ISO 27002:2022 – Beheer 8.8 – Bestuur van tegniese kwesbaarhede

Doel van beheer 8.8

Geen rekenaarnetwerk, stelsel, stuk sagteware of toestel is 100% veilig nie. Kwesbaarhede is deel van die bestuur van 'n moderne LAN of WAN, en dit is belangrik vir organisasies om te erken dat dit eerstens wel bestaan, en tweedens die behoefte om risiko te verminder waar dit die potensiaal het om te voorkom.

Beheer 8.8 bevat 'n aansienlike hoeveelheid advies wat organisasies help om die interne en eksterne uitbuiting van kwesbaarhede oor hul hele netwerk te voorkom. Beheer 8.8 maak staat op ondersteunende prosedures en riglyne van talle ander ISO 27002:2022-kontroles, veral dié wat verband hou met veranderingsbestuur (sien Beheer 8.32) en toegangsbeheerprotokolle.

Eienskappe Tabel van beheer 8.8

Beheer 8.8 is a voorkomende beheer dit risiko handhaaf deur prosedures te implementeer wat inligting oor tegniese kwesbaarhede insamel en die organisasie toelaat om toepaslike maatreëls te tref om bates, stelsels, data en hardeware te beskerm.

Eienaarskap van beheer 8.8

Beheer 8.8 handel oor die tegniese en administratiewe bestuur van sagteware, stelsels en IKT-bates. Sommige van die riglyne behels die implementering van 'n hoogs gedetailleerde benadering tot sagtewarebestuur, batebestuur en netwerksekuriteitoudit.

As sodanig behoort eienaarskap van Beheer 8.8 by die individu te wees wat die algehele verantwoordelikheid dra vir die instandhouding van die organisasie se IKT-infrastruktuur, soos die Hoof van IT, of organisatoriese ekwivalent.

Leiding – Identifisering van kwesbaarhede

Voor implementering en kwesbaarheidskontroles is dit noodsaaklik om 'n volledige en bygewerkte lys van fisiese en digitale bates (sien Kontroles 5.9 en 5.14) wat deur die organisasie besit en bedryf word, te verkry.

Sagtewarebate-inligting moet die volgende insluit:

• Naam van die verkoper
• Aansoeknaam
• Weergawenommers tans in werking
• Waar die sagteware oor die landgoed ontplooi word

Wanneer hulle probeer om tegniese kwesbaarhede vas te stel, moet organisasies:

1. Skets duidelik wie (binne die organisasie) verantwoordelik is vir kwesbaarheidsbestuur vanuit 'n tegniese perspektief, in ooreenstemming met die verskillende funksies daarvan, insluitend (maar nie beperk nie tot):
• Bate bestuur
• Risikobepaling
• Monitering
• Bywerking
2. Wie is verantwoordelik vir die sagteware binne die organisasie
3. Hou 'n inventaris van toepassings en hulpbronne wat gebruik sal word om tegniese kwesbaarhede te identifiseer.
4. Vra verskaffers en verskaffers om kwesbaarhede met die verskaffing van nuwe stelsels en hardeware te openbaar (sien Beheer 5.20), en spesifiseer as sodanig in alle relevante kontrakte en diensooreenkomste.
5. Maak gebruik van kwesbaarheidskanderingnutsgoed, insluitend pleisterfasiliteite.
6. Voer gereelde, gedokumenteerde penetrasietoetse uit – hetsy intern of via 'n gesertifiseerde derdeparty.
7. Wees bedag op die gebruik van derdeparty-kodebiblioteke en/of bronkode vir onderliggende programmatiese kwesbaarhede (sien Beheer 8.28).

Leiding – Openbare Aktiwiteite

Benewens interne stelsels, moet organisasies beleide en prosedures ontwikkel wat kwesbaarhede oor al sy produkte en dienste opspoor, en kwesbaarheidsbeoordelings ontvang wat verband hou met die verskaffing van genoemde produkte en dienste.

ISO raai organisasies aan om 'n openbare poging aan te wend om enige kwesbaarhede op te spoor, en derdepartye aan te moedig om aan kwesbaarheidbestuurspogings deel te neem deur die gebruik van oorvloedprogramme (waar na uitbuitings gesoek word en aan die organisasie gerapporteer word vir 'n beloning).

Organisasies moet hulself aan die algemene publiek beskikbaar stel deur middel van forums, openbare e-posadresse en navorsingsaktiwiteite sodat die kollektiewe kennis van die breër publiek gebruik kan word om produkte en dienste by die bron te beskerm.

Waar regstellende stappe geneem is wat gebruikers of kliënte raak, moet organisasies dit oorweeg om relevante inligting aan die geaffekteerde individue of organisasies vry te stel, en met spesialis sekuriteitsorganisasies in gesprek te tree om inligting oor kwesbaarhede en aanvalvektore te versprei.

Daarbenewens moet organisasies dit oorweeg om 'n outomatiese opdateringsprosedure aan te bied wat kliënte kan in- of uitskakel, gebaseer op hul besigheidsbehoeftes.

Leiding – Evaluering van kwesbaarhede

Voldoende verslagdoening is die sleutel om vinnige en effektiewe regstellende stappe te verseker wanneer kwesbaarhede ontdek word.

By die evaluering van kwesbaarhede, moet organisasies:

1. Ontleed enige verslae noukeurig en besluit watter stappe gedoen moet word, insluitend (maar nie beperk nie tot) die wysiging, opdatering of verwydering van geaffekteerde stelsels en/of hardeware.
2. Stem saam oor 'n resolusie wat ander ISO-kontroles in ag neem (veral dié wat met ISO 27002:2022 verband hou) en die vlak van risiko's wat betrokke is, erken.

Leiding – Bekamping van sagteware-kwesbaarhede

Sagteware-kwesbaarhede word die beste bekamp met 'n proaktiewe benadering tot sagteware-opdaterings en pleisterbestuur.

Voordat enige wysigings geïmplementeer word, moet organisasies verseker dat bestaande sagteware-weergawes behoue ​​bly, alle veranderinge volledig getoets en toegepas word op 'n aangewese kopie van die sagteware.

Wanneer kwesbaarhede direk aangespreek word nadat dit geïdentifiseer is, moet organisasies:

1. Probeer om alle kwesbaarhede op 'n tydige en doeltreffende wyse op te los.
2. Waar moontlik, volg die organisatoriese prosedures oor veranderingsbestuur (sien Beheer 8.32) en insidentreaksie (sien Beheer 5.26).
3. Pas slegs opdaterings en pleisters toe wat van betroubare en/of gesertifiseerde bronne afkomstig is, veral in die vaas van sagteware en toerusting van derdeparty-verskaffers.
• Wat verskaffersagteware betref, moet organisasies 'n oordeel maak op grond van die inligting wat beskikbaar is of dit nodig is om outomatiese opdaterings (of dele daarvan) toe te pas op verkrygde sagteware en hardeware.
4. Toets enige opdaterings wat nodig is voor installasie om enige onvoorsiene voorvalle in 'n bedryfsomgewing te vermy.
5. Probeer om hoërisiko- en besigheidskritiese stelsels as 'n prioriteit aan te spreek.
6. Maak seker dat enige regstellende aksies effektief en outentiek is.

In die geval van 'n opdatering wat nie beskikbaar is nie, of enige kwessies wat verhoed dat 'n opdatering geïnstalleer word (soos kostekwessies), moet organisasies ander maatreëls oorweeg, soos:

1. Vra die verkoper vir raad oor 'n oplossing of "plakpleister"-oplossing terwyl herstelpogings verskerp word.
2. Deaktiveer of stop enige netwerkdienste wat deur die kwesbaarheid geraak word.
3. Implementering van netwerksekuriteitskontroles by kritieke poortpunte, insluitend verkeersreëls en filters.
4. Die verhoging van die algehele vlak van monitering in ooreenstemming met die gepaardgaande risiko.
5. Maak seker dat alle geaffekteerde partye bewus is van die kwesbaarheid, insluitend verskaffers en kliënte.
6. Vertraag die opdatering om die gepaardgaande risiko's beter te evalueer, veral waar bedryfskoste 'n probleem kan wees.

Ondersteunende kontroles

• 5.14
• 5.20
• 5.9
• 8.20
• 8.22
• 8.28

Aanvullende leiding oor beheer 8.8

• Organisasies moet 'n ouditlogboek hou van alle relevante kwesbaarheidsbestuuraktiwiteite, ten einde regstellende pogings aan te help en prosedures te verbeter in die geval van 'n sekuriteitsvoorval.
• Die hele kwesbaarheidsbestuursproses moet periodiek hersien en geëvalueer word, ten einde prestasie te verbeter en meer kwesbaarhede by die bron te identifiseer.
• Indien die organisasie sagteware gebruik wat deur 'n wolkdiensverskaffer gehuisves word, moet die organisasie verseker dat die diensverskaffer se standpunt teenoor kwesbaarheidsbestuur in lyn is met sy eie, en moet 'n sleuteldeel vorm van enige bindende diensooreenkoms tussen die twee partye, insluitend enige verslagdoeningsprosedures. (sien Beheer 5.32).

Veranderinge en verskille vanaf ISO 27002:2013

ISO 27002:2022-8.8 vervang twee kontroles van ISO 27002:2013:

• 12.6.1 – Bestuur van tegniese kwesbaarhede
• 18.2.3 – Tegniese nakomingsoorsig

27002:2022-8.8 verteenwoordig 'n fundamenteel ander benadering tot kwesbaarheidsbestuur as wat binne 27002:2013 vervat is.

27002:2013-12.6.1 is grootliks gemoeid met die implementering van regstellende aksie sodra 'n kwesbaarheid geïdentifiseer is, terwyl 18.2.3 beperk is tot tegniese gereedskap (meestal penetrasietoetsing).

27002:2022-8.8 bevat heeltemal nuwe afdelings oor onderwerpe soos 'n organisasie se openbare aktiwiteite, hoe kwesbaarhede in die eerste plek geïdentifiseer word en die rol wat wolkverskaffers speel om te verseker dat kwesbaarhede tot 'n minimum beperk word.

Oor die algemeen plaas ISO 'n groter klem op die rol wat kwesbaarheidsbestuur in ander areas van 27002:2022 speel (veral veranderingsbestuur), en bepleit 'n holistiese benadering wat talle ander kontroles en inligtingsekuriteitsprosedures insluit.

Nuwe ISO 27002-kontroles

Hoe ISMS.online help

Ons platform is intuïtief en maklik om te gebruik. Dit is nie net vir hoogs tegniese mense nie; dis vir almal in jou organisasie. Ons moedig jou aan om personeel op alle vlakke van jou besigheid te betrek by die proses om jou ISMS te bou, want dit help jou om 'n werklik volhoubare stelsel te bou.

Kontak vandag nog om bespreek 'n demo.