Identifikacija i prevencija u upravljanju bezbednošću informacija

• Sajber napadi ostaju neotkriveni predugo
• Novi ISO/IEC 27001:2022 – ključne promene
• Tri nove kontrole za detekciju i prevenciju
• Tehnički rezime
• Šta ažuriranje znači za vašu sertifikaciju?
• Najsavremeniji ISMS sa stručnošću DQS-a

Sajber napadi ostaju predugo neotkriveni

Eminentna vrednost informacija i podataka u poslovnom svetu 21. veka sve više primorava kompanije i organizacije da se fokusiraju na bezbednost informacija i ulažu u sistemsku zaštitu svojih digitalnih sredstava. Zašto? U dinamičnom okruženju pretnji, taktika napadača postaje sve složenija – što dovodi do ozbiljne štete po imidž i reputaciju pogođenih kompanija i godišnjih ekonomskih gubitaka širom sveta.

Stručnjaci se slažu da više ne postoji potpuna zaštita od sajber napada – makar samo zbog neizvesnosti ljudskog faktora. Ovo čini rano otkrivanje potencijalnih i stvarnih napada još važnijim kako bi se ograničio njihov pristup u korporativnim mrežama i održao što manji broj sistema. Postoje detalji u ovoj oblasti koje treba nadoknaditi: istraživanje sprovedeno u okviru IBM-ove studije „Cena povrede podataka 2022.“ pokazuje da je bilo potrebno u proseku 277 dana da se napad otkrije i spreči 2022. godine.

Novi ISO 27001:2022

Kako bi pomogao kompanijama i organizacijama sa savremenim, standardizovanim okvirom za sisteme menadžmenta bezbednošću informacija, ISO je 25. oktobra 2022. objavio novi ISMS standard ISO/IEC 27001:2022. Aneks A pruža kontrole/mere koje se mogu koristiti kao osnova za rešavanje rizika po bezbednost informacija.

Implementacija mera iz Aneksa A u trenutnoj verziji podržana je identično strukturiranim uputstvom za implementaciju ISO/IEC 27002:2022, koje je već ažurirano u februaru. Generičke kontrole za prevenciju strateškog napada i brže otkrivanje su novo uključene.

Tri nove kontrole za detekciju i prevenciju

Sadašnje 93 mere u Aneksu A standarda ISO/IEC 27001:2022 su sada reorganizovane prema ažuriranju u četiri teme

• Organizacione mere,
• Lične mere,
• Fizičke mere i
• Tehnološke mere.

Tri od jedanaest novouvedenih kontrola bezbednosti informacija odnose se na prevenciju i blagovremeno otkrivanje sajber napada. Ove tri kontrole su

• 5.7 Obaveštajni podaci o pretnjama (organizacioni).
• 8.16 Aktivnosti praćenja (tehnološke)
• 8.23 Veb filtriranje (tehnološko).

U nastavku ćemo detaljnije pogledati ove 3 nove kontrole.

Obaveštajni podaci o pretnji

Organizaciona kontrola 5.7 bavi se sistemskim prikupljanjem i analizom informacija o relevantnim pretnjama. Svrha mere je da se organizacije upoznaju sa svojom situacijom pretnje kako bi kasnije mogle da preduzmu odgovarajuće mere za ublažavanje rizika. Podaci o pretnjama treba da se analiziraju na struktuiran način prema tri aspekta: strateškom, taktičkom i operativnom.

Strateška analiza pruža uvid u promene okruženja pretnji, kao što su tipovi napada i akteri, na primer, akteri motivisani državom, sajber kriminalci, napadači po ugovoru, haktivisti. Nacionalne i međunarodne agencije (kao što su BSI – Nemačka savezna kancelarija za bezbednost informacija, enisa – Agencija Evropske unije za sajber bezbednost, Ministarstvo unutrašnje bezbednosti SAD ili NIST – Nacionalni institut za standarde i tehnologiju), kao i neprofitne organizacije obezbeđuju dobro istražene podatke o pretnjama u industrijama i kritičnim infrastrukturama.

Taktička obaveštajna informacija o pretnjama i njena evaluacija pružaju procene metoda napada, alata i tehnologija.

Operativna procena specifičnih pretnji pruža detaljne informacije o konkretnim napadima, uključujući tehničke indikatore, na primer, trenutno ekstremno povećanje sajber napada od strane "ransomvare"  i njegovih varijanti u 2022.

Analiza pretnji pruža podršku na sledeći način:

• Proceduralno da integriše podatke o pretnjama u proces upravljanja rizikom,
• Tehnička preventiva i detekcija, npr. ažuriranjem pravila zašite, sistema za otkrivanje upada (IDS), anti-malver rešenja,
• Sa ulaznim informacijama za specifične procedure testiranja i tehnike testiranja bezbednosti informacija.

Kvalitet podataka iz organizacione kontrole 5.7 za određivanje situacije pretnje i njenu analizu direktno utiče na dve tehničke kontrole za aktivnosti praćenja (8.16) i veb filtriranje (8.23) o kojima se govori u nastavku, a koje su takođe nove za ISO/IEC 27002.

Nadgledanje aktivnosti

Preventivna i korektivna kontrola bezbednosti informacija 8.16 o tehničkom praćenju aktivnosti fokusira se na otkrivanje anomalija kao metod za sprečavanje pretnji. Mreže, sistemi i aplikacije se ponašaju u skladu sa očekivanim obrascima, kao što su protok podataka, protokoli, poruke i tako dalje. Svaka promena ili odstupanje od ovih očekivanih obrazaca detektuje se kao odstupanje.

Da bi se otkrilo ovo neobično ponašanje, relevantne aktivnosti moraju biti praćene u skladu sa zahtevima poslovne i bezbednosti informacija i sva odstupanja se moraju porediti sa postojećim podacima o pretnjama, (vidi gore, zahtev 5.7). Sledeći aspekti su relevantni za sistem praćenja:

• Ulazni i odlazni saobraćaj mreže, sistema i aplikacija,
• Pristup sistemima, serverima, mrežnoj opremi, sistemima za nadzor, kritičnim aplikacijama, itd...,
• Sistemske i mrežne konfiguracione datoteke na administrativnom ili kritičnom nivou;
• Dnevnici bezbednosnih alata [npr. antivirus, sistemi za otkrivanje upada (IDS), sistem za sprečavanje upada (IPS), veb filteri, zaštitni zidovi, sprečavanje curenja podataka,
• Dnevnici događaja koji se odnose na sistemske i mrežne aktivnosti,
• Verifikacija da izvršni kod u sistemu ima integritet i ovlašćenje,
• Korišćenje resursa, na primer, snaga procesora, kapacitet diska, upotreba memorije, propusni opseg.

Osnovni zahtevi za funkcionalno praćenje aktivnosti su čisto i transparentno konfigurisana IT/OT infrastruktura i ispravno funkcionišuće IT/OT mreže. Svaka promena u odnosu na ovo osnovno stanje detektuje se kao potencijalna pretnja funkcionalnosti. U zavisnosti od složenosti infrastrukture, sprovođenje ove mere je veliki izazov uprkos relevantnim rešenjima dobavljača. Značaj sistema za detekciju odstupanja prepoznat je skoro istovremeno sa zahtevom 8.16 standarda ISO/IEC 27002:2022 za operatere takozvanih kritičnih infrastruktura. Dakle, u nacionalnom obimu relevantnih, zakonskih propisa, postoji obaveza za njih da efikasno primenjuju tzv. sisteme za otkrivanje napada sa rokovima.

Veb filtriranje

Internet ima svoje prednosti i mane. Pristup sumnjivim veb lokacijama i dalje je prolaz za zlonamerni sadržaj i malver. Kontrola bezbednosti informacija 8.23 ​​Veb filtriranje ima preventivnu svrhu zaštite sopstvenih sistema organizacije od upada malvera i sprečavanja pristupa neovlašćenim veb resursima. Organizacije treba da uspostave pravila za bezbedno i odgovarajuće korišćenje onlajn resursa u tu svrhu – uključujući obavezna ograničenja pristupa neželjenim ili neprikladnim veb lokacijama i veb aplikacijama. Organizacija treba da blokira pristup sledećim tipovima veb lokacija:

• Veb lokacije koje imaju funkciju otpremanja - osim ako bi to bilo neophodno iz legitimnih, poslovnih razloga,
• Poznate ili čak sumnjive zlonamerne veb lokacije,
• Komandni i kontrolni serveri,
• Zlonamerni veb-sajtovi identifikovani kao takvi iz podataka o pretnji (videti takođe meru 5.7),
• Veb lokacije sa nelegalnim sadržajem.

Mera veb filtriranja zaista funkcioniše samo sa obučenim osobljem koje je dovoljno svesno bezbednog i odgovarajućeg korišćenja onlajn resursa.

Tehnički zaključak

Nove kontrole za otkrivanje i prevenciju opisane ovde imaju ključnu ulogu u odbrani od organizovanog sajber napada i s pravom su našle svoj put u trenutnim verzijama ISO/IEC 27001 i ISO/IEC 27002. Uz kontinuirano ažuriranje i analizu dostupnih informacije o pretnjama, opsežno praćenje aktivnosti u sopstvenoj IT infrastrukturi i obezbeđivanje sopstvenih sistema od sumnjivih veb lokacija, kompanije na održiv način jačaju svoju zaštitu od napada. Takođe su se doveli u poziciju da pokrenu odgovarajuće mere odgovora u ranoj fazi.

Kompanije i organizacije sada moraju da implementiraju tri prezentovane kontrole/mere u skladu sa tim i da ih dosledno integrišu u svoje ISMS kako bi ispunile zahteve budućih sertifikacionih provera. DQS ima više od 35 godina sveobuhvatne ekspertize u oblasti nepristrasnih provera i sertifikacija - i rado će vas podržati u upravljanju promenama vašeg sistema menadžmenta bezbednošću informacija u skladu sa ISO/IEC 27001:2022.

Šta ažuriranje znači za vašu sertifikaciju?

ISO/IEC 27001:2022 je objavljen 25. oktobra 2022. Ovo rezultira sledećim rokovima i vremenskim okvirima za korisnike da pređu: 

Spremnost sertifikacije prema ISO/IEC 27001:2022

• Najkasnije od novembra 2023. (u zavisnosti od nemačkog akreditacionog tela DAkkS)

Poslednji datum za inicijalne/resertifikacione provere prema „starom“ ISO 27001:2013

• Nakon 30. aprila 2024., DQS će sprovoditi početne i resertifikacione provere samo u skladu sa novim standardom ISO/IEC 27001:2022

Prelazak svih postojećih sertifikata prema „starom“ ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022

• Postoji trogodišnji prelazni rok koji počinje 31. oktobra 2022
• Sertifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 važe najkasnije do 31. oktobra 2025. godine ili moraju biti povučeni ovog datuma.

Najsavremeniji ISMS sa ekspertizom DQS-a

Prilikom prelaska na novu verziju ISO/IEC 27001, organizacije još uvek imaju vremena. Aktuelni sertifikati zasnovani na starom standardu prestaju da važe 31.10.2025. Ipak, savetujemo vam da se pozabavite promenjenim zahtevima ISMS-a u ranoj fazi, pokrenete odgovarajuće procese promena i primenite ih u skladu sa tim.

Kao stručnjaci za proveru i sertifikaciju sa iskustvom od više od tri decenije, podržavamo vas u primeni novog standarda. Saznajte od naših brojnih iskusnih proveravača o najvažnijim promenama i njihovoj važnosti za vašu organizaciju - i poverujte našoj stručnosti. Zajedno ćemo razgovarati o vašem potencijalu za poboljšanje i podržavati vas dok ne dobijete novi sertifikat. Mi očekujemo da čujemo od vas.