ISO 27002:2022, Kontrol 8.8 – Håndtering af tekniske sårbarheder

ISO 27002:2022 Reviderede kontroller

Book en demo

data,center,programmør,bruger,digital,laptop,computer,vedligeholdelse,det,specialist.

Formål med kontrol 8.8

Intet computernetværk, system, software eller enhed er 100 % sikkert. Sårbarheder er en del af driften af ​​et moderne LAN eller WAN, og det er vigtigt for organisationer at erkende, at de for det første eksisterer, og for det andet behovet for at minimere risikoen, hvor de har potentiale til at opstå.

Kontrol 8.8 indeholder en betydelig mængde råd, der hjælper organisationer med at forhindre intern og ekstern udnyttelse af sårbarheder på tværs af hele deres netværk. Kontrol 8.8 er afhængig af understøttende procedurer og retningslinjer fra adskillige andre ISO 27002:2022 kontroller, især dem, der vedrører ændringsstyring (se kontrol 8.32) og adgangskontrolprotokoller.

Attributter tabel

Kontrol 8.8 er en forebyggende kontrollere det fastholder risiko ved at implementere procedurer, der indsamler information om tekniske sårbarheder og giver organisationen mulighed for at træffe passende foranstaltninger for at beskytte aktiver, systemer, data og hardware.

Kontrol typeInformationssikkerhedsegenskaberCybersikkerhedskoncepterOperationelle evnerSikkerhedsdomæner
#Forebyggende#Fortrolighed
#Integritet
#Tilgængelighed		#Identificere
#Beskytte		#Trussel- og sårbarhedshåndtering#Governance og økosystem
#Beskyttelse
#Forsvar
Gå til emne
Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

Ejerskab af kontrol 8.8

Kontrol 8.8 omhandler teknisk og administrativ styring af software, systemer og ikt-aktiver. Nogle af retningslinjerne involverer implementering af en meget detaljeret tilgang til softwareadministration, asset management og netværkssikkerhedsrevision.

Som sådan bør ejerskabet af Kontrol 8.8 ligge hos den person, der har det overordnede ansvar for at vedligeholde organisationens IKT-infrastruktur, såsom IT-chefen eller tilsvarende organisatorisk.

Vejledning – Identifikation af sårbarheder

Inden implementering og sårbarhedskontroller er det vigtigt at få en komplet og opdateret liste over fysiske og digitale aktiver (se kontrol 5.9 og 5.14), som ejes og drives af organisationen.

Oplysninger om softwareaktiver bør omfatte:

  • Leverandørnavn

  • Ansøgningens navn

  • Versionsnumre i drift

  • Hvor softwaren er implementeret på tværs af godset

Når organisationer forsøger at lokalisere tekniske sårbarheder, bør de:

  1. Skitsér tydeligt, hvem (inden for organisationen) er ansvarlig for sårbarhedshåndtering fra et teknisk perspektiv i overensstemmelse med dens forskellige funktioner, herunder (men ikke begrænset til):

    • Asset management

    • Risikovurdering

    • Overvågning

    • Opdatering

  2. Hvem er ansvarlig for softwaren i organisationen

  3. Vedligehold en fortegnelse over applikationer og ressourcer, der vil blive brugt til at identificere tekniske sårbarheder.

  4. Bed leverandører og leverandører om at afsløre sårbarheder ved levering af nye systemer og hardware (se kontrol 5.20), og specificer som sådan i alle relevante kontrakter og serviceaftaler.

  5. Gør brug af sårbarhedsscanningsværktøjer, herunder patchingfaciliteter.

  6. Udfør regelmæssige, dokumenterede penetrationstests – enten internt eller via en certificeret tredjepart.

  7. Vær opmærksom på brugen af ​​tredjeparts kodebiblioteker og/eller kildekode til underliggende programmatiske sårbarheder (se kontrol 8.28).

Vejledning – Offentlige aktiviteter

Ud over interne systemer bør organisationer udvikle politikker og procedurer, der opdager sårbarheder på tværs af alle deres produkter og tjenester, og modtage sårbarhedsvurderinger i forbindelse med leveringen af ​​de nævnte produkter og tjenester.

ISO råder organisationer til at gøre en offentlig indsats for at spore eventuelle sårbarheder og tilskynde tredjeparter til at engagere sig i sårbarhedshåndteringsindsats ved brug af dusørprogrammer (hvor udnyttelser søges efter og rapporteres til organisationen for en belønning).

Organisationer bør gøre sig tilgængelige for offentligheden gennem fora, offentlige e-mail-adresser og forskningsaktiviteter, så den bredere offentligheds kollektive viden kan bruges til at beskytte produkter og tjenester ved kilden.

Hvor der er truffet afhjælpende foranstaltninger, der påvirker brugere eller kunder, bør organisationer overveje at frigive relevant information til de berørte personer eller organisationer og samarbejde med specialiserede sikkerhedsorganisationer for at formidle information om sårbarheder og angrebsvektorer.

Derudover bør organisationer overveje at tilbyde en automatisk opdateringsprocedure, som kunderne er i stand til at til- eller fravælge, baseret på deres forretningsbehov.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Vejledning – Evaluering af sårbarheder

Tilstrækkelig rapportering er nøglen til at sikre hurtig og effektiv afhjælpning, når sårbarheder opdages.

Når de vurderer sårbarheder, bør organisationer:

  1. Analyser omhyggeligt eventuelle rapporter og beslut, hvilke handlinger der skal tages, herunder (men ikke begrænset til) ændring, opdatering eller fjernelse af berørte systemer og/eller hardware.

  2. Aftal en beslutning, der tager hensyn til andre ISO-kontroller (især dem, der er relateret til ISO 27002:2022) og anerkender risikoniveauet.

Vejledning – modvirkning af softwaresårbarheder

Softwaresårbarheder bekæmpes bedst med en proaktiv tilgang til softwareopdateringer og patchhåndtering.

Inden eventuelle ændringer implementeres, bør organisationer sikre, at eksisterende softwareversioner bevares, at alle ændringer er fuldt testet og anvendt på en udpeget kopi af softwaren.

Når man direkte adresserer sårbarheder, efter at de er blevet identificeret, bør organisationer:

  1. Søg at løse alle sårbarheder på en rettidig og effektiv måde.

  2. Hvor det er muligt, følg de organisatoriske procedurer for forandringsledelse (se kontrol 8.32) og hændelsesrespons (se kontrol 5.26).

  3. Anvend kun opdateringer og patches, der stammer fra pålidelige og/eller certificerede kilder, især i vasen med tredjepartsleverandørers software og udstyr.

    • Når det drejer sig om leverandørsoftware, bør organisationer foretage en vurdering baseret på de tilgængelige oplysninger om, hvorvidt det er nødvendigt at anvende automatiske opdateringer (eller dele heraf) til erhvervet software og hardware.

  4. Test eventuelle opdateringer, der er nødvendige før installation, for at undgå uforudsete hændelser i et driftsmiljø.

  5. Søg at adressere højrisiko og forretningskritiske systemer som en prioritet.

  6. Sørg for, at eventuelle afhjælpende handlinger er effektive og autentiske.

I tilfælde af, at en opdatering ikke er tilgængelig, eller problemer, der forhindrer en opdatering i at blive installeret (såsom omkostningsproblemer), bør organisationer overveje andre foranstaltninger, såsom:

  1. Spørg sælgeren til råds om en løsning eller "klistergips"-løsning, mens udbedringsindsatsen øges.

  2. Deaktivering eller stop af netværkstjenester, der er berørt af sårbarheden.

  3. Implementering af netværkssikkerhedskontrol ved kritiske gateway-punkter, herunder trafikregler og filtre.

  4. Forøgelse af det overordnede overvågningsniveau i overensstemmelse med den tilknyttede risiko.

  5. Sørg for, at alle berørte parter er opmærksomme på sårbarheden, herunder leverandører og kunder.

  6. Forsinke opdateringen for bedre at kunne evaluere de tilknyttede risici, især hvor driftsomkostninger kan være et problem.

Understøttende kontroller

  • 5.14
  • 5.20
  • 5.9
  • 8.20
  • 8.22
  • 8.28

Er du klar til
den nye ISO 27002

Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

Supplerende vejledning om kontrol 8.8

  • Organisationer bør føre en revisionslog over alle relevante sårbarhedshåndteringsaktiviteter for at hjælpe med afhjælpende bestræbelser og forbedre procedurerne i tilfælde af en sikkerhedshændelse.

  • Hele sårbarhedshåndteringsprocessen bør periodisk gennemgås og evalueres for at forbedre ydeevnen og identificere flere sårbarheder ved kilden.

  • Hvis organisationen brugte software, der er hostet af en cloud-tjenesteudbyder, bør organisationen sikre, at tjenesteudbyderens holdning til sårbarhedshåndtering er i overensstemmelse med dens egen og bør udgøre en central del af enhver bindende serviceaftale mellem de to parter, herunder eventuelle rapporteringsprocedurer. (se kontrol 5.32).

Ændringer og forskelle fra ISO 27002:2013

ISO 27002:2022-8.8 erstatter to kontroller fra ISO 27002:2013:

  • 12.6.1 – Håndtering af tekniske sårbarheder

  • 18.2.3 – Teknisk overensstemmelsesgennemgang

27002:2022-8.8 repræsenterer en fundamentalt anderledes tilgang til sårbarhedshåndtering, end den er indeholdt i 27002:2013.

27002:2013-12.6.1 beskæftiger sig i vid udstrækning med implementering af afhjælpende foranstaltninger, når en sårbarhed er blevet identificeret, hvorimod 18.2.3 er begrænset til tekniske værktøjer (for det meste penetrationstest).

27002:2022-8.8 indeholder helt nye afsnit om emner som en organisations offentlige aktiviteter, hvordan sårbarheder identificeres i første omgang og den rolle, cloud-udbydere spiller for at sikre, at sårbarheder holdes på et minimum.

Samlet set lægger ISO større vægt på den rolle, som sårbarhedsstyring spiller i andre områder af 27002:2022 (især ændringsstyring), og går ind for en holistisk tilgang, der trækker i talrige andre kontroller og informationssikkerhedsprocedurer.

Hvordan ISMS.online hjælper

Vores platform er intuitiv og nem at bruge. Det er ikke kun for meget tekniske mennesker; det er for alle i din organisation. Vi opfordrer dig til at involvere medarbejdere på alle niveauer af din virksomhed i processen med at opbygge dit ISMS, fordi det hjælper dig med at opbygge et virkeligt bæredygtigt system.

Kontakt i dag for book en demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.7NyTrusselsintelligens
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.30NyIKT-parathed til forretningskontinuitet
7.4NyFysisk sikkerhedsovervågning
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.16NyOvervågning af aktiviteter
8.23NyWebfiltrering
8.28NySikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.105.1.1, 05.1.2Politikker for informationssikkerhed
5.206.1.1Informationssikkerhedsroller og -ansvar
5.306.1.2Opdeling af pligter
5.407.2.1Ledelsesansvar
5.506.1.3Kontakt med myndigheder
5.606.1.4Kontakt til særlige interessegrupper
5.7NyTrusselsintelligens
5.806.1.5, 14.1.1Informationssikkerhed i projektledelse
5.908.1.1, 08.1.2Opgørelse af information og andre tilhørende aktiver
5.1008.1.3, 08.2.3Acceptabel brug af information og andre tilknyttede aktiver
5.1108.1.4Tilbagelevering af aktiver
5.12 08.2.1Klassificering af oplysninger
5.1308.2.2Mærkning af information
5.1413.2.1, 13.2.2, 13.2.3Informationsoverførsel
5.1509.1.1, 09.1.2Adgangskontrol
5.1609.2.1Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3Godkendelsesoplysninger
5.1809.2.2, 09.2.5, 09.2.6Adgangsrettigheder
5.1915.1.1Informationssikkerhed i leverandørforhold
5.2015.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
5.2115.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
5.2215.2.1, 15.2.2Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.2416.1.1Planlægning og forberedelse af informationssikkerhedshændelser
5.2516.1.4Vurdering og beslutning om informationssikkerhedshændelser
5.2616.1.5Reaktion på informationssikkerhedshændelser
5.2716.1.6Lær af informationssikkerhedshændelser
5.2816.1.7Indsamling af beviser
5.2917.1.1, 17.1.2, 17.1.3Informationssikkerhed under afbrydelse
5.30NyIKT-parathed til forretningskontinuitet
5.3118.1.1, 18.1.5Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.3218.1.2Intellektuelle ejendomsrettigheder
5.3318.1.3Beskyttelse af optegnelser
5.3418.1.4Privatliv og beskyttelse af PII
5.3518.2.1Uafhængig gennemgang af informationssikkerhed
5.3618.2.2, 18.2.3Overholdelse af politikker, regler og standarder for informationssikkerhed
5.3712.1.1Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansættelse
6.307.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
6.407.2.3Disciplinær proces
6.507.3.1Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.613.2.4Aftaler om fortrolighed eller tavshedspligt
6.706.2.2Fjernbetjening
6.816.1.2, 16.1.3Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
7.111.1.1Fysiske sikkerhedsomkredse
7.211.1.2, 11.1.6Fysisk adgang
7.311.1.3Sikring af kontorer, lokaler og faciliteter
7.4NyFysisk sikkerhedsovervågning
7.511.1.4Beskyttelse mod fysiske og miljømæssige trusler
7.611.1.5Arbejde i sikre områder
7.711.2.9Overskueligt skrivebord og klar skærm
7.811.2.1Udstyrsplacering og beskyttelse
7.911.2.6Sikkerhed af aktiver uden for lokalerne
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagermedier
7.1111.2.2Understøttende hjælpeprogrammer
7.1211.2.3Kabler sikkerhed
7.1311.2.4Vedligeholdelse af udstyr
7.1411.2.7Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
8.106.2.1, 11.2.8Bruger slutpunktsenheder
8.209.2.3Privilegerede adgangsrettigheder
8.309.4.1Begrænsning af informationsadgang
8.409.4.5Adgang til kildekode
8.509.4.2Sikker autentificering
8.612.1.3Kapacitetsstyring
8.712.2.1Beskyttelse mod malware
8.812.6.1, 18.2.3Håndtering af tekniske sårbarheder
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.1312.3.1Sikkerhedskopiering af information
8.1417.2.1Redundans af informationsbehandlingsfaciliteter
8.1512.4.1, 12.4.2, 12.4.3Logning
8.16NyOvervågning af aktiviteter
8.1712.4.4Ur synkronisering
8.1809.4.4Brug af privilegerede hjælpeprogrammer
8.1912.5.1, 12.6.2Installation af software på operativsystemer
8.2013.1.1Netværkssikkerhed
8.2113.1.2Sikkerhed af netværkstjenester
8.2213.1.3Adskillelse af netværk
8.23NyWebfiltrering
8.2410.1.1, 10.1.2Brug af kryptografi
8.2514.2.1Sikker udviklingslivscyklus
8.2614.1.2, 14.1.3Krav til applikationssikkerhed
8.2714.2.5Sikker systemarkitektur og tekniske principper
8.28NySikker kodning
8.2914.2.8, 14.2.9Sikkerhedstest i udvikling og accept
8.3014.2.7Udliciteret udvikling
8.3112.1.4, 14.2.6Adskillelse af udviklings-, test- og produktionsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Forandringsledelse
8.3314.3.1Testinformation
8.3412.7.1Beskyttelse af informationssystemer under revisionstest
Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere