Upravljanje konfiguracijom u bezbednosti informacija

SADRŽAJ

• Povećana kompleksnost i rizici
• Upravljanje konfiguracijom u kontekstu ISO 27001:2022
• Kontrola 8.9 "Upravljanje konfiguracijom"
• Upravljanje konfiguracijom u bezbednosti informacija  - Zaključak
• DQS: Vaš kontakt za sertifikovanu bezbednost informacija

Povećana kompleksnost i rizici

Neispravne postavke i sigurnosne konfiguracije nose neprocenjive rizike za bezbednost informacija. S obzirom na sve veću složenost modernih IT okruženja, upravljanje konfiguracijom – tj. kontinuirano i sistematsko definisanje, dokumentovanje, implementacija, praćenje i pregled sigurnosnih konfiguracija – postaje izazovan zadatak koji se proteže na upravljanje usaglašenošću u organizaciji.

Za autsajdera, IT infrastruktura je zbunjujuća mreža aplikacija, uređaja, mrežnih komponenti i usluga, bilo da se hostuju na licu mjesta ili u oblaku. Potonji su se posebno dramatično povećali tokom pandemije koronavirusa. Za IT timove, međutim, konfigurisanje sve većeg broja komponenti sistema i kontinuirano praćenje i prilagođavanje konfiguracija sistema znači znatnu količinu posla, koji često opterećuje zaposlene. Bez sistematskog upravljanja konfiguracijom, ovo može dovesti do značajnog sigurnosnog rizika i gubitka ili zloupotrebe podataka (uključujući lične podatke).

Uostalom, 81% menadžera bezbednosti je u nemačkoj studiji od 2022 navelo da ranjivosti i nepoznate pogrešne konfiguracije uzrokuju najveće sigurnosne probleme u njihovoj infrastrukturi. I Pandemija jedanaest, Studija Cloud Security Alliance o najozbiljnijim ranjivostima u računarstvu u oblaku tokom pandemije, pogrešne konfiguracije su takođe na istaknutom trećem mjestu.

Stoga je logična posledica razvoja poslednjih godina da se više pažnje posveti upravljanju konfiguracijom u informacionoj tehnologiji, na primer u kontekstu neovlašćenog pristupa. Stoga je ispravno da je novi ISO/IEC 27001:2022 ovoj temi posvetio posebnu kontrolu bezbednosti informacija.

Upravljanje konfiguracijom u kontekstu ISO 27001:2022

Restrukturirani Aneks A standarda ISO 27001 iz 2022. sadrži 93 mere (kontrole) bezbednosti informacija, uključujući 11 novih. Sa ažuriranjem, kontrole su sada organizovane tematski u četiri sekcije

• Organizacione mere
• Lične mere
• Fizičke mere
• Tehnološke mere

Bezbedno upravljanje konfiguracijom u informacionoj tehnologiji spada u predmetno područje tehnoloških ili tehničkih mera i navedeno je u Dodatku A pod 8.9. To je jedan od preventivnih alata koji podržavaju sva tri cilja zaštite  bezbednosti informacija (poverljivost, integritet i dostupnost).

Standardni šabloni

Definicija standardnih šablona pomaže organizacijama da sistematizuju svoje upravljanje konfiguracijom. U ovom razvoju treba uzeti u obzir sledeće osnovne aspekte:

• Javno dostupne smernice, na primjer od prodavaca ili nezavisnih sigurnosnih tela
• Potrebni nivoi zaštite kako bi se osigurala odgovarajuća bezbednost
• Podrška za internu politiku bezbednosti informacija, smernice specifične za temu, standarde i druge bezbedonosne zahteve
• Izvodljivost i primjenjivost konfiguracija u kontekstu organizacije

Razvijene standardne šablone treba redovno pregledati i ažurirati, posebno kada se treba pozabaviti novim pretnjama ili ranjivostima, ili kada se nove verzije softvera ili hardvera uvode u organizaciju.

Postoji i niz drugih tačaka koje treba uzeti u obzir prilikom kreiranja šablona. Sve ovo pomaže u sprečavanju neovlašćenih ili netačnih promena konfiguracija:

• Minimiziranje broja identiteta s privilegovanim ili administrativnim pravima pristupa
• Deaktiviranje nepotrebnih, neiskorišćenih ili nesigurnih identiteta
• Deaktiviranje ili ograničavanje funkcija i usluga koje nisu potrebne
• Ograničavanje pristupa moćnim uslužnim programima i postavkama parametara hosta
• Sinhronizacija satova i datuma
• Promena zadatih podataka za autentifikaciju proizvođača i zadatih lozinki odmah nakon instalacije i provera važnih parametara relevantnih za bezbednost
• Pozivanje timeout objekata koji automatski odjavljuju računarske uređaje nakon određenog perioda neaktivnosti
• Proverite da li su ispunjeni zahtevi za licencu

Upravljanje i monitoring konfiguracija

Sve konfiguracije bi trebalo biti zabeležene i promene pouzdano evidentirane kako bi se isključile pogrešne konfiguracije nakon incidenta. Ove informacije moraju biti sigurno pohranjene, na primjer u konfiguracionim bazama podataka ili šablonima.

Sve promene se vrše u skladu sa kontrolom 8.32 "Kontrola promena", koja opisuje smernice za promene smernica za obradu informacija i informacionih sistema. Zapisi o konfiguraciji moraju sadržati sve informacije potrebne za praćenje statusa IT sistema ili sredstva i bilo koje promene napravljene na njemu u bilo koje vrijeme. Ovo uključuje, na primer, sledeće informacije

• Aktuelne informacije o predmetnoj imovini - Ko je vlasnik ili osoba za kontakt?
• Datum poslednje promene konfiguracije
• Verzija šablona konfiguracije
• Veze i odnosi sa konfiguracijama drugih sredstava

Sveobuhvatan skup alata za upravljanje sistemom – kao što su programi za održavanje, daljinska podrška, alati za upravljanje firmom i softver za pravljenje rezervnih kopija i vraćanje – pomaže da se nadgledaju i redovno proveravaju konfiguracije. Uz pomoć ovih alata, menadžeri mogu proveriti postavke konfiguracije, proceniti snagu lozinke i proceniti izvršene aktivnosti.

Stvarna stanja se takođe mogu uporediti sa definisanim ciljnim šablonima i mogu se pokrenuti odgovarajući odgovori u slučaju odstupanja - bilo automatskim nametanjem definisane ciljne konfiguracije ili ručnom analizom odstupanja i naknadnim korektivnim merama. Automatizacija, na primer putem infrastrukture kao koda (programabilna infrastruktura), omogućava efikasno i sigurno upravljanje sigurnosnim konfiguracijama u virtuelizovanim okruženjima i računarstvu u oblaku.

Upravljanje konfiguracijom u informacionoj bezbednosti - zaključak

Upravljanje konfiguracijom u informacionoj bezbednosti je važan sigurnosni alat i daje trajan doprinos značajnom smanjenju sigurnosnih praznina uzrokovanih pogrešnim konfiguracijama. Njegov sistematski pristup rasterećuje interne timove i doprinosi efikasnom IT poslovanju, kao i očvršćavanju sistema i dostupnosti informacija i poverljivih podataka. Očigledni su i pozitivni efekti na zaštitu ličnih podataka, na primer.

Upravljanje konfiguracijom se takođe može integrisati u procese upravljanja imovinom i povezane alate. Centralno upravljanje sigurnosnim postavkama omogućava brzo reagovanje na nove pretnje i ranjivosti u dostupnosti sistema i zaštite podataka, čime se pomaže da se minimiziraju potencijalne površine napada u sistemima. Nova kontrola sigurnosti informacija 8.9 iz ISO 27001 daje važan doprinos sigurnosti za organizacije i njihovo upravljanje.

Ovu dodatnu vrednost moraju implementirati kompanije i organizacije. Zahtjevi iz kontrole 8.9 moraju se uporediti sa trenutnim statusom i dalje optimizovati putem kontrolisanog procesa promene. Sa preko 35 godina stručnosti u auditima i sertifikaciji, DQS tim je vaš idealan partner i možemo vam pružiti savjete i podršku na temu bezbednosti informacija.

Šta ažuriranje znači za vašu sertifikaciju?

ISO/IEC 27001:2022 objavljen je 25. oktobra 2022.

To rezultira sledećim rokovima i periodima prelaza za korisnike

Zadnji datum za inicijalne/recertifikacione audite prema "starom" ISO 27001

• Nakon 30. aprila 2024., DQS će sprovoditi samo inicijalne i recertifikacione audite  u skladu s novim standardom ISO/IEC 27001:2022

Konverzija svih postojećih sertifikata prema "starom" ISO/IEC 27001:2013 u novu verziju 2022

• Prijelazni period od 3 godine primenjuje se od 31. oktobra 2022. godine
• Sertifikati izdati u skladu sa ISO/IEC 27001:2013 ili DIN EN ISO/IEC 27001:2017 važe najkasnije do 31. oktobra 2025. ili moraju biti povučeni na ovaj datum

ISO/IEC 27001:2022 - bezbednost informacija, sajber bezbednost i zaštita privatnosti - Sistemi upravljanja bezbednošću informacija - Zahtevi

DQS: Simply leveraging Security 

Organizacije imaju još vremena da pređu na novu verziju ISO/IEC 27001. Trenutni sertifikati zasnovani na starom standardu će izgubiti svoju važnost 31. oktobra 2025. Ipak, savetujemo im da se pozabave promenjenim zahtevima za sistem upravljanja bezbednošću informacija (ISMS) u ranoj fazi, pokrenu odgovarajuće procese promena i implementiraju ih u skladu s tim.

Kao stručnjaci u auditima i sertifikacijama sa više od tri decenije iskustva, možemo vam pomoći u implementaciji novog ISO 27001:2022. Saznajte od DQSovih brojnih iskusnih auditora o najvažnijim promenama i njihovoj važnosti za vašu kompaniju - i poverite se našoj stručnosti. Radujemo se Vašem upitu.

Poverenje i stručnost

Naše članke i Biltene pišu isključivo naši eksperti ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, kontaktirajte tim DQS Srbija bez ustručavanja!