Dzisiejsze krajobrazy cyberzagrożeń zmieniają się bardzo szybko. W związku z tym konieczne jest stałe aktualizowanie i dalszy rozwój systematycznej ochrony bezpieczeństwa informacji - z nowoczesnym, szerokim i elastycznym katalogiem współczesnych środków bezpieczeństwa informacji. Nowa norma ISO/IEC 27001:2022 wspiera właśnie ten cel i zapewnia jedenaście nowych kontroli, z których trzy przeanalizujemy bardziej szczegółowo poniżej, które są skuteczne w zapobieganiu i wykrywaniu ataków.

Loading...

Cyberataki zbyt długo pozostają niewykryte

Wybitna wartość informacji i danych w świecie biznesu XXI wieku coraz częściej zmusza firmy i organizacje do skupienia się na bezpieczeństwie informacji i inwestowania w systematyczną ochronę swoich cyfrowych aktywów. Dlaczego? W dynamicznych krajobrazach zagrożeń taktyka atakujących staje się coraz bardziej wyrafinowana i wielowarstwowa - co skutkuje poważnym uszczerbkiem dla wizerunku i reputacji poszkodowanych firm oraz miliardami dolarów rocznych strat ekonomicznych na całym świecie.

Eksperci są zgodni, że nie istnieje już całkowita ochrona przed cyberatakami - choćby ze względu na czynnik ludzki, jakim jest niepewność. Tym bardziej ważne jest wczesne wykrywanie potencjalnych i rzeczywistych ataków, aby ograniczyć ich wektor boczny w sieciach korporacyjnych i utrzymać liczbę skompromitowanych systemów na jak najniższym poziomie. W tym obszarze jest jednak jeszcze ogromna ilość do nadrobienia: z badań przeprowadzonych w ramach badania IBM"Cost of a data breach 2022" wynika, że wykrycie i opanowanie ataku w 2022 roku zajęło średnio 277 dni.

Nowa norma ISO 27001:2022

Aby wspomóc firmy i organizacje współczesnymi, ustandaryzowanymi ramami dla systemów zarządzania bezpieczeństwem informacji, ISO opublikowało 25 października 2022 r. nową normę ISMS ISO/IEC 27001:2022. Załącznik A zawiera kontrole/środki, które mogą być stosowane w zależności od firmy w celu przeciwdziałania zagrożeniom bezpieczeństwa informacji.

neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale
Loading...

Równie interesujące:

Nowa norma ISO/IEC 27001:2022 - kluczowe zmiany

Wdrożenie środków z załącznika A w obecnej wersji jest wspierane przez identycznie skonstruowane wytyczne wdrożeniowe ISO/IEC 27002:2022, które zostały już zaktualizowane w lutym. Nowo włączono ogólne kontrole dla zapobiegania atakom strategicznym i szybszego wykrywania.

Trzy nowe kontrole dla wykrywania i zapobiegania

93 środki z załącznika A do normy ISO/IEC 27001:2022 zostały w ramach aktualizacji podzielone na cztery tematy

  • Środki organizacyjne,
  • Środki osobiste,
  • Środki fizyczne oraz
  • Środki technologiczne.

Trzy z jedenastu nowo wprowadzonych kontroli bezpieczeństwa informacji odnoszą się do zapobiegania i terminowego wykrywania cyberataków. Te trzy kontrole to.

  • 5.7 Wywiad o zagrożeniach (organizacyjny).
  • 8.16 Działania monitorujące (technologiczne)
  • 8.23 Filtrowanie stron internetowych (technologiczne).

Poniżej przyjrzymy się bliżej tym 3 nowym kontrolom.

Wywiad o zagrożeniach

Kontrola organizacyjna 5.7 dotyczy systematycznego zbierania i analizowania informacji o istotnych zagrożeniach. Celem działania jest uświadomienie organizacjom ich własnej sytuacji zagrożenia, aby następnie mogły podjąć odpowiednie działania w celu zmniejszenia ryzyka. Dane o zagrożeniach powinny być analizowane w sposób uporządkowany według trzech aspektów: strategicznego, taktycznego i operacyjnego.

Strategiczna analiza zagrożeń zapewnia wgląd w zmieniające się krajobrazy zagrożeń, takie jak typy ataków i aktorzy, np. aktorzy motywowani przez państwo, cyberprzestępcy, atakujący na zlecenie, haktywiści. Krajowe i międzynarodowe agencje rządowe (takie jak BSI - niemiecki Federalny Urząd Bezpieczeństwa Informacji, enisa - Agencja Unii Europejskiej ds. Bezpieczeństwa Cybernetycznego, Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych czy NIST - Narodowy Instytut Norm i Technologii), jak również organizacje non-profit i odpowiednie fora, dostarczają dobrze zbadanych informacji o zagrożeniach we wszystkich branżach i infrastrukturach krytycznych.

Loading...

Wytyczne DQS dotyczące audytu ISO 27001

Cenne know-how

Nasz przewodnik po audycie ISO 27001 - Załącznik A został stworzony przez czołowych ekspertów jako praktyczny przewodnik po wdrożeniu i jest doskonałym sposobem na lepsze zrozumienie wybranych wymagań normy. Przewodnik nie odnosi się jeszcze do zrewidowanej w październiku 2022 roku wersji normy ISO 27001.

Taktyczny wywiad o zagrożeniach i jego ocena dostarczają oceny metod, narzędzi i technologii napastników.

Operacyjna ocena konkretnych zagrożeń dostarcza szczegółowych informacji na temat konkretnych ataków, w tym wskaźników technicznych, np. obecnie ekstremalny wzrost cyberataków przez ransomware i jego warianty w 2022 roku.

Analiza zagrożeń może zapewnić wsparcie w następujący sposób:

  • Proceduralnie w celu włączenia danych o zagrożeniach do procesu zarządzania ryzykiem,
  • Technicznie w zakresie prewencji i detekcji, np. poprzez aktualizację reguł zapory sieciowej, systemów wykrywania włamań (IDS), rozwiązań antymalware,
  • Z informacjami wejściowymi dla konkretnych procedur testowych i technik testowych wobec bezpieczeństwa informacji.

Jakość danych z kontroli organizacyjnej 5.7 dla określenia sytuacji zagrożenia i jej analizy wpływa bezpośrednio na omówione poniżej dwie kontrole techniczne dla działań monitorujących (8.16) i filtrowania stron internetowych (8.23), które również są nowością w ISO/IEC 27002.

Działania monitorujące

Detektywistyczna i korekcyjna kontrola bezpieczeństwa informacji 8.16 dotycząca technicznego monitorowania działań skupia się na wykrywaniu anomalii jako metodzie zapobiegania zagrożeniom. Sieci, systemy i aplikacje zachowują się zgodnie z oczekiwanymi wzorcami, takimi jak przepustowość danych, protokoły, wiadomości itp. Każda zmiana lub odchylenie od tych oczekiwanych wzorców jest wykrywana jako anomalia.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certyfikacja zgodnie z ISO 27001

Jakich nakładów pracy należy się spodziewać, aby uzyskać certyfikat ISMS zgodnie z normą ISO 27001? Uzyskaj informacje bezpłatnie i bez zobowiązań.

Czekamy na rozmowę z Państwem.

W celu wykrycia tego nietypowego zachowania, odpowiednie działania muszą być monitorowane zgodnie z wymaganiami biznesowymi i wymaganiami dotyczącymi bezpieczeństwa informacji, a wszelkie anomalie muszą być porównywane między innymi z istniejącymi danymi dotyczącymi zagrożeń (patrz wyżej, wymaganie 5.7). W systemie monitorowania istotne są następujące aspekty:

  • Ruch przychodzący i wychodzący z sieci, systemu i aplikacji,
  • Dostęp do systemów, serwerów, urządzeń sieciowych, systemów monitoringu, krytycznych aplikacji, itp,
  • Pliki konfiguracyjne systemów i sieci na poziomie administracyjnym lub krytycznym dla misji;
  • Logi narzędzi bezpieczeństwa [np. systemy antywirusowe, systemy wykrywania włamań (IDS), systemy zapobiegania włamaniom (IPS), filtry internetowe, zapory sieciowe, zapobieganie wyciekom danych],
  • Dzienniki zdarzeń związane z aktywnością systemu i sieci,
  • Weryfikacja, czy kod wykonywalny w systemie posiada integralność i autoryzację,
  • Wykorzystanie zasobów, np. moc procesora, pojemność dysku, wykorzystanie pamięci, przepustowość.

Podstawowymi wymaganiami dla sprawnego monitorowania działań są czysto i przejrzyście skonfigurowana infrastruktura IT/OT oraz prawidłowo działające sieci IT/OT. Każda zmiana w stosunku do tego podstawowego stanu jest wykrywana jako potencjalne zagrożenie dla funkcjonalności, a więc jako anomalia. W zależności od złożoności infrastruktury, wdrożenie tego działania jest dużym wyzwaniem pomimo odpowiednich rozwiązań producentów. Znaczenie systemów do wykrywania anomalii zostało dostrzeżone niemal równocześnie z wymaganiem 8.16 normy ISO/IEC 27002:2022 dla operatorów tzw. infrastruktury krytycznej. Tym samym, w krajowym zakresie odpowiednich, prawnych regulacji, istnieje obowiązek dla nich skutecznego stosowania tzw. systemów wykrywania ataków z terminami.

Filtrowanie stron internetowych

Internet jest zarówno błogosławieństwem, jak i przekleństwem. Dostęp do podejrzanych stron internetowych nadal stanowi furtkę dla złośliwych treści i szkodliwego oprogramowania. Kontrola bezpieczeństwa informacji 8.23 Filtrowanie stron internetowych ma cel prewencyjny, jakim jest ochrona własnych systemów organizacji przed włamaniami złośliwego oprogramowania oraz zapobieganie dostępowi do nieautoryzowanych zasobów internetowych. Organizacje powinny w tym celu ustanowić zasady bezpiecznego i właściwego korzystania z zasobów internetowych - w tym obowiązkowe ograniczenia dostępu do niechcianych lub nieodpowiednich stron internetowych i aplikacji internetowych. Dostęp do następujących typów stron internetowych powinien być blokowany przez organizację:

  • Witryny, które posiadają funkcję przesyłania plików - chyba że byłoby to konieczne z uzasadnionych, biznesowych powodów,
  • Znane lub nawet podejrzewane złośliwe strony internetowe,
  • Serwery dowodzenia i kontroli,
  • Złośliwe strony internetowe zidentyfikowane jako takie na podstawie danych o zagrożeniach (patrz również środek 5.7),
  • strony internetowe zawierające nielegalne treści.

Środek filtrowania stron internetowych działa tak naprawdę tylko w przypadku przeszkolonego personelu, który jest wystarczająco świadomy bezpiecznego i właściwego korzystania z zasobów internetowych.

Wnioski techniczne

Opisane tu nowe kontrole wykrywania i zapobiegania mają do odegrania kluczową rolę w obronie przed zorganizowaną cyberprzestępczością i słusznie znalazły się w aktualnych wersjach norm ISO/IEC 27001 i ISO/IEC 27002. Dzięki ciągłej aktualizacji i analizie dostępnych informacji o zagrożeniach, szerokiemu monitorowaniu aktywności we własnych infrastrukturach IT oraz zabezpieczeniu własnych systemów przed podejrzanymi stronami internetowymi, firmy trwale wzmacniają swoją ochronę przed wtargnięciem niebezpiecznego złośliwego oprogramowania. Stawiają się również w pozycji umożliwiającej wczesne zainicjowanie odpowiednich środków reagowania.

Firmy i organizacje muszą teraz odpowiednio wdrożyć trzy przedstawione kontrole/środki i zintegrować je konsekwentnie ze swoim ISMS, aby spełnić wymagania przyszłych audytów certyfikacyjnych. DQS posiada ponad 35 lat kompleksowego doświadczenia w dziedzinie bezstronnych audytów i certyfikacji - i z przyjemnością wesprze Państwa w zarządzaniu zmianami systemu zarządzania bezpieczeństwem informacji zgodnie z normą ISO/IEC 27001:2022.

Co aktualizacja oznacza dla Twojej certyfikacji?

Norma ISO/IEC 27001:2022 została opublikowana 25 października 2022 roku. Skutkuje to następującymi terminami i ramami czasowymi dla użytkowników:

Ostatnia data audytów początkowych/re-certyfikacyjnych zgodnie ze "starą" normą ISO 27001:2013

  • Po 30 kwietnia 2024 r. DQS będzie przeprowadzać audyty początkowe i recertyfikacyjne wyłącznie zgodnie z nową normą ISO/IEC 27001:2022.

Przejście wszystkich istniejących certyfikatów zgodnie ze "starą" normą ISO/IEC 27001:2013 na nową normę ISO/IEC 27001:2022

  • Od 31 października 2022 r. obowiązuje 3-letni okres przejściowy
  • Certyfikaty wydane zgodnie z ISO/IEC 27001:2013 lub DIN EN ISO/IEC 27001:2017 są ważne najpóźniej do 31 października 2025 r. lub muszą zostać wycofane w tym dniu.

Najnowocześniejszy ISMS z doświadczeniem DQS

Przy przechodzeniu na nową wersję ISO/IEC 27001 organizacje mają jeszcze trochę czasu. Obecne certyfikaty oparte na starej normie stracą swoją ważność 31.10.2025 r. Niemniej jednak, dobrze jest zająć się zmienionymi wymaganiami ISMS na wczesnym etapie, zainicjować odpowiednie procesy zmian i odpowiednio je wdrożyć.

Jako eksperci w dziedzinie audytów i certyfikacji z ponad trzydziestoletnim doświadczeniem wspieramy Państwa we wdrażaniu nowej normy. Dowiedz się od naszych licznych doświadczonych audytorów o najważniejszych zmianach i ich znaczeniu dla Twojej organizacji - i zaufaj naszej wiedzy. Wspólnie omówimy Państwa potencjał doskonalenia i będziemy wspierać Państwa aż do otrzymania nowego certyfikatu. Czekamy na Twoją wiadomość.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Masz pytania?

Skontaktuj się z nami!

Bez zobowiązań i bezpłatnie.

Autor
Markus Jegelka

Ekspert DQS w zakresie systemów zarządzania bezpieczeństwem informacji (ISMS) i wieloletni audytor norm ISO 9001, ISO/IEC 27001 oraz katalogu bezpieczeństwa IT zgodnie z paragrafem 11.1a niemieckiej ustawy o przemyśle energetycznym (EnWG).

Loading...