datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Upravljanje ranjivostima u kontekstu ISO 27001

André Saeckel

DQS stručnjak za standarde za informacijsku sigurnost
svi 23 , 2023
# Informacijska sigurnost i upravljanje rizikom

ISO 27001 je usredotočen na osjetljive, vrijedne informacije organizacije: njihovu zaštitu, povjerljivost, integritet i dostupnost. ISO 27001 je međunarodna norma za informacijsku sigurnost u privatnim, javnim ili neprofitnim organizacijama. Norma opisuje zahtjeve za uspostavu, implementaciju, rad i optimizaciju dokumentiranog sustava upravljanja sigurnošću informacija (ISMS). Glavni fokus sustava upravljanja je na identifikaciji, rukovanju i tretmanu rizika.

SADRŽAJ

Koje su prijetnje i rizici informacijskoj sigurnosti?

Upravljanje ranjivostima u kontekstu ISO 27001 odnosi se na tehničke ranjivosti. To može dovesti do prijetnji IT sigurnosti tvrtki i organizacija. To uključuje:

  • Ransomware, softver za iznuđivanje koji može dovesti do enkripcije medija podataka i dobivanja kompromitirajućih informacija
  • Trojanac za daljinski pristup (RAT), koji može dopustiti daljinski pristup mreži
  • Phishing i SPAM, koji mogu dovesti do gubitka kontrole putem e-pošte. Ovdje je posebno popularan gateway Opća uredba o zaštiti podataka (GDPR) i zahtjev u e-poruci za provjeru podataka korisnika klikom na poveznicu. Često se čini da su pošiljatelji banke ili čak PayPal.
  • DDoS/botnetovi, koji mogu dovesti do narušavanja dostupnosti i integriteta sustava zbog ogromnih paketa podataka
  • Državno sponzorirani cyberteroristi, aktivisti, kriminalci kao i unutarnji počinitelji koji donose široku paletu prijetnji
  • Neadekvatni ili nedostajući procesi

Identificiranje ranjivosti i sigurnosnih propusta koji proizlaze iz ovih prijetnji zahtijeva procjenu potreba za zaštitom s ISO 27001, jer to rezultira sustavnim upravljanjem ranjivostima kako bi se osigurala IT infrastruktura uz kontinuiranu procjenu ranjivosti.

ISO/IEC 27001:2022 - Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti - Sustavi upravljanja informacijskom sigurnošću - Zahtjevi

ISO norma je revidirana i ponovno objavljena 25. listopada 2022. godine.

Pogrešni procesi - Prijetnja informacijskoj sigurnosti?

Bez procesa analize logova sustava i log podataka, poznavanja tehničkih ranjivosti i dubljeg pregleda IT sustava, realna procjena rizika nije moguća. Niti nedostatak ili manjkav proces ne dopušta uspostavljanje kriterija prihvaćanja rizika ili određivanje razina rizika - kako to zahtijeva ISO 27001.

Iz toga slijedi da se rizik za IT sigurnost, a time i za informacijsku sigurnost poduzeća, ne može odrediti i mora se pretpostaviti da je najveći mogući rizik za to poduzeće.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Pogledajte sada: Što se mijenja s novom normom ISO/IEC 27001:2022

Novo izdanje ISO/IEC 27001, prilagođeno suvremenim informacijskim rizicima, objavljeno je 25. listopada 2022. Što to znači za korisnike norme? U našoj besplatnoj snimci webinara saznat ćete više o:

  • Novim značajkama ISO/IEC 27001:2022 - Okvir i Dodatak A
  • ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i hashtagovi
  • Vremenski okvir za prijelaz i novi koraci
Pogledajte snimku sada

Upravljanje ranjivostima u kontekstu ISO 27001: Optimalno osiguravanje infrastrukture

Jedna od mogućih odgovarajućih mjera za osiguranje IT infrastrukture je upravljanje potencijalnim ranjivostima i sigurnosnim prazninama. To uključuje redovito, sustavno, mrežno kontrolirano skeniranje i testove prodora svih sustava na tehničke ranjivosti. Sve identificirane ranjivosti bilježe se u sustavu upravljanja sigurnošću informacija (ISMS) u skladu s ISO 27001.

Također je važno definirati prijetnje IT sigurnosti - kao i sveobuhvatnoj informacijskoj sigurnosti. U tom kontekstu, tehničkim se ranjivostima mora dati prioritet prema ozbiljnosti (CVSS) i naposljetku ispraviti. Procjena preostalog rizika od preostalih tehničkih ranjivosti i, u konačnici, prihvaćanje rizika također su dio upravljanja ranjivostima prema ISO 27001.

Za procjenu ozbiljnosti ranjivosti može se koristiti industrijski standard "CVSS - Common Vulnerability Scoring System". Ukupna ocjena od 0 do 10 određena je iz metrike osnovnog rezultata, koja se, između ostalog, bavi ovim pitanjima: Koliko "blizu" napadač mora doći do ranjivog sustava (Attack Vector)? Koliko lako napadač dolazi do cilja (Složenost napada)? Koja su prava pristupa potrebna za iskorištavanje ranjivosti (potrebne privilegije)? Trebate li pomoćnike, na primjer korisnik koji prvo mora slijediti poveznicu (korisnička interakcija)? Je li povjerljivost ugrožena (utjecaj na povjerljivost)?


CVSS kalkulator može se pronaći na stranicama američkog Nacionalnog instituta za standarde i tehnologiju (NIST).

 

Kako se organizacija može zaštititi od tehničkih ranjivosti?

Na primjer, tvrtka se može preventivno zaštititi od zlonamjernog softvera uvođenjem i implementacijom mjera otkrivanja, prevencije i sigurnosti podataka u kombinaciji s odgovarajućom informiranošću korisnika. Detaljno, to znači: kako bi se spriječilo iskorištavanje tehničke ranjivosti u kontekstu ISO 27001 upravljanja ranjivostima, potrebno je:

  • Dobiti pravodobne informacije o tehničkim slabostima korištenih informacijskih sustava
  • Procijenite njihovu ranjivost i
  • Poduzmite odgovarajuće mjere

To se može učiniti instaliranjem sigurnosnih zakrpa (upravljanje zakrpama), izoliranjem ranjivih IT sustava ili u konačnici gašenjem sustava. Nadalje, pravila za instaliranje softvera od strane korisnika moraju biti definirana i implementirana.

Važna pitanja o upravljanju ranjivostima i konceptu sigurnosti ISO 20071

Tijekom audita mogu se postaviti sljedeća pitanja, pa ih ima smisla unaprijed riješiti:

  • Jeste li definirali uloge i odgovornosti za rješavanje i praćenje tehničkih ranjivosti?
  • Jeste li naučili o izvorima informacija koji se mogu koristiti za prepoznavanje tehničkih ranjivosti?
  • Postoji li rok za odgovor s radnjom kada se ranjivost obavijesti i otkrije?
  • Jeste li između ostalog proveli procjenu rizika ranjivosti imovine tvrtke?
  • Znate li svoje tehničke ranjivosti?

Ako želite dobiti sveobuhvatan i dobro utemeljen pregled prijetnji Njemačke u kibernetičkom prostoru, možete pronaći "Situation Report on IT Security 2019" na engleskom jeziku od njemačkog Saveznog ureda za informacijsku sigurnost (BSI) na https:/ /www.bsi.bund.de.

ISo 27001 upravljanje ranjivostima - Zaključak

Upravljanje ranjivostima u kontekstu ISO 27001 kontinuiran je proces koji se mora redovito provoditi. Prema ISO 27001, rezultati moraju biti "valjani". To znači da jednokratno skeniranje ranjivosti i procjena rizika za implementaciju ili certifikaciju više nisu valjani u kasnijoj točki, na primjer tijekom recertifikacije.

Skeniranje ranjivosti valjano je samo u trenutku kada se izvrši. Ali ako se kasnije izvrši ažuriranje softvera ili promjene topologije, to može dovesti do novih ranjivosti.

Stoga je za svaku organizaciju važno kontinuirano pratiti, verificirati i ponavljati procese upravljanja ranjivostima i prenositi relevantne informacije u sustav upravljanja informacijskom sigurnošću.

Vrijedno znanje: Vodič za DQS audit prema ISO 27001

Naš vodič za audit prema ISO 27001 - Dodatak A sastavili su vodeći stručnjaci kao praktičnu pomoć za implementaciju, te je on idealan za bolje razumijevanje odabranih zahtjeva standarda. Vodič se odnosi na verziju ISO 27001:2013. Ažuriranje koje se odnosi na novu verziju, objavljenu 25.10.2022., bit će pravovremeno dostupno. 

Preuzmite besplatno

DQS. Simply leveraging Quality.

Smatramo se važnim partnerima naših kupaca, s kojima radimo na razini očiju kako bismo postigli održivu dodanu vrijednost. Naš cilj je organizacijama dati važne impulse dodane vrijednosti za njihov poduzetnički uspjeh kroz najjednostavnije procese, kao i krajnje pridržavanje rokova i pouzdanost.

Naše ključne kompetencije leže u izvođenju certifikacijskih audita i procjena. To nas čini jednim od vodećih svjetskih dobavljača s tvrdnjom da u svakom trenutku postavljamo nova mjerila u pouzdanosti, kvaliteti i usmjerenosti na kupca.

Autor
André Saeckel

Voditelj proizvoda u DQS-u za upravljanje informacijskom sigurnošću. Kao stručnjak za standarde za područje informacijske sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel je odgovoran za sljedeće opće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informacijska sigurnost u automobilskoj industriji). Također je član radne skupine ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za normiranje (DIN).

Imate li pitanja?

Tu smo za vas.
Obratite nam se