datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Haavoittuvuuksien hallinta ISO 27001 -standardin yhteydessä

André Saeckel

DQS Standard Expert for Information Security
toukok. 23 , 2023
# Tietoturva ja riskienhallinta

ISO 27001 -standardissa keskitytään organisaation arkaluonteisiin, arvokkaisiin tietoihin: Sen suojaaminen, luottamuksellisuus, eheys ja saatavuus. ISO 27001 on kansainvälinen standardi yksityisten, julkisten tai voittoa tavoittelemattomien organisaatioiden tietoturvaa varten. Standardissa kuvataan vaatimukset dokumentoidun tietoturvallisuuden hallintajärjestelmän (ISMS) perustamiselle, toteuttamiselle, toiminnalle ja optimoinnille. Hallintajärjestelmän pääpaino on riskien tunnistamisessa, käsittelyssä ja hoitamisessa.

SISÄLTÖ

Mitä uhkia ja riskejä tietoturvaan liittyy?

ISO 27001 -standardin yhteydessä haavoittuvuuksien hallinnalla tarkoitetaan teknisiä haavoittuvuuksia. Nämä voivat johtaa yritysten ja organisaatioiden tietoturvaan kohdistuviin uhkiin. Näitä ovat mm:

  • Ransomware, kiristysohjelmisto, joka voi johtaa tietovälineiden salaamiseen ja vaarantavien tietojen saamiseen.
  • Etäkäyttötroijalainen (RAT), joka voi mahdollistaa etäyhteyden verkkoon.
  • Phishing ja SPAM, jotka voivat johtaa hallinnan menettämiseen sähköpostin välityksellä. Tässä erityisen suosittu väylä on yleinen tietosuoja-asetus (GDPR) ja sähköpostissa oleva pyyntö tarkistaa asiakastiedot klikkaamalla linkkiä. Usein lähettäjät esiintyvät pankkeina tai jopa PayPalina.
  • DDoS/botnetit, jotka voivat johtaa järjestelmien käytettävyyden ja eheyden heikentymiseen valtavien datapakettien vuoksi.
  • Valtioiden tukemat kyberterroristit, aktivistit, rikolliset sekä sisäiset rikolliset, jotka tuovat monenlaisia uhkia.
  • Riittämättömät tai puuttuvat prosessit

Näiden uhkien aiheuttamien haavoittuvuuksien ja tietoturva-aukkojen tunnistaminen edellyttää ISO 27001 -standardin mukaista suojaustarpeiden arviointia, koska sen tuloksena on järjestelmällinen haavoittuvuuksien hallinta, jolla IT-infrastruktuuri suojataan jatkuvalla haavoittuvuuksien arvioinnilla.

Virheelliset prosessit - uhka tietoturvalle?

Ilman järjestelmälokeja ja lokitietoja analysoivaa prosessia, teknisten haavoittuvuuksien tuntemusta ja IT-järjestelmien perusteellisempaa tarkastelua realistinen riskinarviointi ei ole mahdollista. Prosessin puuttuminen tai sen puutteet eivät myöskään mahdollista riskien hyväksymiskriteerien laatimista tai riskitasojen määrittämistä - kuten ISO 27001 -standardissa edellytetään.

Tästä seuraa, että tietoturvallisuuteen ja siten yrityksen tietoturvaan kohdistuvaa riskiä ei voida määrittää, vaan sen on oletettava olevan suurin mahdollinen riski kyseiselle yritykselle.

Haavoittuvuuden hallinta ISO 27001 -standardin yhteydessä: infrastruktuurin optimaalinen turvaaminen.

Yksi mahdollinen asianmukainen toimenpide tietotekniikkainfrastruktuurin turvaamiseksi on mahdollisten haavoittuvuuksien ja tietoturva-aukkojen hallinta. Tähän kuuluu kaikkien järjestelmien säännöllinen, järjestelmällinen, verkko-ohjattu skannaus ja tunkeutumistestaus teknisten haavoittuvuuksien varalta. Kaikki havaitut haavoittuvuudet kirjataan ISO 27001 -standardin mukaiseen tietoturvallisuuden hallintajärjestelmään (ISMS).

Samoin on tärkeää määritellä tietoturvallisuuteen kohdistuvat uhat - samoin kuin yleinen tietoturva. Tässä yhteydessä tekniset haavoittuvuudet on priorisoitava vakavuuden mukaan (CVSS) ja lopulta korjattava. Jäljellä olevista teknisistä haavoittuvuuksista aiheutuvan jäännösriskin arviointi ja lopulta riskin hyväksyminen ovat myös osa ISO 27001 -standardin mukaista haavoittuvuuksien hallintaa.

Haavoittuvuuden vakavuuden arviointiin voidaan käyttää alan standardia"CVSS - Common Vulnerability Scoring System ". Kokonaispistemäärä 0-10 määritetään Base Score Metrics -mittareista, jotka koskevat muun muassa näitä kysymyksiä: Kuinka "lähelle" hyökkääjän on päästävä haavoittuvaa järjestelmää (hyökkäysvektori)? Kuinka helposti hyökkääjä pääsee kohteeseen (Attack Complexity)? Mitä käyttöoikeuksia haavoittuvuuden hyödyntäminen edellyttää (Privileges Required)? Tarvitaanko avustajia, esim. käyttäjä, jonka on ensin seurattava linkkiä (User Interaction)? Onko luottamuksellisuus vaarantunut (Confidentiality Impact)?


CVSS-laskuri löytyy Yhdysvaltain kansallisen standardointi- ja teknologiainstituutin (NIST) sivuilta.

Miten yritys voi suojautua teknisiltä haavoittuvuuksilta?

Yritys voi esimerkiksi suojautua ennaltaehkäisevästi haittaohjelmilta ottamalla käyttöön ja toteuttamalla havaitsemis-, torjunta- ja tietoturvatoimenpiteitä yhdessä käyttäjien asianmukaisen tietoisuuden kanssa. Yksityiskohtaisesti tämä tarkoittaa seuraavaa: Teknisen haavoittuvuuden hyväksikäytön estämiseksi ISO 27001 -standardin haavoittuvuudenhallinnan yhteydessä on tarpeen:

  • Hankitaan ajoissa tietoa käytettävien tietojärjestelmien teknisistä haavoittuvuuksista.
  • arvioida niiden haavoittuvuus ja
  • ryhtyä asianmukaisiin toimenpiteisiin.

Tämä voidaan tehdä asentamalla tietoturvakorjauksia (korjausten hallinta), eristämällä haavoittuvia tietojärjestelmiä tai viime kädessä sulkemalla järjestelmä. Lisäksi on määriteltävä ja pantava täytäntöön säännöt, jotka koskevat käyttäjien suorittamaa ohjelmistojen asentamista.

Tärkeitä kysymyksiä haavoittuvuuksien hallinnasta ja ISO 20071 -standardin turvallisuuskäsitteestä.

Seuraavat kysymykset voidaan esittää auditoinnin aikana, joten on järkevää käsitellä niitä etukäteen:

  • Oletteko määritelleet roolit ja vastuut teknisten haavoittuvuuksien käsittelyä ja seurantaa varten?
  • Oletteko tutustuneet tietolähteisiin, joita voidaan käyttää teknisten haavoittuvuuksien tunnistamiseen?
  • Onko olemassa määräaika, johon mennessä on ryhdyttävä toimiin, kun haavoittuvuudesta ilmoitetaan ja se havaitaan?
  • Oletteko tehneet riskinarvioinnin haavoittuvuuksista muun muassa yrityksen omaisuuden kannalta?
  • Tunnetko tekniset haavoittuvuutesi?

Jos haluat kattavan ja perustellun yleiskatsauksen Saksan kyberalan uhkista, löydät Saksan tietoturvaviraston (BSI) englanninkielisen "Situation Report on IT Security 2019" -raportin osoitteesta https://www.bsi.bund.de.

Johtopäätös

Haavoittuvuuksien hallinta ISO 27001 -standardin yhteydessä on jatkuva prosessi, jota on toteutettava säännöllisesti. ISO 27001 -standardin mukaan tulosten on oltava "päteviä". Tämä tarkoittaa sitä, että kertaluonteinen haavoittuvuuksien skannaus ja riskien arviointi täytäntöönpanoa tai sertifiointia varten ei ole enää pätevä myöhemmässä vaiheessa, esimerkiksi uudelleensertifioinnin yhteydessä.

Haavoittuvuusskannaus on pätevä vain juuri sillä hetkellä, kun se suoritetaan. Mutta jos ohjelmistopäivityksiä tehdään myöhemmin tai topologiaan tehdään muutoksia, ne voivat johtaa uusiin haavoittuvuuksiin.

Siksi minkä tahansa organisaation on tärkeää seurata, tarkistaa ja toistaa haavoittuvuuksien hallintaprosesseja jatkuvasti ja siirtää asiaankuuluvat tiedot tietoturvan hallintajärjestelmään.

ISO 27001 -sertifiointi

Millaisia ponnisteluja sinun on laskettava, jotta saat ISMS:n sertifioitua ISO 27001 -standardin mukaisesti? Hanki tietoa maksutta ja sitoumuksetta.

Odotamme innolla keskustelua kanssasi.

DQS. Simply leveraging Quality.

Pidämme itseämme asiakkaidemme tärkeinä kumppaneina, joiden kanssa työskentelemme silmätasolla kestävän lisäarvon saavuttamiseksi. Tavoitteenamme on antaa organisaatioille tärkeitä lisäarvoa tuovia impulsseja niiden yrittäjämäiseen menestykseen yksinkertaisimpien prosessien avulla sekä noudattamalla äärimmäisen tarkasti määräaikoja ja luotettavuutta.

Keskeinen osaamisalueemme on sertifiointiauditointien ja -arviointien suorittaminen. Tämä tekee meistä yhden maailman johtavista palveluntarjoajista, joilla on oikeus asettaa aina uusia mittapuita luotettavuuden, laadun ja asiakaslähtöisyyden suhteen.

Kirjoittaja
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Onko kysyttävää?

Olemme täällä sinua varten.
Ota yhteyttä