ISO/IEC 27001 фокусируется на конфиденциальной, ценной информации организации: ее защите, конфиденциальности, целостности и доступности. ISO/IEC 27001 является международным стандартом информационной безопасности в частных, государственных или некоммерческих организациях. Стандарт описывает требования к созданию, внедрению, эксплуатации и оптимизации документированной системы управления информационной безопасностью (СУИБ). Основное внимание в системе управления уделяется выявлению, обработке и устранению рисков.
Каковы угрозы и риски информационной безопасности?
Управление уязвимостями в контексте ISO/IEC 27001 относится к техническим уязвимостям . Это может привести к угрозам ИТ-безопасности компаний и организаций. К ним относятся:
- Программа-вымогатель , вредоносная программа, которая может привести к шифрованию носителей данных и получению компрометирующей информации.
- Троянская программа удаленного доступа (RAT) , который может разрешить удаленный доступ к сети
- Фишинг и СПАМ, которые могут привести к потере контроля над электронной почтой. Здесь особенно популярным шлюзом является Общий регламент по защите данных (GDPR) и запрос в электронном письме на проверку данных клиента, нажав на ссылку. Часто отправителями являются банки или платежные системы.
- DDoS/ботнеты , которые могут привести к нарушению доступности и целостности систем из-за больших пакетов данных
- Спонсируемые государством кибертеррористы, активисты, преступники, а также внутренние преступники, которые несут широкий спектр угроз
- Неадекватные или отсутствующие процессы
Выявление уязвимостей и пробелов в безопасности, возникающих в результате этих угроз, требует оценки потребностей в защите с ISO/IEC 27001, потому что это приводит к систематическому управлению уязвимостями для защиты ИТ-инфраструктуры с непрерывной оценкой уязвимостей.
ISO/IEC 27001:2022 – Информационная безопасность, кибербезопасность и защита конфиденциальности – Системы управления информационной безопасностью – Требования.
Стандарт ISO был пересмотрен и переиздан 25 октября 2022 года.
Несовершенные процессы – угроза информационной безопасности?
Без процесса анализа системных журналов и данных журналов, знания технических уязвимостей и более глубокого анализа ИТ-систем реалистичная оценка рисков невозможна. Отсутствие или несовершенство процесса также не позволяет установить критерии приемлемости риска или определить уровни риска, как того требует ISO/IEC 27001.
Из этого следует, что риск для ИТ-безопасности и, следовательно, для информационной безопасности предприятия не может быть определен и должен рассматриваться как максимально возможный риск для этого предприятия.
Управление уязвимостями в контексте ISO 27001: Оптимальная защита инфраструктуры
Одной из возможных подходящих мер по обеспечению безопасности ИТ-инфраструктуры является управление потенциальными уязвимостями и пробелами в безопасности. Это включает в себя регулярное, систематическое, контролируемое сетью сканирование и тестирование на проникновение всех систем на наличие технических уязвимостей. Выявленные уязвимости фиксируются в системе управления информационной безопасностью (СУИБ) в соответствии с ISO/IEC 27001.
Также важно определить угрозы ИТ-безопасности, а также общую информационную безопасность. В этом контексте технические уязвимости должны быть расставлены по степени серьезности (CVSS) и в конечном итоге устранены. Оценка остаточного риска от оставшихся технических уязвимостей и, в конечном счете, принятие риска также являются частью управления уязвимостями в соответствии со стандартом ISO 27001.
Как компания может защитить себя от технических уязвимостей?
Например, компания может превентивно защитить себя от вредоносных программ, внедрив и внедрив меры обнаружения, предотвращения и защиты данных в сочетании с надлежащей осведомленностью пользователей. В деталях это означает: Предотвратить использование технической уязвимости в ISO/IEC 27001В контексте управления уязвимостями необходимо:
- Получать своевременную информацию о технических уязвимостях используемых информационных систем
- Оценить их уязвимость и
- Принимать соответствующие меры
Это можно сделать, установив исправления безопасности (управление исправлениями), изолировав уязвимые ИТ-системы или, в конечном счете, выключив систему. Кроме того, должны быть определены и реализованы правила установки программного обеспечения пользователями.
Важные вопросы об управлении уязвимостями и концепции безопасности ISO/IEC 20071
Следующие вопросы могут быть заданы во время аудита, поэтому имеет смысл обратиться к ним заранее:
- Определили ли вы роли и обязанности по устранению и мониторингу технических уязвимостей?
- Узнали ли вы об источниках информации, которые можно использовать для выявления технических уязвимостей?
- Предусмотрен ли крайний срок для принятия мер при уведомлении и обнаружении уязвимости?
- Проводили ли вы оценку рисков уязвимостей, в том числе в отношении активов компании?
- Знаете ли вы свои технические уязвимости?
ISO 27001 Управление уязвимостями: заключение
Управление уязвимостями в контексте ISO/IEC 27001 представляет собой непрерывный процесс, который необходимо проводить регулярно . Согласно ISO/IEC 27001 результаты должны быть «валидными». Это означает, что однократное сканирование уязвимостей и оценка рисков для внедрения или сертификации становятся недействительными в более поздний момент времени, например, во время повторной сертификации.
Сканирование уязвимостей действительно только в тот момент, когда оно выполняется. Но если обновления программного обеспечения будут сделаны позже или будут внесены изменения в топологию, это может привести к появлению новых уязвимостей.
Поэтому для любой организации важно постоянно отслеживать, проверять и повторять процессы управления уязвимостями и вносить соответствующую информацию в систему управления информационной безопасностью.
Мы считаем себя важными партнерами наших клиентов, с которыми мы работаем на равных для достижения устойчивой добавленной стоимости. Наша цель — дать организациям важные импульсы для повышения их предпринимательского успеха с помощью простейших процессов, а также максимального соблюдения сроков и надежности.
Наша основная компетенция заключается в проведении сертификации и оценки. Это делает нас одним из ведущих мировых поставщиков, постоянно устанавливающих новые стандарты надежности, качества и клиентоориентированности.
