Syfte med kontroll 8.8
Inget datornätverk, system, mjukvara eller enhet är 100 % säker. Sårbarheter är en del av att driva ett modernt LAN eller WAN, och det är viktigt för organisationer att erkänna att de för det första finns, och för det andra behovet av att minimera risker där de har potential att inträffa.
Control 8.8 innehåller en stor mängd råd som hjälper organisationer att förhindra internt och externt utnyttjande av sårbarheter i hela deras nätverk. Kontroll 8.8 förlitar sig på stödjande procedurer och riktlinjer från många andra ISO 27002:2022-kontroller, särskilt de som relaterar till förändringshantering (se Kontroll 8.32) och åtkomstkontrollprotokoll.
Attributtabell för kontroll 8.8
Kontroll 8.8 är en preventative kontrollera det upprätthåller risken genom att implementera rutiner som samlar information om tekniska sårbarheter och gör det möjligt för organisationen att vidta lämpliga åtgärder för att skydda tillgångar, system, data och hårdvara.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Identifiera | #Hot- och sårbarhetshantering | #Styrelse och ekosystem |
| #Integritet | #Skydda | #Skydd | ||
| #Tillgänglighet | #Försvar |
Äganderätt till kontroll 8.8
Kontroll 8.8 handlar om teknisk och administrativ hantering av programvara, system och IKT-tillgångar. Några av riktlinjerna involverar implementering av ett mycket detaljerat tillvägagångssätt för mjukvaruhantering, tillgångshantering och nätverkssäkerhetsrevision.
Som sådan bör ägandet av Control 8.8 ligga hos den person som har det övergripande ansvaret för att underhålla organisationens ICT-infrastruktur, såsom IT-chefen eller motsvarande i organisationen.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vägledning – Identifiera sårbarheter
Innan man implementerar och sårbarhetskontroller är det viktigt att få en fullständig och uppdaterad lista över fysiska och digitala tillgångar (se kontroller 5.9 och 5.14) som ägs och drivs av organisationen.
Programvarutillgångsinformation bör innehålla:
- Leverantörsnamn
- Applikationsnamn
- För närvarande är versionsnummer i drift
- Där programvaran distribueras över gården
När organisationer försöker lokalisera tekniska sårbarheter bör:
- Beskriv tydligt vem (inom organisationen) som ansvarar för sårbarhetshantering ur ett tekniskt perspektiv, i enlighet med dess olika funktioner, inklusive (men inte begränsat till):
- Kapitalförvaltning
- Riskbedömning
- Övervakning
- Uppdaterar
- Vem är ansvarig för mjukvaran inom organisationen
- Upprätthålla en inventering av applikationer och resurser som kommer att användas för att identifiera tekniska sårbarheter.
- Be leverantörer och leverantörer att avslöja sårbarheter vid leverans av nya system och hårdvara (se kontroll 5.20), och specificera som sådana i alla relevanta kontrakt och serviceavtal.
- Använd verktyg för sårbarhetsskanning, inklusive korrigeringsmöjligheter.
- Genomför regelbundna, dokumenterade penetrationstester – antingen internt eller via en certifierad tredje part.
- Var uppmärksam på användningen av tredje parts kodbibliotek och/eller källkod för underliggande programmatiska sårbarheter (se Kontroll 8.28).
Vägledning – Offentliga aktiviteter
Utöver interna system bör organisationer utveckla policyer och procedurer som upptäcker sårbarheter i alla dess produkter och tjänster, och ta emot sårbarhetsbedömningar avseende tillhandahållandet av nämnda produkter och tjänster.
ISO råder organisationer att göra en offentlig ansträngning för att spåra eventuella sårbarheter och uppmuntra tredje part att engagera sig i sårbarhetshanteringsinsatser genom att använda bounty-program (där utnyttjanden letas efter och rapporteras till organisationen för en belöning).
Organisationer bör göra sig tillgängliga för allmänheten genom forum, offentliga e-postadresser och forskningsaktiviteter så att den samlade kunskapen hos allmänheten kan användas för att skydda produkter och tjänster vid källan.
Där korrigerande åtgärder har vidtagits som påverkar användare eller kunder, bör organisationer överväga att lämna ut relevant information till de berörda individerna eller organisationerna och samarbeta med specialiserade säkerhetsorganisationer för att sprida information om sårbarheter och attackvektorer.
Dessutom bör organisationer överväga att erbjuda en automatisk uppdateringsprocedur som kunder kan välja att in- eller bort från, baserat på deras affärsbehov.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vägledning – Utvärdering av sårbarheter
Adekvat rapportering är nyckeln till att säkerställa snabba och effektiva åtgärder när sårbarheter upptäcks.
När man utvärderar sårbarheter bör organisationer:
- Analysera noggrant alla rapporter och bestäm vilka åtgärder som behöver vidtas, inklusive (men inte begränsat till) ändring, uppdatering eller borttagning av berörda system och/eller hårdvara.
- Kom överens om en resolution som tar hänsyn till andra ISO-kontroller (särskilt de som är relaterade till ISO 27002:2022) och erkänner risknivån.
Vägledning – Att motverka sårbarheter i programvara
Sårbarheter i programvara bekämpas bäst med ett proaktivt förhållningssätt till mjukvaruuppdateringar och patchhantering.
Innan några ändringar implementeras bör organisationer se till att befintliga programvaruversioner behålls, att alla ändringar testas fullständigt och tillämpas på en angiven kopia av programvaran.
När man direkt tar itu med sårbarheter efter att de har identifierats bör organisationer:
- Försök att lösa alla sårbarheter på ett snabbt och effektivt sätt.
- Om möjligt, följ de organisatoriska rutinerna för förändringshantering (se kontroll 8.32) och incidentrespons (se kontroll 5.26).
- Tillämpa endast uppdateringar och patchar som kommer från pålitliga och/eller certifierade källor, särskilt i vasen med programvara och utrustning från tredje part.
- När det gäller mjukvara från leverantörer bör organisationer göra en bedömning baserat på tillgänglig information om huruvida det är nödvändigt att tillämpa automatiska uppdateringar (eller delar därav) på förvärvad mjukvara och hårdvara.
- Testa eventuella uppdateringar som krävs före installationen för att undvika oförutsedda incidenter i en operativ miljö.
- Försök att ta itu med högrisk och affärskritiska system som en prioritet.
- Se till att alla korrigerande åtgärder är effektiva och autentiska.
I händelse av att en uppdatering inte är tillgänglig, eller några problem som hindrar en uppdatering från att installeras (som kostnadsproblem), bör organisationer överväga andra åtgärder, som:
- Be leverantören om råd om en lösning eller lösning för att ”klibba gips” medan åtgärderna för att åtgärda påskyndas.
- Inaktivera eller stoppa nätverkstjänster som påverkas av sårbarheten.
- Implementera nätverkssäkerhetskontroller vid kritiska gatewaypunkter, inklusive trafikregler och filter.
- Öka den övergripande övervakningsnivån i linje med den förknippade risken.
- Se till att alla berörda parter är medvetna om sårbarheten, inklusive leverantörer och kunder.
- Fördröja uppdateringen för att bättre utvärdera de associerade riskerna, särskilt där driftskostnader kan vara ett problem.
Stödkontroller
- 5.14
- 5.20
- 5.9
- 8.20
- 8.22
- 8.28
Kompletterande vägledning om kontroll 8.8
- Organisationer bör föra en revisionslogg över alla relevanta sårbarhetshanteringsaktiviteter för att underlätta åtgärdande och förbättra rutinerna i händelse av en säkerhetsincident.
- Hela processen för sårbarhetshantering bör regelbundet granskas och utvärderas för att förbättra prestanda och identifiera fler sårbarheter vid källan.
- Om organisationen använde programvara som är värd hos en molntjänstleverantör, bör organisationen se till att tjänsteleverantörens inställning till sårbarhetshantering överensstämmer med dess egen, och bör utgöra en viktig del av alla bindande tjänsteavtal mellan de två parterna, inklusive eventuella rapporteringsförfaranden (se Kontroll 5.32).
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
ISO 27002:2022-8.8 ersätter två kontroller från ISO 27002:2013:
- 12.6.1 – Hantering av tekniska sårbarheter
- 18.2.3 – Översyn av teknisk efterlevnad
27002:2022-8.8 representerar ett fundamentalt annorlunda tillvägagångssätt för sårbarhetshantering än vad som finns i 27002:2013.
27002:2013-12.6.1 handlar till stor del om genomförandet av korrigerande åtgärder när en sårbarhet har identifierats, medan 18.2.3 är begränsad till tekniska verktyg (främst penetrationstestning).
27002:2022-8.8 innehåller helt nya avsnitt om ämnen som en organisations offentliga verksamhet, hur sårbarheter identifieras i första hand och vilken roll molnleverantörer spelar för att säkerställa att sårbarheter hålls till ett minimum.
Sammantaget lägger ISO en större tonvikt på den roll som sårbarhetshantering spelar inom andra områden av 27002:2022 (särskilt förändringshantering), och förespråkar ett holistiskt tillvägagångssätt som drar in många andra kontroller och informationssäkerhetsprocedurer.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
Vår plattform är intuitiv och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer av ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
