Управління конфігураціями в інформаційній безпеці

ЗМІСТ

• Зростання складності та загроз
• Управління конфігураціями в контексті ISO 27001:2022
• Control 8.9 "Управління конфігураціями"
• Управління конфігураціями в інформаційній безпеці - Висновок
• DQS: Ваш контакт для сертифікованої інформаційної безпеки

Зростаюча складність та загрози

Неправильні налаштування та конфігурації безпеки приховують незліченні ризики для інформаційної безпеки. Зважаючи на зростаючу складність сучасних ІТ-середовищ, управління конфігураціями, тобто постійне і систематичне визначення, документування, впровадження, моніторинг і перегляд конфігурацій безпеки, стає складним завданням, яке поширюється на управління відповідностью (комплаєнсом) в організації.

Для стороннього спостерігача ІТ-інфраструктура - це заплутана павутина додатків, пристроїв, мережевих компонентів і сервісів, незалежно від того, розміщені вони локально або в хмарі. Кількість останніх, зокрема, різко зросла під час пандемії коронавірусу. Однак для ІТ-команд конфігурування зростаючої кількості системних компонентів, постійний моніторинг і адаптація конфігурацій систем означає значний обсяг роботи, який часто перевантажує співробітників. Без систематичного управління конфігурацією це може призвести до значного ризику для безпеки, а також до втрати або неправильного використання даних (включаючи персональні дані).

Зрештою, 81% менеджерів з безпеки в німецькому дослідженні 2022 року заявили, що вразливості та невідомі неправильні конфігурації спричиняють найбільші проблеми з безпекою в їхніх інфраструктурах. А в Pandemic Eleven, дослідженні Cloud Security Alliance про найсерйозніші вразливості в хмарних обчисленнях під час пандемії, неправильні конфігурації також посідають чільне третє місце.

Тому логічним наслідком розвитку подій останніх років є приділення більшої уваги управлінню конфігураціями в інформаційних технологіях, наприклад, в контексті несанкціонованого доступу. Тому правильно, що новий стандарт ISO/IEC 27001:2022 присвятив цій темі окремий контроль інформаційної безпеки.

Управління конфігурацією в контексті ISO 27001:2022

Реструктуризований Додаток А до ISO 27001 від 2022 року містить 93 заходи (controls) контролю інформаційної безпеки, в тому числі 11 нових. В оновленому додатку заходи контролю тепер організовані тематично в чотирьох розділах

• Організаційні заходи
• Персональні заходи
• Фізичні заходи
• Технологічні заходи

Безпечне управління конфігурацією в інформаційних технологіях відноситься до предметної області технологічних або технічних заходів і перераховане в Додатку А під пунктом 8.9. Це один із превентивних інструментів, який підтримує всі три цілі захисту інформаційної безпеки (конфіденційність, цілісність та доступність).

Стандартні шаблони

Визначення стандартних шаблонів допомагає організаціям систематизувати управління конфігураціями. При цьому слід враховувати такі основні аспекти:

• загальнодоступні рекомендації, наприклад, від постачальників або незалежних органів безпеки
• Необхідні рівні захисту для забезпечення належного рівня безпеки
• Підтримка внутрішньої політики інформаційної безпеки, тематичних інструкцій, стандартів та інших вимог безпеки
• Здійсненність та застосовність конфігурацій в контексті організації

Розроблені стандартні шаблони повинні регулярно переглядатися і оновлюватися, особливо коли необхідно протидіяти новим загрозам або вразливостям, або коли в організації впроваджуються нові версії програмного або апаратного забезпечення.

Існує також ряд інших моментів, які слід враховувати при створенні шаблонів. Всі вони допомагають запобігти несанкціонованим або некоректним змінам конфігурацій:

• Мінімізація кількості облікових записів з привілейованими або адміністративними правами доступу
• Деактивація непотрібних, невикористовуваних або небезпечних облікових записів
• Деактивація або обмеження функцій і служб, які не потрібні
• Обмеження доступу до потужних утиліт і налаштувань параметрів хоста
• Синхронізація годинника
• Зміна даних автентифікації виробника та паролів за замовчуванням одразу після встановлення та перевірка важливих для безпеки параметрів
• Виклик засобів тайм-ауту, які автоматично вимикають комп'ютерні пристрої після певного періоду бездіяльності
• Перевірка дотримання ліцензійних вимог

Управління та моніторинг конфігурацій

Всі конфігурації повинні бути записані, а зміни надійно зареєстровані, щоб виключити неправильні конфігурації після інциденту. Ця інформація повинна надійно зберігатися, наприклад, в базах даних конфігурацій або шаблонах.

Всі зміни вносяться відповідно до Control 8.32 "Контроль змін", в якому описані настанови щодо внесення змін до інструкцій з обробки інформації та інформаційних систем. Записи конфігурації повинні містити всю інформацію, необхідну для відстеження як стану ІТ-системи або активу, так і будь-яких змін, внесених до них у будь-який час. Сюди входить, наприклад, наступна інформація

• Поточна інформація про відповідний актив - хто є власником або контактною особою?
• Дата останньої зміни конфігурації
• Версію шаблону конфігурації
• Зв'язки та відношення до конфігурацій інших активів

Комплексний набір інструментів управління системою - таких як програми технічного обслуговування, віддалена підтримка, інструменти управління підприємством і програмне забезпечення для резервного копіювання та відновлення - допомагає контролювати і регулярно перевіряти конфігурації. За допомогою цих інструментів менеджери можуть перевіряти налаштування конфігурації, оцінювати надійність паролів та оцінювати виконані дії.

Фактичні стани також можна порівнювати з визначеними цільовими шаблонами, а в разі відхилень можна ініціювати відповідне реагування - або шляхом автоматичного застосування визначеної цільової конфігурації, або шляхом ручного аналізу відхилень і подальших коригувальних заходів. Автоматизація, наприклад, за допомогою інфраструктури як коду (програмована інфраструктура), дозволяє ефективно і безпечно керувати конфігураціями безпеки у віртуалізованих середовищах і хмарних обчисленнях.

Управління конфігураціями в інформаційній безпеці - короткий огляд

Управління конфігураціями в інформаційній безпеці є важливим інструментом безпеки і вносить довгостроковий внесок у значне зменшення прогалин у безпеці, спричинених неправильними конфігураціями. Його системний підхід зменшує навантаження на внутрішні команди і сприяє ефективному функціонуванню ІТ, а також підвищенню стійкості систем і доступності інформації та конфіденційних даних. Позитивний вплив на захист персональних даних, наприклад, також очевидний.

Управління конфігураціями також може бути інтегроване в процеси управління активами і пов'язані з ними інструменти. Централізоване управління налаштуваннями безпеки дозволяє швидко реагувати на нові загрози і вразливості в доступності систем і захисті даних, тим самим допомагаючи мінімізувати потенційні поверхні атак в системах. Новий контроль управління інформаційною безпекою 8.9 від ISO 27001 забезпечує важливий внесок у безпеку для організацій та їхнього керівництва.

Компанії та організації повинні впроваджувати цю додаткову цінність. Вимоги пункту 8.9 необхідно порівняти з поточним станом і надалі оптимізувати за допомогою контрольованого процесу змін. Маючи понад 35 років досвіду в галузі аудиту та сертифікації, ми є вашим ідеальним партнером і можемо надати вам консультації та підтримку з питань інформаційної безпеки.

Що означає оновлення для вашої сертифікації?

Стандарт ISO/IEC 27001:2022 був опублікований 25 жовтня 2022 року.

Це призводить до наступних термінів і періодів переходу для користувачів

Остання дата для початкових/ресертифікаційних аудитів за "старим" стандартом ISO 27001

• Після 30 квітня 2024 року DQS буде проводити тільки початкові та ресертифікаційні аудити відповідно до нового стандарту ISO/IEC 27001:2022

Конвертація всіх існуючих сертифікатів відповідно до "старого" ISO/IEC 27001:2013 на нову версію 2022 року

• З 31 жовтня 2022 року діє 3-річний перехідний період
• сертифікати, видані відповідно до ISO/IEC 27001:2013 або DIN EN ISO/IEC 27001:2017, дійсні не пізніше 31 жовтня 2025 року або повинні бути відкликані до цієї дати

ISO/IEC 27001:2022 - Інформаційна безпека, кібербезпека та захист конфіденційності - Системи управління інформаційною безпекою - Вимоги

DQS: Simply leveraging Security. 

У організацій ще є деякий час для переходу на нову версію ISO/IEC 27001. Поточні сертифікати, засновані на старому стандарті, втратять свою чинність 31 жовтня 2025 року. Тим не менш, їм рекомендується ознайомитися зі зміненими вимогами до системи управління інформаційною безпекою (СУІБ) на ранній стадії, ініціювати відповідні процеси змін та впровадити їх відповідно до них.

Як експерти з аудиту та сертифікації з більш ніж тридцятирічним досвідом, ми можемо допомогти вам у впровадженні нового стандарту ISO 27001:2022. Дізнайтеся від наших досвідчених аудиторів про найважливіші зміни та їхню актуальність для вашої компанії - і довіртеся нашій експертизі. Ми з нетерпінням чекаємо на ваш дзвінок.

Довіра та досвід

Наші статті та технічні документи пишуться виключно нашими експертами зі стандартів або аудиторами з багаторічним стажем. Якщо у вас виникли запитання щодо змісту тексту або наших послуг автору, будь ласка, зв'яжіться з нами.