.
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Sårbarhetshantering inom ramen för ISO 27001

André Saeckel

DQS Standard Expert for Information Security
maj 23 , 2023
# Informationssäkerhet och riskhantering

ISO 27001 fokuserar på en organisations känsliga och värdefulla information: Skydd, konfidentialitet, integritet och tillgänglighet. ISO 27001 är en internationell standard för informationssäkerhet i privata, offentliga och ideella organisationer. Standarden beskriver krav för upprättande, genomförande, drift och optimering av ett dokumenterat ledningssystem för informationssäkerhet (ISMS). Ledningssystemets huvudfokus ligger på identifiering, hantering och behandling av risker.

INNEHÅLL

Vilka är hoten och riskerna mot informationssäkerheten?

Sårbarhetshantering i samband med ISO 27001 avser tekniska sårbarheter. Dessa kan leda till hot mot företagens och organisationernas IT-säkerhet. Dessa omfattar bland annat följande:

  • Ransomware, en utpressningsprogramvara som kan leda till att datamedier krypteras och att komprometterande information erhålls.
  • Trojaner för fjärråtkomst (RAT), som kan ge fjärråtkomst till nätverket.
  • Phishing och SPAM, som kan leda till kontrollförlust via e-post. Här är en särskilt populär inkörsport General Data Protection Regulation (GDPR) och begäran i ett e-postmeddelande om att kontrollera kunduppgifter genom att klicka på en länk. Ofta ser avsändarna ut att vara banker eller till och med PayPal.
  • DDoS/botnets, som kan leda till att systemens tillgänglighet och integritet försämras på grund av enorma datapaket.
  • Statsstödda cyberterrorister, aktivister, kriminella och interna förövare som för med sig en mängd olika hot.
  • Otillräckliga eller saknade processer.

Identifiering av sårbarheter och säkerhetsluckor som uppstår till följd av dessa hot kräver en bedömning av skyddsbehovet med ISO 27001, eftersom detta resulterar i en systematisk sårbarhetshantering för att säkra IT-infrastrukturen med kontinuerlig sårbarhetsbedömning.

Bristfälliga processer - ett hot mot informationssäkerheten?

Utan en process för att analysera systemloggar och loggdata, kunskap om tekniska sårbarheter och en mer djupgående granskning av IT-system är en realistisk riskbedömning inte möjlig. Bristande eller bristfälliga processer gör det inte heller möjligt att fastställa kriterier för riskacceptans eller fastställa risknivåer - vilket krävs enligt ISO 27001.

Följaktligen kan risken för IT-säkerheten, och därmed för informationssäkerheten i ett företag, inte fastställas och måste antas vara den högsta möjliga risken för företaget.

Sårbarhetshantering inom ramen för ISO 27001: Optimalt skydd av infrastrukturen

En möjlig lämplig åtgärd för att säkra IT-infrastrukturen är hantering av potentiella sårbarheter och säkerhetsluckor. Detta innebär regelbunden, systematisk, nätverksstyrd skanning och penetrationstester av alla system för att upptäcka tekniska sårbarheter. Alla identifierade sårbarheter registreras i ledningssystemet för informationssäkerhet (ISMS) i enlighet med ISO 27001.

Det är också viktigt att definiera hoten mot IT-säkerheten - liksom den övergripande informationssäkerheten. I detta sammanhang måste de tekniska sårbarheterna prioriteras efter allvarlighetsgrad (CVSS) och slutligen åtgärdas. En bedömning av den återstående risken från återstående tekniska sårbarheter och slutligen riskgodkännande är också en del av sårbarhetshanteringen enligt ISO 27001.

För att bedöma hur allvarlig en sårbarhet är kan branschstandardenCVSS ( Common Vulnerability Scoring System ) användas. En övergripande poäng från 0 till 10 bestäms av Base Score Metrics, som bland annat tar upp dessa frågor: Hur "nära" måste angriparen komma det sårbara systemet (angreppsvektor)? Hur lätt kan angriparen nå målet (komplexitet i angreppet)? Vilka åtkomsträttigheter krävs för att utnyttja sårbarheten (Privileges Required)? Behövs det hjälpare, t.ex. en användare som först måste följa en länk (User Interaction)? Är sekretessen äventyrad (Confidentiality Impact)?


En CVSS-kalkylator finns på sidorna för USA:s National Institute of Standards and Technology (NIST).

Hur kan ett företag skydda sig mot tekniska sårbarheter?

Ett företag kan till exempel skydda sig förebyggande mot skadlig programvara genom att införa och genomföra åtgärder för upptäckt, förebyggande åtgärder och datasäkerhet i kombination med lämplig medvetenhet hos användarna. I detalj innebär detta följande: För att förhindra att en teknisk sårbarhet utnyttjas i ISO 27001:s sammanhang för sårbarhetshantering är det nödvändigt att:

  • Att i god tid få information om de tekniska sårbarheterna i de informationssystem som används.
  • bedöma deras sårbarhet, och
  • vidta lämpliga åtgärder.

Detta kan göras genom att installera säkerhetsuppdateringar (patchhantering), isolera sårbara IT-system eller i slutändan genom att stänga av system. Dessutom måste regler för användarnas installation av programvara fastställas och genomföras.

Viktiga frågor om sårbarhetshantering och säkerhetskonceptet ISO 20071

Följande frågor kan komma att ställas under en revision, så det är klokt att ta upp dem i förväg:

  • Har ni definierat roller och ansvarsområden för att hantera och övervaka tekniska sårbarheter?
  • Har ni lärt er om informationskällor som kan användas för att identifiera tekniska sårbarheter?
  • Finns det en tidsfrist för att reagera med åtgärder när en sårbarhet anmäls och upptäcks?
  • Har ni genomfört en riskbedömning av sårbarheterna med avseende på bland annat företagets tillgångar?
  • Känner ni till era tekniska sårbarheter?

Om du vill få en omfattande och välgrundad översikt över Tysklands hot på cyberområdet kan du hitta "Situation Report on IT Security 2019" på engelska från den tyska federala byrån för informationssäkerhet (BSI) på https://www.bsi.bund.de.

Slutsats

Sårbarhetshantering inom ramen för ISO 27001 är en kontinuerlig process som måste genomföras regelbundet. Enligt ISO 27001 måste resultaten vara "giltiga". Det innebär att en engångssårbarhetsskanning och riskbedömning för genomförande eller certifiering inte längre är giltig vid en senare tidpunkt, till exempel vid omcertifiering.

En sårbarhetsskanning är endast giltig i det ögonblick då den utförs. Men om programvaruuppdateringar görs senare eller ändringar görs i topologin kan dessa leda till nya sårbarheter.

Därför är det viktigt för alla organisationer att kontinuerligt spåra, verifiera och upprepa sårbarhetshanteringsprocesserna och föra in relevant information i systemet för hantering av informationssäkerhet.

ISO 27001-certifiering

Vilken insats måste du räkna med för att få ditt ISMS certifierat enligt ISO 27001? Få information kostnadsfritt och utan förpliktelser.

Vi ser fram emot att prata med dig.

DQS. Att helt enkelt utnyttja kvalitet.

Vi betraktar oss som viktiga partners för våra kunder, med vilka vi arbetar på ögonhöjd för att uppnå ett hållbart mervärde. Vårt mål är att ge organisationer viktiga värdeskapande impulser för deras entreprenöriella framgång genom de enklaste processerna samt största möjliga respekt för tidsfrister och tillförlitlighet.

Vår kärnkompetens ligger i utförandet av certifieringsrevisioner och bedömningar. Detta gör oss till en av de ledande leverantörerna i världen med anspråk på att alltid sätta nya riktmärken när det gäller tillförlitlighet, kvalitet och kundorientering.

Författare
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Några frågor?

Vi finns här för dig.
Kontakta oss