Mikään tietokoneverkko, järjestelmä, ohjelmisto tai laite ei ole 100 % suojattu. Haavoittuvuudet ovat olennainen osa nykyaikaisen lähiverkon tai WAN-verkon käyttöä, ja on tärkeää, että organisaatiot tunnustavat ensinnäkin, että niitä on olemassa, ja toiseksi, tarve minimoida riskit siellä, missä niitä voi esiintyä.
Control 8.8 sisältää huomattavan määrän neuvoja, jotka auttavat organisaatioita estämään haavoittuvuuksien sisäisen ja ulkoisen hyväksikäytön koko verkostossaan. Ohjaus 8.8 perustuu tukimenettelyihin ja ohjeisiin lukuisista muista ISO 27002:2022 -ohjauksista, erityisesti niistä, jotka liittyvät muutoksenhallintaan (katso Ohjaus 8.32) ja kulunvalvontaprotokollia.
Ohjaus 8.8 on a ehkäisevä hallitse sitä ylläpitää riskiä ottamalla käyttöön menettelyjä, jotka keräävät tietoa teknisistä haavoittuvuuksista ja antavat organisaatiolle mahdollisuuden ryhtyä asianmukaisiin toimenpiteisiin omaisuuden, järjestelmien, tietojen ja laitteistojen suojaamiseksi.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Tunnistaa #Suojella | #Uhkien ja haavoittuvuuksien hallinta | #Hallinto ja ekosysteemi #Suojaus #Puolustus |
Ohjaus 8.8 käsittelee ohjelmistojen, järjestelmien ja ICT-omaisuuden teknistä ja hallinnollista hallintaa. Jotkin suuntaviivat sisältävät erittäin yksityiskohtaisen lähestymistavan ohjelmistojen hallintaan, omaisuudenhallintaan ja verkon tietoturvatarkastukseen.
Sellaisenaan Control 8.8:n omistuksen tulisi kuulua henkilölle, jolla on yleinen vastuu organisaation ICT-infrastruktuurin ylläpidosta, kuten IT-päälliköllä tai vastaavalla organisaatiolla.
Ennen käyttöönottoa ja haavoittuvuuksien valvontaa on välttämätöntä hankkia täydellinen ja ajan tasalla oleva luettelo organisaation omistamista ja ylläpitämistä fyysisistä ja digitaalisista resursseista (katso kohdat 5.9 ja 5.14).
Ohjelmistoresurssitietojen tulee sisältää:
Yrittäessään paikantaa teknisiä haavoittuvuuksia organisaatioiden tulee:
Sisäisten järjestelmien lisäksi organisaatioiden tulee kehittää käytäntöjä ja menettelytapoja, jotka havaitsevat haavoittuvuudet kaikissa sen tuotteissa ja palveluissa, ja vastaanottaa haavoittuvuusarvioita, jotka liittyvät mainittujen tuotteiden ja palvelujen tarjontaan.
ISO neuvoo organisaatioita ryhtymään julkisiin ponnisteluihin mahdollisten haavoittuvuuksien jäljittämiseksi ja rohkaisemaan kolmansia osapuolia osallistumaan haavoittuvuuksien hallintaan palkkio-ohjelmien avulla (joissa hyväksikäyttöjä etsitään ja niistä ilmoitetaan organisaatiolle palkkiota vastaan).
Organisaatioiden olisi asetettava itsensä suuren yleisön saataville foorumien, julkisten sähköpostiosoitteiden ja tutkimustoiminnan kautta, jotta suuren yleisön kollektiivista tietämystä voidaan käyttää tuotteiden ja palvelujen turvaamiseen niiden lähteellä.
Jos käyttäjiin tai asiakkaisiin vaikuttavia korjaavia toimenpiteitä on toteutettu, organisaatioiden tulisi harkita asiaankuuluvien tietojen luovuttamista asianomaisille henkilöille tai organisaatioille ja ottaa yhteyttä tietoturvaorganisaatioihin ja levittää tietoa haavoittuvuuksista ja hyökkäysvektoreista.
Lisäksi organisaatioiden tulisi harkita automaattisen päivitysmenettelyn tarjoamista, jonka asiakkaat voivat valita käyttöön tai pois käytöstä liiketoimintatarpeidensa perusteella.
Riittävä raportointi on avainasemassa, jotta voidaan varmistaa nopeat ja tehokkaat korjaavat toimet, kun haavoittuvuuksia havaitaan.
Haavoittuvuuksia arvioidessaan organisaatioiden tulee:
Ohjelmiston haavoittuvuuksia torjutaan parhaiten ennakoivalla lähestymistavalla ohjelmistopäivityksiin ja korjaustiedostojen hallintaan.
Ennen muutosten käyttöönottoa organisaatioiden tulee varmistaa, että vakiintuneet ohjelmistoversiot säilytetään, kaikki muutokset testataan täysin ja niitä sovelletaan ohjelmiston määrättyyn kopioon.
Kun haavoittuvuuksia käsitellään suoraan niiden tunnistamisen jälkeen, organisaatioiden tulee:
Jos päivitystä ei ole saatavilla tai jos jokin ongelma estää päivityksen asentamisen (kuten kustannusongelmat), organisaatioiden tulee harkita muita toimenpiteitä, kuten:
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
ISO 27002:2022-8.8 korvaa kaksi säädintä standardista ISO 27002:2013:
27002:2022-8.8 edustaa olennaisesti erilaista lähestymistapaa haavoittuvuuksien hallintaan kuin 27002:2013.
27002:2013-12.6.1 koskee suurelta osin korjaavien toimenpiteiden toteuttamista sen jälkeen, kun haavoittuvuus on tunnistettu, kun taas 18.2.3 rajoittuu teknisiin työkaluihin (useimmiten läpäisytestaukseen).
27002:2022-8.8 sisältää täysin uusia osioita esimerkiksi organisaation julkisesta toiminnasta, haavoittuvuuksien tunnistamisesta ja pilvipalveluntarjoajien roolista sen varmistamisessa, että haavoittuvuudet pidetään mahdollisimman pieninä.
Kaiken kaikkiaan ISO korostaa enemmän haavoittuvuuksien hallinnan roolia muilla standardin 27002:2022 alueilla (erityisesti muutosten hallinnassa) ja kannattaa kokonaisvaltaista lähestymistapaa, joka hyödyntää lukuisia muita valvonta- ja tietoturvamenettelyjä.
Alustamme on intuitiivinen ja helppokäyttöinen. Se ei ole vain erittäin teknisille ihmisille; se on kaikille organisaatiossasi. Suosittelemme ottamaan henkilöstöä yrityksesi kaikilla tasoilla mukaan ISMS:n rakentamiseen, koska se auttaa sinua rakentamaan todella kestävän järjestelmän.
Ota yhteyttä jo tänään varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |