Današnje metode sajber pretnji se brzo menjaju. U skladu sa tim, neophodno je stralno ažuriranje i dalji razvoj sistemske zaštite bezbednosti informacija – savremenim i fleksibilnim katalogom mera bezbednosti informacija. Novi ISO/IEC 27001:2022 podržava upravo ovaj cilj i pruža jedanaest novih kontrola, od kojih ćemo tri detaljnije ispitati u nastavku, koje su efikasne u sprečavanju i otkrivanju napada.
Sajber napadi ostaju predugo neotkriveni
Eminentna vrednost informacija i podataka u poslovnom svetu 21. veka sve više primorava kompanije i organizacije da se fokusiraju na bezbednost informacija i ulažu u sistemsku zaštitu svojih digitalnih sredstava. Zašto? U dinamičnom okruženju pretnji, taktika napadača postaje sve složenija – što dovodi do ozbiljne štete po imidž i reputaciju pogođenih kompanija i godišnjih ekonomskih gubitaka širom sveta.
Stručnjaci se slažu da više ne postoji potpuna zaštita od sajber napada – makar samo zbog neizvesnosti ljudskog faktora. Ovo čini rano otkrivanje potencijalnih i stvarnih napada još važnijim kako bi se ograničio njihov pristup u korporativnim mrežama i održao što manji broj sistema. Postoje detalji u ovoj oblasti koje treba nadoknaditi: istraživanje sprovedeno u okviru IBM-ove studije „Cena povrede podataka 2022.“ pokazuje da je bilo potrebno u proseku 277 dana da se napad otkrije i spreči 2022. godine.
Novi ISO 27001:2022
Kako bi pomogao kompanijama i organizacijama sa savremenim, standardizovanim okvirom za sisteme menadžmenta bezbednošću informacija, ISO je 25. oktobra 2022. objavio novi ISMS standard ISO/IEC 27001:2022. Aneks A pruža kontrole/mere koje se mogu koristiti kao osnova za rešavanje rizika po bezbednost informacija.
Pogledajte sada: Šta se menja sa novim ISO/IEC 27001:2022
Nova verzija ISO/IEC 27001, prilagođena savremenim informacionim rizicima, objavljena je 25. oktobra 2022. Šta to znači za korisnike standarda? U našem besplatnom snimku vebinara saznaćete o tome
- Nove karakteristike ISO/IEC 27001:2022 – Okvir i Aneks A
- ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i heštegovi
- Vremenski okvir za tranziciju i vaše sledeće korake
Implementacija mera iz Aneksa A u trenutnoj verziji podržana je identično strukturiranim uputstvom za implementaciju ISO/IEC 27002:2022, koje je već ažurirano u februaru. Generičke kontrole za prevenciju strateškog napada i brže otkrivanje su novo uključene.
Tri nove kontrole za detekciju i prevenciju
Sadašnje 93 mere u Aneksu A standarda ISO/IEC 27001:2022 su sada reorganizovane prema ažuriranju u četiri teme
- Organizacione mere,
- Lične mere,
- Fizičke mere i
- Tehnološke mere.
Tri od jedanaest novouvedenih kontrola bezbednosti informacija odnose se na prevenciju i blagovremeno otkrivanje sajber napada. Ove tri kontrole su
- 5.7 Obaveštajni podaci o pretnjama (organizacioni).
- 8.16 Aktivnosti praćenja (tehnološke)
- 8.23 Veb filtriranje (tehnološko).
U nastavku ćemo detaljnije pogledati ove 3 nove kontrole.
Obaveštajni podaci o pretnji
Organizaciona kontrola 5.7 bavi se sistemskim prikupljanjem i analizom informacija o relevantnim pretnjama. Svrha mere je da se organizacije upoznaju sa svojom situacijom pretnje kako bi kasnije mogle da preduzmu odgovarajuće mere za ublažavanje rizika. Podaci o pretnjama treba da se analiziraju na struktuiran način prema tri aspekta: strateškom, taktičkom i operativnom.
Strateška analiza pruža uvid u promene okruženja pretnji, kao što su tipovi napada i akteri, na primer, akteri motivisani državom, sajber kriminalci, napadači po ugovoru, haktivisti. Nacionalne i međunarodne agencije (kao što su BSI – Nemačka savezna kancelarija za bezbednost informacija, enisa – Agencija Evropske unije za sajber bezbednost, Ministarstvo unutrašnje bezbednosti SAD ili NIST – Nacionalni institut za standarde i tehnologiju), kao i neprofitne organizacije obezbeđuju dobro istražene podatke o pretnjama u industrijama i kritičnim infrastrukturama.
DQS smernice za proveru za ISO 27001
Vredno znanje
Naše smernice za proveru ISO 27001 – Aneks A kreirali su vodeći stručnjaci kao praktični vodič za implementaciju i odličan je način da se bolje razumeju izabrani zahtevi standarda. Vodič se još ne odnosi na revidiranu verziju ISO 27001 iz oktobra 2022.
Taktička obaveštajna informacija o pretnjama i njena evaluacija pružaju procene metoda napada, alata i tehnologija.
Operativna procena specifičnih pretnji pruža detaljne informacije o konkretnim napadima, uključujući tehničke indikatore, na primer, trenutno ekstremno povećanje sajber napada od strane "ransomvare" i njegovih varijanti u 2022.
Analiza pretnji pruža podršku na sledeći način:
- Proceduralno da integriše podatke o pretnjama u proces upravljanja rizikom,
- Tehnička preventiva i detekcija, npr. ažuriranjem pravila zašite, sistema za otkrivanje upada (IDS), anti-malver rešenja,
- Sa ulaznim informacijama za specifične procedure testiranja i tehnike testiranja bezbednosti informacija.
Kvalitet podataka iz organizacione kontrole 5.7 za određivanje situacije pretnje i njenu analizu direktno utiče na dve tehničke kontrole za aktivnosti praćenja (8.16) i veb filtriranje (8.23) o kojima se govori u nastavku, a koje su takođe nove za ISO/IEC 27002.
Nadgledanje aktivnosti
Preventivna i korektivna kontrola bezbednosti informacija 8.16 o tehničkom praćenju aktivnosti fokusira se na otkrivanje anomalija kao metod za sprečavanje pretnji. Mreže, sistemi i aplikacije se ponašaju u skladu sa očekivanim obrascima, kao što su protok podataka, protokoli, poruke i tako dalje. Svaka promena ili odstupanje od ovih očekivanih obrazaca detektuje se kao odstupanje.
Sertifikacija prema ISO 27001
Šta je potrebno da bi vaš ISMS bio sertifikovan prema ISO 27001? Dobijajte informacije besplatno i bez obaveza.
Radujemo se razgovoru sa vama.
Da bi se otkrilo ovo neobično ponašanje, relevantne aktivnosti moraju biti praćene u skladu sa zahtevima poslovne i bezbednosti informacija i sva odstupanja se moraju porediti sa postojećim podacima o pretnjama, (vidi gore, zahtev 5.7). Sledeći aspekti su relevantni za sistem praćenja:
- Ulazni i odlazni saobraćaj mreže, sistema i aplikacija,
- Pristup sistemima, serverima, mrežnoj opremi, sistemima za nadzor, kritičnim aplikacijama, itd...,
- Sistemske i mrežne konfiguracione datoteke na administrativnom ili kritičnom nivou;
- Dnevnici bezbednosnih alata [npr. antivirus, sistemi za otkrivanje upada (IDS), sistem za sprečavanje upada (IPS), veb filteri, zaštitni zidovi, sprečavanje curenja podataka,
- Dnevnici događaja koji se odnose na sistemske i mrežne aktivnosti,
- Verifikacija da izvršni kod u sistemu ima integritet i ovlašćenje,
- Korišćenje resursa, na primer, snaga procesora, kapacitet diska, upotreba memorije, propusni opseg.
Osnovni zahtevi za funkcionalno praćenje aktivnosti su čisto i transparentno konfigurisana IT/OT infrastruktura i ispravno funkcionišuće IT/OT mreže. Svaka promena u odnosu na ovo osnovno stanje detektuje se kao potencijalna pretnja funkcionalnosti. U zavisnosti od složenosti infrastrukture, sprovođenje ove mere je veliki izazov uprkos relevantnim rešenjima dobavljača. Značaj sistema za detekciju odstupanja prepoznat je skoro istovremeno sa zahtevom 8.16 standarda ISO/IEC 27002:2022 za operatere takozvanih kritičnih infrastruktura. Dakle, u nacionalnom obimu relevantnih, zakonskih propisa, postoji obaveza za njih da efikasno primenjuju tzv. sisteme za otkrivanje napada sa rokovima.
Veb filtriranje
Internet ima svoje prednosti i mane. Pristup sumnjivim veb lokacijama i dalje je prolaz za zlonamerni sadržaj i malver. Kontrola bezbednosti informacija 8.23 Veb filtriranje ima preventivnu svrhu zaštite sopstvenih sistema organizacije od upada malvera i sprečavanja pristupa neovlašćenim veb resursima. Organizacije treba da uspostave pravila za bezbedno i odgovarajuće korišćenje onlajn resursa u tu svrhu – uključujući obavezna ograničenja pristupa neželjenim ili neprikladnim veb lokacijama i veb aplikacijama. Organizacija treba da blokira pristup sledećim tipovima veb lokacija:
- Veb lokacije koje imaju funkciju otpremanja - osim ako bi to bilo neophodno iz legitimnih, poslovnih razloga,
- Poznate ili čak sumnjive zlonamerne veb lokacije,
- Komandni i kontrolni serveri,
- Zlonamerni veb-sajtovi identifikovani kao takvi iz podataka o pretnji (videti takođe meru 5.7),
- Veb lokacije sa nelegalnim sadržajem.
Mera veb filtriranja zaista funkcioniše samo sa obučenim osobljem koje je dovoljno svesno bezbednog i odgovarajućeg korišćenja onlajn resursa.
Tehnički zaključak
Nove kontrole za otkrivanje i prevenciju opisane ovde imaju ključnu ulogu u odbrani od organizovanog sajber napada i s pravom su našle svoj put u trenutnim verzijama ISO/IEC 27001 i ISO/IEC 27002. Uz kontinuirano ažuriranje i analizu dostupnih informacije o pretnjama, opsežno praćenje aktivnosti u sopstvenoj IT infrastrukturi i obezbeđivanje sopstvenih sistema od sumnjivih veb lokacija, kompanije na održiv način jačaju svoju zaštitu od napada. Takođe su se doveli u poziciju da pokrenu odgovarajuće mere odgovora u ranoj fazi.
Kompanije i organizacije sada moraju da implementiraju tri prezentovane kontrole/mere u skladu sa tim i da ih dosledno integrišu u svoje ISMS kako bi ispunile zahteve budućih sertifikacionih provera. DQS ima više od 35 godina sveobuhvatne ekspertize u oblasti nepristrasnih provera i sertifikacija - i rado će vas podržati u upravljanju promenama vašeg sistema menadžmenta bezbednošću informacija u skladu sa ISO/IEC 27001:2022.
Šta ažuriranje znači za vašu sertifikaciju?
ISO/IEC 27001:2022 je objavljen 25. oktobra 2022. Ovo rezultira sledećim rokovima i vremenskim okvirima za korisnike da pređu:
Spremnost sertifikacije prema ISO/IEC 27001:2022
- Najkasnije od novembra 2023. (u zavisnosti od nemačkog akreditacionog tela DAkkS)
Poslednji datum za inicijalne/resertifikacione provere prema „starom“ ISO 27001:2013
- Nakon 30. aprila 2024., DQS će sprovoditi početne i resertifikacione provere samo u skladu sa novim standardom ISO/IEC 27001:2022
Prelazak svih postojećih sertifikata prema „starom“ ISO/IEC 27001:2013 na novi ISO/IEC 27001:2022
- Postoji trogodišnji prelazni rok koji počinje 31. oktobra 2022
- Sertifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 važe najkasnije do 31. oktobra 2025. godine ili moraju biti povučeni ovog datuma.
Najsavremeniji ISMS sa ekspertizom DQS-a
Prilikom prelaska na novu verziju ISO/IEC 27001, organizacije još uvek imaju vremena. Aktuelni sertifikati zasnovani na starom standardu prestaju da važe 31.10.2025. Ipak, savetujemo vam da se pozabavite promenjenim zahtevima ISMS-a u ranoj fazi, pokrenete odgovarajuće procese promena i primenite ih u skladu sa tim.
Kao stručnjaci za proveru i sertifikaciju sa iskustvom od više od tri decenije, podržavamo vas u primeni novog standarda. Saznajte od naših brojnih iskusnih proveravača o najvažnijim promenama i njihovoj važnosti za vašu organizaciju - i poverujte našoj stručnosti. Zajedno ćemo razgovarati o vašem potencijalu za poboljšanje i podržavati vas dok ne dobijete novi sertifikat. Mi očekujemo da čujemo od vas.
DQS Bilten
Markus Jegelka
DQS ekspert za sisteme menadžmenta bezbednošću informacija (ISMS) i dugogodišnji auditor za standarde ISO 9001, ISO/IEC 27001 i IT bezbednosni katalog prema paragrafu 11.1a/b nemačkog Zakona o energetskoj industriji (EnWG) - German Energy Industry Act (EnWG), sa kompetencijama za procedure testiranja za § 8a (3) BSIG