Виявлення та запобігання в управлінні інформаційною безпекою

• Кібератаки залишаються невиявленими занадто довго
• Новий стандарт ISO/IEC 27001:2022 - ключові зміни
• Три нові елементи управління для виявлення та запобігання
• Технічне резюме
• Що означає це оновлення для вашої сертифікації?
• Найсучасніша СУІБ з досвідом DQS

Впровадження заходів із Додатку А в поточній версії підтримується ідентично структурованим керівництвом із впровадження ISO/IEC 27002:2022, яке вже було оновлено в лютому. Нещодавно включено загальні елементи керування для запобігання стратегічним атакам і швидшого виявлення.

Три нові елементи керування для виявлення та запобігання

Тепер 93 заходи в Додатку A ISO/IEC 27001:2022 тепер реорганізовані в рамках оновлення в чотири теми

• Організаційні заходи,
• Особисті заходи,
• Фізичні заходи і
• Технологічні заходи.

Три з одинадцяти нещодавно запроваджених засобів контролю інформаційної безпеки стосуються запобігання та своєчасного виявлення кібератак. Ці три елементи керування є

• 5.7 Розвідка загроз (організаційна).
• 8.16 Моніторингова діяльність (технологічна).
• 8.23 Веб-фільтрація (технологічна).

Нижче ми докладніше розглянемо ці 3 нові елементи керування.

Інтелектуальні дані про загрози

Організаційний контроль 5.7 стосується систематичного збору та аналізу інформації про відповідні загрози. Мета цього заходу полягає в тому, щоб організації усвідомили свою власну загрозливу ситуацію, щоб вони могли згодом вжити відповідних заходів для пом’якшення ризику. Дані про загрози слід аналізувати структуровано за трьома аспектами: стратегічним, тактичним і оперативним.

Аналіз стратегічних загроз дає змогу зрозуміти зміну ландшафту загроз, наприклад типи атак і учасників, наприклад, суб’єктів, мотивованих державою, кіберзлочинців, зловмисників за контрактом, хактивістів. Національні та міжнародні урядові установи (такі як BSI – Федеральне відомство з інформаційної безпеки Німеччини, enisa – Агентство Європейського Союзу з кібербезпеки, Міністерство внутрішньої безпеки США або NIST – Національний інститут стандартів і технологій), а також некомерційні організації та відповідні форуми, надають добре досліджену інформацію про загрози для всіх галузей промисловості та критичної інфраструктури.

Кібератаки залишаються невиявленими занадто довго

Виняткова цінність інформації та даних у діловому світі 21-го століття все частіше змушує компанії та організації зосереджуватися на інформаційній безпеці та інвестувати в систематичний захист своїх цифрових активів. Чому? В умовах динамічних загроз тактика зловмисників стає все більш витонченою та багаторівневою, що призводить до серйозної шкоди іміджу та репутації постраждалих компаній і щорічних економічних збитків у мільярди доларів по всьому світу.

Експерти сходяться на думці, що повного захисту від кібератак більше не існує - хоча б через людський фактор невизначеності. Це робить раннє виявлення потенційних і фактичних атак ще більш важливим, щоб обмежити їхній бічний вектор у корпоративних мережах і звести до мінімуму кількість скомпрометованих систем. Але в цій сфері ще є над чим працювати: дослідження, проведене в рамках дослідження IB M "Вартість витоку даних у 2022 році", показує, що в середньому на виявлення та стримування атаки в 2022 році потрібно 277 днів.

Новий стандарт ISO 27001:2022

Щоб допомогти компаніям та організаціям отримати сучасну стандартизовану основу для систем управління інформаційною безпекою, 25 жовтня 2022 року ISO опублікувала новий стандарт СУІБ ISO/IEC 27001:2022. Додаток А містить засоби контролю/заходи, які можуть бути використані в конкретній компанії для усунення ризиків інформаційної безпеки.

Впровадження заходів з Додатку А в поточній версії підтримується ідентично структурованим керівництвом по впровадженню ISO/IEC 27002:2022, яке вже було оновлено в лютому. Нещодавно включені загальні засоби контролю для запобігання стратегічним атакам і швидшого виявлення.

Три нові засоби контролю для виявлення та запобігання

Наразі 93 заходи в Додатку А стандарту ISO/IEC 27001:2022 реорганізовано в рамках оновлення в чотири теми

• Організаційні заходи,
• Персональні заходи,
• Фізичні заходи та
• Технологічні заходи.

Три з одинадцяти нових заходів контролю інформаційної безпеки стосуються запобігання та своєчасного виявлення кібератак. Цими трьома засобами контролю є

• 5.7 Розвідка загроз (організаційний).
• 8.16 Моніторингова діяльність (технологічний).
• 8.23 Веб-фільтрація (технологічний).

Нижче ми детальніше розглянемо ці 3 нові засоби контролю.

Розвідка загроз

Організаційний контроль 5.7 стосується систематичного збору та аналізу інформації про відповідні загрози. Мета цього заходу полягає в тому, щоб поінформувати організацію про власну ситуацію із загрозами, щоб згодом вона могла вжити відповідних заходів для зменшення ризику. Дані про загрози слід аналізувати в структурованому вигляді відповідно до трьох аспектів: стратегічного, тактичного та оперативного.

Стратегічний аналіз загроз дає уявлення про зміну ландшафту загроз, наприклад, про типи атак і суб'єктів, наприклад, державні суб'єкти, кіберзлочинці, наймані зловмисники, хактивісти. Національні та міжнародні урядові установи (такі як BSI - Федеральне відомство з інформаційної безпеки Німеччини, ENISA - Агентство Європейського Союзу з кібербезпеки, Міністерство внутрішньої безпеки США або NIST - Національний інститут стандартів і технологій), а також некомерційні організації та відповідні форуми надають добре досліджену інформацію про загрози в усіх галузях промисловості та критичній інфраструктурі.

Тактична розвідка загроз та їх оцінка забезпечують оцінку методів, інструментів і технологій зловмисників.

Оперативна оцінка конкретних загроз надає детальну інформацію про конкретні атаки, включно з технічними показниками, наприклад, нинішнє екстремальне зростання кібератак з використанням програм-вимагачів та їхніх різновидів у 2022 році.

Аналіз загроз може надавати підтримку наступними способами:

• Процедурно для інтеграції даних про загрози в процес управління ризиками,
• Технічно для запобігання та виявлення, наприклад, шляхом оновлення правил брандмауерів, систем виявлення вторгнень (IDS), рішень для боротьби зі шкідливим програмним забезпеченням,
• З вхідною інформацією для конкретних процедур тестування та методів тестування інформаційної безпеки.

Якість даних з організаційного контролю 5.7 для визначення ситуації загрози та її аналізу безпосередньо впливає на два технічні контролі для моніторингу діяльності (8.16) та веб-фільтрації (8.23), що обговорюються нижче, які також є новими для ISO/IEC 27002.

Веб-фільтрація

Інтернет - це і благословення, і прокляття. Доступ до сумнівних веб-сайтів продовжує залишатися воротами для шкідливого контенту та шкідливого програмного забезпечення. Контроль інформаційної безпеки 8.23 Веб-фільтрація має превентивну мету - захистити власні системи організації від проникнення шкідливого програмного забезпечення та запобігти доступу до несанкціонованих веб-ресурсів. З цією метою організації повинні встановити правила безпечного та належного використання інтернет-ресурсів, включаючи обов'язкове обмеження доступу до небажаних або невідповідних веб-сайтів та веб-додатків. Організація повинна заблокувати доступ до наступних типів веб-сайтів:

• Веб-сайти, які мають функцію завантаження - за винятком випадків, коли це необхідно з законних, ділових причин,
• Відомі або навіть підозрювані шкідливі веб-сайти,
• Сервери керування та контролю,
• Шкідливі веб-сайти, визначені як такі на основі даних про загрози (див. також захід 5.7),
• Веб-сайти з незаконним вмістом.

Засіб веб-фільтрації дійсно працює лише з навченим персоналом, який достатньо обізнаний про безпечне та належне використання онлайн-ресурсів.

Діяльність з моніторингу

Детективний і коригувальний контроль безпеки інформації 8.16 щодо технічного моніторингу діяльності зосереджується на виявленні аномалій як методі запобігання загрозам. Мережі, системи та програми поводяться відповідно до очікуваних шаблонів, таких як пропускна здатність даних, протоколів, повідомлень, тощо. Будь-яка зміна або відхилення від цих очікуваних моделей виявляється як аномалія.

Для того, щоб виявити цю незвичну поведінку, відповідна діяльність повинна контролюватися відповідно до вимог бізнес- та інформаційної безпеки, а будь-які аномалії повинні порівнюватися, серед іншого, з наявними даними про загрози (див. вище, вимога 5.7). Наступні аспекти мають відношення до системи моніторингу:

• Вхідний та вихідний мережевий, системний та прикладний трафік,
• Доступ до систем, серверів, мережевого обладнання, систем моніторингу, критично важливих додатків, тощо,
• Системні та мережеві конфігураційні файли на адміністративному або критично важливому рівні;
• Журнали інструментів безпеки [наприклад, антивірус, системи виявлення вторгнень (IDS), системи запобігання вторгненням (IPS), веб-фільтри, брандмауери, запобігання витоку даних],
• Журнали подій, що стосуються системної та мережевої активності,
• Перевірка цілісності та авторизації виконуваного коду в системі,
• Використання ресурсів, наприклад, потужність процесора, ємність диска, використання пам'яті, пропускна здатність.

Основними вимогами для функціонування моніторингу діяльності є чисто та прозоро налаштована інфраструктура ІТ/ОТ та належним чином функціонуючі мережі ІТ/ОТ. Будь-які зміни, що суперечать цьому базовому стану, виявляються як потенційна загроза функціональності, а отже, як аномалія. Залежно від складності інфраструктури, реалізація цього заходу є серйозним викликом, незважаючи на відповідні рішення постачальників. Важливість систем виявлення аномалій була визнана майже одночасно з вимогою 8.16 стандарту ISO/IEC 27002:2022 для операторів так званої критичної інфраструктури. Таким чином, у національному масштабі відповідні правові норми зобов'язують їх ефективно застосовувати так звані системи виявлення атак із встановленими термінами.

Технічний висновок

Описані тут нові засоби виявлення та запобігання відіграють ключову роль у захисті від організованої кіберзлочинності, і вони по праву знайшли своє місце в поточних версіях стандартів ISO/IEC 27001 та ISO/IEC 27002. Завдяки постійному оновленню та аналізу наявної інформації про загрози, широкому моніторингу активності у власній ІТ-інфраструктурі та захисту власних систем від сумнівних веб-сайтів, компанії постійно посилюють свій захист від вторгнення небезпечного шкідливого програмного забезпечення. Вони також отримують можливість ініціювати відповідні заходи реагування на ранній стадії.

Компанії та організації тепер повинні впровадити три представлені засоби контролю/заходи відповідним чином і послідовно інтегрувати їх в свої СУІБ, щоб відповідати вимогам майбутніх сертифікаційних аудитів. DQS має більш ніж 35-річний всебічний досвід в області неупереджених аудитів і сертифікацій - і рада підтримати вас в управлінні змінами вашої системи управління інформаційною безпекою відповідно до ISO/IEC 27001:2022.

Що означає це оновлення для вашої сертифікації?

Стандарт ISO/IEC 27001:2022 був опублікований 25 жовтня 2022 року.

Остання дата первинних/повторних сертифікаційних аудитів відповідно до «старого» ISO 27001:2013:

• Після 30 квітня 2024 року DQS проводитиме первинні та ресертифікаційні аудити лише відповідно до нового стандарту ISO/IEC 27001:2022.

Перехід усіх існуючих сертифікатів за «старим» ISO/IEC 27001:2013 на новий ISO/IEC 27001:2022:

• З 31 жовтня 2022 року діє 3-річний перехідний період:
• Сертифікати, видані відповідно до ISO/IEC 27001:2013 або DIN EN ISO/IEC 27001:2017, дійсні щонайпізніше до 31 жовтня 2025 року або мають бути відкликані в цю дату.

Найсучасніша СУІБП з експертизою DQS

При переході на нову версію ISO/IEC 27001 у організацій ще є деякий час. Поточні сертифікати, засновані на старому стандарті, втратять свою чинність 31.10.2025. Тим не менш, ми рекомендуємо вам розібратися зі зміненими вимогами до СУІБ на ранній стадії, ініціювати відповідні процеси змін і впровадити їх належним чином.

Як експерти з аудиту та сертифікації з більш ніж тридцятирічним досвідом, ми підтримаємо вас у впровадженні нового стандарту. Дізнайтеся від наших численних досвідчених аудиторів про найважливіші зміни та їхню актуальність для вашої організації - і довіртеся нашій експертизі. Разом ми обговоримо ваш потенціал для вдосконалення і будемо підтримувати вас до отримання нового сертифікату. Ми з нетерпінням чекаємо на ваш відгук.