datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Управління вразливістю в контексті ISO 27001

Андре Секель

Експерт DQS з стандартів інформаційної безпеки
трав. 23 , 2023
# Інформаційна безпека та Управління ризиками

ISO 27001 фокусується на чутливій, цінній інформації організацій: її захисту, конфіденційності, повноцінності та доступності. ISO 27001 - це міжнародний стандарт інформаційної безпеки в приватних, державних або некомерційних організаціях. Стандарт описує вимоги до створення, впровадження, експлуатації та оптимізації документованої системи управління інформаційною безпекою (ISMS). Основна увага в системі управління поділяється на виявлення, обробку та зменшенню ризиків.

ЗМІСТ

Які загрози та ризики для інформаційної безпеки?

Управління вразливістю в контексті ISO 27001 відноситься до технічних вразливостей. Вони можуть привести до загроз для ІТ-безпеки компаній і організацій. До них відноситься:

  • Ransomware, програма-вимагач, яка може призвести до шифрування носіїв даних і отримання компрометуючої інформації
  • Троян віддаленого доступу (RAT), який може забезпечити віддалений доступ до мережі
  • Фішинг і СПАМ, які можуть привести до втрати контролю через електронну пошту. Тут особливо популярним шлюзом є Загальний регламент захисту даних (GDPR) і просимо в електронному листі перевірити дані клієнта, нажав за посиланням. Часто відправителями є банки або навіть PayPal.
  • DDoS/ботнеты, які можуть призвести до порушення доступності та цілості системи із-за величезних пакетів даних.
  • Спонсоровані державою кібертерористи, активісти, злочинці, а також внутрішні злочинці, які не мають широкого спектру загроз
  • Неадекватні чи відсутні процеси

Виявлення вразливостей і прогалини у безпеці, що виникають у результаті цих загроз, вимагає оцінки потреб у захисті за допомогою ISO 27001, оскільки це призводить до систематичного управління вразливостями для захисту ІТ-інфраструктури за допомогою постійної оцінки вразливостей.

Невиправлені процеси - загроза інформаційної безпеки?

Без процесу аналізу системних журналів і журнальних даних, знань технічних вразливостей і більш глибокого вивчення ІТ-система реалістична оцінка ризиків неможлива. Відсутність або недосконалість процесу також не дозволяє встановити критерії прийнятності ризику або визначити рівень ризику - як це вимагає стандарт ISO 27001.

З цього випливає, що ризик для безпеки ІТ, а значить і для інформаційної безпеки підприємства, не може бути визначений і повинен бути прийнятий як максимально можливий для даного підприємства.

Управління вразливістю в контексті ISO 27001: оптимальна захист інфраструктури

Одне із можливих адекватних засобів управління мірою забезпечення безпеки ІТ-інфраструктури є потенційними вразливостями та прогалинами безпеки. Це передбачає регулярне, систематичне, контрольоване сканування та тести на проникнення всіх систем на предмет технічних вразливостей. Усі виявлені вразливості фіксуються в системі управління інформаційною безпекою (СУІБ) відповідно до ISO 27001.

Також важливо визначити загрози для ІТ-безпеки - як і для загальної інформаційної безпеки. В цьому контексті технічні вразливості повинні бути пріоритетними за ступенем серйозності (CVSS) і в кінцевому підсумку усунені. Оцінка остаточного ризику яка залишилась від технічних вразливостей і, в кінцевому результаті, прийняття ризику також є частиною управління вразливостями відповідно до ISO 27001.

Для оцінки серйозності вразливості можна використовувати промисловий стандарт "CVSS - Common Vulnerability Scoring System". Загальний бал від 0 до 10 визначається на основі метрики базового бала, який відповідає, зокрема, на такі питання: Наскільки "близько" атакуючому потрібно підійти до вразливої ​​системи (вектора атаки)? Наскільки легко атакуючому досягнути цілі (Складність атаки)? Які права доступу необхідні для використання вразливості (потрібні привілеї)? Чи потрібні помічники, наприклад, користувач, який повинен спочатку перейти за посиланням (взаємодія з користувачем)? Чи порушена  конфіденційність (вплив на конфіденційність)?


Калькулятор CVSS можна знайти на сторінках Національного інституту стандартів і технологій США (NIST).

Як компанія може захистити себе від технічних вразливостей?

Наприклад, компанія може превентивно захиститися від шкідливих програм шляхом впровадження та реалізації заходів щодо виявлення, запобігання та захисту даних у поєднанні з відповідною обізнаністю користувачів. У деталях це означає наступне: Щоб запобігти використанню технічної вразливості в контексті управління вразливістю ISO 27001, необхідно:

  • Своєчасно отримувати інформацію про технічні вразливості використовуваних інформаційних систем
  • Оцінити їх вразливість, та
  • Вжити відповідних заходів

Це може бути зроблено шляхом встановлення виправлень безпеки (управління виправленнями), ізоляції вразливих ІТ-систем або, зрештою, шляхом відключення системи. Крім того, повинні бути визначені та впроваджені правила встановлення програмного забезпечення користувачами.

Важливі питання щодо управління вразливістю та концепцією безпеки ISO 27001

Наступні питання можуть бути задані під час аудиту, тому є сенс відповісти на них заздалегідь:

  • Чи визначили ви ролі та обов'язки щодо усунення та моніторингу технічних уразливостей?
  • Чи ви дізналися про джерела інформації, які можуть бути використані для виявлення технічних уразливостей?
  • Чи є крайній термін для вжиття заходів у відповідь при отриманні повідомлення та виявленні вразливості?
  • Чи провели ви оцінку ризику вразливостей, у тому числі щодо активів компанії?
  • Чи знаєте ви свої технічні вразливості?

Якщо ви хочете отримати повний та обґрунтований огляд загроз Німеччині у кіберпросторі, ви можете знайти "Ситуаційний звіт з ІТ-безпеки 2019" англійською мовою від Федерального відомства з інформаційної безпеки Німеччини (BSI) за адресою https://www.bsi.bund.de.  

Висновок

Управління вразливістю в контексті ISO 27001 – це безперервний процес, який має здійснюватися регулярно. Відповідно до ISO 27001, результати мають бути "дійсними". Це означає, що одноразове сканування вразливостей та оцінка ризиків для впровадження або сертифікації вже не будуть дійсні в пізніший час, наприклад, під час ресертифікації.

Сканування вразливостей дійсне лише тоді, коли його було проведено. Але якщо пізніше буде випущено оновлення програмного забезпечення або внесено зміни до топології, це може призвести до появи нових вразливостей.

Тому для будь-якої організації важливо постійно відстежувати, перевіряти та повторювати процеси управління вразливістю та переносити відповідну інформацію до системи управління інформаційною безпекою.

Сертифікація ISO 27001

З якими зусиллями вам доведеться рахуватись, щоб ваша СУІБ була сертифікована за ISO 27001? Отримайте інформацію безкоштовно та без зобов'язань.

Ми з нетерпінням чекаємо на розмову з вами.

DQS. Просте використання якості.

Ми вважаємо себе важливими партнерами наших клієнтів, з якими ми працюємо на рівні очей задля досягнення стійкої доданої вартості. Наша мета - надати організаціям важливі імпульси до підвищення вартості їхнього підприємницького успіху за допомогою найпростіших процесів, а також максимального дотримання термінів та надійності.

Наша основна компетенція полягає у проведенні сертифікаційних аудитів та оцінок. Це робить нас одним із провідних постачальників послуг у всьому світі, які претендують на те, щоб постійно встановлювати нові стандарти надійності, якості та орієнтації на клієнта.

Автор
Андре Секель

Менеджер з продуктів у DQS з управління інформаційною безпекою. Як експерт із стандартів у сфері інформаційної безпеки та каталогу ІТ-безпеки (критичні інфраструктури), Андре Секель відповідає за такі стандарти та галузеві стандарти, серед іншого: ISO 27001, ISIS12, ISO 20000-1, KRITIS та TISAX (інформаційна безпека в автомобільній промисловості). Він також є членом робочої групи ISO/IEC JTC 1/SC 27/WG 1 як національний делегат Німецького інституту стандартизації DIN.

Є питання?

Ми до ваших послуг.
Зв'яжіться з нами