Syfte med kontroll 8.16
Nätverksövervakning är hörnstenen i all framgångsrik IT-support och informationssäkerhetsverksamhet.
Det är mycket viktigt för organisationer att främja ett proaktivt tillvägagångssätt för övervakning som strävar efter att förhindra incidenter innan de inträffar, och som arbetar tillsammans med reaktiva ansträngningar för att skapa en helhetsstrategi för informationssäkerhet och incidentlösning som markerar varenda ruta.
Attributtabell för kontroll 8.16
Kontroll 8.16 är en dubbelfunktion detektiv och korrigerande kontrollera det ändrar risken genom att optimera övervakningsaktiviteter för att identifiera onormalt beteende och hjälper till med snabb analys av informationssäkerhetshändelser och incidenter.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Detektiv | #Sekretess | #Upptäcka, detektera | #Informationssäkerhet Event Management | #Försvar |
| #Korrigerande | #Integritet | #Svara | ||
| #Tillgänglighet |
Äganderätt till kontroll 8.16
Kontroll 8.16 handlar om IKT-operationer som utförs med hjälp av systemadministratörsåtkomst och faller under paraplyet nätverkshantering och underhåll.
Som sådan bör ägandet av Kontroll 8.16 ligga hos IT-chefen eller motsvarande i organisationen.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om efterlevnad
Övervakning bör först och främst utföras i enlighet med eventuella regulatoriska krav eller rådande lagstiftning, och alla register bevaras i enlighet med företagets policy för lagring.
Misstänkta händelser bör rapporteras till all relevant personal för att upprätthålla nätverkets integritet och förbättra affärskontinuiteten tillsammans med följande processer (se Kontroll 5.25):
- Revision
- Säkerhet och riskvärdering
- Sårbarhetsskanning
- Övervakning
Organisationer bör inkludera följande i sin övervakningsverksamhet:
- Både inkommande och utgående nätverkstrafik, inklusive data till och från applikationer
- Tillgång till affärskritiska plattformar, inklusive, men inte begränsat till):
- System
- Servrar
- Nätverkshårdvara
- Själva övervakningssystemet
- Konfigurationsfiler
- Händelseloggar från säkerhetsutrustning och mjukvaruplattformar
- Kodkontroller som säkerställer att alla körbara program är både auktoriserade och tempererade
- Beräkning, lagring och nätverk resursanvändning
Vägledning – Beteendeanalys
Organisationer bör få en god förståelse för normal användaraktivitet och nätverksbeteende, och använd detta som en baslinje för att identifiera onormalt beteende i nätverket, inklusive:
- Plötslig stängning eller uppsägning av processer och ansökningar
- Nätverkstrafik som känns igen som emanerande till och/eller från problematiska IP-adresser och/eller externa domäner
- Välkända intrångsmetoder (t.ex. DDoS)
- Skadligt systembeteende (t.ex. nyckelloggning)
- Nätverksflaskhalsar och höga ping- och/eller latenstider
- Otillåten eller oförklarlig åtkomst till och/eller skanning av data, domäner eller applikationer
- Alla försök att komma åt affärskritiska IKT-resurser (t.ex. domänkontrollanter, DNS-servrar, filservrar och webbportaler)
För att etablera en framgångsrik baslinje bör organisationer övervaka nätverksanvändning och åtkomsttider på normala arbetsnivåer.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vägledning – Övervakningsverktyg
Organisationerna bör optimera sina övervakningsinsatser med hjälp av specialiserade övervakningsverktyg som är anpassade till den typ av nätverk och trafik som de hanterar dagligen.
Övervakningsverktyg bör kunna:
- Hantera stora mängder övervakningsdata
- Reagera på misstänkt data, trafik- och användarbeteendemönster och enstaka aktiviteter
- Ändra eventuella övervakningsaktiviteter för att reagera på olika risknivåer
- Meddela organisationer om onormal aktivitet i realtid, genom en serie proaktiva varningar som innehåller en minimal mängd falska positiva (se kontroll 5.26)
- Lita på en adekvat nivå av applikationsredundans för att upprätthålla en kontinuerlig övervakningsverksamhet
Vägledning – Säkerhetsövervakning
Säkerhetsövervakning bör optimeras genom:
- Dedikerade hotintelligenssystem (se kontroll 5.7) och intrångsskyddsplattformar
- Maskininlärningsplattformar
- Vitlistor, svartlistor, blockeringslistor och tillåtelselistor på IP-hanteringsplattformar och e-postsäkerhetsprogram
- Att kombinera loggnings- och övervakningsaktiviteter i en helhetslösning
- En dedikerad strategi för välkända intrångsmetoder och skadlig aktivitet, såsom användning av botnät eller överbelastningsattacker
Stödkontroller
- 5.25
- 5.26
- 5.7
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
ISO 27002:2022-8.16 är en ny kontroll som inte finns med i ISO 27002:2003.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
ISMS.online gör implementeringen av ISO 27002 enklare genom att tillhandahålla en uppsättning verktyg som hjälper dig att hantera informationssäkerheten i din organisation. Det hjälper dig att identifiera risker och utveckla kontroller för att minska dessa risker, och sedan visa dig hur du implementerar dem inom organisationen.
Kontakta oss idag för att boka en demo.
Hoppa till ämnet
