datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Riadenie zraniteľnosti v kontexte normy ISO 27001

André Saeckel

Expert na štandardy DQS pre informačnú bezpečnosť
máj 23 , 2023
# Bezpečnosť informácií a riadenie rizík

Norma ISO 27001 sa zameriava na citlivé a cenné informácie organizácie: Ich ochrana, dôvernosť, integrita a dostupnosť. ISO 27001 je medzinárodná norma pre bezpečnosť informácií v súkromných, verejných alebo neziskových organizáciách. Norma opisuje požiadavky na vytvorenie, implementáciu, prevádzku a optimalizáciu zdokumentovaného systému riadenia informačnej bezpečnosti (ISMS). Systém riadenia sa zameriava najmä na identifikáciu, riešenie a ošetrenie rizík.

OBSAH

Aké sú hrozby a riziká informačnej bezpečnosti?

Riadenie zraniteľnosti v kontexte ISO 27001 sa vzťahuje na technické zraniteľnosti. Tie môžu viesť k ohrozeniu IT bezpečnosti spoločností a organizácií. Patria k nim napr:

  • Ransomware, vydieračský softvér, ktorý môže viesť k zašifrovaniu dátových nosičov a získaniu kompromitujúcich informácií
  • Trojan pre vzdialený prístup (RAT), ktorý môže umožniť vzdialený prístup do siete
  • Phishing a SPAM, ktoré môžu viesť k strate kontroly prostredníctvom e-mailu. Tu je obzvlášť obľúbenou bránou všeobecné nariadenie o ochrane údajov (GDPR) a žiadosť v e-maile o kontrolu údajov zákazníka kliknutím na odkaz. Odosielatelia sa často tvária ako banky alebo dokonca spoločnosť PayPal.
  • DDoS/botnety, ktoré môžu viesť k narušeniu dostupnosti a integrity systémov v dôsledku obrovských dátových paketov.
  • Štátom sponzorovaní kyberteroristi, aktivisti, zločinci, ako aj vnútorní páchatelia, ktorí prinášajú širokú škálu hrozieb
  • Nedostatočné alebo chýbajúce procesy

Identifikácia zraniteľností a bezpečnostných medzier, ktoré vyplývajú z týchto hrozieb, si vyžaduje posúdenie potrieb ochrany podľa normy ISO 27001, pretože výsledkom je systematické riadenie zraniteľností na zabezpečenie IT infraštruktúry s priebežným posudzovaním zraniteľností.

ISO/IEC 27001:2022-10 - Bezpečnosť informácií, kybernetická bezpečnosť a ochrana súkromia - Systémy riadenia bezpečnosti informácií - Požiadavky.

Norma ISO bola revidovaná a opätovne vydaná 25. októbra 2022.

Chybné procesy - hrozba pre bezpečnosť informácií?

Bez procesu analýzy systémových protokolov a logov, znalosti technických zraniteľností a hlbšieho preskúmania IT systémov nie je možné realisticky posúdiť riziká. Chýbajúci alebo chybný proces neumožňuje ani stanovenie kritérií akceptovateľnosti rizika alebo určenie úrovne rizika - ako to vyžaduje norma ISO 27001.

Z toho vyplýva, že riziko pre bezpečnosť IT, a teda aj pre informačnú bezpečnosť podniku, nie je možné určiť a musí sa predpokladať, že je to najvyššie možné riziko pre daný podnik.

Riadenie zraniteľnosti v kontexte normy ISO 27001: Optimálne zabezpečenie infraštruktúry

Jedným z možných vhodných opatrení na zabezpečenie IT infraštruktúry je riadenie potenciálnych zraniteľností a bezpečnostných medzier. To zahŕňa pravidelné, systematické, sieťou riadené skenovanie a penetračné testy všetkých systémov na technické zraniteľnosti. Všetky zistené zraniteľnosti sa zaznamenávajú do systému riadenia bezpečnosti informácií (ISMS) v súlade s normou ISO 27001.

Rovnako dôležité je definovať hrozby pre bezpečnosť IT - ako aj pre nadradenú informačnú bezpečnosť. V tejto súvislosti je potrebné určiť priority technických zraniteľností podľa závažnosti (CVSS) a v konečnom dôsledku ich odstrániť. Súčasťou riadenia zraniteľností podľa normy ISO 27001 je aj posúdenie zostatkového rizika vyplývajúceho zo zostávajúcich technických zraniteľností a v konečnom dôsledku akceptovanie rizika.

Na posúdenie závažnosti zraniteľnosti možno použiť priemyselný štandard"CVSS - Common Vulnerability Scoring System". Celkové skóre od 0 do 10 sa určuje na základe metrík základného skóre, ktoré sa okrem iného zaoberajú týmito otázkami: Ako blízko sa útočník musí dostať k zraniteľnému systému (vektor útoku)? Ako ľahko sa útočník dostane k cieľu (zložitosť útoku)? Aké prístupové práva sú potrebné na zneužitie zraniteľnosti (Privileges Required)? Potrebujete pomocníkov, napríklad používateľa, ktorý musí najprv sledovať odkaz (User Interaction)? Je ohrozená dôvernosť (Confidentiality Impact)?


Kalkulátor CVSS nájdete na stránkach Národného inštitútu pre štandardy a technológie USA (NIST).

 

Ako sa môže spoločnosť chrániť pred technickými zraniteľnosťami?

Spoločnosť sa môže napríklad preventívne chrániť pred škodlivým softvérom zavedením a implementáciou opatrení na detekciu, prevenciu a zabezpečenie údajov v spojení s primeranou informovanosťou používateľov. Podrobne to znamená: Aby sa zabránilo zneužitiu technickej zraniteľnosti v kontexte riadenia zraniteľností podľa normy ISO 27001, je potrebné:

  • získať včasné informácie o technických zraniteľnostiach používaných informačných systémov
  • posúdiť ich zraniteľnosť a
  • prijať vhodné opatrenia

To sa môţe uskutočniť inštaláciou bezpečnostných záplat (správa záplat), izoláciou zraniteľných informačných systémov alebo v konečnom dôsledku prostredníctvom vypnutia systému. Okrem toho je potrebné definovať a zaviesť pravidlá pre inštaláciu softvéru používateľmi.

Dôležité otázky týkajúce sa riadenia zraniteľností a bezpečnostnej koncepcie ISO 20071

Nasledujúce otázky by mohli byť položené počas auditu, preto má zmysel sa nimi zaoberať vopred:

  • Definovali ste úlohy a zodpovednosti za riešenie a monitorovanie technických zraniteľností?
  • Dozvedeli ste sa o zdrojoch informácií, ktoré sa dajú použiť na identifikáciu technických zraniteľností?
  • Je stanovený termín na reakciu s opatreniami v prípade oznámenia a odhalenia zraniteľnosti?
  • Vykonali ste okrem iného hodnotenie rizík zraniteľností s ohľadom na aktíva spoločnosti?
  • Poznáte svoje technické zraniteľnosti?

Ak chcete získať komplexný a fundovaný prehľad o hrozbách v kybernetickom priestore v Nemecku, na stránke https://www.bsi.bund.de nájdete "Situačnú správu o bezpečnosti IT 2019" v anglickom jazyku od Nemeckého spolkového úradu pre informačnú bezpečnosť (BSI).

Riadenie zraniteľnosti podľa normy ISO 27001: záver

Riadenie zraniteľnosti v kontexte normy ISO 27001 je nepretržitý proces, ktorý sa musí vykonávať pravidelne. Podľa normy ISO 27001 musia byť výsledky "platné". To znamená, že jednorazové skenovanie zraniteľností a hodnotenie rizík na účely implementácie alebo certifikácie už nie je platné neskôr, napríklad pri recertifikácii.

Skenovanie zraniteľnosti je platné len v presnom čase, keď sa vykonalo. Ak sa však neskôr vykonajú aktualizácie softvéru alebo zmeny v topológii, môžu viesť k vzniku nových zraniteľností.

Preto je dôležité, aby každá organizácia neustále sledovala, overovala a opakovala procesy riadenia zraniteľností a prenášala príslušné informácie do systému riadenia informačnej bezpečnosti.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Certifikácia podľa normy ISO 27001

S akým úsilím musíte počítať, aby bol váš systém ISMS certifikovaný podľa normy ISO 27001? Získajte informácie bezplatne a nezáväzne.

Tešíme sa na rozhovor s vami.

Spojte sa s DQS

DQS. Jednoduché využitie kvality.

Považujeme sa za dôležitých partnerov našich zákazníkov, s ktorými spolupracujeme na úrovni očí, aby sme dosiahli udržateľnú pridanú hodnotu. Naším cieľom je poskytnúť organizáciám dôležité impulzy na zvýšenie hodnoty pre ich podnikateľský úspech prostredníctvom najjednoduchších procesov, ako aj maximálneho dodržiavania termínov a spoľahlivosti.

Naše hlavné kompetencie spočívajú vo vykonávaní certifikačných auditov a hodnotení. Vďaka tomu patríme medzi popredných poskytovateľov na celom svete s nárokom na neustále stanovovanie nových kritérií spoľahlivosti, kvality a orientácie na zákazníka.

Autor
André Saeckel

Produktový manažér spoločnosti DQS pre riadenie informačnej bezpečnosti. Ako expert na štandardy pre oblasť informačnej bezpečnosti a katalóg IT bezpečnosti (kritické infraštruktúry) je André Säckel zodpovedný okrem iného za nasledujúce štandardy a odvetvové štandardy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnosť informácií v automobilovom priemysle). Je tiež členom pracovnej skupiny ISO/IEC JTC 1/SC 27/WG 1 ako národný delegát Nemeckého inštitútu pre normalizáciu DIN.

Akékoľvek otázky?

Sme tu pre vás.
Kontaktujte nás