datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Upravljanje slabim tačkama u kontekstu ISO 27001

Andre Sekel

DQS Ekspert za bezbednost informacija
мај 23 , 2023
# Bezbednost informacija i upravljanje rizicima

ISO 27001 fokusira se na osetljive, vredne informacije organizacije: njihovu zaštitu, njihovu poverljivost, integritet i dostupnost. ISO 27001 je međunarodni standard za bezbednost informacija u privatnim, javnim ili neprofitnim organizacijama. Standard opisuje zahteve za uspostavljanje, implementaciju, rad i optimizaciju dokumentovanog sistema menadžmenta bezbednošću informacija (ISMS). Glavni fokus sistema upravljanja je na identifikaciji, rukovanju i tretmanu rizika.

SADRŽAJ

Koje su pretnje i rizici po bezbednost informacija?

Upravljanje ranjivostima u kontekstu ISO 27001 odnosi se na tehničke ranjivosti. Ovo može dovesti do pretnji po IT bezbednost kompanija i organizacija. Ovo uključuje:

  • Ransomvare, softver za iznudu koji može dovesti do šifrovanja medija podataka i dobijanja kompromitujućih informacija
  • Trojanac za pristup na daljinu (RAT), koji može dozvoliti pristup na daljinu na mreži
  • Phising i SPAM, što može dovesti do gubitka kontrole putem e-pošte. Ovde je posebno popularan pristupnik Opšta uredba o zaštiti podataka (GDPR) i zahtev u e-poruci da se podaci o klijentima provere klikom na vezu. Često se čini da su pošiljaoci banke ili čak PayPal.
  • DDoS/botnets, koji mogu dovesti do narušavanja dostupnosti i integriteta sistema zbog ogromnih paketa podataka
  • Sajberteroristi, aktivisti, kriminalci, kao i unutrašnji počinioci koji donose širok spektar pretnji 
  • Neadekvatni ili nedostajući procesi

Identifikovanje slabosti i bezbednosnih praznina koje proizilaze iz ovih pretnji zahteva procenu potreba za zaštitom prema ISO 27001, jer ovo rezultira sistemski upravljanjem ranjivostima kako bi se obezbedila IT infrastruktura uz kontinuiranu procenu slabih tačaka.

 

ISO/IEC 27001:2022 –  Bezbednost informacija, sajber bezbednost i zaštita privatnosti – Sistemi menadžmenta bezbednošću informacija – Zahtevi.

ISO standard je revidiran i objavljen 25. oktobra 2022.

 

Neispravni procesi – pretnja bezbednosti informacija?

Bez procesa analize sistemskih evidencija i podataka, poznavanja tehničkih ranjivosti i dubljeg pregleda IT sistema, realna procena rizika nije moguća. Nedostatak procesa ili dela procesa ne dozvoljava uspostavljanje kriterijuma prihvatanja rizika ili određivanje nivoa rizika – kako to zahteva ISO 27001.

Iz toga sledi da se rizik po IT bezbednost, a samim tim i po bezbednost informacija preduzeća, ne može odrediti i mora se pretpostaviti kao najveći mogući rizik za to preduzeće.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Prezentacija: Šta se menja sa novim ISO/IEC 27001:2022

Nova verzija ISO/IEC 27001, prilagođena savremenim informacionim rizicima, objavljena je 25. oktobra 2022. Šta to znači za korisnike standarda? U našem besplatnom snimku vebinara saznaćete o tome

  • Nove karakteristike ISO/IEC 27001:2022 – Okvir i Aneks A
  • ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i heštegovi
  • Vremenski okvir za tranziciju i vaše sledeće korake
Pogledajte snimak sada

Upravljanje slabim tačkama u kontekstu ISO 27001: Optimalno obezbeđena infrastruktura

Odgovarajuća mera za obezbeđenje IT infrastrukture je upravljanje potencijalnim slabim tačkama i bezbednosnim prazninama. Ovo uključuje redovno, sistemsko, mrežno kontrolisano skeniranje i testove penetracije svih sistema na tehničke slabosti. Sve identifikovane slabosti se evidentiraju u sistemu menadžmenta bezbednošću informacija (ISMS) u skladu sa ISO 27001.

Takođe je važno definisati pretnje IT bezbednosti – kao i sveobuhvatnu bezbednost informacija. U ovom kontekstu, tehničkim slabostima se mora dati prioritet prema ozbiljnosti (CVSS) i na kraju otkloniti. Procena preostalog rizika od tehničkih slabosti i, na kraju, prihvatanje rizika su takođe deo upravljanja slabim tačkama prema ISO 27001.

Da bi se procenila ozbiljnost ranjivosti, može se koristiti industrijski standard „CVSS – Common Vulnerability Scoring System“. Ukupni rezultat od 0 do 10 se određuje na osnovu metrike osnovnog rezultata, koji se bavi ovim pitanjima: Koja „blizina” je potrebna napadaču da dođe do ranjivog sistema (Vektor napada)? Koliko lako napadač stiže do cilja (složenost napada)? Koja su prava pristupa potrebna da bi se iskoristila slaba tačka (potrebne su privilegije)? Da li su vam potrebni pomoćnici, na primer korisnik koji prvo mora da prati vezu (korisnička interakcija)? Da li je poverljivost ugrožena (uticaj na poverljivost)?

CVSS kalkulator se može naći na stranicama američkog Nacionalnog instituta za standarde i tehnologiju (NIST).

 

Kako kompanija može da se zaštiti od tehničkih slabosti?

Na primer, kompanija može preventivno da se zaštiti od malvera uvođenjem i primenom mera za otkrivanje, prevenciju i bezbednost podataka u vezi sa odgovarajućom svešću korisnika. Detaljno, ovo znači: Da biste sprečili iskorišćavanje tehničke slabosti u kontekstu upravljanja slabim tačkama prema standardu ISO 27001, neophodno je:

  • Pribaviti pravovremene informacije o tehničkim slabostima korišćenih informacionih sistema
  • Proceniti njihovu slabost i
  • Preduzeti odgovarajuće mere

Ovo se može uraditi instaliranjem bezbednosnih zakrpa (upravljanje zakrpama), izolovanjem slabih IT sistema ili na kraju isključivanjem sistema. Štaviše, pravila za instalaciju softvera od strane korisnika moraju biti definisana i implementirana.

Važna pitanja o upravljanju ranjivostima i konceptu bezbednosti ISO 27001

Tokom provere mogu se postaviti sledeća pitanja, tako da je logično da ih unapred rešite:

  • Da li ste definisali uloge i odgovornosti za uočavanje i praćenje tehničkih slabosti?
  • Da li su vam poznati izvori informacija koji se mogu koristiti za identifikaciju tehničkih slabosti?
  • Da li postoji rok za reagovanje i akcijom kada je slabost otkrivena?
  • Da li ste izvršili ocenu rizika slabosti u pogledu imovine kompanije?
  • Da li znate svoje tehničke propuste?

Ako želite da dobijete sveobuhvatan i dobro utemeljen pregled pretnji u sajber prostoru, možete pronaći „Izveštaj o situaciji u oblasti IT bezbednosti 2019“ na engleskom jeziku, objavila kancelarija za bezbednost informacija (BSI) na adresi https://www.bsi.bund.de.

ISO 27001 Upravljanje slabim tačkama: zaključak

Upravljanje slabim tačkama u kontekstu ISO 27001 je kontinuiran proces koji se mora redovno sprovoditi. Prema ISO 27001, rezultati moraju biti „važeći“. To znači da jednokratno skeniranje slabosti i procena rizika za primenu ili sertifikaciju više ne važi kasnije, na primer tokom ponovne sertifikacije.

Skeniranje slabosti važi samo u trenutku kada se izvrši. Ali ako se ažuriranje softvera izvrši kasnije ili se izvrše promene u topologiji, to može dovesti do novih slabosti.

Zbog toga je važno za svaku organizaciju da kontinuirano prati, proverava i ponavlja procese upravljanja slabim tačkama i prenosi relevantne informacije u sistem menadžmenta bezbednošću informacija.

Vredno znanje: DQS Smernice za proveru ISO 27001

Naš vodič za proveru ISO 27001 – Aneks A kreirali su vodeći stručnjaci kao praktičnu pomoć za implementaciju i idealan je za bolje razumevanje izabranih standardnih zahteva. Smernica se odnosi na verziju ISO 27001:2013. Ažuriranje revidirane verzije objavljene 25.10.2022 biće blagovremeno obezbeđeno.

Preuzmite besplatno

DQS. Jednostavno iskoristite kvalitet.

Smatramo sebe važnim partnerima naših kupaca, sa kojima radimo kako bismo postigli održivu dodatnu vrednost. Naš cilj je da kroz najjednostavnije procese organizacijama pružimo konkurentsku prednost na tržištu, kao i maksimalno poštovanje rokova i pouzdanost.

Naše osnovne kompetencije leže u obavljanju sertifikacionih provera i ocenjivanje. Ovo nas čini jednim od vodećih provajdera širom sveta sa tvrdnjom da postavljamo nova merila u pogledu pouzdanosti, kvaliteta i orijentacije na kupca u svakom trenutku.

Autor
Andre Sekel

Menadžer proizvoda u DQS-u za upravljanje bezbednošću informacija.

Pitanja?

Tu smo za vas.
Kontaktirajte nas.