ОНЛАЙН-ЗАПРОС
ОНЛАЙН-ЗАПРОС
ОНЛАЙН-ЗАПРОС

ГРУППА ДКС –
ведущий международный
сертификационный холдинг

Управление уязвимостями в контексте ISO 27001

  • 22.08.2023

ISO 27001 фокусируется на конфиденциальной и ценной информации организации: ее защите, конфиденциальности, целостности и доступности. ISO 27001 — это международный стандарт информационной безопасности в частных, государственных или некоммерческих организациях. Стандарт описывает требования к созданию, внедрению, эксплуатации и оптимизации документированной системы управления информационной безопасностью (СУИБ). Основное внимание в системе управления уделяется выявлению, обработке и устранению рисков.

Каковы угрозы и риски информационной безопасности?

Управление уязвимостями в контексте ISO 27001 относится к техническим уязвимостям. Это может привести к угрозам ИТ-безопасности компаний и организаций.

К ним относятся:

  • Программа-вымогатель, которая может привести к шифрованию носителей данных и получению компрометирующей информации.
  • Троянец удаленного доступа (RAT), который может разрешить удаленный доступ к сети
  • Фишинг и СПАМ, которые могут привести к потере контроля над электронной почтой. Здесь особенно популярным шлюзом является Общий регламент по защите данных (GDPR) и запрос в электронном письме на проверку данных клиента, нажав на ссылку. Часто отправителями являются банки или даже PayPal.
  • DDoS/ботнеты, которые могут привести к нарушению доступности и целостности систем из-за больших пакетов данных
  • Спонсируемые государством кибертеррористы, активисты, преступники, а также внутренние преступники, которые несут широкий спектр угроз
  • Неадекватные или отсутствующие процессы

Выявление уязвимостей и пробелов в безопасности, возникающих в результате этих угроз, требует оценки потребностей в защите с помощью ISO 27001, поскольку это приводит к систематическому управлению уязвимостями для защиты ИТ-инфраструктуры с постоянной оценкой уязвимостей.

Неисправные процессы — угроза информационной безопасности?

Без процесса анализа системных журналов и данных журналов, знания технических уязвимостей и более глубокого анализа ИТ-систем реалистичная оценка рисков невозможна. Отсутствие или несовершенство процесса также не позволяет установить критерии приемлемости риска или определить уровни риска, как того требует ISO 27001.

Из этого следует, что риск для ИТ-безопасности и, следовательно, для информационной безопасности предприятия не может быть определен и должен рассматриваться как максимально возможный риск для этого предприятия.

Оптимальная защита инфраструктуры

Одной из возможных подходящих мер по обеспечению безопасности ИТ-инфраструктуры является управление потенциальными уязвимостями и пробелами в безопасности. Это включает в себя регулярное, систематическое, контролируемое сетью сканирование и тестирование на проникновение всех систем на наличие технических уязвимостей. Любые выявленные уязвимости фиксируются в системе управления информационной безопасностью (СУИБ) в соответствии со стандартом ISO 27001.

Также важно определить угрозы ИТ-безопасности, а также общую информационную безопасность. В этом контексте технические уязвимости должны быть расставлены по степени серьезности (CVSS) и в конечном итоге устранены. Оценка остаточного риска от оставшихся технических уязвимостей и, в конечном счете, принятие риска также являются частью управления уязвимостями в соответствии со стандартом ISO 27001.

Для оценки серьезности уязвимости можно использовать отраслевой стандарт «CVSS — Common Vulnerability Scoring System». Общий балл от 0 до 10 определяется на основе метрик базовой оценки, которые, среди прочего, отвечают на следующие вопросы: Насколько «близко» нужно злоумышленнику, чтобы добраться до уязвимой системы (вектор атаки)? Насколько легко атакующий достигает цели (сложность атаки)? Какие права доступа необходимы для эксплуатации уязвимости (требуются права)? Вам нужны помощники, например пользователь, который должен сначала перейти по ссылке (Взаимодействие с пользователем)? Нарушается ли конфиденциальность (влияние на конфиденциальность)?

Калькулятор CVSS можно найти на страницах Национального института стандартов и технологий США (NIST).

Как компания может защитить себя от технических уязвимостей?

Например, компания может превентивно защитить себя от вредоносных программ, внедрив и внедрив меры обнаружения, предотвращения и защиты данных в сочетании с надлежащей осведомленностью пользователей. В деталях это означает: чтобы предотвратить использование технической уязвимости в контексте управления уязвимостями ISO 27001, необходимо:

  • Получать своевременную информацию о технических уязвимостях используемых информационных систем
  • Оценить их уязвимость и
  • Принимать соответствующие меры

Это можно сделать, установив исправления безопасности (управление исправлениями), изолировав уязвимые ИТ-системы или, в конечном счете, выключив систему. Кроме того, должны быть определены и реализованы правила установки программного обеспечения пользователями.

Важные вопросы об управлении уязвимостями и концепции безопасности ISO 20071

Во время аудита могут быть заданы следующие вопросы, поэтому имеет смысл ответить на них заранее:

  • Определили ли вы роли и обязанности по устранению и мониторингу технических уязвимостей?
  • Узнали ли вы об источниках информации, которые можно использовать для выявления технических уязвимостей?
  • Предусмотрен ли крайний срок для принятия мер при уведомлении и обнаружении уязвимости?
  • Проводили ли вы оценку рисков уязвимостей, в том числе в отношении активов компании?
  • Знаете ли вы свои технические уязвимости?

ISO 27001 Управление уязвимостями: заключение

Управление уязвимостями в контексте ISO 27001 — это непрерывный процесс, который необходимо выполнять регулярно. Согласно ISO 27001 результаты должны быть «валидными». Это означает, что однократное сканирование уязвимостей и оценка рисков для внедрения или сертификации становятся недействительными в более поздний момент времени, например, во время повторной сертификации.

Сканирование уязвимостей действительно только в тот момент, когда оно выполняется. Но если обновления программного обеспечения будут сделаны позже или будут внесены изменения в топологию, это может привести к появлению новых уязвимостей.

Поэтому для любой организации важно постоянно отслеживать, проверять и повторять процессы управления уязвимостями и вносить соответствующую информацию в систему управления информационной безопасностью.

<< Все новости

Запрос коммерческого предложения

Подготовим индивидуальное коммерческое предложение по Вашему запросу

Запросить

8-800-777-53-46

Подготовим для Вас индивидуальное коммерческое предложение по Вашему запросу

Запрос коммерческого предложения

Подготовим индивидуальное коммерческое предложение по Вашему запросу

 

Запросить

8-800-777-53-46

Мы в социальных сетях

Группа компаний ДКС
ООО ССУ «ДЭКУЭС»
ООО «ДКС РУС»

Телефон: +7 4852 69 50 21
8-800-777-53-46 (Бесплатно по России)
Email: dqs@dqs-russia.ru
Адрес: ул. Республиканская, д. 3, 150003, Ярославль, Российская Федерация