ОНЛАЙН-ЗАПРОС
ОНЛАЙН-ЗАПРОС
ОНЛАЙН-ЗАПРОС

ГРУППА ДКС –
ведущий международный
сертификационный холдинг

Управление конфигурациями в системе информационной безопасности ISO 27001:2022

  • 28.03.2024

Управление конфигурациями в системе информационной безопасности ISO 27001:2022

Современные ИТ-ландшафты требуют скоординированного взаимодействия ИТ-ресурсов, сетевых инфраструктур, аппаратных и программных приложений и различных типов сервисов. Ключом к высокой производительности и безопасности работы является правильная настройка всех задействованных систем, компонентов и приложений.

Новый элемент управления 8.9 в области информационной безопасности «Управление конфигурацией» из обновленной версии ISO 27001:2022 формулирует соответствующие меры безопасности для разработки, внедрения и регулярного анализа управления конфигурацией.

Возрастающая сложность и угрозы

Неправильные настройки и конфигурации безопасности таят в себе неисчислимые риски для информационной безопасности. Ввиду возрастающей сложности современной ИТ-среды управление конфигурацией, т.е. постоянное и систематическое определение, документирование, внедрение, мониторинг и анализ конфигураций безопасности становится сложной задачей, которая распространяется и на управление соответствием в организации.

Для стороннего наблюдателя ИТ-инфраструктура представляет собой запутанную сеть приложений, устройств, сетевых компонентов и сервисов, размещенных локально или в облаке. Последние, в частности, резко возросли во время пандемии коронавируса. Однако для ИТ-команд настройка растущего числа системных компонентов, а также постоянный мониторинг и адаптация конфигураций систем означают значительный объем работы, которая часто перегружает сотрудников. Без систематического управления конфигурацией это может привести к значительному риску безопасности и потере или неправильному использованию данных (включая персональные данные).

В конце концов, 81% менеджеров по безопасности в исследовании 2022 года заявили, что неизвестные уязвимости и неправильные настройки вызывают самые большие проблемы безопасности в их инфраструктурах. А в исследовании Cloud Security Alliance, посвященном наиболее серьезным уязвимостям облачных вычислений во время пандемии, неправильные конфигурации также занимают видное третье место.

Поэтому логическим следствием событий последних лет является необходимость уделять больше внимания управлению конфигурацией в информационных технологиях, например, в контексте несанкционированного доступа. Поэтому правильно, что новый стандарт ISO/IEC 27001:2022 посвятил этой теме отдельный контроль информационной безопасности.

Управление конфигурацией в контексте ISO 27001:2022

Реструктурированное Приложение А стандарта ISO 27001 от 2022 года содержит 93 меры информационной безопасности (меры контроля), включая 11 новых. После обновления элементы управления теперь тематически организованы в четыре раздела:

  • Организационные меры
  • Личные меры
  • Физические меры
  • Технологические меры

Управление безопасной конфигурацией в информационных технологиях подпадает под предметную область технологических или технических мер и указано в приложении А под 8.9. Это один из превентивных инструментов, который поддерживает все три цели защиты информации (конфиденциальность, целостность и доступность).

Стандартные шаблоны

Определение стандартных шаблонов помогает организациям систематизировать управление конфигурациями. При разработке следует учитывать следующие основные аспекты:

  • Общедоступные рекомендации, например, от поставщиков или независимых органов безопасности.
  • Требуемые уровни защиты для обеспечения адекватной безопасности
  • Поддержка внутренней политики информационной безопасности, тематических руководств, стандартов и других требований безопасности.
  • Целесообразность и применимость конфигураций в контексте организации
  • Разработанные стандартные шаблоны следует регулярно пересматривать и обновлять, особенно когда необходимо устранять новые угрозы или уязвимости или когда в организации внедряются новые версии программного или аппаратного обеспечения.

Есть также ряд других моментов, которые следует учитывать при создании шаблонов. Все это помогает предотвратить несанкционированные или неправильные изменения конфигураций:

  • Минимизация количества удостоверений с привилегированными или административными правами доступа.
  • Деактивация ненужных, неиспользуемых или небезопасных идентификационных данных
  • Деактивация или ограничение ненужных функций и услуг.
  • Ограничение доступа к мощным утилитам и настройкам параметров хоста
  • Синхронизация часов
  • Изменение данных аутентификации производителя по умолчанию и паролей по умолчанию сразу после установки и проверка важных параметров безопасности.
  • Вызов средств тайм-аута, которые автоматически отключают компьютерные устройства после определенного периода бездействия.
  • Проверьте, соблюдены ли лицензионные требования

Управление и мониторинг конфигураций

Все конфигурации должны регистрироваться, а изменения документироваться, чтобы исключить неправильные настройки после инцидента. Эта информация должна храниться надежно, например, в базах данных конфигурации или шаблонах.

Все изменения вносятся в соответствии с контролем 8.32 «Контроль изменений», который описывает директиву по внесению изменений в правила обработки информации и информационные системы. Записи конфигурации должны содержать всю информацию, необходимую для отслеживания состояния ИТ-системы или актива, а также любых изменений, внесенных в нее в любое время. Сюда входит, например, следующая информация:

  • Текущая информация о рассматриваемом активе. Кто является владельцем или контактным лицом?
  • Дата последнего изменения конфигурации
  • Версия шаблона конфигурации
  • Связи и отношения с конфигурациями других активов.

Полный набор инструментов управления системой, таких как программы обслуживания, удаленная поддержка, инструменты управления предприятием, а также программное обеспечение для резервного копирования и восстановления, помогает отслеживать и регулярно проверять конфигурации. С помощью этих инструментов менеджеры могут проверять параметры конфигурации, оценивать надежность паролей и оценивать выполненные действия.

Фактические состояния также можно сравнивать с определенными целевыми шаблонами, а в случае отклонений можно инициировать соответствующие реакции — либо путем автоматического соблюдения определенной целевой конфигурации, либо путем ручного анализа отклонения и последующих корректирующих мер. Автоматизация, например, с помощью инфраструктуры как кода (программируемая инфраструктура), позволяет эффективно и безопасно управлять конфигурациями безопасности в виртуализированных средах и облачных вычислениях.

Управление конфигурациями в информационной безопасности – резюме

Управление конфигурациями в сфере информационной безопасности является важным инструментом безопасности и вносит долгосрочный вклад в значительное сокращение пробелов в безопасности, вызванных неправильными конфигурациями. Его системный подход снимает нагрузку с внутренних команд и способствует повышению эффективности ИТ-операций, а также укреплению систем и доступности информации и конфиденциальных данных. Положительное влияние, например, на защиту персональных данных также очевидно.

Управление конфигурацией также может быть интегрировано в процессы управления активами и связанные с ними инструменты. Централизованное управление настройками безопасности позволяет быстро реагировать на новые угрозы и уязвимости в доступности систем и защите данных, тем самым помогая минимизировать потенциальные поверхности атак в системах. Новый элемент управления информационной безопасностью 8.9 из ISO 27001 обеспечивает важный вклад в безопасность организаций и их руководства.

Эта добавленная стоимость должна быть реализована компаниями и организациями. Требования пункта 8.9 необходимо сравнить с текущим статусом и дополнительно оптимизировать посредством контролируемого процесса изменений. Обладая более чем 35-летним опытом аудита и сертификации, мы являемся вашим идеальным партнером и можем предоставить вам советы и поддержку по вопросам информационной безопасности.

Что обновление означает для вашей сертификации?

ISO/IEC 27001:2022 был опубликован 25 октября 2022 года.

В результате для пользователей установлены сроки и периоды перехода.

С 31 октября 2022 г. применяется трехлетний переходный период по конвертации всех существующих сертификатов по «старому» ISO/IEC 27001:2013 в новую версию 2022 года.

Сертификаты, выданные в соответствии с ISO/IEC 27001:2013, действительны не позднее 31 октября 2025 г. или должны быть отозваны в эту дату.

После 30 апреля 2024 г. ДКС будет проводить первичные и ресертификационные аудиты только в соответствии с новым стандартом ISO/IEC 27001:2022.

 

<< Все новости

Запрос коммерческого предложения

Подготовим индивидуальное коммерческое предложение по Вашему запросу

Запросить

8-800-777-53-46

Подготовим для Вас индивидуальное коммерческое предложение по Вашему запросу

Запрос коммерческого предложения

Подготовим индивидуальное коммерческое предложение по Вашему запросу

 

Запросить

8-800-777-53-46

Мы в социальных сетях

Группа компаний ДКС
ООО ССУ «ДЭКУЭС»
ООО «ДКС РУС»

Телефон: +7 4852 69 50 21
8-800-777-53-46 (Бесплатно по России)
Email: dqs@dqs-russia.ru
Адрес: ул. Республиканская, д. 3, 150003, Ярославль, Российская Федерация