Ymmärrä lauseke 6.9.6: Teknisen haavoittuvuuden hallinta
Teknisiä haavoittuvuuksia, jotka voivat vaikuttaa henkilökohtaisiin tunnistetietoihin ja yksityisyyteen liittyvään omaisuuteen, on lähes mahdotonta poistaa kokonaan budjetista, henkilöstömäärästä tai asiantuntemuksesta riippumatta.
Sellaisenaan ISO edellyttää, että organisaatiot käyttävät vankkoja haavoittuvuuksien hallintalaitteita, jotka sekä tunnistavat mahdolliset tekniset haavoittuvuudet että tarjoavat selkeät ohjeet korjaaviin toimiin, joita tarvitaan kaupallisten, toiminnallisten tai mainevaurioiden lieventämiseksi.
Mitä ISO 27701:n lauseke 6.9.6 kattaa
ISO 27001 6.9.6 sisältää kaksi alakohtaa, jotka käsittelevät haavoittuvuuksien hallintaa, jaettuna tekniseen hallintaan ja siihen, miten organisaatioiden tulisi harkita ohjelmistoasennuksia:
- ISO 27701 6.9.6.1 – Teknisten haavoittuvuuksien hallinta (ISO 27002 Ohjaus 8.8)
- ISO 27701 6.9.6.2 – Ohjelmiston asennuksen rajoitus (ISO 27002 Control 8.19)
Kumpikaan alalauseke ei sisällä PIMS- tai PII-spesifisiä ohjeita, eikä Yhdistyneessä kuningaskunnassa ole mitään GDPR huomioitavia seurauksia.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701 lauseke 6.9.6.1 – Teknisten haavoittuvuuksien hallinta
Viitteet ISO 27002 Control 8.8
Organisaatioiden tulee hankkia ajan tasalla oleva luettelo kaikista organisaation omistamista ja käyttämistä varoista (katso kohdat 5.9 ja 5.14), mukaan lukien:
- Toimittajan nimi.
- Sovelluksen nimi.
- Versionumerot.
- Missä ohjelmisto on otettu käyttöön.
- Kuka on vastuussa mainitun ohjelmiston toiminnasta.
Organisaatioiden tulee tunnistaa haavoittuvuuksia, jotka voivat vaikuttaa henkilökohtaisiin tunnistetietoihin ja yksityisyyden suojaan:
- Kuvaa haavoittuvuuden hallinnasta vastaavat henkilöt, mukaan lukien:
- Vahvuuksien hallinta.
- Riskin arviointi.
- Seuranta.
- Päivitetään.
- Pidä ajan tasalla olevaa luetteloa sovelluksista ja resursseista, joita käytetään teknisten haavoittuvuuksien tunnistamiseen.
- Ota yhteyttä toimittajiin ja myyjiin ja pyydä heitä ilmoittamaan selkeästi haavoittuvuudet aina, kun uusia järjestelmiä ja laitteistoja toimitetaan (katso ISO 27002 Control 5.20).
- Käytä haavoittuvuuksien tarkistustyökalua ja korjauspalveluita.
- Suorita määräajoin tunkeutumistesti.
- Analysoi kolmannen osapuolen koodikirjastot ja/tai lähdekoodi taustalla olevien haavoittuvuuksien ja/tai hyväksikäyttöjen varalta (katso ISO 27002 Control 8.28).
Julkinen toiminta
Organisaatioiden tulee kehittää käytäntöjä ja menettelytapoja (mukaan lukien automaattiset päivitykset), jotka havaitsevat haavoittuvuudet kaikissa sen tuotteissa ja palveluissa, ja vastaanottaa haavoittuvuusarvioita, jotka liittyvät mainittujen tuotteiden ja palvelujen tarjontaan.
ISO neuvoo organisaatioita ryhtymään julkisiin ponnisteluihin mahdollisten haavoittuvuuksien jäljittämiseksi – mukaan lukien jäsenneltyjen palkkio-ohjelmien käyttö – ja käyttämään foorumeita ja julkista tutkimustoimintaa lisätäkseen tietoisuutta mahdollisista hyväksikäytöistä ja turvallisuuskysymyksistä.
Jos tietoturvahäiriön jälkeen on ryhdytty korjaaviin toimiin, jotka voivat millään tavalla vaikuttaa asiakkaisiin (tai heidän käsitykseensä hallussa olevista tiedoista), organisaatioiden tulee harkita sertifioitujen tietoturvaasiantuntijoiden ottamista jakamaan tietoa hyökkäysvektoreista.
Haavoittuvuuksien arviointi
Organisaatioiden tulee koko haavoittuvuuksien arviointiprosessin aikana:
- Analysoi kaikki raportit ja päätä, mihin toimiin on ryhdyttävä, mukaan lukien mahdolliset päivitykset tai ongelmallisten järjestelmien ja/tai laitteistojen poistaminen.
- Sovi päätöslauselmasta, joka ottaa huomioon muut ISO-ohjaimet.
Ohjelmiston haavoittuvuuksien torjunta
Kun haavoittuvuuksia käsitellään niiden tunnistamisen jälkeen, organisaatioiden tulee:
- Ratkaise kaikki haavoittuvuudet oikea-aikaisesti ja tehokkaasti.
- Noudata organisaation menettelytapoja muutosten hallinnassa (katso ISO 27002 Control 8.32) ja tapahtumien reagoinnissa (katso ISO 27002 Control 5.26), jotta varmistetaan yhtenäinen lähestymistapa.
- Rajoita päivitykset ja korjaukset luotettavista lähteistä tuleviin.
- Testaa päivitykset ennen käyttöönottoa.
- Tunnista korkean riskin ja liiketoimintakriittiset järjestelmät ensisijaiseksi tavoitteeksi, kun suunnittelet korjaavia toimia.
Jos päivitystä ei ole tulossa ja ulkoiset tekijät estävät korjaavat toimet, organisaatioiden tulee:
- Ota yhteyttä myyjiin ratkaisuista.
- Poista käytöstä kaikki tai kaikki verkkopalvelut, joita tämä koskee.
- Ota käyttöön verkon suojaushallinta, mukaan lukien liikennesäännöt ja sisällön suodatus.
- Lisää valvontatoimien tiheyttä ja kestoa kyseisissä järjestelmissä.
- Jaa tietoa haavoittuvuudesta ja varmista, että kaikki osapuolet, joita asia koskee, ovat tietoisia – mukaan lukien tavarantoimittajat ja asiakkaat.
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.14
- ISO 27002 5.20
- ISO 27002 5.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.28
Täydentävä opas
Kaikista olennaisista haavoittuvuuksien hallintatoimista tulee pitää kirjausketju, ja organisaation haavoittuvuuden hallintaprosessia tulisi tarkastaa sen varmistamiseksi, että se on tarkoituksenmukainen ja vastaa organisaation kasvavia tarpeita.
Pilvipohjaisten ohjelmistojen osalta organisaation tulee varmistaa, että palveluntarjoajan kanta haavoittuvuuksien hallintaan on linjassa sen oman kannan kanssa. Organisaatioiden tulee pyrkiä saamaan kirjallinen vahvistus kaikista vastuista sitovan palvelusopimuksen kautta (katso ISO 27002 Control 5.32).
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701, lauseke 6.9.6.2 – Ohjelmiston asennuksen rajoitus
Viitteet ISO 27002 Control 8.19
Henkilökohtaisten tunnistetietojen saatavuuden ja eheyden suojelemiseksi ja muutosten hallinnoimiseksi organisaatioiden tulee:
- Varmista, että ohjelmistopäivitykset suorittaa pätevä henkilökunta (katso Ohjaushallinta 8.5).
- Varmista, että koodi on turvallisesti poistunut kehitysvaiheesta ja että siinä ei ole vikoja.
- Testaa kaikki ohjelmistot ennen päivitystä tai asennusta varmistaaksesi, ettei konflikteja tai virheitä synny.
- Pidä ohjelmistokirjastojärjestelmä ajan tasalla.
- Ylläpidä "konfiguroinnin ohjausjärjestelmää" operatiivisten ohjelmistojen hallintaa varten.
- Laadi "palautusstrategia", joka palauttaa järjestelmät aiemmin toimineeseen tilaan liiketoiminnan jatkuvuuden varmistamiseksi.
- Pidä perusteellista lokia tehdyistä päivityksistä.
- Varmista, että käyttämättömät ohjelmistosovellukset – ja kaikki niihin liittyvä materiaali – säilytetään turvallisesti myöhempää käyttöä ja analysointia varten.
- Toimia ohjelmistorajoituspolitiikan mukaisesti, joka toimii organisaation eri roolien ja vastuiden mukaisesti.
Toimittajan toimittamia ohjelmistoja käytettäessä sovellukset tulee pitää hyvässä toimintakunnossa ja liikkeeseenlaskijan ohjeiden mukaisesti.
ISO tekee selkeästi selväksi, että organisaatioiden tulee välttää tukemattomien ohjelmistojen käyttöä ellei se ole ehdottoman välttämätöntä. Organisaatioiden tulisi pyrkiä päivittämään vakiintuneita järjestelmiä sen sijaan, että käyttäisivät vanhentuneita tai tukemattomia vanhoja sovelluksia.
Toimittaja saattaa vaatia pääsyn organisaation verkkoon asennuksen tai päivityksen suorittamiseksi. Tällaiset toiminnot tulee sallia ja niitä tulee valvoa jatkuvasti (katso ISO 27002 Control 5.22).
Täydentävä opas
- Organisaatioiden tulee päivittää, korjata ja asentaa ohjelmistoja julkaistujen muutoksenhallintamenettelyjensä mukaisesti.
- Korjaukset, jotka poistavat tietoturva-aukkoja tai muutoin parantavat organisaation yksityisyyden suojaa, tulee aina pitää ensisijaisena muutoksena.
- Organisaatioiden tulee käyttää avoimen lähdekoodin ohjelmistoja erittäin huolellisesti ja tunnistaa viimeisin julkisesti saatavilla oleva versio varmistaakseen, että turvallisuusvaatimukset täyttyvät mahdollisimman hyvin.
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.22
- ISO 27002 8.5
Tuetut säätimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.9.6.1 | Teknisten haavoittuvuuksien hallinta |
8.8 – ISO 27002:n teknisten haavoittuvuuksien hallinta | Ei eristetty |
| 6.9.6.2 | Ohjelmiston asennuksen rajoitus |
8.19 – Ohjelmiston asennus käyttöjärjestelmiin ISO 27002:ta varten | Ei eristetty |
Miten ISMS.online auttaa
ISMS.online-alustan avulla voit integroida PIMS:n varmistaaksesi, että tietoturva-asento on kaikki yhdessä paikassa ja välttää päällekkäisyydet, kun standardit ovat päällekkäisiä.
Sekä ISO 27001- että ISO 27701 -standardien seuranta, raportointi ja auditointi ei ole koskaan ollut helpompaa, kun PIMS on välittömästi kiinnostuneiden osapuolten saatavilla.
Ota selvää kuinka paljon säästät aikaa ja rahaa matkallasi yhdistettyyn ISO 27001- ja 27701 -sertifikaattiin ISMS.onlinen avulla.
Hyppää aiheeseen
