Formål med kontrol 8.8
Intet computernetværk, system, software eller enhed er 100 % sikkert. Sårbarheder er en del af driften af et moderne LAN eller WAN, og det er vigtigt for organisationer at erkende, at de for det første eksisterer, og for det andet behovet for at minimere risikoen, hvor de har potentiale til at opstå.
Kontrol 8.8 indeholder en betydelig mængde råd, der hjælper organisationer med at forhindre intern og ekstern udnyttelse af sårbarheder på tværs af hele deres netværk. Kontrol 8.8 er afhængig af understøttende procedurer og retningslinjer fra adskillige andre ISO 27002:2022 kontroller, især dem, der vedrører ændringsstyring (se kontrol 8.32) og adgangskontrolprotokoller.
Attributter Kontroltabel 8.8
Kontrol 8.8 er en forebyggende kontrollere det fastholder risiko ved at implementere procedurer, der indsamler information om tekniske sårbarheder og giver organisationen mulighed for at træffe passende foranstaltninger for at beskytte aktiver, systemer, data og hardware.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Identificere | #Trussel- og sårbarhedshåndtering | #Governance og økosystem |
| #Integritet | #Beskytte | #Beskyttelse | ||
| #Tilgængelighed | #Forsvar |
Ejerskab af kontrol 8.8
Kontrol 8.8 omhandler teknisk og administrativ styring af software, systemer og ikt-aktiver. Nogle af retningslinjerne involverer implementering af en meget detaljeret tilgang til softwareadministration, asset management og netværkssikkerhedsrevision.
Som sådan bør ejerskabet af Kontrol 8.8 ligge hos den person, der har det overordnede ansvar for at vedligeholde organisationens IKT-infrastruktur, såsom IT-chefen eller tilsvarende organisatorisk.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Vejledning – Identifikation af sårbarheder
Inden implementering og sårbarhedskontroller er det vigtigt at få en komplet og opdateret liste over fysiske og digitale aktiver (se kontrol 5.9 og 5.14), som ejes og drives af organisationen.
Oplysninger om softwareaktiver bør omfatte:
- Leverandørnavn
- Ansøgningens navn
- Versionsnumre i drift
- Hvor softwaren er implementeret på tværs af godset
Når organisationer forsøger at lokalisere tekniske sårbarheder, bør de:
- Skitsér tydeligt, hvem (inden for organisationen) er ansvarlig for sårbarhedshåndtering fra et teknisk perspektiv i overensstemmelse med dens forskellige funktioner, herunder (men ikke begrænset til):
- Asset management
- Risikovurdering
- Overvågning
- Opdatering
- Hvem er ansvarlig for softwaren i organisationen
- Vedligehold en fortegnelse over applikationer og ressourcer, der vil blive brugt til at identificere tekniske sårbarheder.
- Bed leverandører og leverandører om at afsløre sårbarheder ved levering af nye systemer og hardware (se kontrol 5.20), og specificer som sådan i alle relevante kontrakter og serviceaftaler.
- Gør brug af sårbarhedsscanningsværktøjer, herunder patchingfaciliteter.
- Udfør regelmæssige, dokumenterede penetrationstests – enten internt eller via en certificeret tredjepart.
- Vær opmærksom på brugen af tredjeparts kodebiblioteker og/eller kildekode til underliggende programmatiske sårbarheder (se kontrol 8.28).
Vejledning – Offentlige aktiviteter
Ud over interne systemer bør organisationer udvikle politikker og procedurer, der opdager sårbarheder på tværs af alle deres produkter og tjenester, og modtage sårbarhedsvurderinger i forbindelse med leveringen af de nævnte produkter og tjenester.
ISO råder organisationer til at gøre en offentlig indsats for at spore eventuelle sårbarheder og tilskynde tredjeparter til at engagere sig i sårbarhedshåndteringsindsats ved brug af dusørprogrammer (hvor udnyttelser søges efter og rapporteres til organisationen for en belønning).
Organisationer bør gøre sig tilgængelige for offentligheden gennem fora, offentlige e-mail-adresser og forskningsaktiviteter, så den bredere offentligheds kollektive viden kan bruges til at beskytte produkter og tjenester ved kilden.
Hvor der er truffet afhjælpende foranstaltninger, der påvirker brugere eller kunder, bør organisationer overveje at frigive relevant information til de berørte personer eller organisationer og samarbejde med specialiserede sikkerhedsorganisationer for at formidle information om sårbarheder og angrebsvektorer.
Derudover bør organisationer overveje at tilbyde en automatisk opdateringsprocedure, som kunderne er i stand til at til- eller fravælge, baseret på deres forretningsbehov.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Vejledning – Evaluering af sårbarheder
Tilstrækkelig rapportering er nøglen til at sikre hurtig og effektiv afhjælpning, når sårbarheder opdages.
Når de vurderer sårbarheder, bør organisationer:
- Analyser omhyggeligt eventuelle rapporter og beslut, hvilke handlinger der skal tages, herunder (men ikke begrænset til) ændring, opdatering eller fjernelse af berørte systemer og/eller hardware.
- Aftal en beslutning, der tager hensyn til andre ISO-kontroller (især dem, der er relateret til ISO 27002:2022) og anerkender risikoniveauet.
Vejledning – modvirkning af softwaresårbarheder
Softwaresårbarheder bekæmpes bedst med en proaktiv tilgang til softwareopdateringer og patchhåndtering.
Inden eventuelle ændringer implementeres, bør organisationer sikre, at eksisterende softwareversioner bevares, at alle ændringer er fuldt testet og anvendt på en udpeget kopi af softwaren.
Når man direkte adresserer sårbarheder, efter at de er blevet identificeret, bør organisationer:
- Søg at løse alle sårbarheder på en rettidig og effektiv måde.
- Hvor det er muligt, følg de organisatoriske procedurer for forandringsledelse (se kontrol 8.32) og hændelsesrespons (se kontrol 5.26).
- Anvend kun opdateringer og patches, der stammer fra pålidelige og/eller certificerede kilder, især i vasen med tredjepartsleverandørers software og udstyr.
- Når det drejer sig om leverandørsoftware, bør organisationer foretage en vurdering baseret på de tilgængelige oplysninger om, hvorvidt det er nødvendigt at anvende automatiske opdateringer (eller dele heraf) til erhvervet software og hardware.
- Test eventuelle opdateringer, der er nødvendige før installation, for at undgå uforudsete hændelser i et driftsmiljø.
- Søg at adressere højrisiko og forretningskritiske systemer som en prioritet.
- Sørg for, at eventuelle afhjælpende handlinger er effektive og autentiske.
I tilfælde af, at en opdatering ikke er tilgængelig, eller problemer, der forhindrer en opdatering i at blive installeret (såsom omkostningsproblemer), bør organisationer overveje andre foranstaltninger, såsom:
- Spørg sælgeren til råds om en løsning eller "klistergips"-løsning, mens udbedringsindsatsen øges.
- Deaktivering eller stop af netværkstjenester, der er berørt af sårbarheden.
- Implementering af netværkssikkerhedskontrol ved kritiske gateway-punkter, herunder trafikregler og filtre.
- Forøgelse af det overordnede overvågningsniveau i overensstemmelse med den tilknyttede risiko.
- Sørg for, at alle berørte parter er opmærksomme på sårbarheden, herunder leverandører og kunder.
- Forsinke opdateringen for bedre at kunne evaluere de tilknyttede risici, især hvor driftsomkostninger kan være et problem.
Understøttende kontroller
- 5.14
- 5.20
- 5.9
- 8.20
- 8.22
- 8.28
Supplerende vejledning om kontrol 8.8
- Organisationer bør føre en revisionslog over alle relevante sårbarhedshåndteringsaktiviteter for at hjælpe med afhjælpende bestræbelser og forbedre procedurerne i tilfælde af en sikkerhedshændelse.
- Hele sårbarhedshåndteringsprocessen bør periodisk gennemgås og evalueres for at forbedre ydeevnen og identificere flere sårbarheder ved kilden.
- Hvis organisationen brugte software, der er hostet af en cloud-tjenesteudbyder, bør organisationen sikre, at tjenesteudbyderens holdning til sårbarhedshåndtering er i overensstemmelse med dens egen og bør udgøre en central del af enhver bindende serviceaftale mellem de to parter, herunder eventuelle rapporteringsprocedurer. (se kontrol 5.32).
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
ISO 27002:2022-8.8 erstatter to kontroller fra ISO 27002:2013:
- 12.6.1 – Håndtering af tekniske sårbarheder
- 18.2.3 – Teknisk overensstemmelsesgennemgang
27002:2022-8.8 repræsenterer en fundamentalt anderledes tilgang til sårbarhedshåndtering, end den er indeholdt i 27002:2013.
27002:2013-12.6.1 beskæftiger sig i vid udstrækning med implementering af afhjælpende foranstaltninger, når en sårbarhed er blevet identificeret, hvorimod 18.2.3 er begrænset til tekniske værktøjer (for det meste penetrationstest).
27002:2022-8.8 indeholder helt nye afsnit om emner som en organisations offentlige aktiviteter, hvordan sårbarheder identificeres i første omgang og den rolle, cloud-udbydere spiller for at sikre, at sårbarheder holdes på et minimum.
Samlet set lægger ISO større vægt på den rolle, som sårbarhedsstyring spiller i andre områder af 27002:2022 (især ændringsstyring), og går ind for en holistisk tilgang, der trækker i talrige andre kontroller og informationssikkerhedsprocedurer.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Hvordan ISMS.online hjælper
Vores platform er intuitiv og nem at bruge. Det er ikke kun for meget tekniske mennesker; det er for alle i din organisation. Vi opfordrer dig til at involvere medarbejdere på alle niveauer af din virksomhed i processen med at opbygge dit ISMS, fordi det hjælper dig med at opbygge et virkeligt bæredygtigt system.
Kontakt i dag for book en demo.
