datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Manajemen kerentanan dalam konteks ISO 27001

André Saeckel

Ahli Standar DQS untuk Keamanan Informasi
Mei 23 , 2023
# Keamanan Informasi dan Manajemen Risiko

ISO 27001 berfokus pada informasi sensitif dan berharga organisasi: perlindungannya, kerahasiaannya, integritasnya, dan ketersediaannya. ISO 27001 adalah standar internasional untuk keamanan informasi di organisasi swasta, publik atau nirlaba. Standar menjelaskan persyaratan untuk pembentukan, implementasi, operasi, dan optimalisasi sistem manajemen keamanan informasi (SMKI) terdokumentasi. Fokus utama dari sistem manajemen adalah pada identifikasi dan penanganan risiko.

Daftar Isi

Apa saja ancaman dan risiko terhadap keamanan informasi?

Manajemen kerentanan dalam konteks ISO 27001 mengacu pada kerentanan teknis. Ini dapat menyebabkan ancaman terhadap keamanan TI perusahaan dan organisasi. Ini termasuk:

  • Ransomware, perangkat lunak pemerasan yang dapat mengarah pada enkripsi media data dan perolehan informasi yang membahayakan
  • Remote Access Trojan (RAT), yang dapat memungkinkan akses jarak jauh ke jaringan
  • Phishing and SPAM, yang dapat menyebabkan hilangnya kendali melalui email. Di sini, gateway yang sangat populer adalah General Data Protection Regulation (GDPR) dan permintaan dalam email untuk memeriksa data pelanggan dengan mengeklik tautan. Seringkali, pengirimnya mengaku dari bank atau bahkan PayPal.
  • DDoS/botnets, yang dapat menyebabkan penurunan ketersediaan dan integritas sistem karena paket data yang sangat besar
  • Teroris siber yang disponsori negara, aktivis, penjahat serta pelaku dari dalam yang membawa berbagai macam ancaman
  • Proses yang tidak memadai atau hilang

Mengidentifikasi kerentanan dan celah keamanan yang muncul dari ancaman ini memerlukan penilaian kebutuhan perlindungan dengan ISO 27001, karena ini menghasilkan manajemen kerentanan sistematis untuk mengamankan infrastruktur TI dengan penilaian kerentanan berkelanjutan.

ISO/IEC 27001:2022-10 Keamanan informasi, keamanan dunia maya, dan perlindungan privasi – Sistem manajemen keamanan informasi – Persyaratan.

Standar ISO direvisi dan diterbitkan kembali pada 25 Oktober 2022.

Proses yang salah - Ancaman terhadap keamanan informasi?

Tanpa proses analisis log sistem dan data log, pengetahuan tentang kerentanan teknis, dan tinjauan sistem TI yang lebih mendalam, penilaian risiko yang realistis tidak mungkin dilakukan. Juga perihal kekurangan atau cacat proses tidak memungkinkan untuk penetapan kriteria penerimaan risiko atau penentuan tingkat risiko - seperti yang dipersyaratkan oleh ISO 27001.

Oleh karena itu, risiko terhadap keamanan TI, dan dengan demikian terhadap keamanan informasi suatu perusahaan, tidak dapat ditentukan dan harus dianggap sebagai risiko tertinggi yang mungkin untuk perusahaan tersebut.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Saksikan sekarang: Apa yang berubah dari ISO/IEC 27001:2022 yang baru

Versi baru ISO/IEC 27001, disesuaikan dengan risiko informasi kontemporer, diterbitkan pada 25 Oktober 2022. Apa artinya ini bagi pengguna standar? Dalam rekaman webinar gratis kami, Anda akan memperoleh informasi tentang:

  • Fitur baru ISO/IEC 27001:2022 - Framework dan Lampiran A
  • ISO/IEC 27002:2022-02 - struktur, konten, atribut, dan tagar
  • Timeline untuk transisi dan langkah Anda selanjutnya
Tonton sekarang juga

Manajemen kerentanan dalam konteks ISO 27001: Mengamankan infrastruktur secara optimal

Salah satu kemungkinan tindakan yang tepat untuk mengamankan infrastruktur TI adalah pengelolaan potensi kerentanan dan celah keamanan. Ini melibatkan pemindaian dan pengujian penetrasi yang teratur, sistematis, terkontrol jaringan dari semua sistem untuk kerentanan teknis. Setiap kerentanan yang diidentifikasi dicatat dalam sistem manajemen keamanan informasi (ISMS) sesuai dengan ISO 27001.

Penting juga untuk mendefinisikan ancaman terhadap keamanan TI - serta keamanan informasi yang menyeluruh. Dalam konteks ini, kerentanan teknis harus diprioritaskan menurut tingkat keparahan (CVSS) dan akhirnya diperbaiki. Penilaian risiko residual dari kerentanan teknis yang tersisa dan, pada akhirnya, penerimaan risiko juga merupakan bagian dari manajemen kerentanan menurut ISO 27001.

Untuk menilai tingkat keparahan kerentanan, standar industri "CVSS - Common Vulnerability Scoring System" dapat digunakan. Skor keseluruhan 0 hingga 10 ditentukan dari Metrik Skor Dasar, yang menjawab pertanyaan-pertanyaan ini, antara lain: Seberapa "dekat" yang dibutuhkan penyerang untuk sampai ke sistem yang rentan (Attack Vector)? Seberapa mudah penyerang mencapai target (Attack Complexity)? Hak akses apa yang diperlukan untuk mengeksploitasi kerentanan (Diperlukan Hak Istimewa)? Apakah Anda membutuhkan pembantu, sebagai contoh pengguna yang harus terlebih dahulu mengikuti tautan (Interaksi Pengguna)? Apakah kerahasiaan dikompromikan (Dampak Kerahasiaan)?


Kalkulator CVSS dapat ditemukan di halaman Institut Standar dan Teknologi Nasional AS (NIST).

 

Bagaimana cara perusahaan melindungi dirinya dari kerentanan teknis?

Misalnya, perusahaan dapat secara preventif melindungi dirinya dari malware dengan memperkenalkan dan menerapkan langkah-langkah deteksi, pencegahan, dan keamanan data dalam hubungannya dengan kesadaran pengguna yang sesuai. Secara rinci, ini berarti: Untuk mencegah eksploitasi kerentanan teknis dalam konteks manajemen kerentanan ISO 27001, perlu untuk:

  • Dapatkan informasi tepat waktu tentang kerentanan teknis sistem informasi yang digunakan
  • Nilai kerentanan mereka, dan
  • Ambil tindakan yang tepat

Ini dapat dilakukan dengan menginstal patch keamanan (manajemen patch), mengisolasi sistem TI yang rentan atau akhirnya melalui shutdown sistem. Selanjutnya, aturan untuk instalasi perangkat lunak oleh pengguna harus ditentukan dan diimplementasikan.

Pertanyaan penting tentang manajemen kerentanan dan konsep keamanan ISO 27001

Pertanyaan-pertanyaan berikut dapat diajukan selama audit, jadi masuk akal untuk menjawabnya terlebih dahulu:

  • Sudahkah Anda menetapkan peran dan tanggung jawab untuk menangani dan memantau kerentanan teknis?
  • Sudahkah Anda mempelajari tentang sumber informasi yang dapat digunakan untuk mengidentifikasi kerentanan teknis?
  • Apakah ada tenggat waktu untuk merespons dengan tindakan ketika kerentanan diberitahukan dan ditemukan?
  • Sudahkah Anda melakukan penilaian risiko terhadap kerentanan yang berkaitan dengan aset perusahaan, di antara lainnya?
  • Apakah Anda tahu kerentanan teknis Anda?

Jika Anda ingin mendapatkan gambaran yang komprehensif dan beralasan tentang ancaman Jerman di dunia maya, Anda dapat menemukan "Laporan Situasi Keamanan TI 2019" dalam bahasa Inggris dari Kantor Federal Jerman untuk Keamanan Informasi (BSI) di https://www.bsi.bund.de.

Manajemen Kerentanan ISO 27001: kesimpulan

Manajemen kerentanan dalam konteks ISO 27001 merupakan proses berkelanjutan yang harus dilakukan secara berkala. Menurut ISO 27001, hasilnya harus "valid". Artinya, pemindaian kerentanan satu kali dan penilaian risiko untuk penerapan atau sertifikasi tidak lagi valid di lain waktu, misalnya selama sertifikasi ulang.

Pemindaian kerentanan hanya valid pada saat yang tepat dilakukan. Tetapi jika pembaruan perangkat lunak dilakukan kemudian atau perubahan dilakukan pada topologi, ini dapat menyebabkan kerentanan baru.

Oleh karena itu, penting bagi setiap organisasi untuk terus melacak, memverifikasi, dan mengulangi proses manajemen kerentanan dan membawa informasi yang relevan ke dalam sistem manajemen keamanan informasi.

Pengetahuan berharga: Panduan Audit DQS ISO 27001

Panduan audit kami ISO 27001 - Lampiran A dibuat oleh para ahli terkemuka sebagai bantuan implementasi praktis dan ideal untuk lebih memahami persyaratan standar yang dipilih. Pedoman tersebut mengacu pada versi ISO 27001:2013. Pembaruan untuk versi revisi yang diterbitkan pada 25.10.2022 akan diberikan tepat waktu.

Unduh gratis sekarang!

DQS. Simply leveraging Quality.

Kami menganggap diri kami sebagai mitra penting bagi pelanggan kami, yang bekerja sama dengan kami untuk mencapai nilai tambah yang berkelanjutan. Tujuan kami adalah memberikan dorongan nilai tambah yang penting bagi organisasi untuk kesuksesan wirausaha mereka melalui proses yang paling sederhana, serta kepatuhan penuh terhadap tenggat waktu dan keandalan.

Kompetensi inti kami terletak pada kinerja audit dan penilaian sertifikasi. Ini menjadikan kami salah satu penyedia terkemuka di seluruh dunia dengan klaim untuk menetapkan tolok ukur baru dalam keandalan, kualitas, dan orientasi pelanggan setiap saat.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Sertifikasi ISO 27001 

Upaya apa yang harus Anda perhitungkan agar SMKI Anda bersertifikat ISO 27001? Dapatkan informasi secara gratis dan tanpa kewajiban.

Kami berharap dapat berkomunikasi dengan Anda.

Kontak DQS sekarang
Penulis
André Saeckel

Manajer produk di DQS untuk manajemen keamanan informasi. Sebagai pakar standar untuk bidang keamanan informasi dan katalog keamanan TI (infrastruktur kritis), André Säckel bertanggung jawab atas standar berikut dan standar khusus industri, antara lain: ISO 27001, ISIS12, ISO 20000-1, KRITIS dan TISAX ( keamanan informasi di industri otomotif). Ia juga anggota kelompok kerja ISO/IEC JTC 1/SC 27/WG 1 sebagai delegasi nasional Institut Jerman untuk Standardisasi DIN.

Ada Pertanyaan?

Kami siap membantu.
Hubungi Kami