ISO 27001 tập trung vào thông tin nhạy cảm, có giá trị của tổ chức: Sự bảo vệ, tính bảo mật, tính toàn vẹn và tính sẵn có của tổ chức. ISO 27001 là tiêu chuẩn quốc tế về bảo mật thông tin trong các tổ chức tư nhân, công cộng hoặc phi lợi nhuận. Tiêu chuẩn mô tả các yêu cầu đối với việc thiết lập, triển khai, vận hành và tối ưu hóa hệ thống quản lý an toàn thông tin dạng văn bản (ISMS). Trọng tâm chính của hệ thống quản lý là xác định, xử lý và xử lý rủi ro.

Loading...

CONTENT

  • Các mối đe dọa và rủi ro đối với an toàn thông tin là gì?
  • Các quy trình bị lỗi - mối đe dọa đối với bảo mật thông tin?
  • Quản lý lỗ hổng bảo mật trong bối cảnh ISO 27001: Bảo mật tối ưu cơ sở hạ tầng
  • Làm thế nào để một công ty có thể tự bảo vệ mình khỏi các lỗ hổng kỹ thuật?
  • Các câu hỏi quan trọng về quản lý lỗ hổng bảo mật và khái niệm bảo mật ISO 27001
  • Kết luận
  • DQS: Simply leveraging Quality

Các mối đe dọa và rủi ro đối với an toàn thông tin là gì?

Quản lý lỗ hổng bảo mật trong ngữ cảnh của ISO 27001 đề cập đến các lỗ hổng kỹ thuật. Những điều này có thể dẫn đến các mối đe dọa đối với bảo mật CNTT của các công ty và tổ chức. Bao gồm các:

  • Ransomware, một phần mềm tống tiền có thể dẫn đến việc mã hóa phương tiện dữ liệu và thu thập thông tin xâm phạm
  • Remote Access Trojan (RAT), có thể cho phép truy cập từ xa vào mạng
  • Phishing and SPAM, có thể dẫn đến mất kiểm soát qua email. Ở đây, một cổng đặc biệt phổ biến là Quy định chung về bảo vệ dữ liệu (GDPR) và yêu cầu kiểm tra dữ liệu khách hàng bằng cách nhấp vào liên kết trong email. Thông thường, người gửi dường như là ngân hàng hoặc thậm chí là PayPal.
  • DDoS/botnets, có thể dẫn đến suy giảm tính khả dụng và tính toàn vẹn của hệ thống do các gói dữ liệu khổng lồ
  • Những kẻ khủng bố mạng do tate tài trợ, các nhà hoạt động, tội phạm cũng như những thủ phạm bên trong mang lại nhiều mối đe dọa
  • Quy trình không đầy đủ hoặc thiếu

Việc xác định các lỗ hổng bảo mật và lỗ hổng bảo mật phát sinh từ các mối đe dọa này yêu cầu đánh giá nhu cầu bảo vệ với ISO 27001, vì điều này dẫn đến việc quản lý lỗ hổng có hệ thống để bảo mật cơ sở hạ tầng CNTT với đánh giá lỗ hổng liên tục.

 

ISO / IEC 27001: 2013 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Yêu cầu

Các quy trình bị lỗi - Mối đe dọa đối với bảo mật thông tin?

Nếu không có quy trình phân tích nhật ký hệ thống và dữ liệu nhật ký, kiến thức về các lỗ hổng kỹ thuật và đánh giá sâu hơn về hệ thống CNTT, thì không thể đánh giá rủi ro thực tế. Quy trình thiếu hoặc sai sót cũng không cho phép thiết lập các tiêu chí chấp nhận rủi ro hoặc xác định mức độ rủi ro - theo yêu cầu của ISO 27001. Theo đó, rủi ro đối với bảo mật CNTT và do đó đối với an toàn thông tin của doanh nghiệp, không thể xác định được và phải được giả định là rủi ro cao nhất có thể xảy ra đối với doanh nghiệp đó.

Quản lý lỗ hổng bảo mật trong bối cảnh ISO 27001: Bảo mật tối ưu cơ sở hạ tầng

Một biện pháp thích hợp có thể có để bảo mật cơ sở hạ tầng CNTT là quản lý các lỗ hổng bảo mật và lỗ hổng bảo mật tiềm ẩn. Điều này liên quan đến việc kiểm tra thường xuyên, có hệ thống, được kiểm soát bởi mạng và kiểm tra thâm nhập của tất cả các hệ thống để tìm các lỗ hổng kỹ thuật. Bất kỳ lỗ hổng nào được xác định đều được ghi lại trong hệ thống quản lý an toàn thông tin (ISMS) theo tiêu chuẩn ISO 27001.

Việc xác định các mối đe dọa đối với bảo mật CNTT - cũng như bảo mật thông tin bao trùm cũng rất quan trọng. Trong bối cảnh này, các lỗ hổng kỹ thuật phải được ưu tiên theo mức độ nghiêm trọng (CVSS) và cuối cùng được khắc phục. Đánh giá rủi ro tồn tại từ các lỗ hổng kỹ thuật còn lại và cuối cùng, chấp nhận rủi ro cũng là một phần của quản lý lỗ hổng theo ISO 27001.

Để đánh giá mức độ nghiêm trọng của lỗ hổng, có thể sử dụng tiêu chuẩn ngành "CVSS - Hệ thống chấm điểm lỗ hổng chung". Điểm tổng thể từ 0 đến 10 được xác định từ Chỉ số Điểm cơ sở, giải quyết những câu hỏi này, trong số những câu hỏi khác: Kẻ tấn công cần "gần" đến mức nào để tiếp cận hệ thống dễ bị tấn công (Vectơ tấn công)? Làm thế nào để kẻ tấn công tiếp cận mục tiêu một cách dễ dàng (Attack Complexity)? Quyền truy cập nào được yêu cầu để khai thác lỗ hổng (Yêu cầu đặc quyền)? Bạn có cần người trợ giúp không, vd. người dùng trước tiên phải theo liên kết (Tương tác người dùng)? Tính bảo mật có bị xâm phạm (Ảnh hưởng đến tính bảo mật) không?

 CVSS có thể được tìm thấy trên các trang của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST).

 

Làm thế nào để một công ty có thể tự bảo vệ mình khỏi các lỗ hổng kỹ thuật?

Ví dụ: một công ty có thể tự bảo vệ mình khỏi phần mềm độc hại một cách phòng ngừa bằng cách giới thiệu và triển khai các biện pháp phát hiện, ngăn chặn và bảo mật dữ liệu cùng với nhận thức phù hợp của người dùng. Cụ thể, điều này có nghĩa là: Để ngăn chặn việc khai thác lỗ hổng kỹ thuật trong bối cảnh quản lý lỗ hổng bảo mật của ISO 27001, cần phải:

  • Có được thông tin kịp thời về các lỗ hổng kỹ thuật của hệ thống thông tin được sử dụng
  • Đánh giá tính dễ bị tổn thương của họ và
  • Thực hiện các biện pháp thích hợp

Điều này có thể được thực hiện bằng cách cài đặt các bản vá bảo mật (quản lý bản vá), cô lập các hệ thống CNTT dễ bị tấn công hoặc cuối cùng là thông qua việc tắt hệ thống. Hơn nữa, các quy tắc cài đặt phần mềm của người dùng phải được xác định và thực hiện.

Các câu hỏi quan trọng về quản lý lỗ hổng bảo mật và khái niệm bảo mật ISO 20071

Các câu hỏi sau đây có thể được hỏi trong quá trình đánh giá, vì vậy bạn nên giải quyết trước các câu hỏi đó:

  • Bạn đã xác định vai trò và trách nhiệm đối với việc xử lý và giám sát các lỗ hổng kỹ thuật chưa?
  • Bạn đã tìm hiểu về các nguồn thông tin có thể được sử dụng để xác định các lỗ hổng kỹ thuật chưa?
  • Có thời hạn để phản hồi bằng hành động khi một lỗ hổng bảo mật được thông báo và phát hiện không?
  • Bạn đã thực hiện đánh giá rủi ro về các lỗ hổng liên quan đến tài sản của công ty ?
  • Bạn có biết các lỗ hổng kỹ thuật của mình không?

Nếu bạn muốn có cái nhìn tổng quan đầy đủ và có cơ sở về các mối đe dọa của Đức trong không gian mạng, bạn có thể tìm thấy "Báo cáo tình hình về an ninh CNTT 2019" bằng tiếng Anh từ Văn phòng Bảo mật Thông tin Liên bang Đức (BSI) tại https: / /www.bsi.bund.de.

Kết luận

Quản lý lỗ hổng bảo mật theo tiêu chuẩn ISO 27001 là một quá trình liên tục phải được thực hiện thường xuyên. Theo ISO 27001, kết quả phải "hợp lệ". Điều đó có nghĩa là việc quét lỗ hổng bảo mật một lần và đánh giá rủi ro để thực hiện hoặc chứng nhận sẽ không còn hợp lệ vào thời điểm sau đó, chẳng hạn như trong quá trình tái chứng nhận.

Quá trình quét lỗ hổng chỉ có hiệu lực tại thời điểm chính xác nó được thực hiện. Nhưng nếu các bản cập nhật phần mềm được thực hiện muộn hơn hoặc các thay đổi được thực hiện đối với cấu trúc liên kết, những thay đổi này có thể dẫn đến các lỗ hổng mới.

Do đó, điều quan trọng đối với bất kỳ tổ chức nào là phải liên tục theo dõi, xác minh và lặp lại các quy trình quản lý lỗ hổng và đưa thông tin liên quan vào hệ thống quản lý an toàn thông tin.

Chứng nhận ISO 27001

Bạn phải tính đến nỗ lực nào để được chứng nhận ISMS của mình theo ISO 27001? Nhận thông tin miễn phí . Chúng tôi mong muốn được trao đổi với bạn.

DQS. Simply leveraging Quality.

Chúng tôi coi mình là đối tác quan trọng của khách hàng, những người mà chúng tôi làm việc  để đạt được giá trị gia tăng bền vững. Mục tiêu của chúng tôi là mang đến cho các tổ chức những động lực gia tăng giá trị quan trọng để họ đạt được thành công trong quá trình hoạt động thông qua các quy trình đơn giản nhất, cũng như tuân thủ tối đa thời hạn và độ tin cậy.

Năng lực cốt lõi của chúng tôi nằm ở việc thực hiện các cuộc đánh giá và đánh giá chứng nhận. Điều này khiến chúng tôi trở thành một trong những nhà cung cấp hàng đầu trên toàn thế giới với tuyên bố luôn đặt ra các tiêu chuẩn mới về độ tin cậy, chất lượng và định hướng khách hàng.

Tác giả
André Saeckel

Giám đốc sản phẩm tại DQS về quản lý bảo mật thông tin. Là một chuyên gia tiêu chuẩn cho lĩnh vực bảo mật thông tin và danh mục bảo mật CNTT (cơ sở hạ tầng quan trọng), André Säckel chịu trách nhiệm về các tiêu chuẩn sau và tiêu chuẩn ngành cụ thể, trong số những tiêu chuẩn khác: ISO 27001, ISIS12, ISO 20000-1, KRITIS và TISAX ( an toàn thông tin trong ngành công nghiệp ô tô). Ông cũng là thành viên của nhóm công tác ISO / IEC JTC 1 / SC 27 / WG 1 với tư cách là đại biểu quốc gia của Viện Tiêu chuẩn hóa Đức DIN.

Loading...

Các bài báo và sự kiện có liên quan

Có thể bạn cũng quan tâm tới điều này

KHÓA ĐÀO TẠO ĐÁNH GIÁ VIÊN TRƯỞNG ISO/IEC 27001:2022 (CQI/IRCA certified)

Theo yêu cầu
Hà Nội & TP. Hồ Chí Minh (on-site/online) | Tiếng Việt

KHÓA ĐÀO TẠO NHẬN THỨC VÀ ĐÁNH GIÁ VIÊN NỘI BỘ ISO 27001:2022

Theo yêu cầu
Hà Nội & TP. Hồ Chí Minh (on-site/online) | Tiếng Việt