Zarządzanie konfiguracją w bezpieczeństwie informacji

TREŚĆ

• Rosnąca złożoność i zagrożenia
• Zarządzanie konfiguracją w kontekście ISO 27001:2022
• Kontrola 8.9 "Zarządzanie konfiguracją"
• Zarządzanie konfiguracją w bezpieczeństwie informacji - Podsumowanie
• DQS: Twój kontakt w sprawie certyfikowanego bezpieczeństwa informacji

Rosnąca złożoność i zagrożenia

Nieprawidłowe ustawienia i konfiguracje zabezpieczeń niosą ze sobą nieobliczalne ryzyko dla bezpieczeństwa informacji. Ze względu na rosnącą złożoność nowoczesnych środowisk IT, zarządzanie konfiguracją - tj. ciągłe i systematyczne definiowanie, dokumentowanie, wdrażanie, monitorowanie i przegląd konfiguracji zabezpieczeń - staje się trudnym zadaniem, które rozciąga się na zarządzanie zgodnością organizacji.

Dla osoby z zewnątrz infrastruktura IT jest zagmatwaną siecią aplikacji, urządzeń, komponentów sieciowych i usług, zarówno hostowanych lokalnie, jak i w chmurze. Zwłaszcza te ostatnie dramatycznie wzrosły podczas pandemii koronawirusa. Jednak dla zespołów IT konfigurowanie rosnącej liczby komponentów systemu oraz ciągłe monitorowanie i dostosowywanie konfiguracji systemów oznacza znaczną ilość pracy, która często przytłacza pracowników. Bez systematycznego zarządzania konfiguracją może to prowadzić do znacznego zagrożenia bezpieczeństwa i utraty lub niewłaściwego wykorzystania danych (w tym danych osobowych).

W końcu 81% menedżerów ds. bezpieczeństwa w niemieckim badaniu z 2022 r. stwierdziło, że luki w zabezpieczeniach i nieznane błędne konfiguracje powodują największe problemy z bezpieczeństwem w ich infrastrukturach. A w Pandemic Eleven, badaniu przeprowadzonym przez Cloud Security Alliance na temat najpoważniejszych luk w zabezpieczeniach chmury obliczeniowej podczas pandemii, błędne konfiguracje również znalazły się na znaczącym trzecim miejscu.

Logiczną konsekwencją rozwoju sytuacji w ostatnich latach jest zatem zwrócenie większej uwagi na zarządzanie konfiguracją w technologii informacyjnej, na przykład w kontekście nieautoryzowanego dostępu. Słusznie zatem nowa norma ISO/IEC 27001:2022 poświęciła temu tematowi osobną kontrolę bezpieczeństwa informacji.

Zarządzanie konfiguracją w kontekście normy ISO 27001:2022

Zrestrukturyzowany załącznik A do normy ISO 27001 z 2022 r. zawiera 93 środki bezpieczeństwa informacji (kontrole), w tym 11 nowych. Wraz z aktualizacją kontrole są teraz zorganizowane tematycznie w czterech sekcjach

• Środki organizacyjne
• Środki osobiste
• Środki fizyczne
• Środki technologiczne

Bezpieczne zarządzanie konfiguracją w technologii informacyjnej należy do obszaru tematycznego środków technologicznych lub technicznych i jest wymienione w Załączniku A w punkcie 8.9. Jest to jedno z narzędzi zapobiegawczych, które wspiera wszystkie trzy cele ochrony bezpieczeństwa informacji (poufność, integralność i dostępność).

Standardowe szablony

Definicja standardowych szablonów pomaga organizacjom usystematyzować zarządzanie konfiguracją. Przy ich opracowywaniu należy wziąć pod uwagę następujące podstawowe aspekty:

• Publicznie dostępne wytyczne, na przykład od sprzedawców lub niezależnych organów ds. bezpieczeństwa
• Wymagane poziomy ochrony w celu zapewnienia odpowiedniego bezpieczeństwa
• Wsparcie dla wewnętrznej polityki bezpieczeństwa informacji, wytycznych tematycznych, standardów i innych wymogów bezpieczeństwa
• Wykonalność i możliwość zastosowania konfiguracji w kontekście organizacji.

Opracowane standardowe szablony powinny być regularnie przeglądane i aktualizowane, zwłaszcza gdy trzeba zająć się nowymi zagrożeniami lub lukami w zabezpieczeniach, lub gdy do organizacji wprowadzane są nowe wersje oprogramowania lub sprzętu.

Istnieje również szereg innych kwestii, które należy wziąć pod uwagę podczas tworzenia szablonów. Wszystkie one pomagają zapobiegać nieautoryzowanym lub nieprawidłowym zmianom konfiguracji:

• Minimalizacja liczby tożsamości z uprzywilejowanymi lub administracyjnymi prawami dostępu
• Dezaktywacja niepotrzebnych, nieużywanych lub niezabezpieczonych tożsamości
• Dezaktywacja lub ograniczenie funkcji i usług, które nie są wymagane.
• Ograniczenie dostępu do zaawansowanych narzędzi i ustawień parametrów hosta
• Synchronizacja zegarów
• Zmiana domyślnych danych uwierzytelniających producenta i domyślnych haseł natychmiast po instalacji oraz sprawdzenie ważnych parametrów związanych z bezpieczeństwem
• Wywoływanie funkcji limitu czasu, które automatycznie wylogowują urządzenia komputerowe po określonym czasie bezczynności.
• Sprawdzanie, czy spełnione są wymagania licencyjne

Zarządzanie i monitorowanie konfiguracji

Wszystkie konfiguracje powinny być rejestrowane, a zmiany rzetelnie rejestrowane w celu wykluczenia błędnych konfiguracji po incydencie. Informacje te muszą być bezpiecznie przechowywane, na przykład w bazach danych konfiguracji lub szablonach.

Wszystkie zmiany są wprowadzane zgodnie z kontrolą 8.32 "Kontrola zmian", która opisuje wytyczne dotyczące zmian w wytycznych przetwarzania informacji i systemach informatycznych. Rejestry konfiguracji muszą zawierać wszystkie informacje wymagane do śledzenia zarówno statusu systemu informatycznego lub zasobu, jak i wszelkich zmian wprowadzonych do niego w dowolnym momencie. Obejmuje to na przykład następujące informacje

• Bieżące informacje o danym zasobie - Kto jest właścicielem lub punktem kontaktowym?
• Data ostatniej zmiany konfiguracji
• Wersja szablonu konfiguracji
• Połączenia i relacje z konfiguracjami innych zasobów

Kompleksowy zestaw narzędzi do zarządzania systemem - takich jak programy konserwacyjne, zdalne wsparcie, narzędzia do zarządzania przedsiębiorstwem oraz oprogramowanie do tworzenia kopii zapasowych i przywracania - pomaga monitorować i regularnie sprawdzać konfiguracje. Za pomocą tych narzędzi menedżerowie mogą weryfikować ustawienia konfiguracji, oceniać siłę haseł i oceniać wykonane działania.

Rzeczywiste stany można również porównywać ze zdefiniowanymi szablonami docelowymi i inicjować odpowiednie reakcje w przypadku odchyleń - albo poprzez automatyczne wymuszanie zdefiniowanej konfiguracji docelowej, albo poprzez ręczną analizę odchyleń i późniejsze działania naprawcze. Automatyzacja, na przykład poprzez infrastrukturę jako kod (infrastrukturę programowalną), umożliwia wydajne i bezpieczne zarządzanie konfiguracjami bezpieczeństwa w środowiskach zwirtualizowanych i chmurze obliczeniowej.

Zarządzanie konfiguracją w bezpieczeństwie informacji - podsumowanie

Zarządzanie konfiguracją w bezpieczeństwie informacji jest ważnym narzędziem bezpieczeństwa i trwale przyczynia się do znacznego zmniejszenia luk w zabezpieczeniach spowodowanych błędnymi konfiguracjami. Jego systematyczne podejście odciąża wewnętrzne zespoły i przyczynia się do wydajnych operacji IT, a także do wzmocnienia systemów oraz dostępności informacji i poufnych danych. Pozytywny wpływ na przykład na ochronę danych osobowych jest również oczywisty.

Zarządzanie konfiguracją można również zintegrować z procesami zarządzania zasobami i powiązanymi narzędziami. Centralne zarządzanie ustawieniami bezpieczeństwa umożliwia szybkie reagowanie na nowe zagrożenia i luki w dostępności systemów i ochronie danych, pomagając w ten sposób zminimalizować potencjalne powierzchnie ataku w systemach. Nowa kontrola bezpieczeństwa informacji 8.9 z ISO 27001 stanowi ważny wkład w bezpieczeństwo dla organizacji i ich kierownictwa.

Ta wartość dodana musi zostać wdrożona przez firmy i organizacje. Wymagania kontroli 8.9 muszą być porównane z obecnym stanem i dalej optymalizowane poprzez kontrolowany proces zmian. Dzięki ponad 35-letniemu doświadczeniu w zakresie audytów i certyfikacji jesteśmy idealnym partnerem i możemy zapewnić doradztwo i wsparcie w zakresie bezpieczeństwa informacji.

Co aktualizacja oznacza dla Twojej certyfikacji?

Norma ISO/IEC 27001:2022 została opublikowana 25 października 2022 roku.

Skutkuje to następującymi terminami i okresami przejścia dla użytkowników

Ostatnia data audytów początkowych/recertyfikacyjnych zgodnie ze "starą" normą ISO 27001

• Po 30 kwietnia 2024 r. DQS będzie przeprowadzać wyłącznie audyty początkowe i recertyfikacyjne zgodnie z nową normą ISO/IEC 27001:2022.

Konwersja wszystkich istniejących certyfikatów zgodnie ze "starą" normą ISO/IEC 27001:2013 do nowej wersji 2022

• 3-letni okres przejściowy obowiązuje od 31 października 2022 r.
• certyfikaty wydane zgodnie z ISO/IEC 27001:2013 lub DIN EN ISO/IEC 27001:2017 zachowują ważność najpóźniej do 31 października 2025 r. lub muszą zostać wycofane w tym dniu.

ISO/IEC 27001:2022 - Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Systemy zarządzania bezpieczeństwem informacji - Wymagania

DQS: Po prostu wykorzystując bezpieczeństwo

Organizacje mają jeszcze trochę czasu na przejście na nową wersję normy ISO/IEC 27001. Obecne certyfikaty oparte na starej normie stracą ważność 31 października 2025 roku. Niemniej jednak zaleca się, aby na wczesnym etapie zająć się zmienionymi wymaganiami dotyczącymi systemu zarządzania bezpieczeństwem informacji (ISMS), zainicjować odpowiednie procesy zmian i odpowiednio je wdrożyć.

Jako eksperci w dziedzinie audytów i certyfikacji z ponad trzydziestoletnim doświadczeniem, możemy wesprzeć Cię we wdrożeniu nowej normy ISO 27001:2022. Dowiedz się od naszych doświadczonych audytorów o najważniejszych zmianach i ich znaczeniu dla Twojej firmy - i zaufaj naszej wiedzy. Czekamy na wiadomość od Ciebie.

Zaufanie i wiedza specjalistyczna

Nasze artykuły i whitepapers są pisane wyłącznie przez naszych ekspertów ds. standardów lub wieloletnich audytorów. Jeśli masz jakiekolwiek pytania dotyczące treści tekstu lub naszych usług dla autora, skontaktuj się z nami.