ISO/IEC 27001 фокусируется на конфиденциальной, ценной информации организации: ее защите, конфиденциальности, целостности и доступности. ISO/IEC 27001 является международным стандартом информационной безопасности в частных, государственных или некоммерческих организациях. Стандарт описывает требования к созданию, внедрению, эксплуатации и оптимизации документированной системы управления информационной безопасностью (СУИБ). Основное внимание в системе управления уделяется выявлению, обработке и устранению рисков.

Каковы угрозы и риски информационной безопасности?

Управление уязвимостями в контексте ISO/IEC 27001 относится к техническим уязвимостям . Это может привести к угрозам ИТ-безопасности компаний и организаций. К ним относятся:

  • Программа-вымогатель , вредоносная программа, которая может привести к шифрованию носителей данных и получению компрометирующей информации.
  • Троянская программа удаленного доступа (RAT) , который может разрешить удаленный доступ к сети
  • Фишинг и СПАМ, которые могут привести к потере контроля над электронной почтой. Здесь особенно популярным шлюзом является Общий регламент по защите данных (GDPR) и запрос в электронном письме на проверку данных клиента, нажав на ссылку. Часто отправителями являются банки или платежные системы.
  • DDoS/ботнеты , которые могут привести к нарушению доступности и целостности систем из-за больших пакетов данных
  • Спонсируемые государством кибертеррористы, активисты, преступники, а также внутренние преступники, которые несут широкий спектр угроз
  • Неадекватные или отсутствующие процессы

Выявление уязвимостей и пробелов в безопасности, возникающих в результате этих угроз, требует оценки потребностей в защите с ISO/IEC 27001, потому что это приводит к систематическому управлению уязвимостями для защиты ИТ-инфраструктуры с непрерывной оценкой уязвимостей.

ISO/IEC 27001:2022 – Информационная безопасность, кибербезопасность и защита конфиденциальности – Системы управления информационной безопасностью – Требования.
Стандарт ISO был пересмотрен и переиздан 25 октября 2022 года.

Несовершенные процессы – угроза информационной безопасности?

Без процесса анализа системных журналов и данных журналов, знания технических уязвимостей и более глубокого анализа ИТ-систем реалистичная оценка рисков невозможна. Отсутствие или несовершенство процесса также не позволяет установить критерии приемлемости риска или определить уровни риска, как того требует ISO/IEC 27001.
Из этого следует, что риск для ИТ-безопасности и, следовательно, для информационной безопасности предприятия не может быть определен и должен рассматриваться как максимально возможный риск для этого предприятия.

Управление уязвимостями в контексте ISO 27001: Оптимальная защита инфраструктуры

Одной из возможных подходящих мер по обеспечению безопасности ИТ-инфраструктуры является управление потенциальными уязвимостями и пробелами в безопасности. Это включает в себя регулярное, систематическое, контролируемое сетью сканирование и тестирование на проникновение всех систем на наличие технических уязвимостей. Выявленные уязвимости фиксируются в системе управления информационной безопасностью (СУИБ) в соответствии с ISO/IEC 27001.

Также важно определить угрозы ИТ-безопасности, а также общую информационную безопасность. В этом контексте технические уязвимости должны быть расставлены по степени серьезности (CVSS) и в конечном итоге устранены. Оценка остаточного риска от оставшихся технических уязвимостей и, в конечном счете, принятие риска также являются частью управления уязвимостями в соответствии со стандартом ISO 27001.

Как компания может защитить себя от технических уязвимостей?

Например, компания может превентивно защитить себя от вредоносных программ, внедрив и внедрив меры обнаружения, предотвращения и защиты данных в сочетании с надлежащей осведомленностью пользователей. В деталях это означает: Предотвратить использование технической уязвимости в ISO/IEC 27001В контексте управления уязвимостями необходимо:

  • Получать своевременную информацию о технических уязвимостях используемых информационных систем
  • Оценить их уязвимость и
  • Принимать соответствующие меры

Это можно сделать, установив исправления безопасности (управление исправлениями), изолировав уязвимые ИТ-системы или, в конечном счете, выключив систему. Кроме того, должны быть определены и реализованы правила установки программного обеспечения пользователями.

Важные вопросы об управлении уязвимостями и концепции безопасности ISO/IEC 20071

Следующие вопросы могут быть заданы во время аудита, поэтому имеет смысл обратиться к ним заранее:

  • Определили ли вы роли и обязанности по устранению и мониторингу технических уязвимостей?
  • Узнали ли вы об источниках информации, которые можно использовать для выявления технических уязвимостей?
  • Предусмотрен ли крайний срок для принятия мер при уведомлении и обнаружении уязвимости?
  • Проводили ли вы оценку рисков уязвимостей, в том числе в отношении активов компании?
  • Знаете ли вы свои технические уязвимости?

ISO 27001 Управление уязвимостями: заключение

Управление уязвимостями в контексте ISO/IEC 27001 представляет собой непрерывный процесс, который необходимо проводить регулярно . Согласно ISO/IEC 27001 результаты должны быть «валидными». Это означает, что однократное сканирование уязвимостей и оценка рисков для внедрения или сертификации становятся недействительными в более поздний момент времени, например, во время повторной сертификации.

Сканирование уязвимостей действительно только в тот момент, когда оно выполняется. Но если обновления программного обеспечения будут сделаны позже или будут внесены изменения в топологию, это может привести к появлению новых уязвимостей.

Поэтому для любой организации важно постоянно отслеживать, проверять и повторять процессы управления уязвимостями и вносить соответствующую информацию в систему управления информационной безопасностью.

Мы считаем себя важными партнерами наших клиентов, с которыми мы работаем на равных для достижения устойчивой добавленной стоимости. Наша цель — дать организациям важные импульсы для повышения их предпринимательского успеха с помощью простейших процессов, а также максимального соблюдения сроков и надежности.

Наша основная компетенция заключается в проведении сертификации и оценки. Это делает нас одним из ведущих мировых поставщиков, постоянно устанавливающих новые стандарты надежности, качества и клиентоориентированности.