datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Управление уязвимостями в контексте ISO 27001

André Saeckel

DQS Standard Expert for Information Security
мая 23 , 2023
# Информационная безопасность и управление рисками

ISO 27001 фокусируется на чувствительной, ценной информации организации: ее защите, конфиденциальности, целостности и доступности. ISO 27001 - это международный стандарт информационной безопасности в частных, государственных или некоммерческих организациях. Стандарт описывает требования к созданию, внедрению, эксплуатации и оптимизации документированной системы менеджмента информационной безопасности (ISMS). Основное внимание в системе управления уделяется выявлению, обработке и лечению рисков.

СОДЕРЖАНИЕ

Каковы угрозы и риски для информационной безопасности?

Управление уязвимостями в контексте ISO 27001 относится к техническим уязвимостям. Они могут привести к угрозам для ИТ-безопасности компаний и организаций. К ним относятся:

  • Ransomware, программа-вымогатель, которая может привести к шифрованию носителей данных и получению компрометирующей информации
  • Троян удаленного доступа (RAT), который может обеспечить удаленный доступ к сети
  • Фишинг и СПАМ, которые могут привести к потере контроля через электронную почту. Здесь особенно популярным шлюзом является General Data Protection Regulation (GDPR) и просьба в электронном письме проверить данные клиента, нажав на ссылку. Часто отправителями представляются банки или даже PayPal.
  • DDoS/ботнеты, которые могут привести к нарушению доступности и целостности систем из-за огромных пакетов данных.
  • Спонсируемые государством кибертеррористы, активисты, преступники, а также внутренние злоумышленники, которые несут широкий спектр угроз
  • Неадекватные или отсутствующие процессы

Выявление уязвимостей и пробелов в безопасности, возникающих в результате этих угроз, требует оценки потребностей в защите с помощью ISO 27001, поскольку это приводит к систематическому управлению уязвимостями для защиты ИТ-инфраструктуры с помощью постоянной оценки уязвимостей.

Неисправные процессы - угроза информационной безопасности?

Без процесса анализа системных журналов и журнальных данных, знания технических уязвимостей и более глубокого изучения ИТ-систем реалистичная оценка рисков невозможна. Отсутствие или несовершенство процесса также не позволяет установить критерии приемлемости риска или определить уровни риска - как того требует стандарт ISO 27001.

Из этого следует, что риск для безопасности ИТ, а значит и для информационной безопасности предприятия, не может быть определен и должен быть принят как максимально возможный для данного предприятия.

Управление уязвимостями в контексте ISO 27001: оптимальная защита инфраструктуры

Одной из возможных адекватных мер по обеспечению безопасности ИТ-инфраструктуры является управление потенциальными уязвимостями и пробелами в безопасности. Это предполагает регулярное, систематическое, контролируемое сетью сканирование и тесты на проникновение всех систем на предмет технических уязвимостей. Все выявленные уязвимости фиксируются в системе управления информационной безопасностью (СУИБ) в соответствии с ISO 27001.

Также важно определить угрозы для ИТ-безопасности - как и для общей информационной безопасности. В этом контексте технические уязвимости должны быть приоритезированы по степени серьезности (CVSS) и в конечном итоге устранены. Оценка остаточного риска от оставшихся технических уязвимостей и, в конечном итоге, принятие риска также является частью управления уязвимостями в соответствии с ISO 27001.

Для оценки серьезности уязвимости можно использовать промышленный стандарт"CVSS - Common Vulnerability Scoring System". Общий балл от 0 до 10 определяется на основе метрик базового балла, которые отвечают, в частности, на такие вопросы: Насколько "близко" атакующему нужно подобраться к уязвимой системе (вектор атаки)? Насколько легко атакующему достичь цели (Сложность атаки)? Какие права доступа необходимы для использования уязвимости (Privileges Required)? Нужны ли помощники, например, пользователь, который должен сначала перейти по ссылке (User Interaction)? Нарушена ли конфиденциальность (Confidentiality Impact)?


Калькулятор CVSS можно найти на страницах Национального института стандартов и технологий США (NIST).

Как компания может защитить себя от технических уязвимостей?

Например, компания может превентивно защититься от вредоносных программ путем внедрения и реализации мер по обнаружению, предотвращению и защите данных в сочетании с соответствующей осведомленностью пользователей. В деталях это означает следующее: Чтобы предотвратить использование технической уязвимости в контексте управления уязвимостями ISO 27001, необходимо:

  • своевременно получать информацию о технических уязвимостях используемых информационных систем
  • Оценить их уязвимость, и
  • Принять соответствующие меры

Это может быть сделано путем установки исправлений безопасности (управление исправлениями), изоляции уязвимых ИТ-систем или, в конечном счете, путем отключения системы. Кроме того, должны быть определены и внедрены правила установки программного обеспечения пользователями.

Важные вопросы об управлении уязвимостями и концепции безопасности ISO 20071

Следующие вопросы могут быть заданы во время аудита, поэтому имеет смысл ответить на них заранее:

  • Определили ли вы роли и обязанности по устранению и мониторингу технических уязвимостей?
  • Узнали ли вы об источниках информации, которые могут быть использованы для выявления технических уязвимостей?
  • Есть ли крайний срок для принятия ответных мер при получении уведомления и обнаружении уязвимости?
  • Провели ли вы оценку риска уязвимостей, в том числе в отношении активов компании?
  • Знаете ли вы свои технические уязвимости?

Если вы хотите получить полный и обоснованный обзор угроз Германии в киберпространстве, вы можете найти "Ситуационный отчет по ИТ-безопасности 2019" на английском языке от Федерального ведомства по информационной безопасности Германии (BSI) по адресу https://www.bsi.bund.de.

Заключение

Управление уязвимостями в контексте ISO 27001 - это непрерывный процесс, который должен осуществляться регулярно. Согласно ISO 27001, результаты должны быть "действительными". Это означает, что однократное сканирование уязвимостей и оценка рисков для внедрения или сертификации уже не будут действительны в более поздний момент времени, например, во время ресертификации.

Сканирование уязвимостей действительно только в тот момент, когда оно было проведено. Но если позже будут выпущены обновления программного обеспечения или внесены изменения в топологию, это может привести к появлению новых уязвимостей.

Поэтому для любой организации важно постоянно отслеживать, проверять и повторять процессы управления уязвимостями и переносить соответствующую информацию в систему управления информационной безопасностью.

Сертификация ISO 27001

С какими усилиями вам придется считаться, чтобы ваша СУИБ была сертифицирована по ISO 27001? Получите информацию бесплатно и без обязательств.

Мы с нетерпением ждем разговора с вами.

DQS. Простое использование качества.

Мы считаем себя важными партнерами наших клиентов, с которыми мы работаем на уровне глаз для достижения устойчивой добавленной стоимости. Наша цель - придать организациям важные импульсы к повышению стоимости для их предпринимательского успеха с помощью самых простых процессов, а также максимального соблюдения сроков и надежности.

Наша основная компетенция заключается в проведении сертификационных аудитов и оценок. Это делает нас одним из ведущих поставщиков услуг во всем мире, претендующих на то, чтобы постоянно устанавливать новые стандарты надежности, качества и ориентации на клиента.

Автор
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Есть вопросы?

Мы всегда к вашим услугам.
Связаться с нами