Riadenie konfigurácie v informačnej bezpečnosti

OBSAH

• Zvyšujúca sa zložitosť a hrozby
• Riadenie konfigurácie v kontexte normy ISO 27001:2022
• Kontrola 8.9 "Riadenie konfigurácie"
• Riadenie konfigurácie v informačnej bezpečnosti - záver
• DQS: Váš kontakt pre certifikovanú bezpečnosť informácií

Rastúca zložitosť a hrozby

Nesprávne nastavenia a konfigurácie zabezpečenia skrývajú nevyčísliteľné riziká pre bezpečnosť informácií. Vzhľadom na rastúcu zložitosť moderných IT prostredí sa správa konfigurácií - t. j. priebežné a systematické definovanie, dokumentovanie, implementácia, monitorovanie a preskúmanie bezpečnostných konfigurácií - stáva náročnou úlohou, ktorá presahuje do riadenia zhody organizácie.

IT infraštruktúra je pre vonkajšieho pozorovateľa neprehľadnou sieťou aplikácií, zariadení, sieťových komponentov a služieb, či už umiestnených on-prem alebo v cloude. Najmä tých druhých výrazne pribudlo počas pandémie koronavírusov. Pre tímy IT však konfigurácia rastúceho počtu systémových komponentov a neustále monitorovanie a prispôsobovanie konfigurácií systémov znamená značné množstvo práce, ktoré často zamestnancov zahltí. Bez systematického riadenia konfigurácie to môže viesť k značnému bezpečnostnému riziku a strate alebo zneužitiu údajov (vrátane osobných údajov).

Koniec koncov, 81 % bezpečnostných manažérov v nemeckej štúdii z roku 2022 uviedlo, že zraniteľnosti a neznáme chybné konfigurácie spôsobujú najväčšie bezpečnostné problémy v ich infraštruktúrach. A v Pandemic Eleven, štúdii Cloud Security Alliance o najzávažnejších zraniteľnostiach v cloud computingu počas pandémie, sú chybné konfigurácie tiež na poprednom treťom mieste.

Je preto logickým dôsledkom vývoja posledných rokov venovať väčšiu pozornosť správe konfigurácie v informačných technológiách, napríklad v súvislosti s neoprávneným prístupom. Je preto správne, že nová norma ISO/IEC 27001:2022 venovala tejto téme samostatnú kontrolu informačnej bezpečnosti.

Riadenie konfigurácie v kontexte normy ISO 27001:2022

Reštrukturalizovaná príloha A normy ISO 27001 z roku 2022 obsahuje 93 opatrení (kontrol) informačnej bezpečnosti vrátane 11 nových. Po aktualizácii sú teraz kontroly tematicky usporiadané do štyroch častí

• Organizačné opatrenia
• Personálne opatrenia
• Fyzické opatrenia
• Technologické opatrenia

Bezpečné riadenie konfigurácie v informačných technológiách patrí do tematickej oblasti technologických alebo technických opatrení a je uvedené v dodatku A v bode 8.9. Je jedným z preventívnych nástrojov, ktoré podporujú všetky tri ciele ochrany informačnej bezpečnosti (dôvernosť, integrita a dostupnosť).

Štandardné vzory

Definícia štandardných šablón pomáha organizáciám systematizovať riadenie konfigurácie. Pri tomto vývoji by sa mali zohľadniť tieto základné aspekty:

• Verejne dostupné usmernenia, napríklad od dodávateľov alebo nezávislých bezpečnostných orgánov
• Požadované úrovne ochrany na zabezpečenie primeranej bezpečnosti
• Podpora internej politiky informačnej bezpečnosti, tematických usmernení, noriem a iných bezpečnostných požiadaviek
• Realizovateľnosť a použiteľnosť konfigurácií v kontexte organizácie

Vypracované štandardné šablóny by sa mali pravidelne revidovať a aktualizovať, najmä keď je potrebné riešiť nové hrozby alebo zraniteľnosti alebo keď sa v organizácii zavedú nové verzie softvéru alebo hardvéru.

Pri tvorbe šablón je potrebné zvážiť aj niekoľko ďalších bodov. Všetky tieto prvky pomáhajú predchádzať neoprávneným alebo nesprávnym zmenám konfigurácií:

• Minimalizácia počtu identít s privilegovanými alebo administratívnymi prístupovými právami
• deaktivácia nepotrebných, nepoužívaných alebo nezabezpečených identít
• deaktivácia alebo obmedzenie funkcií a služieb, ktoré nie sú potrebné
• obmedzenie prístupu k výkonným nástrojom a nastaveniam parametrov hostiteľa
• Synchronizácia hodín
• Zmena predvolených autentifikačných údajov a predvolených hesiel výrobcu ihneď po inštalácii a kontrola dôležitých parametrov dôležitých z hľadiska bezpečnosti
• Vyvolanie časových limitov, ktoré automaticky odhlasujú počítačové zariadenia po určitom čase nečinnosti
• Kontrola, či sú splnené licenčné požiadavky

Správa a monitorovanie konfigurácií

Všetky konfigurácie by sa mali zaznamenávať a zmeny spoľahlivo zaznamenávať, aby sa po incidente vylúčili nesprávne konfigurácie. Tieto informácie musia byť bezpečne uložené, napríklad v konfiguračných databázach alebo šablónach.

Všetky zmeny sa vykonávajú v súlade s kontrolou 8.32 "Kontrola zmien", ktorá opisuje usmernenie pre zmeny v usmerneniach na spracovanie informácií a informačných systémoch. Záznamy o konfigurácii musia obsahovať všetky informácie potrebné na sledovanie stavu informačného systému alebo prostriedku, ako aj všetkých zmien, ktoré sa v ňom kedykoľvek vykonali. Patria sem napríklad tieto informácie

• Aktuálne informácie o danom aktíve - Kto je vlastníkom alebo kontaktnou osobou?
• Dátum poslednej zmeny konfigurácie
• Verzia šablóny konfigurácie
• Pripojenia a vzťahy ku konfiguráciám iných aktív

Pri monitorovaní a pravidelnej kontrole konfigurácií pomáha komplexný súbor nástrojov na správu systému - napríklad programy na údržbu, vzdialená podpora, nástroje na správu podniku a softvér na zálohovanie a obnovu. Pomocou týchto nástrojov môžu manažéri overovať nastavenia konfigurácie, vyhodnocovať silu hesiel a posudzovať vykonané činnosti.

Skutočné stavy možno tiež porovnávať s definovanými cieľovými šablónami a v prípade odchýlok iniciovať vhodné reakcie - buď automatickým presadzovaním definovanej cieľovej konfigurácie, alebo manuálnou analýzou odchýlky a následnými nápravnými opatreniami. Automatizácia, napríklad prostredníctvom infraštruktúry ako kódu (programovateľná infraštruktúra), umožňuje efektívne a bezpečne spravovať bezpečnostné konfigurácie vo virtualizovaných prostrediach a cloud computingu.

Riadenie konfigurácie v informačnej bezpečnosti - zhrnutie

Správa konfigurácie v informačnej bezpečnosti je dôležitým bezpečnostným nástrojom a trvalo prispieva k výraznému zníženiu bezpečnostných medzier spôsobených nesprávnymi konfiguráciami. Jeho systematický prístup odbremeňuje interné tímy a prispieva k efektívnej prevádzke IT, ako aj k spevneniu systémov a dostupnosti informácií a dôverných údajov. Pozitívne účinky sú zrejmé napríklad aj na ochranu osobných údajov.

Správa konfigurácie sa dá integrovať aj do procesov správy aktív a súvisiacich nástrojov. Centrálna správa bezpečnostných nastavení umožňuje rýchlo reagovať na nové hrozby a zraniteľnosti v dostupnosti systémov a ochrane údajov, čím pomáha minimalizovať potenciálne plochy pre útoky v systémoch. Nová kontrola informačnej bezpečnosti 8.9 z normy ISO 27001 predstavuje významný bezpečnostný prínos pre organizácie a ich manažment.

Túto pridanú hodnotu musia spoločnosti a organizácie implementovať. Požiadavky z kontroly 8.9 sa musia porovnať so súčasným stavom a ďalej optimalizovať prostredníctvom riadeného procesu zmien. Vďaka viac ako 35 rokom skúseností v oblasti auditu a certifikácie sme vaším ideálnym partnerom a môžeme vám poskytnúť poradenstvo a podporu v oblasti informačnej bezpečnosti.

Čo znamená aktualizácia pre vašu certifikáciu?

Norma ISO/IEC 27001:2022 bola zverejnená 25. októbra 2022.

Z toho vyplývajú nasledujúce termíny a obdobia prechodu pre používateľov

Posledný dátum pre počiatočné/recertifikačné audity podľa "starej" normy ISO 27001

• Po 30. apríli 2024 bude DQS vykonávať len počiatočné a recertifikačné audity podľa novej normy ISO/IEC 27001:2022.

Konverzia všetkých existujúcich certifikátov podľa "starej" normy ISO/IEC 27001:2013 na novú verziu 2022

• Od 31. októbra 2022 platí 3-ročné prechodné obdobie
• certifikáty vydané podľa normy ISO/IEC 27001:2013 alebo DIN EN ISO/IEC 27001:2017 sú platné najneskôr do 31. októbra 2025 alebo musia byť k tomuto dátumu zrušené

ISO/IEC 27001:2022 - Bezpečnosť informácií, kybernetická bezpečnosť a ochrana súkromia - Systémy riadenia bezpečnosti informácií - Požiadavky

DQS: Jednoduché využitie bezpečnosti

Organizácie majú ešte určitý čas na prechod na novú verziu normy ISO/IEC 27001. Súčasné certifikáty založené na starej norme stratia platnosť 31. októbra 2025. Napriek tomu sa im odporúča zaoberať sa zmenenými požiadavkami na systém riadenia bezpečnosti informácií (ISMS) v počiatočnej fáze, iniciovať vhodné procesy zmien a primerane ich implementovať.

Ako odborníci na audity a certifikácie s viac ako tridsaťročnými skúsenosťami vás môžeme podporiť pri implementácii novej normy ISO 27001:2022. Informujte sa u našich mnohých skúsených audítorov o najdôležitejších zmenách a ich význame pre vašu spoločnosť - a dôverujte našim odborným znalostiam. Tešíme sa na vaše otázky.

Dôvera a odborné znalosti

Naše články a biele knihy píšu výlučne naši odborníci na normy alebo dlhoroční audítori. Ak máte akékoľvek otázky týkajúce sa obsahu textu alebo našich služieb pre nášho autora, kontaktujte nás.