Upravljanje konfiguracijom u informacijskoj sigurnosti

SADRŽAJ

• Sve veća složenost i prijetnje
• Upravljanje konfiguracijom u kontekstu ISO 27001:2022
• Kontrola 8.9 "Upravljanje konfiguracijom"
• Upravljanje konfiguracijom u informacijskoj sigurnosti - Zaključak
• DQS: Vaš kontakt za certificiranu sigurnost informacija

Sve veća složenost i prijetnje

Neispravne postavke i sigurnosne konfiguracije kriju nesagledive rizike za sigurnost informacija. S obzirom na sve veću složenost modernih IT okruženja, upravljanje konfiguracijom - tj. kontinuirano i sustavno definiranje, dokumentiranje, implementacija, praćenje i pregled sigurnosnih konfiguracija - postaje izazovan zadatak koji se proteže kroz upravljanje sukladnošću organizacije.

Za osobe koje ovo područje ne poznaju dovoljno, IT infrastruktura je zbunjujuća mreža aplikacija, uređaja, mrežnih komponenti i usluga, bilo da se nalazi na lokaciji ili "u oblaku". Količina potonjih je izrazito porasla tijekom pandemije koronavirusa. Za IT timove, međutim, konfiguriranje sve većeg broja komponenti sustava te kontinuirano praćenje i prilagođavanje konfiguracija sustava znači znatnu količinu posla, što često opterećuje zaposlenike. Bez sustavnog upravljanja konfiguracijom to može dovesti do značajnog sigurnosnog rizika i gubitka ili zlouporabe podataka (uključujući osobne podatke).

Uostalom, 81% upravitelja sigurnošću iz njemačkog istraživanja iz 2022 izjavilo je da ranjivosti i nepoznate pogrešne konfiguracije uzrokuju najveće sigurnosne probleme u njihovim infrastrukturama. I u Pandemic eleven, istraživanju udruženja Cloud Security Alliance o najozbiljnijim ranjivostima u računalstvu u oblaku tijekom pandemije, pogrešne konfiguracije također su na istaknutom trećem mjestu.

Stoga je logična posljedica razvoja posljednjih godina posvetiti više pažnje upravljanju konfiguracijom u informacijskoj tehnologiji, primjerice u kontekstu neovlaštenog pristupa. Stoga je logično da novi ISO/IEC 27001:2022 ovoj temi posvećuje zasebnu kontrolu za sigurnost informacija.

Upravljanje konfiguracijom u kontekstu ISO 27001:2022

Restrukturirani Aneks A ISO 27001 iz 2022. godine sadrži 93 mjere (kontrole) informacijske sigurnosti, uključujući 11 novih. Ovim ažuriranjem, kontrole su sada organizirane u četiri tematska odjeljka

• Organizacijske mjere
• Osobne mjere
• Fizičke mjere
• Tehnološke mjere

Upravljanje sigurnom konfiguracijom u informacijskoj tehnologiji spada u predmetno područje tehnoloških ili tehničkih mjera i navedeno je u Dodatku A pod 8.9. To je jedan od preventivnih alata koji podržava sva tri zaštitna cilja informacijske sigurnosti (povjerljivost, cjelovitost i dostupnost).

Standardni predlošci

Definicija standardnih predložaka pomaže organizacijama da sistematiziraju svoje upravljanje konfiguracijom. U ovom razvoju treba uzeti u obzir sljedeće osnovne aspekte:

• Javno dostupne smjernice, na primjer od dobavljača ili neovisnih sigurnosnih tijela
• Potrebne razine zaštite kako bi se osigurala odgovarajuća sigurnost
• Podrška za politiku interne informacijske sigurnosti, smjernice specifične za temu, standarde i druge sigurnosne zahtjeve
• Izvedivost i primjenjivost konfiguracija u kontekstu organizacije

Razvijene standardne predloške treba redovito pregledavati i ažurirati, posebno kada je potrebno riješiti nove prijetnje ili ranjivosti ili kada se u organizaciju uvode nove verzije softvera ili hardvera.

Postoje i brojne druge točke koje treba uzeti u obzir prilikom izrade predložaka. Sve to pomaže spriječiti neovlaštene ili netočne promjene konfiguracija:

• Minimiziranje broja identiteta s povlaštenim ili administrativnim pravima pristupa
• Deaktiviranje nepotrebnih, neiskorištenih ili nesigurnih identiteta
• Deaktiviranje ili ograničavanje funkcija i usluga koje nisu potrebne
• Ograničavanje pristupa moćnim uslužnim programima i postavkama parametara domaćina
• Sinkronizacija satova
• Promjena zadanih podataka za autentifikaciju proizvođača i zadanih lozinki odmah nakon instalacije i provjera važnih sigurnosnih parametara
• Pozivanje značajki timeout-a koje automatski odjavljuju računalne uređaje nakon određenog razdoblja neaktivnosti
• Provjeravanje jesu li ispunjeni zahtjevi licence

Upravljanje i praćenje konfiguracija

Sve konfiguracije treba zabilježiti, a promjene pouzdano evidentirati kako bi se isključile pogrešne konfiguracije nakon incidenta. Ove informacije moraju biti sigurno pohranjene, na primjer u konfiguracijskim bazama podataka ili predlošcima.

Sve promjene provode se u skladu s kontrolom 8.32 "Kontrola promjena", koja opisuje smjernice za izmjene smjernica obrade informacija i informacijskih sustava. Konfiguracijski zapisi moraju sadržavati sve informacije potrebne za praćenje statusa IT sustava ili imovine i svih promjena koje su učinjene u bilo kojem trenutku. To uključuje, na primjer, sljedeće informacije

• Aktualne informacije o predmetnoj imovini - Tko je vlasnik ili kontakt osoba?
• Datum zadnje promjene konfiguracije
• Verzija konfiguracijskog predloška
• Veze i odnosi s konfiguracijama drugih sredstava

Opsežan skup alata za upravljanje sustavom - kao što su programi za održavanje, podrška na daljinu, alati za upravljanje poduzećem i softver za sigurnosno kopiranje i vraćanje - pomaže u nadziranju i redovitoj provjeri konfiguracija. Uz pomoć ovih alata, upravitelji mogu provjeriti konfiguracijske postavke, procijeniti snagu lozinki i procijeniti izvršene aktivnosti.

Stvarna stanja također se mogu usporediti s definiranim ciljnim predlošcima i odgovarajući odgovori mogu se pokrenuti u slučaju odstupanja - bilo automatskim provođenjem definirane ciljne konfiguracije ili ručnom analizom odstupanja i kasnijim korektivnim mjerama. Automatizacija, na primjer putem infrastrukture kao koda (programabilna infrastruktura), omogućuje učinkovito i sigurno upravljanje sigurnosnim konfiguracijama u virtualiziranim okruženjima i računalstvu u oblaku.

Upravljanje konfiguracijom u informacijskoj sigurnosti - sažetak

Upravljanje konfiguracijom u informacijskoj sigurnosti važan je sigurnosni alat i daje trajan doprinos značajnom smanjenju sigurnosnih praznina uzrokovanih pogrešnim konfiguracijama. Svojim sustavnim pristupom rasterećuje interne timove i pridonosi učinkovitom IT poslovanju te jačanju sustava i dostupnosti informacija i povjerljivih podataka. Očigledni su, na primjer, i pozitivni učinci na zaštitu osobnih podataka.

Upravljanje konfiguracijom također se može integrirati u procese upravljanja imovinom i povezane alate. Centralno upravljanje sigurnosnim postavkama omogućuje brzu reakciju na nove prijetnje i ranjivosti u dostupnosti sustava i zaštiti podataka, čime se pomaže minimizirati potencijalne površine napada u sustavima. Nova kontrola sigurnosti informacija 8.9 iz ISO 27001 pruža važan doprinos sigurnosti za organizacije i njihovo upravljanje.

Ovu dodanu vrijednost moraju implementirati poduzeća i organizacije. Zahtjevi iz kontrole 8.9 moraju se usporediti s trenutnim statusom i dodatno optimizirati putem kontroliranog procesa promjene. S više od 35 godina stručnosti u auditima i certificiranju, mi smo vaš idealan partner i možemo vam pružiti savjete i podršku na temu informacijske sigurnosti.

Što ažuriranje znači za vašu certifikaciju?

ISO/IEC 27001:2022 objavljen je 25. listopada 2022.

To rezultira sljedećim rokovima i razdobljima prijelaza za korisnike

Zadnji datum za početne/recertifikacijske audite prema "starom" ISO 27001

• Nakon 30. travnja 2024. DQS će provoditi samo inicijalne i recertifikacijske audite u skladu s novim standardom ISO/IEC 27001:2022

Konverzija svih postojećih certifikata prema "starom" ISO/IEC 27001:2013 na novu verziju 2022.

• Prijelazno razdoblje od 3 godine primjenjuje se od 31. listopada 2022.
• certifikati izdani prema ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 vrijede najkasnije do 31. listopada 2025. ili se moraju povući tog datuma

ISO/IEC 27001:2022 - Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti - Sustavi upravljanja informacijskom sigurnošću - Zahtjevi

DQS: Simply leveraging Security

Organizacije još uvijek imaju malo vremena za prijelaz na novu verziju ISO/IEC 27001. Trenutačni certifikati koji se temelje na starom standardu prestaju biti valjani 31. listopada 2025. Unatoč tome, organizacijama se savjetuje da se pozabave promijenjenim zahtjevima za sustav upravljanja informacijskom sigurnošću (ISMS) u ranoj fazi, pokrenu odgovarajuće procese promjena i implementiraju ih u skladu s tim.

Kao stručnjaci u auditima i certifikaciji s više od tri desetljeća iskustva, možemo vam pomoći u implementaciji novog ISO 27001:2022. Saznajte od naših brojnih iskusnih auditora o najvažnijim promjenama i njihovoj važnosti za vaše poduzeće - i povjerite se našoj stručnosti. Radujemo se razgovoru s vama.

Povjerenje i stručnost

Naše članke i bijele knjige napisali su isključivo naši stručnjaci za standarde ili dugogodišnji stručnjaci auditori. Ako imate bilo kakvih pitanja za naše autore o sadržaju teksta ili našim uslugama, kontaktirajte nas.