datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Sebezhetőségi menedzsment az ISO 27001 szabvány kontextusában

André Saeckel

DQS Információbiztonsági szabványszakértő.
máj. 23 , 2023
# Információbiztonság és Kockázatkezelés

Az ISO 27001 a szervezet érzékeny, értékes információira összpontosít: Védelme, bizalmas jellege, integritása és rendelkezésre állása. Az ISO 27001 a magán-, állami vagy nonprofit szervezetek információbiztonságára vonatkozó nemzetközi szabvány. A szabvány leírja a dokumentált információbiztonsági irányítási rendszer (ISMS) létrehozására, bevezetésére, működtetésére és optimalizálására vonatkozó követelményeket. Az irányítási rendszer középpontjában a kockázatok azonosítása, kezelése és kezelése áll.

TARTALOM

Milyen veszélyek és kockázatok fenyegetik az információbiztonságot?

A sebezhetőség kezelése a következőkkel összefüggésben ISO 27001 a technikai sebezhetőségekre vonatkozik. Ezek a vállalatok és szervezetek informatikai biztonságát fenyegető veszélyekhez vezethetnek. Ezek közé tartoznak:

  • Ransomware, egy zsaroló szoftver, amely az adathordozók titkosításához és kompromittáló információk megszerzéséhez vezethet.
  • Távoli hozzáférési trójai (RAT), amely távoli hozzáférést biztosíthat a hálózathoz.
  • Adathalászat és SPAM, amely e-mailen keresztül az ellenőrzés elvesztéséhez vezethet. Itt különösen népszerű átjáró az Általános Adatvédelmi Rendelet (GDPR) és az e-mailben szereplő kérés, hogy egy linkre kattintva ellenőrizze az ügyféladatokat. Gyakran a feladók bankoknak vagy akár a PayPalnak tűnnek.
  • DDoS/botnetek, amelyek a rendszerek rendelkezésre állásának és integritásának károsodásához vezethetnek a hatalmas adatcsomagok miatt.
  • Államilag támogatott kiberterroristák, aktivisták, bűnözők, valamint belső elkövetők, akik a fenyegetések széles skáláját hozzák magukkal.
  • Nem megfelelő vagy hiányzó folyamatok

Az ilyen fenyegetésekből eredő sebezhetőségek és biztonsági hiányosságok azonosítása az ISO 27001 szabvány szerinti védelmi szükségletek felmérését igényli, mivel ez szisztematikus sebezhetőségkezelést eredményez az IT-infrastruktúra folyamatos sebezhetőségi értékeléssel történő biztosítása érdekében.

ISO/IEC 27001:2022 - Információbiztonság, kiberbiztonság és a magánélet védelme - Információbiztonsági irányítási rendszerek - Követelmények.

Az ISO-szabványt felülvizsgálták és 2022. okt. 25-én újra kiadták.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Nézze meg most: Mi változik az új ISO/IEC 27001:2022-vel?

Az ISO/IEC 27001 új, a mai információs kockázatokhoz igazított változata október 25-én jelent meg 2022-ben. Mit jelent ez a szabvány felhasználói számára? Ingyenes webináriumunk felvételén megtudhatja a következőket 

  • Az ISO/IEC 27001:2022 új jellemzői - Keretrendszer és A melléklet 
  • ISO/IEC 27002:2022-02 - struktúra, tartalom, attribútumok és hashtagek 
  • Az átállás ütemezése és a következő lépések
Nézze meg a felvételt most!

Hibás folyamatok - fenyegetés az információbiztonságra?

A rendszernaplók és naplóadatok elemzésére irányuló folyamat, a technikai sebezhetőségek ismerete és az informatikai rendszerek alaposabb felülvizsgálata nélkül nem lehetséges a kockázatok reális értékelése. A folyamat hiánya vagy hibás működése nem teszi lehetővé a kockázatelfogadási kritériumok megállapítását vagy a kockázati szintek meghatározását sem - ahogyan azt az ISO 27001 előírja.

Ebből következik, hogy az IT-biztonságot, és így a vállalkozás információbiztonságát fenyegető kockázatot nem lehet meghatározni, és azt kell feltételezni, hogy az adott vállalkozás számára a lehető legmagasabb kockázatot jelenti.

A sebezhetőség kezelése az ISO 27001 szabvány összefüggésében: az infrastruktúra optimális biztosítása

Az informatikai infrastruktúra biztonságának egyik lehetséges megfelelő intézkedése a potenciális sebezhetőségek és biztonsági rések kezelése. Ez magában foglalja az összes rendszer rendszeres, szisztematikus, hálózat által ellenőrzött átvizsgálását és behatolástesztelését a műszaki sebezhetőségek tekintetében. Az azonosított sebezhetőségeket az ISO 27001 szabványnak megfelelően rögzítik az információbiztonsági irányítási rendszerben (ISMS).

Ugyanígy fontos az IT-biztonságot fenyegető veszélyek meghatározása - valamint az átfogó információbiztonság. Ebben az összefüggésben a technikai sebezhetőségeket súlyosságuk (CVSS) szerint kell rangsorolni, és végül orvosolni. A fennmaradó technikai sebezhetőségekből eredő maradék kockázat értékelése és végül a kockázat elfogadása szintén az ISO 27001 szerinti sebezhetőségkezelés részét képezi.

A sebezhetőség súlyosságának értékelésére a"CVSS - Common Vulnerability Scoring System "( közös sebezhetőségi pontozási rendszer ) iparági szabvány használható. A 0-tól 10-ig terjedő általános pontszámot a többek között ezeket a kérdéseket megválaszoló Base Score Metrics alapján határozzák meg: Mennyire "közel" kell a támadónak eljutnia a sebezhető rendszerhez (támadási vektor)? Mennyire könnyen éri el a támadó a célpontot (támadás bonyolultsága)? Milyen hozzáférési jogokra van szükség a sebezhetőség kihasználásához (Privileges Required)? Szükség van-e segítőkre, például egy felhasználóra, akinek először egy linket kell követnie (User Interaction)? Veszélybe kerül-e a bizalmas kezelés (Confidentiality Impact)?


A CVSS-kalkulátor megtalálható az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézetének (NIST) oldalain.

Hogyan védekezhet egy vállalat a technikai sebezhetőségek ellen?

Egy vállalat például megelőző jelleggel védekezhet a rosszindulatú szoftverek ellen azáltal, hogy megfelelő felhasználói tudatossággal együtt felismerési, megelőzési és adatbiztonsági intézkedéseket vezet be és hajt végre. Részletesen ez a következőket jelenti: A technikai sebezhetőség kihasználásának megelőzése az ISO 27001 szerinti sebezhetőségkezeléssel összefüggésben a következőkre van szükség:

  • Időszerű információszerzés a használt információs rendszerek műszaki sebezhetőségéről
  • felmérni a sebezhetőségüket, és
  • megfelelő intézkedések meghozatala

Ez történhet biztonsági javítások telepítésével (patch management), a sebezhető informatikai rendszerek elszigetelésével vagy végső soron a rendszer leállításával. Ezenkívül meg kell határozni és végre kell hajtani a felhasználók által telepítendő szoftverek telepítésének szabályait.

A sebezhetőségkezeléssel és az ISO 20071 biztonsági koncepcióval kapcsolatos fontos kérdések

A következő kérdések egy audit során felmerülhetnek, ezért érdemes előre foglalkozni velük:

  • Meghatározták-e a technikai sebezhetőségek kezelésére és felügyeletére vonatkozó szerepeket és felelősségi köröket?
  • Megismerkedett-e a műszaki sebezhetőségek azonosítására használható információforrásokkal?
  • Van-e határidő a sebezhetőség bejelentése és felfedezése esetén tett intézkedésekkel történő reagálásra?
  • Elvégezték-e a sebezhetőségek kockázatértékelését többek között a vállalati eszközök tekintetében?
  • Ismeri a műszaki sebezhetőségeket?

Ha átfogó és megalapozott áttekintést szeretne kapni Németország kibertérbeli fenyegetéseiről, akkor a https://www.bsi.bund.de oldalon megtalálja a német Szövetségi Információbiztonsági Hivatal (BSI) angol nyelvű "Situation Report on IT Security 2019" című kiadványát.

ISO 27001 sebezhetőségi menedzsment: következtetés

Az ISO 27001 szabvány keretében a sebezhetőség kezelése folyamatos folyamat, amelyet rendszeresen el kell végezni. Az ISO 27001 szerint az eredményeknek "érvényesnek" kell lenniük. Ez azt jelenti, hogy egy egyszeri sebezhetőségi vizsgálat és kockázatértékelés a megvalósítás vagy a tanúsítás során egy későbbi időpontban, például az újratanúsítás során már nem érvényes.

A sebezhetőségi vizsgálat csak abban a pillanatban érvényes, amikor azt elvégezték. Ha azonban később szoftverfrissítésekre kerül sor, vagy a topológiában változások történnek, ezek új sebezhetőségekhez vezethetnek.

Ezért minden szervezet számára fontos, hogy folyamatosan nyomon kövesse, ellenőrizze és megismételje a sebezhetőségkezelési folyamatokat, és a vonatkozó információkat átvigye az információbiztonsági irányítási rendszerbe.

Az ISO 27001 - A melléklet című auditálási útmutatót vezető szakértők készítették gyakorlati megvalósítási segédletként, és ideális a kiválasztott szabványkövetelmények jobb megértéséhez. Az útmutató az ISO 27001:2013-as verzióra vonatkozik. A 2022.10.25-én közzétett, felülvizsgált változathoz időben frissítést fogunk biztosítani.

Töltse le ingyenesen!

DQS. Egyszerűen kihasználva a minőséget.

Ügyfeleink fontos partnereinek tekintjük magunkat, akikkel szemtől-szembe együttműködve fenntartható hozzáadott értéket érünk el. Célunk, hogy a legegyszerűbb folyamatok, valamint a határidők maximális betartása és a megbízhatóság révén fontos értékteremtő impulzusokat adjunk a szervezeteknek a vállalkozói sikerhez.

Fő kompetenciánk a tanúsítási auditok és értékelések elvégzése. Ezáltal világszerte az egyik vezető szolgáltatóvá válunk, azzal az igénnyel, hogy a megbízhatóság, a minőség és az ügyfélközpontúság terén mindenkor új mércét állítsunk fel.

Szerző
André Saeckel

Termékmenedzser a DQS-nél az információbiztonsági menedzsment területén. André Säckel az információbiztonság és az IT-biztonsági katalógus (kritikus infrastruktúrák) területének szabványügyi szakértőjeként többek között a következő szabványokért és iparág-specifikus szabványokért felelős: ISO 27001, ISIS12, ISO 20000-1, KRITIS és TISAX (információbiztonság az autóiparban). A DIN német szabványügyi intézet nemzeti delegáltjaként tagja az ISO/IEC JTC 1/SC 27/WG 1 munkacsoportnak is.

Kérdése van?

Szívesen segítünk!
Lépjen velünk kapcsolatba!