ISO 27002:2022, valvonta 8.8 – teknisten haavoittuvuuksien hallinta

ISO 27002:2022 tarkistettu valvonta

Varaa demo

data,keskus,ohjelmoija,käyttäen,digitaalista,kannettavaa,tietokonetta,,huolto,it,asiantuntija.

Valvonnan tarkoitus 8.8

Mikään tietokoneverkko, järjestelmä, ohjelmisto tai laite ei ole 100 % suojattu. Haavoittuvuudet ovat olennainen osa nykyaikaisen lähiverkon tai WAN-verkon käyttöä, ja on tärkeää, että organisaatiot tunnustavat ensinnäkin, että niitä on olemassa, ja toiseksi, tarve minimoida riskit siellä, missä niitä voi esiintyä.

Control 8.8 sisältää huomattavan määrän neuvoja, jotka auttavat organisaatioita estämään haavoittuvuuksien sisäisen ja ulkoisen hyväksikäytön koko verkostossaan. Ohjaus 8.8 perustuu tukimenettelyihin ja ohjeisiin lukuisista muista ISO 27002:2022 -ohjauksista, erityisesti niistä, jotka liittyvät muutoksenhallintaan (katso Ohjaus 8.32) ja kulunvalvontaprotokollia.

Ominaisuustaulukko

Ohjaus 8.8 on a ehkäisevä hallitse sitä ylläpitää riskiä ottamalla käyttöön menettelyjä, jotka keräävät tietoa teknisistä haavoittuvuuksista ja antavat organisaatiolle mahdollisuuden ryhtyä asianmukaisiin toimenpiteisiin omaisuuden, järjestelmien, tietojen ja laitteistojen suojaamiseksi.

OhjausTietoturvaominaisuudetKyberturvallisuuden käsitteetToiminnalliset valmiudetTurvallisuus Domains
#Ennaltaehkäisevä#Luottamuksellisuus
#Integrity
#Saatavuus		#Tunnistaa
#Suojella		#Uhkien ja haavoittuvuuksien hallinta#Hallinto ja ekosysteemi
#Suojaus
#Puolustus
Siirry aiheeseen
Hanki Headstart ISO 27001 -standardilla
  • Kaikki päivitetty vuoden 2022 ohjaussarjalla
  • Edisty 81 % sisäänkirjautumisen jälkeen
  • Yksinkertainen ja helppokäyttöinen
Varaa esittelysi
img

Määräysvallan omistus 8.8

Ohjaus 8.8 käsittelee ohjelmistojen, järjestelmien ja ICT-omaisuuden teknistä ja hallinnollista hallintaa. Jotkin suuntaviivat sisältävät erittäin yksityiskohtaisen lähestymistavan ohjelmistojen hallintaan, omaisuudenhallintaan ja verkon tietoturvatarkastukseen.

Sellaisenaan Control 8.8:n omistuksen tulisi kuulua henkilölle, jolla on yleinen vastuu organisaation ICT-infrastruktuurin ylläpidosta, kuten IT-päälliköllä tai vastaavalla organisaatiolla.

Ohjeita – haavoittuvuuksien tunnistaminen

Ennen käyttöönottoa ja haavoittuvuuksien valvontaa on välttämätöntä hankkia täydellinen ja ajan tasalla oleva luettelo organisaation omistamista ja ylläpitämistä fyysisistä ja digitaalisista resursseista (katso kohdat 5.9 ja 5.14).

Ohjelmistoresurssitietojen tulee sisältää:

  • Toimittajan nimi

  • Sovelluksen nimi

  • Versionumerot tällä hetkellä käytössä

  • Missä ohjelmisto on käytössä koko kiinteistön alueella

Yrittäessään paikantaa teknisiä haavoittuvuuksia organisaatioiden tulee:

  1. Selvitä selkeästi, kuka (organisaation sisällä) on vastuussa haavoittuvuuksien hallinnasta teknisestä näkökulmasta sen eri toimintojen mukaisesti, mukaan lukien (mutta ei rajoittuen):

    • Vahvuuksien hallinta

    • Riskien arviointi

    • Seuranta

    • Päivittäminen

  2. Kuka on vastuussa ohjelmistosta organisaatiossa

  3. Pidä luetteloa sovelluksista ja resursseista, joita käytetään teknisten haavoittuvuuksien tunnistamiseen.

  4. Pyydä toimittajia ja myyjiä paljastamaan haavoittuvuudet uusien järjestelmien ja laitteistojen toimittamisen yhteydessä (katso Ohjaus 5.20) ja määritä ne kaikissa asiaankuuluvissa sopimuksissa ja palvelusopimuksissa.

  5. Hyödynnä haavoittuvuuksien tarkistustyökaluja, mukaan lukien korjauspalvelut.

  6. Suorita säännöllisiä, dokumentoituja läpäisytestejä – joko sisäisesti tai sertifioidun kolmannen osapuolen kautta.

  7. Muista käyttää kolmannen osapuolen koodikirjastoja ja/tai lähdekoodia taustalla oleviin ohjelmallisiin haavoittuvuuksiin (katso Ohjaus 8.28).

Ohjaus – Julkinen toiminta

Sisäisten järjestelmien lisäksi organisaatioiden tulee kehittää käytäntöjä ja menettelytapoja, jotka havaitsevat haavoittuvuudet kaikissa sen tuotteissa ja palveluissa, ja vastaanottaa haavoittuvuusarvioita, jotka liittyvät mainittujen tuotteiden ja palvelujen tarjontaan.

ISO neuvoo organisaatioita ryhtymään julkisiin ponnisteluihin mahdollisten haavoittuvuuksien jäljittämiseksi ja rohkaisemaan kolmansia osapuolia osallistumaan haavoittuvuuksien hallintaan palkkio-ohjelmien avulla (joissa hyväksikäyttöjä etsitään ja niistä ilmoitetaan organisaatiolle palkkiota vastaan).

Organisaatioiden olisi asetettava itsensä suuren yleisön saataville foorumien, julkisten sähköpostiosoitteiden ja tutkimustoiminnan kautta, jotta suuren yleisön kollektiivista tietämystä voidaan käyttää tuotteiden ja palvelujen turvaamiseen niiden lähteellä.

Jos käyttäjiin tai asiakkaisiin vaikuttavia korjaavia toimenpiteitä on toteutettu, organisaatioiden tulisi harkita asiaankuuluvien tietojen luovuttamista asianomaisille henkilöille tai organisaatioille ja ottaa yhteyttä tietoturvaorganisaatioihin ja levittää tietoa haavoittuvuuksista ja hyökkäysvektoreista.

Lisäksi organisaatioiden tulisi harkita automaattisen päivitysmenettelyn tarjoamista, jonka asiakkaat voivat valita käyttöön tai pois käytöstä liiketoimintatarpeidensa perusteella.

Hanki Headstart
ISO 27002:lla

Ainoa noudattaminen
tarvitsemasi ratkaisu
Varaa esittelysi

Päivitetty ISO 27001 2022 -standardia varten
  • 81 % työstä on tehty puolestasi
  • Varmennettujen tulosten menetelmä sertifioinnin onnistumiseen
  • Säästä aikaa, rahaa ja vaivaa
Varaa esittelysi
img

Ohjeita – haavoittuvuuksien arviointi

Riittävä raportointi on avainasemassa, jotta voidaan varmistaa nopeat ja tehokkaat korjaavat toimet, kun haavoittuvuuksia havaitaan.

Haavoittuvuuksia arvioidessaan organisaatioiden tulee:

  1. Analysoi huolellisesti kaikki raportit ja päätä, mihin toimiin on ryhdyttävä, mukaan lukien (mutta ei rajoittuen) asiaan liittyvien järjestelmien ja/tai laitteistojen muuttaminen, päivittäminen tai poistaminen.

  2. Sovi ratkaisusta, joka ottaa huomioon muut ISO-säädöt (erityisesti ISO 27002:2022:een liittyvät) ja tunnustaa asiaan liittyvien riskien tason.

Ohjeet – Ohjelmiston haavoittuvuuksien torjunta

Ohjelmiston haavoittuvuuksia torjutaan parhaiten ennakoivalla lähestymistavalla ohjelmistopäivityksiin ja korjaustiedostojen hallintaan.

Ennen muutosten käyttöönottoa organisaatioiden tulee varmistaa, että vakiintuneet ohjelmistoversiot säilytetään, kaikki muutokset testataan täysin ja niitä sovelletaan ohjelmiston määrättyyn kopioon.

Kun haavoittuvuuksia käsitellään suoraan niiden tunnistamisen jälkeen, organisaatioiden tulee:

  1. Pyri ratkaisemaan kaikki haavoittuvuudet oikea-aikaisesti ja tehokkaasti.

  2. Noudata mahdollisuuksien mukaan muutostenhallinnan (katso Ohjaus 8.32) ja tapahtumien reagoinnin (katso Ohjaus 5.26) organisatorisia menettelytapoja.

  3. Käytä vain päivityksiä ja korjaustiedostoja, jotka ovat peräisin luotettavista ja/tai sertifioiduista lähteistä, erityisesti kolmannen osapuolen ohjelmistojen ja laitteiden maljakoissa.

    • Toimittajan ohjelmistojen osalta organisaatioiden tulee arvioida saatavilla olevien tietojen perusteella, onko hankittuihin ohjelmistoihin ja laitteistoihin tarpeen päivittää automaattisia päivityksiä (tai niiden osia).

  4. Testaa kaikki tarvittavat päivitykset ennen asennusta välttääksesi odottamattomat tapahtumat käyttöympäristössä.

  5. Pyri käsittelemään korkeariskiset ja liiketoimintakriittiset järjestelmät ensisijaisesti.

  6. Varmista, että kaikki korjaavat toimet ovat tehokkaita ja aitoja.

Jos päivitystä ei ole saatavilla tai jos jokin ongelma estää päivityksen asentamisen (kuten kustannusongelmat), organisaatioiden tulee harkita muita toimenpiteitä, kuten:

  1. Pyydä myyjältä neuvoja kiertotapa- tai "kipsi"-ratkaisusta, kun korjaavia toimia tehostetaan.

  2. Verkkopalveluiden poistaminen käytöstä tai pysäyttäminen, joihin haavoittuvuus vaikuttaa.

  3. Verkon suojauksen toteuttaminen kriittisissä yhdyskäytäväpisteissä, mukaan lukien liikennesäännöt ja suodattimet.

  4. Seurannan yleisen tason nostaminen siihen liittyvän riskin mukaisesti.

  5. Varmista, että kaikki osapuolet, joita asia koskee, ovat tietoisia haavoittuvuudesta, mukaan lukien toimittajat ja asiakkaat.

  6. Päivityksen viivästäminen, jotta siihen liittyvät riskit voidaan arvioida paremmin, etenkin jos toimintakustannukset voivat olla ongelmallisia.

Ohjaimet tukevat

  • 5.14
  • 5.20
  • 5.9
  • 8.20
  • 8.22
  • 8.28

Oletko valmis
uusi ISO 27002

Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi

Yritykset luottavat kaikkialla
  • Yksinkertainen ja helppokäyttöinen
  • Suunniteltu ISO 27001 -menestykseen
  • Säästät aikaa ja rahaa
Varaa esittelysi
img

Valvontaa koskevat lisäohjeet 8.8

  • Organisaatioiden tulee pitää tarkastuslokia kaikista asiaankuuluvista haavoittuvuuksien hallintatoimista auttaakseen korjaavia toimia ja parantaakseen menettelyjä turvavälikohtauksen sattuessa.

  • Koko haavoittuvuuden hallintaprosessi tulee tarkistaa ja arvioida määräajoin, jotta voidaan parantaa suorituskykyä ja tunnistaa lisää haavoittuvuuksia niiden lähteellä.

  • Jos organisaatio käytti pilvipalveluntarjoajan isännöimää ohjelmistoa, organisaation tulee varmistaa, että palveluntarjoajan kanta haavoittuvuuksien hallintaan on linjassa sen oman kantansa kanssa, ja sen tulisi olla keskeinen osa kaikkia osapuolten välisiä sitovia palvelusopimuksia, mukaan lukien raportointimenettelyt. (katso kontrolli 5.32).

Muutokset ja erot standardista ISO 27002:2013

ISO 27002:2022-8.8 korvaa kaksi säädintä standardista ISO 27002:2013:

  • 12.6.1 – Teknisten haavoittuvuuksien hallinta

  • 18.2.3 – Teknisen vaatimustenmukaisuuden tarkistus

27002:2022-8.8 edustaa olennaisesti erilaista lähestymistapaa haavoittuvuuksien hallintaan kuin 27002:2013.

27002:2013-12.6.1 koskee suurelta osin korjaavien toimenpiteiden toteuttamista sen jälkeen, kun haavoittuvuus on tunnistettu, kun taas 18.2.3 rajoittuu teknisiin työkaluihin (useimmiten läpäisytestaukseen).

27002:2022-8.8 sisältää täysin uusia osioita esimerkiksi organisaation julkisesta toiminnasta, haavoittuvuuksien tunnistamisesta ja pilvipalveluntarjoajien roolista sen varmistamisessa, että haavoittuvuudet pidetään mahdollisimman pieninä.

Kaiken kaikkiaan ISO korostaa enemmän haavoittuvuuksien hallinnan roolia muilla standardin 27002:2022 alueilla (erityisesti muutosten hallinnassa) ja kannattaa kokonaisvaltaista lähestymistapaa, joka hyödyntää lukuisia muita valvonta- ja tietoturvamenettelyjä.

Miten ISMS.online auttaa

Alustamme on intuitiivinen ja helppokäyttöinen. Se ei ole vain erittäin teknisille ihmisille; se on kaikille organisaatiossasi. Suosittelemme ottamaan henkilöstöä yrityksesi kaikilla tasoilla mukaan ISMS:n rakentamiseen, koska se auttaa sinua rakentamaan todella kestävän järjestelmän.

Ota yhteyttä jo tänään varaa esittely.

Tutustu alustaamme

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
5.7UusiUhan älykkyys
5.23UusiTietoturva pilvipalvelujen käyttöön
5.30UusiICT-valmius liiketoiminnan jatkuvuuteen
7.4UusiFyysisen turvallisuuden valvonta
8.9UusiKokoonpanonhallinta
8.10UusiTietojen poistaminen
8.11UusiTietojen peittäminen
8.12UusiTietovuotojen esto
8.16UusiToimien seuranta
8.23UusiWeb-suodatus
8.28UusiTurvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
5.105.1.1, 05.1.2Tietoturvakäytännöt
5.206.1.1Tietoturvaroolit ja -vastuut
5.306.1.2Tehtävien eriyttäminen
5.407.2.1Johdon vastuut
5.506.1.3Yhteys viranomaisiin
5.606.1.4Ota yhteyttä erityisiin eturyhmiin
5.7UusiUhan älykkyys
5.806.1.5, 14.1.1Tietoturva projektinhallinnassa
5.908.1.1, 08.1.2Tietojen ja muiden niihin liittyvien varojen luettelo
5.1008.1.3, 08.2.3Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.1108.1.4Omaisuuden palautus
5.12 08.2.1Tietojen luokitus
5.1308.2.2Tietojen merkitseminen
5.1413.2.1, 13.2.2, 13.2.3Tietojen siirto
5.1509.1.1, 09.1.2Kulunvalvonta
5.1609.2.1Identiteettihallinta
5.17 09.2.4, 09.3.1, 09.4.3Todennustiedot
5.1809.2.2, 09.2.5, 09.2.6Käyttöoikeudet
5.1915.1.1Tietoturva toimittajasuhteissa
5.2015.1.2Tietoturvan huomioiminen toimittajasopimuksissa
5.2115.1.3Tietoturvan hallinta ICT-toimitusketjussa
5.2215.2.1, 15.2.2Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23UusiTietoturva pilvipalvelujen käyttöön
5.2416.1.1Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.2516.1.4Tietoturvatapahtumien arviointi ja päätös
5.2616.1.5Tietoturvahäiriöihin reagointi
5.2716.1.6Tietoturvahäiriöistä oppiminen
5.2816.1.7Todisteiden kerääminen
5.2917.1.1, 17.1.2, 17.1.3Tietoturva häiriön aikana
5.30UusiICT-valmius liiketoiminnan jatkuvuuteen
5.3118.1.1, 18.1.5Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.3218.1.2Immateriaalioikeudet
5.3318.1.3Tietueiden suojaus
5.3418.1.4Yksityisyys ja henkilötietojen suoja
5.3518.2.1Riippumaton tietoturvatarkastus
5.3618.2.2, 18.2.3Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.3712.1.1Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
6.107.1.1Seulonta
6.207.1.2Työsuhteen ehdot
6.307.2.2Tietoturvatietoisuus, koulutus ja koulutus
6.407.2.3Kurinpitoprosessi
6.507.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.613.2.4Luottamuksellisuus- tai salassapitosopimukset
6.706.2.2Etätyö
6.816.1.2, 16.1.3Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
7.111.1.1Fyysisen turvallisuuden rajat
7.211.1.2, 11.1.6Fyysinen sisääntulo
7.311.1.3Toimistojen, huoneiden ja tilojen turvaaminen
7.4UusiFyysisen turvallisuuden valvonta
7.511.1.4Suojautuminen fyysisiltä ja ympäristöuhkilta
7.611.1.5Työskentely turvallisilla alueilla
7.711.2.9Selkeä pöytä ja selkeä näyttö
7.811.2.1Laitteiden sijoitus ja suojaus
7.911.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Tallennusvälineet
7.1111.2.2Apuohjelmia tukevat
7.1211.2.3Kaapeloinnin turvallisuus
7.1311.2.4Laitehuolto
7.1411.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
8.106.2.1, 11.2.8Käyttäjän päätelaitteet
8.209.2.3Etuoikeutetut käyttöoikeudet
8.309.4.1Tiedon pääsyn rajoitus
8.409.4.5Pääsy lähdekoodiin
8.509.4.2Turvallinen todennus
8.612.1.3Kapasiteetin hallinta
8.712.2.1Suojaus haittaohjelmia vastaan
8.812.6.1, 18.2.3Teknisten haavoittuvuuksien hallinta
8.9UusiKokoonpanonhallinta
8.10UusiTietojen poistaminen
8.11UusiTietojen peittäminen
8.12UusiTietovuotojen esto
8.1312.3.1Tietojen varmuuskopiointi
8.1417.2.1Tietojenkäsittelylaitteiden redundanssi
8.1512.4.1, 12.4.2, 12.4.3Hakkuu
8.16UusiToimien seuranta
8.1712.4.4Kellon synkronointi
8.1809.4.4Etuoikeutettujen apuohjelmien käyttö
8.1912.5.1, 12.6.2Ohjelmistojen asennus käyttöjärjestelmiin
8.2013.1.1Verkkojen turvallisuus
8.2113.1.2Verkkopalvelujen turvallisuus
8.2213.1.3Verkkojen erottelu
8.23UusiWeb-suodatus
8.2410.1.1, 10.1.2Salaustekniikan käyttö
8.2514.2.1Turvallinen kehityksen elinkaari
8.2614.1.2, 14.1.3Sovelluksen suojausvaatimukset
8.2714.2.5Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28UusiTurvallinen koodaus
8.2914.2.8, 14.2.9Tietoturvatestausta kehitetään ja hyväksytään
8.3014.2.7Ulkoistettu kehitys
8.3112.1.4, 14.2.6Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Muutoksen hallinta
8.3314.3.1Testitiedot
8.3412.7.1Tietojärjestelmien suojaus auditointitestauksen aikana
Yksinkertainen. Turvallinen. Kestävä.

Katso alustamme toiminnassa tarpeidesi ja tavoitteidesi perusteella räätälöidyllä käytännönläheisellä istunnolla.

Varaa esittelysi
img

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja