Norma ISO 27001 koncentruje się na wrażliwych, cennych informacjach organizacji: jej ochronie, poufności, integralności i dostępności. ISO 27001 jest międzynarodową normą dotyczącą bezpieczeństwa informacji w organizacjach prywatnych, publicznych i non-profit. Norma opisuje wymagania dotyczące ustanowienia, wdrożenia, eksploatacji i optymalizacji udokumentowanego systemu zarządzania bezpieczeństwem informacji (ISMS). Główny nacisk w systemie zarządzania jest położony na identyfikację, obsługę i leczenie ryzyka.

Loading...

Jakie są zagrożenia i ryzyko dla bezpieczeństwa informacji?

Zarządzanie podatnościami w kontekście  ISO 27001 odnosi się do technicznych słabości. Mogą one prowadzić do zagrożeń dla bezpieczeństwa informatycznego firm i organizacji. Należą do nich:

  • Ransomware, oprogramowanie wymuszające, które może prowadzić do zaszyfrowania nośników danych i uzyskania kompromitujących informacji
  • Remote Access Trojan (RAT), który może umożliwić zdalny dostęp do sieci
  • Phishing i SPAM, które mogą prowadzić do utraty kontroli za pośrednictwem poczty elektronicznej. Tutaj szczególnie popularną furtką jest General Data Protection Regulation (GDPR) i prośba w mailu o sprawdzenie danych klienta poprzez kliknięcie w link. Często nadawcami okazują się banki lub nawet PayPal.
  • DDoS/botnety, które mogą prowadzić do upośledzenia dostępności i integralności systemów z powodu ogromnych pakietów danych
  • cyberterroryści sponsorowani przez państwo, aktywiści, przestępcy, a także wewnętrzni sprawcy, którzy niosą ze sobą wiele różnych zagrożeń
  • Nieodpowiednie procesy lub ich brak

Identyfikacja podatności i luk w zabezpieczeniach, które powstają w wyniku tych zagrożeń, wymaga oceny potrzeb ochrony zgodnie z ISO 27001, ponieważ skutkuje to systematycznym zarządzaniem podatnościami w celu zabezpieczenia infrastruktury IT za pomocą ciągłej oceny podatności.

ISO/IEC 27001:2022-10 - Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Systemy zarządzania bezpieczeństwem informacji - Wymagania. 
Norma ISO została zrewidowana i ponownie opublikowana 25 października 2022 roku.

Wadliwe procesy - zagrożenie dla bezpieczeństwa informacji?

Bez procesu analizy logów systemowych i danych z logów, wiedzy na temat podatności technicznych oraz bardziej dogłębnego przeglądu systemów IT, realistyczna ocena ryzyka nie jest możliwa. Brak lub wadliwy proces nie pozwala również na ustalenie kryteriów akceptacji ryzyka lub określenie poziomów ryzyka - co jest wymagane przez normę ISO 27001.

Wynika z tego, że ryzyko dla bezpieczeństwa IT, a tym samym dla bezpieczeństwa informacji w przedsiębiorstwie, nie może być określone i należy przyjąć, że jest to najwyższe możliwe ryzyko dla tego przedsiębiorstwa.

Zarządzanie podatnością w kontekście ISO 27001: Optymalne zabezpieczenie infrastruktury

Jednym z możliwych odpowiednich środków zabezpieczenia infrastruktury IT jest zarządzanie potencjalnymi podatnościami i lukami bezpieczeństwa. Obejmuje to regularne, systematyczne, kontrolowane przez sieć skanowanie i testy penetracyjne wszystkich systemów pod kątem podatności technicznych. Wszelkie zidentyfikowane podatności są rejestrowane w systemie zarządzania bezpieczeństwem informacji (ISMS) zgodnie z normą ISO 27001.

Równie ważne jest zdefiniowanie zagrożeń dla bezpieczeństwa IT, jak i dla ogólnego bezpieczeństwa informacji. W tym kontekście, podatności techniczne muszą być uszeregowane pod względem ważności (CVSS) i ostatecznie usunięte. Ocena ryzyka rezydualnego wynikającego z pozostałych podatności technicznych i ostatecznie akceptacja ryzyka są również częścią zarządzania podatnościami zgodnie z  ISO 27001.

W celu oceny dotkliwości podatności można wykorzystać standard branżowy"CVSS - Common Vulnerability Scoring System". Ogólny wynik w skali od 0 do 10 jest określany na podstawie metryki Base Score, która odpowiada między innymi na następujące pytania Jak "blisko" atakujący musi się dostać do podatnego systemu (Attack Vector)? Jak łatwo atakujący może dotrzeć do celu (Attack Complexity)? Jakie prawa dostępu są wymagane do wykorzystania luki (Privileges Required)? Czy potrzebni są pomocnicy, np. użytkownik, który najpierw musi podążać za linkiem (User Interaction)? Czy poufność jest zagrożona (Confidentiality Impact)?


Kalkulator CVSS można znaleźć na stronach amerykańskiego Narodowego Instytutu Standardów i Technologii (NIST).

W jaki sposób firma może chronić się przed podatnościami technicznymi?

Na przykład, firma może zapobiegawczo chronić się przed złośliwym oprogramowaniem poprzez wprowadzenie i wdrożenie środków wykrywania, zapobiegania i bezpieczeństwa danych w połączeniu z odpowiednią świadomością użytkowników. W szczegółach oznacza to, że: Aby zapobiec wykorzystaniu podatności technicznej w kontekście zarządzania podatnościami wg ISO 27001, należy:

  • Uzyskać w odpowiednim czasie informacje o technicznych podatnościach wykorzystywanych systemów informatycznych
  • Ocenić ich podatność na zagrożenia, oraz
  • Podjąć odpowiednie środki zaradcze

Można to zrobić poprzez instalację poprawek bezpieczeństwa (zarządzanie poprawkami), izolowanie podatnych systemów informatycznych lub w ostateczności poprzez wyłączenie systemu. Ponadto, należy określić i wdrożyć zasady instalacji oprogramowania przez użytkowników.

Ważne pytania dotyczące zarządzania podatnościami i koncepcji bezpieczeństwa ISO 27001

Poniższe pytania mogą zostać zadane podczas audytu, dlatego warto się nimi zająć zawczasu:

  • Czy zdefiniowałeś role i obowiązki w zakresie postępowania z podatnościami technicznymi i ich monitorowania?
  • Czy dowiedziałeś się o źródłach informacji, które mogą być wykorzystane do identyfikacji podatności technicznych?
  • Czy ustalono termin reakcji na zgłoszenie i wykrycie podatności?
  • Czy przeprowadziłeś ocenę ryzyka związanego z podatnościami m.in. w odniesieniu do aktywów firmy?
  • Czy znasz swoje podatności techniczne?

Jeśli chcesz uzyskać kompleksowy i dobrze uzasadniony przegląd niemieckich zagrożeń w cyberprzestrzeni, możesz znaleźć "Situation Report on IT Security 2019" w języku angielskim od niemieckiego Federalnego Urzędu ds. Bezpieczeństwa Informacji (BSI) pod adresem https://www.bsi.bund.de.

Wnioski

Zarządzanie podatnościami w kontekście normy ISO 27001 jest procesem ciągłym, który musi być przeprowadzany regularnie. Zgodnie z normą ISO 27001, wyniki muszą być "ważne". Oznacza to, że jednorazowe skanowanie podatności i ocena ryzyka w celu wdrożenia lub certyfikacji nie są już ważne w późniejszym czasie, na przykład podczas ponownej certyfikacji.

Skanowanie podatności jest ważne tylko w momencie, w którym jest wykonywane. Jeśli jednak później zostaną wprowadzone aktualizacje oprogramowania lub zmiany w topologii, mogą one prowadzić do powstania nowych podatności.

Dlatego ważne jest, aby każda organizacja stale śledziła, weryfikowała i powtarzała procesy zarządzania podatnościami oraz przenosiła odpowiednie informacje do systemu zarządzania bezpieczeństwem informacji.

Certyfikacja ISO 27001

Z jakim wysiłkiem musisz się liczyć, aby Twój system ISMS został certyfikowany zgodnie z normą ISO 27001? Uzyskaj informacje bezpłatnie i bez zobowiązań.

Chętnie z Państwem porozmawiamy.

DQS. Simply leveraging Quality.

Uważamy się za ważnych partnerów naszych klientów, z którymi współpracujemy na najwyższym poziomie w celu osiągnięcia trwałej wartości dodanej. Naszym celem jest dostarczenie organizacjom istotnych impulsów dodających wartości dla ich przedsiębiorczego sukcesu poprzez najprostsze procesy, jak również maksymalne dotrzymywanie terminów i niezawodność.

Nasze główne kompetencje leżą w przeprowadzaniu audytów i ocen certyfikacyjnych. Dzięki temu należymy do wiodących usługodawców na całym świecie, którzy wyznaczają nowe standardy w zakresie niezawodności, jakości i orientacji na klienta.

Autor
André Saeckel

Menedżer produktu w DQS ds. zarządzania bezpieczeństwem informacji. Jako ekspert ds. norm w dziedzinie bezpieczeństwa informacji i katalogu bezpieczeństwa IT (infrastruktury krytyczne) André Säckel jest odpowiedzialny m.in. za następujące normy i standardy branżowe: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (bezpieczeństwo informacji w przemyśle motoryzacyjnym). Jest również członkiem grupy roboczej ISO/IEC JTC 1/SC 27/WG 1 jako delegat krajowy Niemieckiego Instytutu Normalizacyjnego DIN.

Loading...