima u kontekstu ISO 27001

André Saeckel

DQS expert za standard za sigurnost informacija
maj 23 , 2023
# Sigurnost informacija i upravljanje rizicima

ISO 27001 se fokusira na osjetljive, vrijedne informacije organizacije: njihovu zaštitu, njihovu poverljivost, njihov integritet i njihovu dostupnost. ISO 27001 je međunarodni standard za sigurnost informacija u privatnim, javnim ili neprofitnim organizacijama. Standard opisuje zahtjeve za uspostavljanje, implementaciju, rad i optimizaciju dokumentovanog sistema upravljanja sigurnošću informacija (ISMS). Glavni fokus sistema upravljanja je na identifikaciji, rukovanju i tretmanu rizika.

SADRŽAJ

Koje su prijetnje i rizici za sigurnost informacija?

Upravljanje ranjivostima u kontekstu ISO 27001 odnosi se na tehničke ranjivosti. To može dovesti do prijetnji po IT sigurnost kompanija i organizacija. To uključuje:

  • Ransomware, softver za iznudu koji može dovesti do šifriranja medija podataka i dobijanja kompromitujućih informacija
  • Udaljeni prostup Trojan (RAT), koji može omogućiti udaljeni pristup mreži
  • Phishing i SPAM, što može dovesti do gubitka kontrole putem e-maila. Ovdje je posebno popularan pristupnik Opća uredba o zaštiti podataka (GDPR) i zahtjev u e-mailu za provjeru podataka o klijentima klikom na link. Često se čini da su pošiljaoci banke ili čak PayPal.
  • DDoS/botnets, što može dovesti do narušavanja dostupnosti i integriteta sistema zbog ogromnih paketa podataka
  • Državno sponzorisani sajberteroristi, aktivisti, kriminalci kao i unutrašnji počinioci koje donose razne prijetnje
  • Neadekvatni ili nedostajući procesi

Identifikacija ranjivosti i sigurnosnih nedostataka koji proizlaze iz ovih prijetnji zahtijeva procjenu potreba zaštite prema ISO 27001, jer to rezultira sistematskim upravljanjem ranjivostima kako bi se osigurala IT infrastruktura uz kontinuiranu procjenu ranjivosti.

ISO/IEC 27001:2022 – Sigurnost informacija, sajber sigurnost i zaštita privatnosti – Sistemi upravljanja sigurnošću informacija – Zahtjevi.

ISO standard je revidiran i ponovo objavljen 25. oktobra 2022.

Neispravni procesi - prijetnja za sigurnost informacija?

Bez procesa analize sistemskih logova i log podataka, poznavanja tehničkih ranjivosti i dubljeg pregleda IT sistema, realna procjena rizika nije moguća. Ni nedostatak procesa ne dozvoljava uspostavljanje kriterija prihvatljivosti rizika ili određivanje nivoa rizika – kako to zahtijeva ISO 27001.

Iz toga slijedi da se rizik po IT sigurnost, a time i po informacionu sigurnost preduzeća, ne može odrediti i mora se pretpostaviti da je najveći mogući rizik za to preduzeće.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Pogledajte sada: Šta se mijenja s novim ISO/IEC 27001:2022

Nova verzija ISO/IEC 27001, prilagođena savremenim informacionim rizicima, objavljena je 25. oktobra 2022. Šta to znači za korisnike standarda? U našem besplatnom snimku webinara saznat ćete o tome

  • Nove karakteristike ISO/IEC 27001:2022 - Okvir i Aneks A
  • ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i hashtagovi
  • Vremenski okvir za tranziciju i vaše sljedeće korake
Gledajte snimak sada

Upravljanje ranjivosima u kontekstu ISO 27001: Optimalno osiguranje infrastrukture

Jedna moguća odgovarajuća mjera za osiguranje IT infrastrukture je upravljanje potencijalnim ranjivostima i sigurnosnim prazninama. Ovo uključuje redovno, sistematsko, mrežno kontrolisano skeniranje i testove penetracije svih sistema na tehničke ranjivosti. Sve identifikovane ranjivosti se evidentiraju u sistemu upravljanja sigurnošću informacija (ISMS) u skladu sa ISO 27001.

Također je važno definisati prijetnje IT sigurnosti – kao i sveobuhvatnu sigurnost informacija. U tom kontekstu, tehničkim ranjivostima se mora dati prioritet prema ozbiljnosti (CVSS) i konačno otkloniti. Procjena preostalog rizika od preostalih tehničkih ranjivosti i, konačno, prihvatanje rizika su također dio upravljanja ranjivostima prema ISO 27001.

Za procjenu ozbiljnosti ranjivosti, može se koristiti industrijski standard "CVSS - Uobičajeni sistem bodovanja ranjivosti (Common Vulnerability Scoring System)". Ukupni rezultat od 0 do 10 određuje se iz metrike osnovnog rezultata, koji se, između ostalog, bavi ovim pitanjima: Koliko "blizu" napadaču treba da dođe do ranjivog sistema (Vektor napada)? Koliko lako napadač stiže do cilja (složenost napada)? Koja su prava pristupa potrebna da bi se iskoristila ranjivost (potrebne su privilegije)? Trebate li pomoćnike, npr. korisnik koji prvo mora pratiti link (korisnička interakcija)? Da li je povjerljivost ugrožena (Uticaj na povjerljivost)?

 

CVSS kalkulator se može naći na stranicama američkog Nacionalnog instituta za standarde i tehnologiju (NIST).

Kako se kompanija može zaštititi od tehničkih ranjivosti?

Na primjer, kompanija se može preventivno zaštititi od zlonamjernog softvera uvođenjem i implementacijom mjera za otkrivanje, prevenciju i sigurnost podataka uz odgovarajuću svijest korisnika. Detaljno, ovo znači: kako bi se spriječilo iskorištavanje tehničke ranjivosti u kontekstu upravljanja ranjivostima prema standardu ISO 27001, potrebno je:

  • Pribaviti pravovremene informacije o tehničkim ranjivostima korištenih informacionih sistema
  • Procijeniti njihovu ranjivost i
  • Poduzeti odgovarajuće mjere

Ovo se može uraditi instaliranjem sigurnosnih zakrpa (upravljanje zakrpama), izolacijom ranjivih IT sistema ili na kraju isključivanjem sistema. Nadalje, pravila za instalaciju softvera od strane korisnika moraju biti definisana i implementirana.

Važna pitanja o upravljanju ranjivostima i ISO 20071 sigurnosnom konceptu

Sljedeća pitanja mogu biti postavljena tokom audita, tako da je logično da ih se pozabavi unaprijed:

  • Jeste li definisali uloge i odgovornosti za rješavanje i praćenje tehničkih ranjivosti?
  • Jeste li naučili o izvorima informacija koji se mogu koristiti za identifikaciju tehničkih ranjivosti?
  • Postoji li rok za reagovanje akcijom kada se ranjivost prijavi i otkrije?
  • Da li ste, između ostalog, izvršili procjenu rizika ranjivosti u pogledu imovine kompanije?
  • Znate li svoje tehničke ranjivosti?

Ako želite da dobijete sveobuhvatan i dobro utemeljen pregled njemačkih pretnji u sajber prostoru, možete pronaći „Izveštaj o situaciji u oblasti IT sigurnosti 2019“ na engleskom jeziku od Njemačke savezne kancelarije za sigurnost informacija (BSI) na https://www.bsi.bund.de.

Zaključak

Upravljanje ranjivostima u kontekstu ISO 27001 je kontinuiran proces koji se mora redovno provoditi. Prema ISO 27001, rezultati moraju biti "ispravni". To znači da jednokratno skeniranje ranjivosti i procjena rizika za implementaciju ili certifikaciju više ne važi u kasnijem trenutku, na primjer tokom ponovne certifikacije.

Skeniranje ranjivosti vrijedi samo u trenutku kada se izvrši. Ali ako se ažuriranje softvera izvrši kasnije ili se izvrše promjene u topologiji, to može dovesti do novih ranjivosti.

Stoga je za svaku organizaciju važno da kontinuirano prati, provjerava i ponavlja procese upravljanja ranjivostima i prenosi relevantne informacije u sistem upravljanja sigurnošću informacija.

Dragocjeno znanje: DQS Vodič za audit ISO 27001

Naš vodič za audit ISO 27001 - Aneks A kreirali su vodeći stručnjaci kao praktičnu pomoć u implementaciji i idealan je za bolje razumijevanje odabranih zahtjeva standarda. Smjernica se odnosi na verziju ISO 27001:2013. Ažuriranje revidirane verzije objavljene 25.10.2022 će biti blagovremeno dostavljeno.

Preuzmite besplatno

DQS. Simply leveraging Quality.

Smatramo se važnim partnerima naših kupaca, sa kojima radimo u visini očiju kako bismo postigli održivu dodatnu vrijednost. Naš cilj je da organizacijama damo važne impulse dodavanja vrijednosti za njihov poduzetnički uspjeh kroz najjednostavnije procese, kao i maksimalno poštovanje rokova i pouzdanost.

Naše osnovne kompetencije leže u obavljanju certifikacijskih audita i ocjenjivanja. To nas čini jednim od vodećih provajdera širom svijeta s tvrdnjom da postavljamo nove standarde u pouzdanosti, kvaliteti i orijentaciji na kupca u svakom trenutku.

Autor
André Saeckel

Proizvodni menadžer u DQS-u za upravljanje sigurnošću informacija. Kao expert za standarde za područje informatičke sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel odgovoran je za sljedeće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informatička sigurnost u automobilskoj industriji). Takođe je član radne grupe ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za standardizaciju DIN.

Pitanja?

Mi smo tu za vas.
Kontaktirajte nas