Inget datornätverk, system, mjukvara eller enhet är 100 % säker. Sårbarheter är en del av att driva ett modernt LAN eller WAN, och det är viktigt för organisationer att erkänna att de för det första finns, och för det andra behovet av att minimera risker där de har potential att inträffa.
Control 8.8 innehåller en stor mängd råd som hjälper organisationer att förhindra internt och externt utnyttjande av sårbarheter i hela deras nätverk. Kontroll 8.8 förlitar sig på stödjande procedurer och riktlinjer från många andra ISO 27002:2022-kontroller, särskilt de som relaterar till förändringshantering (se Kontroll 8.32) och åtkomstkontrollprotokoll.
Kontroll 8.8 är en preventative kontrollera det upprätthåller risken genom att implementera rutiner som samlar information om tekniska sårbarheter och gör det möjligt för organisationen att vidta lämpliga åtgärder för att skydda tillgångar, system, data och hårdvara.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Identifiera #Skydda | #Hot- och sårbarhetshantering | #Styrelse och ekosystem #Skydd #Försvar |
Kontroll 8.8 handlar om teknisk och administrativ hantering av programvara, system och IKT-tillgångar. Några av riktlinjerna involverar implementering av ett mycket detaljerat tillvägagångssätt för mjukvaruhantering, tillgångshantering och nätverkssäkerhetsrevision.
Som sådan bör ägandet av Control 8.8 ligga hos den person som har det övergripande ansvaret för att underhålla organisationens ICT-infrastruktur, såsom IT-chefen eller motsvarande i organisationen.
Innan man implementerar och sårbarhetskontroller är det viktigt att få en fullständig och uppdaterad lista över fysiska och digitala tillgångar (se kontroller 5.9 och 5.14) som ägs och drivs av organisationen.
Programvarutillgångsinformation bör innehålla:
När organisationer försöker lokalisera tekniska sårbarheter bör:
Utöver interna system bör organisationer utveckla policyer och procedurer som upptäcker sårbarheter i alla dess produkter och tjänster, och ta emot sårbarhetsbedömningar avseende tillhandahållandet av nämnda produkter och tjänster.
ISO råder organisationer att göra en offentlig ansträngning för att spåra eventuella sårbarheter och uppmuntra tredje part att engagera sig i sårbarhetshanteringsinsatser genom att använda bounty-program (där utnyttjanden letas efter och rapporteras till organisationen för en belöning).
Organisationer bör göra sig tillgängliga för allmänheten genom forum, offentliga e-postadresser och forskningsaktiviteter så att den samlade kunskapen hos allmänheten kan användas för att skydda produkter och tjänster vid källan.
Där korrigerande åtgärder har vidtagits som påverkar användare eller kunder, bör organisationer överväga att lämna ut relevant information till de berörda individerna eller organisationerna och samarbeta med specialiserade säkerhetsorganisationer för att sprida information om sårbarheter och attackvektorer.
Dessutom bör organisationer överväga att erbjuda en automatisk uppdateringsprocedur som kunder kan välja att in- eller bort från, baserat på deras affärsbehov.
Adekvat rapportering är nyckeln till att säkerställa snabba och effektiva åtgärder när sårbarheter upptäcks.
När man utvärderar sårbarheter bör organisationer:
Sårbarheter i programvara bekämpas bäst med ett proaktivt förhållningssätt till mjukvaruuppdateringar och patchhantering.
Innan några ändringar implementeras bör organisationer se till att befintliga programvaruversioner behålls, att alla ändringar testas fullständigt och tillämpas på en angiven kopia av programvaran.
När man direkt tar itu med sårbarheter efter att de har identifierats bör organisationer:
I händelse av att en uppdatering inte är tillgänglig, eller några problem som hindrar en uppdatering från att installeras (som kostnadsproblem), bör organisationer överväga andra åtgärder, som:
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
ISO 27002:2022-8.8 ersätter två kontroller från ISO 27002:2013:
27002:2022-8.8 representerar ett fundamentalt annorlunda tillvägagångssätt för sårbarhetshantering än vad som finns i 27002:2013.
27002:2013-12.6.1 handlar till stor del om genomförandet av korrigerande åtgärder när en sårbarhet har identifierats, medan 18.2.3 är begränsad till tekniska verktyg (främst penetrationstestning).
27002:2022-8.8 innehåller helt nya avsnitt om ämnen som en organisations offentliga verksamhet, hur sårbarheter identifieras i första hand och vilken roll molnleverantörer spelar för att säkerställa att sårbarheter hålls till ett minimum.
Sammantaget lägger ISO en större tonvikt på den roll som sårbarhetshantering spelar inom andra områden av 27002:2022 (särskilt förändringshantering), och förespråkar ett holistiskt tillvägagångssätt som drar in många andra kontroller och informationssäkerhetsprocedurer.
Vår plattform är intuitiv och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer av ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |