Valvonnan tarkoitus 8.8
Mikään tietokoneverkko, järjestelmä, ohjelmisto tai laite ei ole 100 % suojattu. Haavoittuvuudet ovat olennainen osa nykyaikaisen lähiverkon tai WAN-verkon käyttöä, ja on tärkeää, että organisaatiot tunnustavat ensinnäkin, että niitä on olemassa, ja toiseksi, tarve minimoida riskit siellä, missä niitä voi esiintyä.
Control 8.8 sisältää huomattavan määrän neuvoja, jotka auttavat organisaatioita estämään haavoittuvuuksien sisäisen ja ulkoisen hyväksikäytön koko verkostossaan. Ohjaus 8.8 perustuu tukimenettelyihin ja ohjeisiin lukuisista muista ISO 27002:2022 -ohjauksista, erityisesti niistä, jotka liittyvät muutoksenhallintaan (katso Ohjaus 8.32) ja kulunvalvontaprotokollia.
Attribuuttien ohjaustaulukko 8.8
Ohjaus 8.8 on a ehkäisevä hallitse sitä ylläpitää riskiä ottamalla käyttöön menettelyjä, jotka keräävät tietoa teknisistä haavoittuvuuksista ja antavat organisaatiolle mahdollisuuden ryhtyä asianmukaisiin toimenpiteisiin omaisuuden, järjestelmien, tietojen ja laitteistojen suojaamiseksi.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Tunnistaa | #Uhkien ja haavoittuvuuksien hallinta | #Hallinto ja ekosysteemi |
| #Integrity | #Suojella | #Suojaus | ||
| #Saatavuus | #Puolustus |
Määräysvallan omistus 8.8
Ohjaus 8.8 käsittelee ohjelmistojen, järjestelmien ja ICT-omaisuuden teknistä ja hallinnollista hallintaa. Jotkin suuntaviivat sisältävät erittäin yksityiskohtaisen lähestymistavan ohjelmistojen hallintaan, omaisuudenhallintaan ja verkon tietoturvatarkastukseen.
Sellaisenaan Control 8.8:n omistuksen tulisi kuulua henkilölle, jolla on yleinen vastuu organisaation ICT-infrastruktuurin ylläpidosta, kuten IT-päälliköllä tai vastaavalla organisaatiolla.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Ohjeita – haavoittuvuuksien tunnistaminen
Ennen käyttöönottoa ja haavoittuvuuksien valvontaa on välttämätöntä hankkia täydellinen ja ajan tasalla oleva luettelo organisaation omistamista ja ylläpitämistä fyysisistä ja digitaalisista resursseista (katso kohdat 5.9 ja 5.14).
Ohjelmistoresurssitietojen tulee sisältää:
- Toimittajan nimi
- Sovelluksen nimi
- Versionumerot tällä hetkellä käytössä
- Missä ohjelmisto on käytössä koko kiinteistön alueella
Yrittäessään paikantaa teknisiä haavoittuvuuksia organisaatioiden tulee:
- Selvitä selkeästi, kuka (organisaation sisällä) on vastuussa haavoittuvuuksien hallinnasta teknisestä näkökulmasta sen eri toimintojen mukaisesti, mukaan lukien (mutta ei rajoittuen):
- Vahvuuksien hallinta
- Riskien arviointi
- Seuranta
- Päivittäminen
- Kuka on vastuussa ohjelmistosta organisaatiossa
- Pidä luetteloa sovelluksista ja resursseista, joita käytetään teknisten haavoittuvuuksien tunnistamiseen.
- Pyydä toimittajia ja myyjiä paljastamaan haavoittuvuudet uusien järjestelmien ja laitteistojen toimittamisen yhteydessä (katso Ohjaus 5.20) ja määritä ne kaikissa asiaankuuluvissa sopimuksissa ja palvelusopimuksissa.
- Hyödynnä haavoittuvuuksien tarkistustyökaluja, mukaan lukien korjauspalvelut.
- Suorita säännöllisiä, dokumentoituja läpäisytestejä – joko sisäisesti tai sertifioidun kolmannen osapuolen kautta.
- Muista käyttää kolmannen osapuolen koodikirjastoja ja/tai lähdekoodia taustalla oleviin ohjelmallisiin haavoittuvuuksiin (katso Ohjaus 8.28).
Ohjaus – Julkinen toiminta
Sisäisten järjestelmien lisäksi organisaatioiden tulee kehittää käytäntöjä ja menettelytapoja, jotka havaitsevat haavoittuvuudet kaikissa sen tuotteissa ja palveluissa, ja vastaanottaa haavoittuvuusarvioita, jotka liittyvät mainittujen tuotteiden ja palvelujen tarjontaan.
ISO neuvoo organisaatioita ryhtymään julkisiin ponnisteluihin mahdollisten haavoittuvuuksien jäljittämiseksi ja rohkaisemaan kolmansia osapuolia osallistumaan haavoittuvuuksien hallintaan palkkio-ohjelmien avulla (joissa hyväksikäyttöjä etsitään ja niistä ilmoitetaan organisaatiolle palkkiota vastaan).
Organisaatioiden olisi asetettava itsensä suuren yleisön saataville foorumien, julkisten sähköpostiosoitteiden ja tutkimustoiminnan kautta, jotta suuren yleisön kollektiivista tietämystä voidaan käyttää tuotteiden ja palvelujen turvaamiseen niiden lähteellä.
Jos käyttäjiin tai asiakkaisiin vaikuttavia korjaavia toimenpiteitä on toteutettu, organisaatioiden tulisi harkita asiaankuuluvien tietojen luovuttamista asianomaisille henkilöille tai organisaatioille ja ottaa yhteyttä tietoturvaorganisaatioihin ja levittää tietoa haavoittuvuuksista ja hyökkäysvektoreista.
Lisäksi organisaatioiden tulisi harkita automaattisen päivitysmenettelyn tarjoamista, jonka asiakkaat voivat valita käyttöön tai pois käytöstä liiketoimintatarpeidensa perusteella.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Ohjeita – haavoittuvuuksien arviointi
Riittävä raportointi on avainasemassa, jotta voidaan varmistaa nopeat ja tehokkaat korjaavat toimet, kun haavoittuvuuksia havaitaan.
Haavoittuvuuksia arvioidessaan organisaatioiden tulee:
- Analysoi huolellisesti kaikki raportit ja päätä, mihin toimiin on ryhdyttävä, mukaan lukien (mutta ei rajoittuen) asiaan liittyvien järjestelmien ja/tai laitteistojen muuttaminen, päivittäminen tai poistaminen.
- Sovi ratkaisusta, joka ottaa huomioon muut ISO-säädöt (erityisesti ISO 27002:2022:een liittyvät) ja tunnustaa asiaan liittyvien riskien tason.
Ohjeet – Ohjelmiston haavoittuvuuksien torjunta
Ohjelmiston haavoittuvuuksia torjutaan parhaiten ennakoivalla lähestymistavalla ohjelmistopäivityksiin ja korjaustiedostojen hallintaan.
Ennen muutosten käyttöönottoa organisaatioiden tulee varmistaa, että vakiintuneet ohjelmistoversiot säilytetään, kaikki muutokset testataan täysin ja niitä sovelletaan ohjelmiston määrättyyn kopioon.
Kun haavoittuvuuksia käsitellään suoraan niiden tunnistamisen jälkeen, organisaatioiden tulee:
- Pyri ratkaisemaan kaikki haavoittuvuudet oikea-aikaisesti ja tehokkaasti.
- Noudata mahdollisuuksien mukaan muutostenhallinnan (katso Ohjaus 8.32) ja tapahtumien reagoinnin (katso Ohjaus 5.26) organisatorisia menettelytapoja.
- Käytä vain päivityksiä ja korjaustiedostoja, jotka ovat peräisin luotettavista ja/tai sertifioiduista lähteistä, erityisesti kolmannen osapuolen ohjelmistojen ja laitteiden maljakoissa.
- Toimittajan ohjelmistojen osalta organisaatioiden tulee arvioida saatavilla olevien tietojen perusteella, onko hankittuihin ohjelmistoihin ja laitteistoihin tarpeen päivittää automaattisia päivityksiä (tai niiden osia).
- Testaa kaikki tarvittavat päivitykset ennen asennusta välttääksesi odottamattomat tapahtumat käyttöympäristössä.
- Pyri käsittelemään korkeariskiset ja liiketoimintakriittiset järjestelmät ensisijaisesti.
- Varmista, että kaikki korjaavat toimet ovat tehokkaita ja aitoja.
Jos päivitystä ei ole saatavilla tai jos jokin ongelma estää päivityksen asentamisen (kuten kustannusongelmat), organisaatioiden tulee harkita muita toimenpiteitä, kuten:
- Pyydä myyjältä neuvoja kiertotapa- tai "kipsi"-ratkaisusta, kun korjaavia toimia tehostetaan.
- Verkkopalveluiden poistaminen käytöstä tai pysäyttäminen, joihin haavoittuvuus vaikuttaa.
- Verkon suojauksen toteuttaminen kriittisissä yhdyskäytäväpisteissä, mukaan lukien liikennesäännöt ja suodattimet.
- Seurannan yleisen tason nostaminen siihen liittyvän riskin mukaisesti.
- Varmista, että kaikki osapuolet, joita asia koskee, ovat tietoisia haavoittuvuudesta, mukaan lukien toimittajat ja asiakkaat.
- Päivityksen viivästäminen, jotta siihen liittyvät riskit voidaan arvioida paremmin, etenkin jos toimintakustannukset voivat olla ongelmallisia.
Ohjaimet tukevat
- 5.14
- 5.20
- 5.9
- 8.20
- 8.22
- 8.28
Valvontaa koskevat lisäohjeet 8.8
- Organisaatioiden tulee pitää tarkastuslokia kaikista asiaankuuluvista haavoittuvuuksien hallintatoimista auttaakseen korjaavia toimia ja parantaakseen menettelyjä turvavälikohtauksen sattuessa.
- Koko haavoittuvuuden hallintaprosessi tulee tarkistaa ja arvioida määräajoin, jotta voidaan parantaa suorituskykyä ja tunnistaa lisää haavoittuvuuksia niiden lähteellä.
- Jos organisaatio käytti pilvipalveluntarjoajan isännöimää ohjelmistoa, organisaation tulee varmistaa, että palveluntarjoajan kanta haavoittuvuuksien hallintaan on linjassa sen oman kantansa kanssa, ja sen tulisi olla keskeinen osa kaikkia osapuolten välisiä sitovia palvelusopimuksia, mukaan lukien raportointimenettelyt. (katso kontrolli 5.32).
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot standardista ISO 27002:2013
ISO 27002:2022-8.8 korvaa kaksi säädintä standardista ISO 27002:2013:
- 12.6.1 – Teknisten haavoittuvuuksien hallinta
- 18.2.3 – Teknisen vaatimustenmukaisuuden tarkistus
27002:2022-8.8 edustaa olennaisesti erilaista lähestymistapaa haavoittuvuuksien hallintaan kuin 27002:2013.
27002:2013-12.6.1 koskee suurelta osin korjaavien toimenpiteiden toteuttamista sen jälkeen, kun haavoittuvuus on tunnistettu, kun taas 18.2.3 rajoittuu teknisiin työkaluihin (useimmiten läpäisytestaukseen).
27002:2022-8.8 sisältää täysin uusia osioita esimerkiksi organisaation julkisesta toiminnasta, haavoittuvuuksien tunnistamisesta ja pilvipalveluntarjoajien roolista sen varmistamisessa, että haavoittuvuudet pidetään mahdollisimman pieninä.
Kaiken kaikkiaan ISO korostaa enemmän haavoittuvuuksien hallinnan roolia muilla standardin 27002:2022 alueilla (erityisesti muutosten hallinnassa) ja kannattaa kokonaisvaltaista lähestymistapaa, joka hyödyntää lukuisia muita valvonta- ja tietoturvamenettelyjä.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
Alustamme on intuitiivinen ja helppokäyttöinen. Se ei ole vain erittäin teknisille ihmisille; se on kaikille organisaatiossasi. Suosittelemme ottamaan henkilöstöä yrityksesi kaikilla tasoilla mukaan ISMS:n rakentamiseen, koska se auttaa sinua rakentamaan todella kestävän järjestelmän.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
