ISO 27001 richt zich op de gevoelige, waardevolle informatie van een organisatie: de bescherming, de vertrouwelijkheid, de integriteit en de beschikbaarheid ervan. ISO 27001 is een internationale norm voor informatiebeveiliging in particuliere, publieke of non-profitorganisaties. De norm beschrijft eisen voor het opzetten, implementeren, beheren en optimaliseren van een gedocumenteerd managementsysteem voor informatiebeveiliging (ISMS). Het belangrijkste aandachtspunt van het managementsysteem is de identificatie, behandeling en afhandeling van risico's.

Loading...

Wat zijn de bedreigingen en risico's voor de informatiebeveiliging?

Kwetsbaarheidsmanagement in de context van ISO 27001 verwijst naar technische kwetsbaarheden. Deze kunnen leiden tot bedreigingen voor de IT-beveiliging van bedrijven en organisaties. Deze omvatten:

  • Ransomware, een afpersingssoftware die kan leiden tot het versleutelen van gegevensdragers en het verkrijgen van compromitterende informatie
  • Trojaanse paarden voor toegang op afstand (RAT), die op afstand toegang tot het netwerk kunnen verschaffen
  • Phishing en SPAM, die kunnen leiden tot verlies van controle via e-mail. Een bijzonder populaire gateway is hier de General Data Protection Regulation (GDPR) en het verzoek in een e-mail om klantgegevens te controleren door op een link te klikken. Vaak lijken de afzenders banken of zelfs PayPal te zijn.
  • DDoS/botnets, die kunnen leiden tot de aantasting van de beschikbaarheid en integriteit van systemen als gevolg van enorme datapakketten
  • Door staten gesponsorde cyberterroristen, activisten en criminelen, maar ook daders van binnen uit, die een grote verscheidenheid aan bedreigingen met zich meebrengen
  • Ontoereikende of ontbrekende processen

Het identificeren van kwetsbaarheden en beveiligingshiaten die voortkomen uit deze bedreigingen vereist een beoordeling van de beschermingsbehoeften met ISO 27001, omdat dit resulteert in systematisch beheer van kwetsbaarheden om de IT-infrastructuur te beveiligen met voortdurende beoordeling van kwetsbaarheden.

ISO/IEC 27001:2022 - Informatiebeveiliging, cyberveiligheid en privacybescherming - Beheerssystemen voor informatiebeveiliging - Eisen.

De ISO-norm is herzien en opnieuw gepubliceerd op 25 okt. 2022.

Gebrekkige processen - een bedreiging voor de informatiebeveiliging?

Zonder een proces voor het analyseren van systeemlogs en loggegevens, kennis van technische kwetsbaarheden en een grondiger onderzoek van IT-systemen, is een realistische risicobeoordeling niet mogelijk. Het ontbreken van of een gebrekkig proces maakt het evenmin mogelijk risicoaanvaardingscriteria vast te stellen of risiconiveaus te bepalen - zoals vereist door ISO 27001.

Hieruit volgt dat het risico voor de IT-beveiliging, en dus voor de informatiebeveiliging van een onderneming, niet kan worden bepaald en moet worden verondersteld het grootst mogelijke risico voor die onderneming te zijn.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Bekijk het nu: wat verandert er met de nieuwe ISO/IEC 27001:2022

Op 25 oktober 2022 is de nieuwe versie van ISO/IEC 27001 gepubliceerd, aangepast aan hedendaagse informatierisico's. Wat betekent dit voor gebruikers van de norm? In onze gratis webinaropname komt u meer te weten over 

  • Nieuwe kenmerken van ISO/IEC 27001:2022 - Framework en Annex A 
  • ISO/IEC 27002:2022-02 - structuur, inhoud, attributen en hashtags 
  • Tijdlijn voor de overgang en de volgende stappen

Kwetsbaarheidsmanagement in de context van ISO 27001: optimale beveiliging van de infrastructuur

Een mogelijke geschikte maatregel voor het beveiligen van de IT-infrastructuur is het beheer van potentiële kwetsbaarheden en leemten in de beveiliging. Dit houdt in dat alle systemen regelmatig en systematisch worden gescand en dat er penetratietests op technische kwetsbaarheden worden uitgevoerd. Geïdentificeerde kwetsbaarheden worden geregistreerd in het managementsysteem voor informatiebeveiliging (ISMS) overeenkomstig ISO 27001.

Het is eveneens van belang de bedreigingen voor de IT-beveiliging - en de overkoepelende informatiebeveiliging - te definiëren. In dit verband moeten de technische kwetsbaarheden worden gerangschikt naar ernst (CVSS) en uiteindelijk worden verholpen. Een beoordeling van het resterende risico van resterende technische kwetsbaarheden en, uiteindelijk, risicoacceptatie maken ook deel uit van kwetsbaarhedenbeheer volgens ISO 27001.

Om de ernst van een kwetsbaarheid te beoordelen, kan de industriestandaard"CVSS - Common Vulnerability Scoring System" worden gebruikt. Een algemene score van 0 tot 10 wordt bepaald aan de hand van de Base Score Metrics, die onder meer de volgende vragen behandelen Hoe "dichtbij" moet de aanvaller komen om het kwetsbare systeem te bereiken (Attack Vector)? Hoe gemakkelijk bereikt de aanvaller het doelwit (complexiteit van de aanval)? Welke toegangsrechten zijn nodig om de kwetsbaarheid uit te buiten (Privileges Required)? Zijn er helpers nodig, bijvoorbeeld een gebruiker die eerst een link moet volgen (User Interaction)? Is de vertrouwelijkheid in gevaar (Confidentiality Impact)?


Een CVSS-calculator is te vinden op de pagina's van het U.S. National Institute of Standards and Technology (NIST).

Hoe kan een bedrijf zich beschermen tegen technische kwetsbaarheden?

Een bedrijf kan zich bijvoorbeeld preventief beschermen tegen malware door detectie-, preventie- en gegevensbeveiligingsmaatregelen in te voeren en te implementeren in combinatie met een adequaat gebruikersbewustzijn. In detail betekent dit: Om te voorkomen dat misbruik wordt gemaakt van een technische kwetsbaarheid in het kader van kwetsbaarheidsbeheer volgens ISO 27001, is het noodzakelijk om:

  • tijdig informatie te verkrijgen over de technische kwetsbaarheden van de gebruikte informatiesystemen
  • De kwetsbaarheid ervan te beoordelen, en
  • passende maatregelen te nemen.

Dit kan gebeuren door het installeren van beveiligingspatches (patchbeheer), het isoleren van kwetsbare IT-systemen of uiteindelijk door het uitschakelen van systemen. Voorts moeten regels voor de installatie van software door gebruikers worden vastgesteld en uitgevoerd.

Belangrijke vragen over kwetsbaarheidsmanagement en het ISO 20071 beveiligingsconcept

De volgende vragen kunnen tijdens een audit worden gesteld, dus het is zinvol om ze van tevoren te behandelen:

  • Heeft u rollen en verantwoordelijkheden gedefinieerd voor het omgaan met en het monitoren van technische kwetsbaarheden?
  • Bent u op de hoogte van informatiebronnen die kunnen worden gebruikt om technische kwetsbaarheden te identificeren?
  • Is er een deadline voor het reageren met actie wanneer een kwetsbaarheid wordt gemeld en ontdekt?
  • Heeft u een risicobeoordeling uitgevoerd van de kwetsbaarheden met betrekking tot onder andere de bedrijfsmiddelen?
  • Kent u uw technische kwetsbaarheden?

Als u een uitgebreid en goed onderbouwd overzicht wilt krijgen van de Duitse bedreigingen in de cyberruimte, kunt u het "Situation Report on IT Security 2019" in het Engels van het Duitse federale bureau voor informatiebeveiliging (BSI) vinden op https://www.bsi.bund.de.

ISO 27001 Kwetsbaarheidsmanagement: conclusie

Kwetsbaarheidsbeheer in de context van ISO 27001 is een continu proces dat regelmatig moet worden uitgevoerd. Volgens ISO 27001 moeten de resultaten "geldig" zijn. Dat betekent dat een eenmalige kwetsbaarhedenscan en beoordeling van risico's voor implementatie of certificering niet meer geldig is op een later moment, bijvoorbeeld bij hercertificering.

Een kwetsbaarhedenscan is alleen geldig op het exacte moment dat hij wordt uitgevoerd. Maar als er later software-updates worden doorgevoerd of wijzigingen in de topologie worden aangebracht, kunnen die leiden tot nieuwe kwetsbaarheden.

Daarom is het voor elke organisatie belangrijk om de processen voor het beheer van kwetsbaarheden voortdurend bij te houden, te verifiëren en te herhalen en de relevante informatie op te nemen in het beheersysteem voor informatiebeveiliging.

ISO 27001-certificering

Met welke inspanning moet u rekening houden om uw ISMS te laten certificeren volgens ISO 27001? Laat u gratis en vrijblijvend informeren.

Wij verheugen ons op een gesprek met u.

DQS: Simply leveraging Quality.

Wij beschouwen onszelf als belangrijke partners van onze klanten, met wie wij op ooghoogte samenwerken om duurzame toegevoegde waarde te realiseren. Ons doel is om organisaties belangrijke waarde toevoegende impulsen te geven voor hun ondernemerssucces door middel van de eenvoudigste processen, evenals de uiterste naleving van deadlines en betrouwbaarheid.

Onze kerncompetenties liggen in het uitvoeren van certificeringsaudits en assessments. Dit maakt ons wereldwijd tot een van de toonaangevende aanbieders met de pretentie steeds nieuwe maatstaven te stellen op het gebied van betrouwbaarheid, kwaliteit en klantgerichtheid.

Auteur
André Saeckel

Productmanager bij DQS voor informatiebeveiligingsmanagement. Als normenexpert op het gebied van informatiebeveiliging en IT-beveiligingscatalogus (kritieke infrastructuren) is André Säckel onder andere verantwoordelijk voor de volgende normen en branchespecifieke normen: ISO 27001, ISIS12, ISO 20000-1, KRITIS en TISAX (informatiebeveiliging in de automobielindustrie). Hij is ook lid van de werkgroep ISO/IEC JTC 1/SC 27/WG 1 als nationaal afgevaardigde van het Duitse normalisatie-instituut DIN.

Loading...