datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Διαχείριση τρωτότητας στο πλαίσιο του ISO 27001

André Saeckel

DQS Standard Expert for Information Security (εμπειρογνώμονας προτύπων DQS για την ασφάλεια πληροφοριών)
Μαΐ 23 , 2023
# Ασφάλεια πληροφοριών και διαχείριση κινδύνων

Το ISO 27001 επικεντρώνεται στις ευαίσθητες, πολύτιμες πληροφορίες ενός οργανισμού: την προστασία, την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητά τους. Το ISO 27001 είναι ένα διεθνές πρότυπο για την ασφάλεια πληροφοριών σε ιδιωτικούς, δημόσιους ή μη κερδοσκοπικούς οργανισμούς. Το πρότυπο περιγράφει τις απαιτήσεις για τη δημιουργία, την εφαρμογή, τη λειτουργία και τη βελτιστοποίηση ενός τεκμηριωμένου συστήματος διαχείρισης της ασφάλειας πληροφοριών (ISMS). Η κύρια εστίαση του συστήματος διαχείρισης είναι ο εντοπισμός, ο χειρισμός και η αντιμετώπιση των κινδύνων.

ΠΕΡΙΕΧΟΜΕΝΟ

Ποιες είναι οι απειλές και οι κίνδυνοι για την ασφάλεια των πληροφοριών;

Η διαχείριση των τρωτών σημείων στο πλαίσιο του ISO 27001 αναφέρεται στα τεχνικά τρωτά σημεία. Αυτές μπορούν να οδηγήσουν σε απειλές για την ασφάλεια των πληροφοριών των εταιρειών και των οργανισμών. Σε αυτές περιλαμβάνονται:

  • Ransomware, ένα λογισμικό εκβιασμού που μπορεί να οδηγήσει στην κρυπτογράφηση μέσων δεδομένων και στην απόκτηση πληροφοριών που θέτουν σε κίνδυνο
  • Trojan απομακρυσμένης πρόσβασης (RAT), το οποίο μπορεί να επιτρέψει την απομακρυσμένη πρόσβαση στο δίκτυο
  • Phishing και SPAM, τα οποία μπορούν να οδηγήσουν σε απώλεια ελέγχου μέσω ηλεκτρονικού ταχυδρομείου. Εδώ, μια ιδιαίτερα δημοφιλής πύλη είναι ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) και το αίτημα σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου να ελεγχθούν τα δεδομένα των πελατών κάνοντας κλικ σε έναν σύνδεσμο. Συχνά, οι αποστολείς εμφανίζονται ως τράπεζες ή ακόμη και ως PayPal.
  • DDoS/botnets, τα οποία μπορούν να οδηγήσουν στην υποβάθμιση της διαθεσιμότητας και της ακεραιότητας των συστημάτων λόγω των τεράστιων πακέτων δεδομένων
  • Κυβερνοτρομοκράτες, ακτιβιστές, εγκληματίες, καθώς και εσωτερικοί δράστες, οι οποίοι φέρουν μεγάλη ποικιλία απειλών.
  • Ανεπαρκείς ή ελλιπείς διαδικασίες

Ο εντοπισμός των τρωτών σημείων και των κενών ασφαλείας που προκύπτουν από αυτές τις απειλές απαιτεί αξιολόγηση των αναγκών προστασίας με το ISO 27001, διότι αυτό οδηγεί σε συστηματική διαχείριση των τρωτών σημείων για την ασφάλεια της υποδομής ΤΠ με συνεχή αξιολόγηση των τρωτών σημείων.

Ελαττωματικές διαδικασίες - Μια απειλή για την ασφάλεια των πληροφοριών;

Χωρίς μια διαδικασία ανάλυσης των αρχείων καταγραφής και των δεδομένων καταγραφής του συστήματος, τη γνώση των τεχνικών τρωτών σημείων και μια πιο εμπεριστατωμένη επισκόπηση των συστημάτων ΤΠ, δεν είναι δυνατή μια ρεαλιστική αξιολόγηση των κινδύνων. Επίσης, η έλλειψη ή η ελαττωματική διαδικασία δεν επιτρέπει τη θέσπιση κριτηρίων αποδοχής κινδύνων ή τον προσδιορισμό επιπέδων κινδύνου - όπως απαιτείται από το ISO 27001.

Προκύπτει ότι ο κίνδυνος για την ασφάλεια των ΤΠ, και συνεπώς για την ασφάλεια των πληροφοριών μιας επιχείρησης, δεν μπορεί να προσδιοριστεί και πρέπει να θεωρηθεί ότι είναι ο υψηλότερος δυνατός κίνδυνος για την εν λόγω επιχείρηση.

Διαχείριση τρωτότητας στο πλαίσιο του ISO 27001: Βέλτιστη διασφάλιση της υποδομής

Ένα πιθανό κατάλληλο μέτρο για την εξασφάλιση της υποδομής ΤΠ είναι η διαχείριση των πιθανών τρωτών σημείων και των κενών ασφαλείας. Αυτό περιλαμβάνει τακτική, συστηματική, ελεγχόμενη από το δίκτυο σάρωση και δοκιμές διείσδυσης όλων των συστημάτων για τεχνικά τρωτά σημεία. Τυχόν ευπάθειες που εντοπίζονται καταγράφονται στο σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS) σύμφωνα με το ISO 27001.

Είναι επίσης σημαντικό να καθοριστούν οι απειλές για την ασφάλεια των ΤΠ - καθώς και η γενικότερη ασφάλεια των πληροφοριών. Σε αυτό το πλαίσιο, τα τεχνικά τρωτά σημεία πρέπει να ιεραρχούνται ανάλογα με τη σοβαρότητα (CVSS) και τελικά να αποκαθίστανται. Η αξιολόγηση του υπολειπόμενου κινδύνου από τις υπόλοιπες τεχνικές ευπάθειες και, τελικά, η αποδοχή του κινδύνου αποτελούν επίσης μέρος της διαχείρισης ευπαθειών σύμφωνα με το ISO 27001.

Για την αξιολόγηση της σοβαρότητας μιας ευπάθειας μπορεί να χρησιμοποιηθεί το βιομηχανικό πρότυπο"CVSS - Common Vulnerability Scoring System ". Μια συνολική βαθμολογία από 0 έως 10 προσδιορίζεται από τις Μετρικές Βασικής Βαθμολογίας (Base Score Metrics), οι οποίες εξετάζουν, μεταξύ άλλων, τις εξής ερωτήσεις: Πόσο "κοντά" πρέπει να φτάσει ο επιτιθέμενος στο ευάλωτο σύστημα (διάνυσμα επίθεσης); Πόσο εύκολα φτάνει ο επιτιθέμενος στο στόχο (Πολυπλοκότητα επίθεσης); Ποια δικαιώματα πρόσβασης απαιτούνται για την εκμετάλλευση της ευπάθειας (Privileges Required); Χρειάζονται βοηθοί, π.χ. ένας χρήστης που πρέπει πρώτα να ακολουθήσει έναν σύνδεσμο (User Interaction); Διακινδυνεύεται η εμπιστευτικότητα (Confidentiality Impact);


Ένας υπολογιστής CVSS μπορεί να βρεθεί στις σελίδες του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας των ΗΠΑ (NIST).

Πώς μπορεί μια εταιρεία να προστατευθεί από τεχνικές ευπάθειες;

Για παράδειγμα, μια εταιρεία μπορεί να προστατευτεί προληπτικά από κακόβουλο λογισμικό με την εισαγωγή και εφαρμογή μέτρων ανίχνευσης, πρόληψης και ασφάλειας δεδομένων σε συνδυασμό με την κατάλληλη ευαισθητοποίηση των χρηστών. Αναλυτικότερα, αυτό σημαίνει ότι: Για να αποτραπεί η εκμετάλλευση μιας τεχνικής ευπάθειας στο πλαίσιο της διαχείρισης ευπαθειών του ISO 27001, είναι απαραίτητο να

  • Να λαμβάνετε έγκαιρα πληροφορίες σχετικά με τις τεχνικές ευπάθειες των χρησιμοποιούμενων πληροφοριακών συστημάτων
  • να αξιολογηθεί η τρωτότητά τους, και
  • να λαμβάνονται τα κατάλληλα μέτρα.

Αυτό μπορεί να γίνει με την εγκατάσταση επιδιορθώσεων ασφαλείας (patch management), την απομόνωση των ευάλωτων συστημάτων ΤΠ ή τελικά μέσω της διακοπής λειτουργίας του συστήματος. Επιπλέον, πρέπει να καθοριστούν και να εφαρμοστούν κανόνες για την εγκατάσταση λογισμικού από τους χρήστες.

Σημαντικές ερωτήσεις σχετικά με τη διαχείριση ευπάθειας και την έννοια της ασφάλειας του ISO 20071

Οι ακόλουθες ερωτήσεις θα μπορούσαν να τεθούν κατά τη διάρκεια ενός ελέγχου, οπότε έχει νόημα να τις αντιμετωπίσετε εκ των προτέρων:

  • Έχετε ορίσει ρόλους και αρμοδιότητες για την αντιμετώπιση και παρακολούθηση των τεχνικών ευπαθειών;
  • Έχετε ενημερωθεί για τις πηγές πληροφοριών που μπορούν να χρησιμοποιηθούν για τον εντοπισμό τεχνικών τρωτών σημείων;
  • Υπάρχει προθεσμία για την ανταπόκριση με δράση όταν κοινοποιείται και ανακαλύπτεται μια ευπάθεια;
  • Έχετε πραγματοποιήσει αξιολόγηση κινδύνου των τρωτών σημείων σε σχέση με τα περιουσιακά στοιχεία της εταιρείας, μεταξύ άλλων;
  • Γνωρίζετε τα τεχνικά τρωτά σημεία σας;

Αν θέλετε να αποκτήσετε μια ολοκληρωμένη και τεκμηριωμένη επισκόπηση των απειλών της Γερμανίας στον κυβερνοχώρο, μπορείτε να βρείτε την "Έκθεση κατάστασης για την ασφάλεια των ΤΠ 2019" στα αγγλικά από το Γερμανικό Ομοσπονδιακό Γραφείο Ασφάλειας Πληροφοριών (BSI) στη διεύθυνση https://www.bsi.bund.de.

Συμπέρασμα

Η διαχείριση των τρωτών σημείων στο πλαίσιο του ISO 27001 είναι μια συνεχής διαδικασία που πρέπει να διεξάγεται τακτικά. Σύμφωνα με το ISO 27001, τα αποτελέσματα πρέπει να είναι "έγκυρα". Αυτό σημαίνει ότι μια εφάπαξ σάρωση τρωτότητας και αξιολόγηση κινδύνων για την εφαρμογή ή την πιστοποίηση δεν είναι πλέον έγκυρη σε μεταγενέστερη χρονική στιγμή, για παράδειγμα κατά την επαναπιστοποίηση.

Μια σάρωση ευπάθειας είναι έγκυρη μόνο τη στιγμή ακριβώς που πραγματοποιείται. Εάν όμως γίνουν αργότερα ενημερώσεις λογισμικού ή αλλαγές στην τοπολογία, αυτές μπορεί να οδηγήσουν σε νέες ευπάθειες.

Ως εκ τούτου, είναι σημαντικό για κάθε οργανισμό να παρακολουθεί, να επαληθεύει και να επαναλαμβάνει συνεχώς τις διαδικασίες διαχείρισης των ευπαθειών και να μεταφέρει τις σχετικές πληροφορίες στο σύστημα διαχείρισης της ασφάλειας πληροφοριών.

Πιστοποίηση ISO 27001

Με ποια προσπάθεια πρέπει να υπολογίσετε για να πιστοποιήσετε το ISMS σας σύμφωνα με το ISO 27001; Ενημερωθείτε δωρεάν και χωρίς υποχρέωση.

Ανυπομονούμε να συζητήσουμε μαζί σας.

DQS. Απλά αξιοποιώντας την ποιότητα.

Θεωρούμε τους εαυτούς μας σημαντικούς συνεργάτες των πελατών μας, με τους οποίους συνεργαζόμαστε σε επίπεδο ματιών για την επίτευξη βιώσιμης προστιθέμενης αξίας. Στόχος μας είναι να δώσουμε στους οργανισμούς σημαντικά ερεθίσματα προστιθέμενης αξίας για την επιχειρηματική τους επιτυχία μέσω των απλούστερων διαδικασιών, καθώς και της απόλυτης τήρησης των προθεσμιών και της αξιοπιστίας.

Οι βασικές μας αρμοδιότητες έγκεινται στην εκτέλεση ελέγχων και αξιολογήσεων πιστοποίησης. Αυτό μας καθιστά έναν από τους κορυφαίους παρόχους παγκοσμίως με την αξίωση να θέτουμε πάντα νέα σημεία αναφοράς στην αξιοπιστία, την ποιότητα και τον προσανατολισμό προς τον πελάτη.

Συγγραφέας
André Saeckel

Υπεύθυνος προϊόντων στην DQS για τη διαχείριση της ασφάλειας πληροφοριών. Ως εμπειρογνώμονας προτύπων για τον τομέα της ασφάλειας των πληροφοριών και του καταλόγου ασφάλειας ΤΠ (κρίσιμες υποδομές), ο André Säckel είναι υπεύθυνος για τα ακόλουθα πρότυπα και τα ειδικά για τον κλάδο πρότυπα, μεταξύ άλλων: ISO 27001, ISIS12, ISO 20000-1, KRITIS και TISAX (ασφάλεια πληροφοριών στην αυτοκινητοβιομηχανία). Είναι επίσης μέλος της ομάδας εργασίας ISO/IEC JTC 1/SC 27/WG 1 ως εθνικός αντιπρόσωπος του Γερμανικού Ινστιτούτου Τυποποίησης DIN.

Ερωτήσεις;

Είμαστε εδώ για εσάς.
Επικοινωνία