Napjaink kiberfenyegetettségi tájai gyorsan változnak. Ezzel összhangban elengedhetetlen az információbiztonság szisztematikus védelmének folyamatos naprakészen tartása és továbbfejlesztése - a korszerű információbiztonsági intézkedések modern, széleskörű és rugalmas katalógusával. Az új ISO/IEC 27001:2022 pontosan ezt a célt támogatja, és tizenegy új, a támadások megelőzésében és felderítésében hatékony kontrollt biztosít, amelyek közül hármat az alábbiakban részletesebben is megvizsgálunk.

A jelenlegi változat A mellékletében szereplő intézkedések végrehajtását az ISO/IEC 27002:2022 azonos felépítésű végrehajtási útmutatója támogatja, amelyet már februárban frissítettek. A stratégiai támadások megelőzésére és gyorsabb felderítésére szolgáló általános ellenőrzések újonnan szerepelnek.

Három új ellenőrzés a felderítésre és megelőzésre

Az ISO/IEC 27001:2022 szabvány A mellékletének most már 93 intézkedése a frissítés keretében négy témakörbe szerveződik át

  • Szervezeti intézkedések,
  • Személyes intézkedések,
  • fizikai intézkedések és
  • Technológiai intézkedések.

A tizenegy újonnan bevezetett információbiztonsági ellenőrzés közül három a kibertámadások megelőzésével és időben történő észlelésével kapcsolatos. Ez a három ellenőrzés a következő

  • 5.7. Fenyegetés-felderítés (szervezeti).
  • 8.16. Monitoring tevékenységek (technológiai)
  • 8.23. Webszűrés (technológiai).

Az alábbiakban ezt a 3 új kontrollt vesszük közelebbről szemügyre.

Fenyegetés-felderítés

Az 5.7. szervezeti ellenőrzés a releváns fenyegetésekkel kapcsolatos információk szisztematikus gyűjtésével és elemzésével foglalkozik. Az intézkedés célja, hogy a szervezetek tisztában legyenek saját fenyegetettségi helyzetükkel, hogy ezt követően megfelelő intézkedéseket hozhassanak a kockázat mérséklésére. A fenyegetésekkel kapcsolatos adatokat strukturált módon, három szempont szerint kell elemezni: stratégiai, taktikai és operatív szempontok szerint.

A stratégiai fenyegetéselemzés betekintést nyújt a változó fenyegetési tájképekbe, például a támadások típusaiba és a szereplőkbe, pl. állami motivációjú szereplők, kiberbűnözők, szerződéses támadók, hacktivisták. A nemzeti és nemzetközi kormányzati szervek (például a BSI - Német Szövetségi Információbiztonsági Hivatal, az enisa - Európai Unió Kiberbiztonsági Ügynöksége, az Egyesült Államok Belbiztonsági Minisztériuma vagy a NIST - Nemzeti Szabványügyi és Technológiai Intézet), valamint a nonprofit szervezetek és a vonatkozó fórumok minden iparágban és kritikus infrastruktúrában jól megalapozott fenyegetéselemzéssel szolgálnak.

whitepaper-ISO 27001-faq-dqs-cover picture
Loading...


ISO/IEC 27001:2022 Gyakran ismételt kérdések
"Az új" információbiztonsági irányelv: 38 kérdés és válasz
Amit az információbiztonság "újdonságáról" tudni kell: szakértőnk 38 válasza 38 felhasználói kérdésre, mint például:
- Miről szólnak az új ellenőrzések?
- Mikor kell áttérni az új szabványra?
- Hol találom a régi vs. új megfeleltetések listáját? 
- ... valamint további 35 kérdésre! 

A kibertámadások túl sokáig maradnak észrevétlenek

Az információk és adatok kiemelkedő értéke a 21. századi üzleti világban egyre inkább arra kényszeríti a vállalatokat és szervezeteket, hogy az információbiztonságra összpontosítsanak, és beruházzanak digitális eszközeik szisztematikus védelmébe. Hogy miért? A dinamikus fenyegetési tájakon a támadók taktikája egyre kifinomultabbá és többrétegűvé válik - ami az érintett vállalatok imázsának és hírnevének súlyos károkat okoz, és világszerte több milliárd dolláros éves gazdasági veszteséget eredményez.

A szakértők egyetértenek abban, hogy a kibertámadások ellen már nincs teljes védelem - már csak a bizonytalanság emberi tényezője miatt sem. Ez még fontosabbá teszi a potenciális és tényleges támadások korai észlelését, hogy korlátozni lehessen azok oldalirányú vektorát a vállalati hálózatokban, és a lehető legalacsonyabb szinten lehessen tartani a veszélyeztetett rendszerek számát. Ezen a téren azonban még mindig hatalmas a felzárkózás: az IBM"Cost of a data breach 2022" című tanulmányának részeként végzett kutatás szerint 2022-ben átlagosan 277 napot vesz igénybe egy támadás felderítése és megfékezése.

Az új ISO 27001:2022

Annak érdekében, hogy a vállalatokat és szervezeteket az információbiztonsági irányítási rendszerek korszerű, szabványosított keretrendszerével segítse, az ISO 2022. október 25-én közzétette az új ISO/IEC 27001:2022 ISMS-szabványt. Az A melléklet olyan ellenőrzéseket/intézkedéseket tartalmaz, amelyek vállalatspecifikusan alkalmazhatók az információbiztonsági kockázatok kezelésére.

Loading...

DQS auditálási útmutató az ISO 27001-hez

Értékes know-how

Az ISO 27001 - A melléklet című auditálási útmutatót vezető szakértők készítették gyakorlati megvalósítási útmutatóként, és kiválóan alkalmas a kiválasztott szabványkövetelmények jobb megértésére. Az útmutató még nem hivatkozik az ISO 27001 2022 októberi, felülvizsgált változatára.

A szokatlan viselkedés észlelése érdekében a vonatkozó tevékenységeket az üzleti és információbiztonsági követelményekkel összhangban nyomon kell követni, és az esetleges rendellenességeket többek között össze kell hasonlítani a meglévő fenyegetési adatokkal (lásd fentebb, 5.7. követelmény). A felügyeleti rendszer szempontjából a következő szempontok relevánsak:

  • Bejövő és kimenő hálózati, rendszer- és alkalmazásforgalom,
  • Hozzáférés a rendszerekhez, szerverekhez, hálózati berendezésekhez, felügyeleti rendszerekhez, kritikus alkalmazásokhoz stb...,
  • Rendszer- és hálózati konfigurációs fájlok adminisztrációs vagy kritikus szintű rendszerkonfigurációs szinten;
  • Biztonsági eszközök naplói [pl. vírusirtók, behatolásérzékelő rendszerek (IDS), behatolásmegelőző rendszerek (IPS), webszűrők, tűzfalak, adatszivárgás elleni védelem],
  • a rendszer- és hálózati tevékenységekkel kapcsolatos eseménynaplók,
  • Annak ellenőrzése, hogy a rendszerben lévő futtatható kód rendelkezik-e integritással és jogosultsággal,
  • erőforrás-felhasználás, pl. processzorteljesítmény, lemezkapacitás, memóriahasználat, sávszélesség.

A tevékenységek működő nyomon követésének alapfeltételei a tisztán és átláthatóan konfigurált IT/OT infrastruktúra és a megfelelően működő IT/OT hálózatok. Az ezen alapállapottal szembeni bármilyen változás a funkcionalitást fenyegető potenciális veszélyként, tehát rendellenességként kerül felismerésre. Az infrastruktúra összetettségétől függően ennek az intézkedésnek a végrehajtása a megfelelő szállítói megoldások ellenére is komoly kihívást jelent. Az anomáliák észlelésére szolgáló rendszerek fontosságát szinte egyidejűleg ismerték fel az ISO/IEC 27002:2022 szabvány 8.16. követelményével az úgynevezett kritikus infrastruktúrák üzemeltetői számára. Így a vonatkozó, jogszabályi előírások nemzeti hatályában ezek számára kötelezettséget jelent az ún. támadásfelismerő rendszerek hatékony, határidőkkel történő alkalmazására.

Webszűrés

Az internet egyszerre áldás és átok. A kétes weboldalakhoz való hozzáférés továbbra is a rosszindulatú tartalmak és rosszindulatú szoftverek kapuja. Az információbiztonsági ellenőrzés 8.23 A webszűrés preventív célja, hogy megvédje a szervezet saját rendszereit a rosszindulatú szoftverek behatolásától, és megakadályozza a jogosulatlan webes erőforrásokhoz való hozzáférést. A szervezeteknek e célból szabályokat kell felállítaniuk az online erőforrások biztonságos és megfelelő használatára vonatkozóan - beleértve a nem kívánt vagy nem megfelelő weboldalakhoz és webes alkalmazásokhoz való hozzáférés kötelező korlátozását. Az alábbi típusú weboldalakhoz való hozzáférést a szervezetnek blokkolnia kell:

  • Feltöltési funkcióval rendelkező weboldalak - kivéve, ha erre törvényes, üzleti okokból lenne szükség,
  • Ismert vagy akár feltételezett rosszindulatú weboldalak,
  • Parancs- és vezérlőszerverek,
  • a fenyegetettségi adatokból azonosított rosszindulatú weboldalak (lásd még az 5.7. intézkedést),
  • illegális tartalmú weboldalak.

A webszűrési intézkedés csak olyan képzett személyzet esetén működik igazán, akik kellőképpen tisztában vannak az online erőforrások biztonságos és megfelelő használatával.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Az ISO 27001 szerinti tanúsítás

Milyen erőfeszítésekkel kell számolnia ahhoz, hogy az ISMS-t az ISO 27001 szabvány szerint tanúsítsák? Tájékozódjon ingyenesen és kötelezettség nélkül.

Várjuk a beszélgetést.

A taktikai fenyegetés-felderítés és annak értékelése a támadók módszereiről, eszközeiről és technológiáiról nyújt értékelést.

A konkrét fenyegetések operatív értékelése részletes információkat nyújt konkrét támadásokról, beleértve a technikai indikátorokat is, pl. jelenleg a kibertámadások rendkívüli növekedése a zsarolóprogramok és azok változatai által 2022-ben.

A fenyegetéselemzés a következő módokon nyújthat támogatást:

  • Eljárási szempontból a fenyegetésekkel kapcsolatos adatoknak a kockázatkezelési folyamatba való integrálásához,
  • Technikailag megelőzés és felderítés, pl. tűzfalszabályok, behatolásérzékelő rendszerek (IDS), rosszindulatú szoftverek elleni megoldások frissítésével,
  • Az információbiztonsággal szembeni konkrét tesztelési eljárásokhoz és tesztelési technikákhoz szükséges bemeneti információkkal.

A fenyegetettségi helyzet meghatározására és elemzésére vonatkozó 5.7. szervezeti ellenőrzésből származó adatminőség közvetlenül érinti az alábbiakban tárgyalt két technikai ellenőrzést a felügyeleti tevékenységekre (8.16) és a webszűrésre (8.23) vonatkozóan, amelyek szintén újak az ISO/IEC 27002 szabványban.

Megfigyelési tevékenységek

A tevékenységek technikai felügyeletére vonatkozó 8.16. pont szerinti felderítő és javító információbiztonsági ellenőrzés a fenyegetések elhárításának egyik módszereként az anomáliák észlelésére összpontosít. A hálózatok, rendszerek és alkalmazások az elvárt minták szerint viselkednek, mint például az adatátviteli sebesség, protokollok, üzenetek stb. Az elvárt mintázatoktól való bármilyen változást vagy eltérést anomáliaként észlelünk.

neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale
Loading...

Nézze meg most! Mi változik az új ISO/IEC 27001:2022-vel?


Az ISO/IEC 27001 új, a mai információs kockázatokhoz igazított változata október 25-én jelent meg 2022-ben. Mit jelent ez a szabvány felhasználói számára? Ingyenes webináriumunk felvételén megtudhatja a következőket 

  • Az ISO/IEC 27001:2022 új jellemzői - Keretrendszer és A melléklet 
  • ISO/IEC 27002:2022-02 - szerkezet, tartalom, attribútumok és hashtagek 
  • Az átállás ütemezése és a következő lépések

Technikai következtetés

Az itt leírt új észlelési és megelőzési ellenőrzések kulcsfontosságú szerepet játszanak a szervezett számítógépes bűnözés elleni védekezésben, és joggal kerültek be az ISO/IEC 27001 és az ISO/IEC 27002 jelenlegi változataiba. A rendelkezésre álló fenyegetési információk folyamatos frissítésével és elemzésével, a saját IT-infrastruktúrájukban végzett tevékenységek kiterjedt nyomon követésével, valamint saját rendszereik kétes weboldalak elleni védelmével a vállalatok fenntarthatóan erősítik védelmüket a veszélyes rosszindulatú programok behatolása ellen. Emellett olyan helyzetbe hozzák magukat, hogy idejekorán megfelelő válaszintézkedéseket kezdeményezhetnek.

A vállalatoknak és szervezeteknek most a három bemutatott kontrollt/intézkedést kell megfelelően végrehajtaniuk és következetesen beépíteniük az ISMS-ükbe, hogy megfeleljenek a jövőbeli tanúsítási auditok követelményeinek. A DQS több mint 35 éves átfogó szakértelemmel rendelkezik a pártatlan auditok és tanúsítások területén - és szívesen támogatja Önt az ISO/IEC 27001:2022 szerinti információbiztonsági irányítási rendszerének változáskezelésében.

Mit jelent a frissítés az Ön tanúsítása szempontjából?

Az ISO/IEC 27001:2022 szabványt 2022. október 25-én tették közzé. Ez a következő határidőket és időkereteket eredményezi a felhasználók számára az átállásra:

  • Az ISO/IEC 27001:2022 szerinti tanúsításra való felkészültség várhatóan 2023. február - lehett között (akkreditáló testületünk, a DAkkS, Deutsche Akkreditierungsstelle GmbH függvényében).
  • A "régi" ISO 27001:2013 szerinti kezdeti/újratanúsítási auditok utolsó időpontja 2023. október 31. 2023. október 31. után a DQS csak az új ISO/IEC 27001:2022 szabvány szerinti kezdeti és újratanúsítási auditokat fogja elvégezni.
  • A "régi" ISO/IEC 27001:2013 szabvány szerinti összes meglévő tanúsítvány átállítása az új ISO/IEC 27001:2022 szabványra: 2022. október 31-től hároméves átmeneti időszak lesz érvényben. Az ISO/IEC 27001:2013 vagy DIN EN ISO/IEC 27001:2017 szerint kiadott tanúsítványok legkésőbb 2025. október 31-ig érvényesek, vagy ezen a napon vissza kell vonni őket.

Korszerű ISMS a DQS szakértelmével

Az ISO/IEC 27001 új verziójára való átálláskor a szervezeteknek még van némi idejük. A régi szabványon alapuló jelenlegi tanúsítványok 2025.10.31-én érvényüket vesztik. Ennek ellenére jól teszik, ha idejekorán foglalkoznak a megváltozott ISMS-követelményekkel, megfelelő változtatási folyamatokat indítanak el és ennek megfelelően hajtják végre azokat.

Az auditok és tanúsítások szakértőiként több mint három évtizedes tapasztalattal támogatjuk Önt az új szabvány bevezetésében. Tájékozódjon számos tapasztalt auditorunktól a legfontosabb változásokról és azok jelentőségéről az Ön szervezete számára - és bízzon szakértelmünkben. Együtt megbeszéljük a fejlesztési lehetőségeket, és támogatjuk Önt az új tanúsítvány megszerzéséig. Várjuk, hogy jelentkezzen.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Kérdése van?

Vegye fel velünk a kapcsolatot!

Kötelezettség nélkül és ingyenesen.

Szerző
Markus Jegelka

A DQS szakértője az információbiztonsági irányítási rendszerek (ISMS) területén, valamint az ISO 9001, az ISO/IEC 27001 és a német energiaipari törvény (EnWG) 11.1a. bekezdése szerinti IT biztonsági katalógusok tapasztalt auditora.

Loading...