ISO 27001은 조직의 중요하고 중요한 정보인 보호, 기밀성, 무결성 및 가용성에 중점을 둡니다. ISO 27001은 민간, 공공 또는 비영리 조직의 정보 보안에 대한 국제 표준입니다. 이 표준은 문서화된 정보 보안 관리 시스템(ISMS)의 구축, 구현, 운영 및 최적화에 대한 요구 사항을 설명합니다. 관리 시스템의 주요 초점은 위험의 식별, 처리 및 처리입니다.
Loading...
정보 보안에 대한 위협과 위험은 무엇입니까?
ISO 27001의 취약성 관리는 기술적 취약성을 의미합니다. 이는 기업과 조직의 IT 보안에 대한 위협으로 이어질 수 있습니다. 여기에는 다음이 포함됩니다.
- 데이터 매체를 암호화하고 손상된 정보를 탈취할 수 있는 강탈 소프트웨어인 랜섬웨어
- 네트워크에 대한 원격 액세스를 허용할 수 있는 RAT(원격 액세스 트로이 목마)
이메일을 통한 통제력 상실로 이어질 수 있는 피싱 및 스팸 - 특히 인기 있는 게이트웨이는 GDPR(일반 데이터 보호 규정)과 링크를 클릭하여 고객 데이터를 확인하라는 이메일 요청입니다. 발신자가 은행이나 PayPal인 것처럼 보이는 경우가 많습니다
- 대규모 데이터 패킷으로 인해 시스템의 가용성과 무결성이 손상될 수 있는 DDoS/봇넷
- 다양한 위협을 가져오는 국가 후원 사이버 테러리스트, 활동가, 범죄자 및 내부 가해자
- 부적절하거나 누락된 프로세스
이러한 위협으로 인해 발생하는 취약성과 보안 격차를 식별하려면 ISO 27001에 따른 보호 요구 평가가 필요합니다. 이는 지속적인 취약성 평가를 통해 IT 인프라를 보호하기 위한 체계적인 취약성 관리가 필요하기 때문입니다.
잘못된 프로세스 - 정보 보안에 대한 위협인가요?
시스템 로그 및 로그 데이터를 분석하는 과정, 기술적인 취약점에 대한 지식, IT 시스템에 대한 보다 심층적인 검토 없이는 현실적인 위험 평가가 불가능합니다. ISO 27001에서 요구하는 대로 프로세스가 부족하거나 결함이 있으면 위험 허용 기준을 설정하거나 위험 수준을 결정할 수도 없습니다.
따라서 IT 보안에 대한 위험, 즉 기업의 정보 보안에 대한 위험은 결정될 수 없으며 해당 기업에 대해 가능한 가장 높은 위험으로 가정되어야 합니다.
ISO 27001의 맥락에서 취약성 관리: 최적의 인프라 보안
IT 인프라를 보호하기 위한 적절한 조치 중 하나는 잠재적인 취약성과 보안 격차를 관리하는 것입니다. 여기에는 기술적 취약점에 대한 모든 시스템의 정기적이고 체계적인 네트워크 제어 검색 및 침투 테스트가 포함됩니다. 식별된 모든 취약점은 ISO 27001에 따라 정보 보안 관리 시스템(ISMS)에 기록됩니다.
IT 보안에 대한 위협뿐만 아니라 전반적인 정보 보안에 대한 위협을 정의하는 것도 마찬가지로 중요합니다. 이러한 맥락에서 기술적 취약점은 심각도(CVSS)에 따라 우선순위를 정하고 궁극적으로 해결해야 합니다. 남아 있는 기술적 취약성으로 인한 잔여 위험에 대한 평가와 궁극적으로 위험 수용도 ISO 27001에 따른 취약성 관리의 일부입니다.
취약점의 심각도를 평가하려면 업계 표준인 'CVSS - Common Vulnerability Scoring System'을 사용할 수 있습니다. 0에서 10까지의 전체 점수는 다음 질문을 다루는 기본 점수 지표에서 결정됩니다. 공격자가 취약한 시스템(공격 벡터)에 접근하려면 얼마나 "가깝게" 접근해야 합니까? 공격자는 얼마나 쉽게 목표에 도달합니까(공격 복잡성)? 취약점을 악용하려면 어떤 접근 권한이 필요합니까(권한 필요)? 도우미가 필요합니까? 먼저 링크를 따라가야 하는 사용자(사용자 상호작용)? 기밀성이 손상되었습니까(기밀성 영향)?
CVSS 계산기는 미국 국립표준기술연구소(NIST) 페이지에서 찾을 수 있습니다.
회사는 기술적 취약점으로부터 어떻게 자신을 보호할 수 있나요?
예를 들어, 기업은 적절한 사용자 인식과 함께 탐지, 방지 및 데이터 보안 조치를 도입하고 구현함으로써 맬웨어로부터 자체적으로 보호할 수 있습니다. 구체적으로 이는 ISO 27001의 취약점 관리 맥락에서 기술적 취약점의 악용을 방지하려면 다음을 수행해야 함을 의미합니다.
- 사용되는 정보 시스템의 기술적 취약점에 대한 시기적절한 정보를 얻습니다.
- 취약성을 평가하고
- 적절한 조치를 취하십시기 바랍니다.
이는 보안 패치(패치 관리)를 설치하거나 취약한 IT 시스템을 격리하거나 궁극적으로 시스템 종료를 통해 수행할 수 있습니다. 또한 사용자가 소프트웨어를 설치하는 규칙을 정의하고 구현해야 합니다.
취약점 관리 및 ISO 20071 보안 개념에 대한 중요한 질문
감사 중에 다음과 같은 질문이 나올 수 있으므로 사전에 답변하는 것이 좋습니다.
- 기술적 취약점을 처리하고 모니터링하기 위한 역할과 책임을 정의했습니까?
- 기술적 취약점을 식별하는 데 사용할 수 있는 정보 소스에 대해 배웠습니까?
- 취약점이 통보되고 발견되면 조치를 취해야 하는 기한이 있습니까?
- 무엇보다도 회사 자산과 관련된 취약성에 대한 위험 평가를 수행했습니까?
- 귀하의 기술적 취약점을 알고 계십니까?
사이버 공간에서 독일의 위협에 대한 포괄적이고 근거가 충분한 개요를 얻으려면 독일 연방 정보 보안국(BSI)에서 영어로 제공되는 "IT 보안 2019 상황 보고서"를 아래 사이트에서 찾아보실 수 있습니다.
결론
ISO 27001의 취약점 관리는 정기적으로 수행해야 하는 지속적인 프로세스입니다. ISO 27001에 따르면 결과는 "유효"해야 합니다. 즉, 구현 또는 인증에 대한 일회성 취약점 검사 및 위험 평가는 나중에(예: 재인증 중) 더 이상 유효하지 않습니다.
취약점 스캔은 수행되는 정확한 순간에만 유효합니다. 그러나 나중에 소프트웨어 업데이트가 이루어지거나 토폴로지가 변경되면 새로운 취약점이 발생할 수 있습니다.
따라서 모든 조직에서는 취약성 관리 프로세스를 지속적으로 추적, 검증 및 반복하고 관련 정보를 정보 보안 관리 시스템에 전달하는 것이 중요합니다.
ISO 27001 인증
ISO 27001에 따라 ISMS 인증을 받으려면 어떤 노력을 기울여야 합니까? 무료로, 의무 없이 정보를 얻으세요.
DQS는 고객님께 최선을 다해 상담해드리겠습니다.
Loading...
가치있는 정보 - DQS ISO 27001 심사가이드
당사의 감사 가이드 ISO 27001 - Annex A는 선도적인 전문가들이 실질적인 구현 보조 수단으로 작성했으며 선택한 표준 요구 사항을 더 잘 이해하는 데 이상적입니다. 지침은 ISO 27001:2013 버전을 참조합니다. 2022.10.25에 공개된 개정판에 대한 업데이트가 적시에 제공될 예정입니다.
DQS. Simply leveraging Quality.
DQS는 지속 가능한 부가가치를 달성하기 위해 고객과 눈높이에서 협력하는 중요한 파트너라고 생각합니다. 우리의 목표는 가장 간단한 프로세스를 통해 조직에 기업가적 성공을 위한 중요한 가치 부가 자극을 제공하고 마감 기한과 신뢰성을 최대한 준수하는 것입니다.
DQS의 핵심 역량은 인증 감사 및 평가 수행에 있습니다. 이를 통해 당사는 항상 신뢰성, 품질 및 고객 지향 분야에서 새로운 벤치마크를 설정한다고 주장하는 전 세계 최고의 공급업체 중 하나가 되었습니다.
DQS 뉴스레터
최신 정보를 확인하고 뉴스레터를 구독하세요!
저자
앙드레 재켈
DQS 정보 보안 관리 제품 관리자. 정보 보안 및 IT 보안 카탈로그(중요 인프라) 분야의 표준 전문가인 André Säckel은 ISO 27001, ISIS12, ISO 20000-1, KRITIS 및 TISAX( 자동차 산업의 정보 보안). 그는 또한 독일 표준화 연구소 DIN의 국가 대표로서 ISO/IEC JTC 1/SC 27/WG 1 작업 그룹의 회원입니다.
Loading...