Řízení konfigurace v bezpečnosti informací

OBSAH

• Rostoucí složitost a hrozby
• Správa konfigurace v kontextu normy ISO 27001:2022
• Kontrola 8.9 "Správa konfigurace"
• Správa konfigurace v oblasti bezpečnosti informací - závěr
• DQS: DŮLEŽITÉ INFORMACE O KONFIGURACI, KTERÉ SE OBJEVILY V RÁMCI PROJEKTU DQS, JSOU UVEDENY V PŘÍLOZE Č. 1: Váš kontakt pro certifikovanou bezpečnost informací

Rostoucí složitost a hrozby

Nesprávné nastavení a konfigurace zabezpečení skrývají nevyčíslitelná rizika pro bezpečnost informací. Vzhledem k rostoucí složitosti moderních IT prostředí se správa konfigurací - tj. průběžná a systematická definice, dokumentace, implementace, monitorování a revize bezpečnostních konfigurací - stává náročným úkolem, který zasahuje i do řízení shody organizace.

IT infrastruktura je pro člověka zvenčí nepřehlednou sítí aplikací, zařízení, síťových komponent a služeb, ať už hostovaných on-prem, nebo v cloudu. Zejména těch druhých výrazně přibylo během pandemie koronavirů. Pro týmy IT však konfigurace rostoucího počtu systémových komponent a neustálé monitorování a přizpůsobování konfigurací systémů znamená značné množství práce, které zaměstnance často zahltí. Bez systematické správy konfigurace to může vést ke značnému bezpečnostnímu riziku a ztrátě nebo zneužití dat (včetně osobních údajů).

Koneckonců 81 % bezpečnostních manažerů v německé studii z roku 2022 uvedlo, že největší bezpečnostní problémy v jejich infrastrukturách způsobují zranitelnosti a neznámé chybné konfigurace. A v Pandemic Eleven, studii Cloud Security Alliance o nejzávažnějších zranitelnostech v cloud computingu během pandemie, jsou chybné konfigurace také na prominentním třetím místě.

Je tedy logickým důsledkem vývoje posledních let věnovat větší pozornost správě konfigurace v informačních technologiích, například v souvislosti s neoprávněným přístupem. Je proto správné, že nová norma ISO/IEC 27001:2022 věnovala tomuto tématu samostatnou kontrolu bezpečnosti informací.

Správa konfigurace v kontextu normy ISO 27001:2022

Restrukturalizovaná příloha A normy ISO 27001 z roku 2022 obsahuje 93 opatření (kontrol) bezpečnosti informací, včetně 11 nových. Díky aktualizaci jsou nyní kontroly tematicky uspořádány do čtyř oddílů

• Organizační opatření
• Personální opatření
• Fyzická opatření
• Technologická opatření

Bezpečná správa konfigurace v informačních technologiích spadá do tematické oblasti technologických nebo technických opatření a je uvedena v dodatku A v bodě 8.9. Je jedním z preventivních nástrojů, které podporují všechny tři cíle ochrany bezpečnosti informací (důvěrnost, integritu a dostupnost).

Standardní šablony

Definice standardních šablon pomáhá organizacím systematizovat řízení konfigurace. Při jejich tvorbě je třeba zohlednit následující základní aspekty:

• Veřejně dostupné pokyny, například od dodavatelů nebo nezávislých bezpečnostních orgánů.
• Požadované úrovně ochrany pro zajištění odpovídající bezpečnosti
• Podpora interní politiky bezpečnosti informací, tematických směrnic, norem a dalších bezpečnostních požadavků.
• Proveditelnost a použitelnost konfigurací v kontextu organizace

Vypracované standardní šablony by měly být pravidelně revidovány a aktualizovány, zejména pokud je třeba řešit nové hrozby nebo zranitelnosti nebo pokud jsou v organizaci zavedeny nové verze softwaru nebo hardwaru.

Při vytváření šablon je třeba zvážit i řadu dalších bodů. Ty všechny pomáhají zabránit neoprávněným nebo nesprávným změnám konfigurací:

• Minimalizace počtu identit s privilegovanými nebo správcovskými přístupovými právy.
• deaktivace nepotřebných, nepoužívaných nebo nezabezpečených identit
• Deaktivace nebo omezení nepotřebných funkcí a služeb
• Omezení přístupu k výkonným nástrojům a nastavení parametrů hostitele.
• Synchronizace hodin
• Změna výchozích ověřovacích údajů a výchozích hesel výrobce ihned po instalaci a kontrola důležitých parametrů důležitých z hlediska zabezpečení
• Vyvolání časového limitu, který automaticky odhlásí počítačová zařízení po určité době nečinnosti.
• Kontrola, zda jsou splněny licenční požadavky

Správa a monitorování konfigurací

Všechny konfigurace by měly být zaznamenány a změny spolehlivě protokolovány, aby bylo možné po incidentu vyloučit chybné konfigurace. Tyto informace musí být bezpečně uloženy, například v konfiguračních databázích nebo šablonách.

Všechny změny se provádějí v souladu s kontrolou 8.32 "Řízení změn", která popisuje směrnici pro změny směrnic pro zpracování informací a informačních systémů. Záznamy o konfiguraci musí obsahovat všechny informace potřebné ke sledování jak stavu informačního systému nebo aktiva, tak všech změn, které v něm byly kdykoli provedeny. Patří sem například následující informace

• Aktuální informace o daném aktivu - Kdo je vlastníkem nebo kontaktní osobou?
• Datum poslední změny konfigurace
• Verze šablony konfigurace
• Připojení a vztahy ke konfiguracím jiných aktiv

Komplexní sada nástrojů pro správu systému - například programy pro údržbu, vzdálenou podporu, nástroje pro správu podniku a software pro zálohování a obnovu - pomáhá sledovat a pravidelně kontrolovat konfigurace. Pomocí těchto nástrojů mohou manažeři ověřovat nastavení konfigurace, vyhodnocovat sílu hesel a posuzovat prováděné činnosti.

Skutečné stavy lze také porovnávat s definovanými cílovými šablonami a v případě odchylek iniciovat odpovídající reakce - buď automatickým vynucením definované cílové konfigurace, nebo ruční analýzou odchylky a následnými nápravnými opatřeními. Automatizace, například prostřednictvím infrastruktury jako kódu (programovatelné infrastruktury), umožňuje efektivně a bezpečně spravovat bezpečnostní konfigurace ve virtualizovaných prostředích a cloud computingu.

Správa konfigurace v oblasti bezpečnosti informací - shrnutí

Správa konfigurace v zabezpečení informací je důležitým bezpečnostním nástrojem a trvale přispívá k výraznému snížení bezpečnostních mezer způsobených chybnými konfiguracemi. Jeho systematický přístup odlehčuje interním týmům a přispívá k efektivnímu provozu IT i ke zpevnění systémů a dostupnosti informací a důvěrných dat. Zřejmé jsou také pozitivní dopady například na ochranu osobních údajů.

Správu konfigurace lze také integrovat do procesů správy aktiv a souvisejících nástrojů. Centrální správa bezpečnostních nastavení umožňuje rychle reagovat na nové hrozby a zranitelnosti v dostupnosti systémů a ochraně dat, a tím pomáhá minimalizovat potenciální plochy pro útoky v systémech. Nová kontrola bezpečnosti informací 8.9 z normy ISO 27001 představuje důležitý bezpečnostní přínos pro organizace a jejich management.

Tuto přidanou hodnotu musí společnosti a organizace implementovat. Požadavky z kontroly 8.9 musí být porovnány se současným stavem a dále optimalizovány prostřednictvím řízeného procesu změn. Díky více než 35 letům zkušeností s auditem a certifikací jsme vaším ideálním partnerem a můžeme vám poskytnout poradenství a podporu v oblasti bezpečnosti informací.

Co znamená aktualizace pro vaši certifikaci?

Norma ISO/IEC 27001:2022 byla zveřejněna 25. října 2022.

Z toho vyplývají pro uživatele následující termíny a období pro přechod na tuto normu

Poslední datum pro úvodní/recertifikační audity podle "staré" normy ISO 27001.

• Po 30. dubnu 2024 bude DQS provádět pouze počáteční a recertifikační audity podle nové normy ISO/IEC 27001:2022.

Převod všech stávajících certifikátů podle "staré" normy ISO/IEC 27001:2013 na novou verzi 2022.

• Od 31. října 2022 platí tříleté přechodné období.
• certifikáty vydané podle normy ISO/IEC 27001:2013 nebo DIN EN ISO/IEC 27001:2017 jsou platné nejpozději do 31. října 2025 nebo musí být k tomuto datu zrušeny

ISO/IEC 27001:2022 - Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí - Systémy řízení bezpečnosti informací - Požadavky

DQS: Jednoduše využívající bezpečnost

Organizace mají ještě nějaký čas na přechod na novou verzi normy ISO/IEC 27001. Současné certifikáty založené na staré normě ztratí platnost 31. října 2025. Přesto je dobré, aby se změnou požadavků na systém řízení bezpečnosti informací (ISMS) zabývaly včas, zahájily vhodné změnové procesy a odpovídajícím způsobem je implementovaly.

Jako odborníci na audity a certifikace s více než třicetiletými zkušenostmi vám můžeme pomoci při zavádění nové normy ISO 27001:2022. Informujte se u našich mnoha zkušených auditorů o nejdůležitějších změnách a jejich významu pro vaši společnost - a důvěřujte našim odborným znalostem. Těšíme se, že se nám ozvete.

Důvěra a odborné znalosti

Naše články a bílé knihy píší výhradně naši odborníci na normy nebo dlouholetí auditoři. Máte-li jakékoli dotazy k obsahu textu nebo k našim službám pro autora, kontaktujte nás.