datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Řízení zranitelnosti v kontextu normy ISO 27001

André Saeckel

Expert DQS pro standard informační bezpečnosti
kvě 23 , 2023
# Bezpečnost informací a řízení rizik

Norma ISO 27001 se zaměřuje na citlivé a cenné informace organizace: Jejich ochrana, důvěrnost, integrita a dostupnost. ISO 27001 je mezinárodní norma pro bezpečnost informací v soukromých, veřejných nebo neziskových organizacích. Norma popisuje požadavky na zavedení, implementaci, provoz a optimalizaci dokumentovaného systému řízení bezpečnosti informací (ISMS). Systém řízení se zaměřuje především na identifikaci, ošetření a řešení rizik.

OBSAH

Jaké jsou hrozby a rizika pro bezpečnost informací?

Řízení zranitelnosti v kontextu ISO 27001 se týká technických zranitelností. Ty mohou vést k ohrožení IT bezpečnosti firem a organizací. Patří mezi ně např:

  • Ransomware, vyděračský software, který může vést k zašifrování datových nosičů a získání kompromitujících informací.
  • Trojský kůň pro vzdálený přístup (RAT), který může umožnit vzdálený přístup do sítě
  • Phishing a SPAM, které mohou vést ke ztrátě kontroly prostřednictvím e-mailu. Zde je obzvláště oblíbenou branou obecné nařízení o ochraně osobních údajů (GDPR) a žádost v e-mailu o kontrolu údajů zákazníka kliknutím na odkaz. Odesílatelé se často tváří jako banky nebo dokonce PayPal.
  • DDoS/botnety, které mohou vést k narušení dostupnosti a integrity systémů v důsledku obrovských datových paketů.
  • Státem sponzorovaní kyberteroristé, aktivisté, zločinci i vnitřní pachatelé, kteří přinášejí nejrůznější hrozby.
  • Nedostatečné nebo chybějící procesy

Identifikace zranitelností a bezpečnostních mezer, které z těchto hrozeb vyplývají, vyžaduje posouzení potřeb ochrany podle normy ISO 27001, protože výsledkem je systematická správa zranitelností pro zabezpečení IT infrastruktury s průběžným hodnocením zranitelností.

ISO/IEC 27001:2022-10 - Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Systémy řízení bezpečnosti informací - Požadavky.

Norma ISO byla revidována a znovu vydána 25. října 2022.

Chybné procesy - hrozba pro bezpečnost informací?

Bez procesu analýzy systémových protokolů a logů, znalosti technických zranitelností a důkladnějšího přezkoumání IT systémů není reálné posouzení rizik možné. Absence nebo chybný proces neumožňuje ani stanovení kritérií přijatelnosti rizik nebo určení úrovně rizika - jak požaduje norma ISO 27001.

Z toho vyplývá, že riziko pro bezpečnost IT, a tedy i pro bezpečnost informací podniku, nelze určit a musí se předpokládat, že je pro daný podnik nejvyšší možné.

Řízení zranitelnosti v kontextu normy ISO 27001: Optimální zabezpečení infrastruktury

Jedním z možných vhodných opatření pro zabezpečení IT infrastruktury je řízení potenciálních zranitelností a bezpečnostních mezer. To zahrnuje pravidelné, systematické, sítí řízené skenování a penetrační testy všech systémů na technické zranitelnosti. Veškeré zjištěné zranitelnosti jsou zaznamenány v systému řízení bezpečnosti informací (ISMS) v souladu s normou ISO 27001.

Stejně tak je důležité definovat hrozby pro bezpečnost IT - stejně jako zastřešující informační bezpečnost. V této souvislosti je třeba stanovit priority technických zranitelností podle závažnosti (CVSS) a nakonec je odstranit. Součástí řízení zranitelností podle normy ISO 27001 je také posouzení zbytkového rizika plynoucího ze zbývajících technických zranitelností a nakonec akceptace rizika.

K posouzení závažnosti zranitelnosti lze použít průmyslový standard"CVSS - Common Vulnerability Scoring System". Celkové skóre od 0 do 10 se určuje na základě metrik základního skóre, které se mimo jiné zabývají těmito otázkami: Jak "blízko" se musí útočník dostat ke zranitelnému systému (Attack Vector)? Jak snadno se útočník dostane k cíli (složitost útoku)? Jaká přístupová práva jsou nutná ke zneužití zranitelnosti (Privileges Required)? Jsou potřeba pomocníci, například uživatel, který musí nejprve sledovat odkaz (User Interaction)? Je ohrožena důvěrnost (Confidentiality Impact)?


Kalkulačku CVSS naleznete na stránkách amerického Národního institutu pro standardy a technologie (NIST).

 

Jak se může společnost chránit před technickými zranitelnostmi?

Společnost se může například preventivně chránit před malwarem zavedením a implementací opatření pro detekci, prevenci a zabezpečení dat ve spojení s odpovídající informovaností uživatelů. V detailu to znamená následující: Aby se zabránilo zneužití technické zranitelnosti v kontextu řízení zranitelností podle normy ISO 27001, je nutné:

  • Získat včas informace o technických zranitelnostech používaných informačních systémů.
  • posoudit jejich zranitelnost a
  • Přijmout vhodná opatření

Toho lze dosáhnout instalací bezpečnostních záplat (správa záplat), izolací zranitelných informačních systémů nebo v konečném důsledku vypnutím systému. Dále je třeba definovat a zavést pravidla pro instalaci softwaru uživateli.

Důležité otázky týkající se správy zranitelností a bezpečnostní koncepce ISO 20071

Následující otázky by mohly být položeny během auditu, proto má smysl se jimi zabývat předem:

  • Definovali jste role a odpovědnosti za řešení a monitorování technických zranitelností?
  • Seznámili jste se se zdroji informací, které lze použít k identifikaci technických zranitelností?
  • Existuje lhůta pro reakci s opatřeními v případě oznámení a odhalení zranitelnosti?
  • Provedli jste posouzení rizik zranitelností mimo jiné s ohledem na aktiva společnosti?
  • Znáte své technické zranitelnosti?

Pokud chcete získat ucelený a fundovaný přehled o německých hrozbách v kybernetickém prostoru, najdete "Situační zprávu o bezpečnosti IT 2019" v angličtině od Německého spolkového úřadu pro informační bezpečnost (BSI) na adrese https://www.bsi.bund.de.

Řízení zranitelnosti podle normy ISO 27001: závěr

Řízení zranitelnosti v kontextu normy ISO 27001 je nepřetržitý proces, který je třeba provádět pravidelně. Podle normy ISO 27001 musí být výsledky "platné". To znamená, že jednorázová kontrola zranitelnosti a posouzení rizik pro implementaci nebo certifikaci již není platná v pozdějším okamžiku, například při recertifikaci.

Skenování zranitelností je platné pouze v okamžiku, kdy bylo provedeno. Pokud jsou však později provedeny aktualizace softwaru nebo změny v topologii, mohou vést ke vzniku nových zranitelností.

Proto je pro každou organizaci důležité průběžně sledovat, ověřovat a opakovat procesy správy zranitelností a přenášet příslušné informace do systému řízení bezpečnosti informací.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Certifikace ISO 27001

S jakým úsilím musíte počítat, aby byl váš systém ISMS certifikován podle normy ISO 27001? Získejte informace zdarma a nezávazně.

Těšíme se na rozhovor s vámi.

Spojte se s DQS

DQS. Jednoduše využíváme kvalitu.

Považujeme se za důležité partnery našich zákazníků, se kterými spolupracujeme na úrovni očí, abychom dosáhli trvalé přidané hodnoty. Naším cílem je poskytnout organizacím důležité impulsy pro jejich podnikatelský úspěch v podobě přidané hodnoty prostřednictvím co nejjednodušších procesů, jakož i maximálního dodržování termínů a spolehlivosti.

Naše hlavní kompetence spočívají v provádění certifikačních auditů a hodnocení. Díky tomu se řadíme mezi přední světové poskytovatele s nárokem na to, abychom vždy stanovovali nová měřítka spolehlivosti, kvality a orientace na zákazníka.

Autor
André Saeckel

Produktový manažer společnosti DQS pro řízení bezpečnosti informací. Jako odborník na normy pro oblast informační bezpečnosti a bezpečnostního katalogu IT (kritické infrastruktury) je André Säckel zodpovědný mimo jiné za následující normy a oborové normy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnost informací v automobilovém průmyslu). Je také členem pracovní skupiny ISO/IEC JTC 1/SC 27/WG 1 jako národní delegát Německého institutu pro normalizaci DIN.

Jakékoli dotazy?

Jsme tu pro vás.
Kontaktujte nás