Kontroll 8.8, Hantering av tekniska sårbarheter

ISO 27002:2022 – Kontroll 8.8 – Hantering av tekniska sårbarheter

ISO 27002:2022 Kontroll 8.8 betonar proaktiv identifiering, bedömning och begränsning av tekniska sårbarheter i IT-system. Organisationer bör upprätthålla tillgångsinventeringar, genomföra regelbundna sårbarhetsbedömningar, applicera patchar omedelbart och integrera säkerhetsåtgärder för att minimera risker.

Syfte med kontroll 8.8

Inget datornätverk, system, mjukvara eller enhet är 100 % säker. Sårbarheter är en del av att driva ett modernt LAN eller WAN, och det är viktigt för organisationer att erkänna att de för det första finns, och för det andra behovet av att minimera risker där de har potential att inträffa.

Control 8.8 innehåller en stor mängd råd som hjälper organisationer att förhindra internt och externt utnyttjande av sårbarheter i hela deras nätverk. Kontroll 8.8 förlitar sig på stödjande procedurer och riktlinjer från många andra ISO 27002:2022-kontroller, särskilt de som relaterar till förändringshantering (se Kontroll 8.32) och åtkomstkontrollprotokoll.

Attributtabell för kontroll 8.8

Kontroll 8.8 är en preventative kontrollera det upprätthåller risken genom att implementera rutiner som samlar information om tekniska sårbarheter och gör det möjligt för organisationen att vidta lämpliga åtgärder för att skydda tillgångar, system, data och hårdvara.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Identifiera	#Hot- och sårbarhetshantering	#Styrelse och ekosystem
	#Integritet	#Skydda		#Skydd
	#Tillgänglighet			#Försvar

Äganderätt till kontroll 8.8

Kontroll 8.8 handlar om teknisk och administrativ hantering av programvara, system och IKT-tillgångar. Några av riktlinjerna involverar implementering av ett mycket detaljerat tillvägagångssätt för mjukvaruhantering, tillgångshantering och nätverkssäkerhetsrevision.

Som sådan bör ägandet av Control 8.8 ligga hos den person som har det övergripande ansvaret för att underhålla organisationens ICT-infrastruktur, såsom IT-chefen eller motsvarande i organisationen.

ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG

Vägledning – Identifiera sårbarheter

Innan man implementerar och sårbarhetskontroller är det viktigt att få en fullständig och uppdaterad lista över fysiska och digitala tillgångar (se kontroller 5.9 och 5.14) som ägs och drivs av organisationen.

Programvarutillgångsinformation bör innehålla:

Leverantörsnamn
Applikationsnamn
För närvarande är versionsnummer i drift
Där programvaran distribueras över gården

När organisationer försöker lokalisera tekniska sårbarheter bör:

Beskriv tydligt vem (inom organisationen) som ansvarar för sårbarhetshantering ur ett tekniskt perspektiv, i enlighet med dess olika funktioner, inklusive (men inte begränsat till):

Kapitalförvaltning
Riskbedömning
Övervakning
Uppdaterar

Vem är ansvarig för mjukvaran inom organisationen
Upprätthålla en inventering av applikationer och resurser som kommer att användas för att identifiera tekniska sårbarheter.
Be leverantörer och leverantörer att avslöja sårbarheter vid leverans av nya system och hårdvara (se kontroll 5.20), och specificera som sådana i alla relevanta kontrakt och serviceavtal.
Använd verktyg för sårbarhetsskanning, inklusive korrigeringsmöjligheter.
Genomför regelbundna, dokumenterade penetrationstester – antingen internt eller via en certifierad tredje part.
Var uppmärksam på användningen av tredje parts kodbibliotek och/eller källkod för underliggande programmatiska sårbarheter (se Kontroll 8.28).

Vägledning – Offentliga aktiviteter

Utöver interna system bör organisationer utveckla policyer och procedurer som upptäcker sårbarheter i alla dess produkter och tjänster, och ta emot sårbarhetsbedömningar avseende tillhandahållandet av nämnda produkter och tjänster.

ISO råder organisationer att göra en offentlig ansträngning för att spåra eventuella sårbarheter och uppmuntra tredje part att engagera sig i sårbarhetshanteringsinsatser genom att använda bounty-program (där utnyttjanden letas efter och rapporteras till organisationen för en belöning).

Organisationer bör göra sig tillgängliga för allmänheten genom forum, offentliga e-postadresser och forskningsaktiviteter så att den samlade kunskapen hos allmänheten kan användas för att skydda produkter och tjänster vid källan.

Där korrigerande åtgärder har vidtagits som påverkar användare eller kunder, bör organisationer överväga att lämna ut relevant information till de berörda individerna eller organisationerna och samarbeta med specialiserade säkerhetsorganisationer för att sprida information om sårbarheter och attackvektorer.

Dessutom bör organisationer överväga att erbjuda en automatisk uppdateringsprocedur som kunder kan välja att in- eller bort från, baserat på deras affärsbehov.

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo

Vägledning – Utvärdering av sårbarheter

Adekvat rapportering är nyckeln till att säkerställa snabba och effektiva åtgärder när sårbarheter upptäcks.

När man utvärderar sårbarheter bör organisationer:

Analysera noggrant alla rapporter och bestäm vilka åtgärder som behöver vidtas, inklusive (men inte begränsat till) ändring, uppdatering eller borttagning av berörda system och/eller hårdvara.
Kom överens om en resolution som tar hänsyn till andra ISO-kontroller (särskilt de som är relaterade till ISO 27002:2022) och erkänner risknivån.

Vägledning – Att motverka sårbarheter i programvara

Sårbarheter i programvara bekämpas bäst med ett proaktivt förhållningssätt till mjukvaruuppdateringar och patchhantering.

Innan några ändringar implementeras bör organisationer se till att befintliga programvaruversioner behålls, att alla ändringar testas fullständigt och tillämpas på en angiven kopia av programvaran.

När man direkt tar itu med sårbarheter efter att de har identifierats bör organisationer:

Försök att lösa alla sårbarheter på ett snabbt och effektivt sätt.
Om möjligt, följ de organisatoriska rutinerna för förändringshantering (se kontroll 8.32) och incidentrespons (se kontroll 5.26).
Tillämpa endast uppdateringar och patchar som kommer från pålitliga och/eller certifierade källor, särskilt i vasen med programvara och utrustning från tredje part.

När det gäller mjukvara från leverantörer bör organisationer göra en bedömning baserat på tillgänglig information om huruvida det är nödvändigt att tillämpa automatiska uppdateringar (eller delar därav) på förvärvad mjukvara och hårdvara.

Testa eventuella uppdateringar som krävs före installationen för att undvika oförutsedda incidenter i en operativ miljö.
Försök att ta itu med högrisk och affärskritiska system som en prioritet.
Se till att alla korrigerande åtgärder är effektiva och autentiska.

I händelse av att en uppdatering inte är tillgänglig, eller några problem som hindrar en uppdatering från att installeras (som kostnadsproblem), bör organisationer överväga andra åtgärder, som:

Be leverantören om råd om en lösning eller lösning för att ”klibba gips” medan åtgärderna för att åtgärda påskyndas.
Inaktivera eller stoppa nätverkstjänster som påverkas av sårbarheten.
Implementera nätverkssäkerhetskontroller vid kritiska gatewaypunkter, inklusive trafikregler och filter.
Öka den övergripande övervakningsnivån i linje med den förknippade risken.
Se till att alla berörda parter är medvetna om sårbarheten, inklusive leverantörer och kunder.
Fördröja uppdateringen för att bättre utvärdera de associerade riskerna, särskilt där driftskostnader kan vara ett problem.

Stödkontroller

5.14
5.20
5.9
8.20
8.22
8.28

Kompletterande vägledning om kontroll 8.8

Organisationer bör föra en revisionslogg över alla relevanta sårbarhetshanteringsaktiviteter för att underlätta åtgärdande och förbättra rutinerna i händelse av en säkerhetsincident.
Hela processen för sårbarhetshantering bör regelbundet granskas och utvärderas för att förbättra prestanda och identifiera fler sårbarheter vid källan.
Om organisationen använde programvara som är värd hos en molntjänstleverantör, bör organisationen se till att tjänsteleverantörens inställning till sårbarhetshantering överensstämmer med dess egen, och bör utgöra en viktig del av alla bindande tjänsteavtal mellan de två parterna, inklusive eventuella rapporteringsförfaranden (se Kontroll 5.32).

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo

Ändringar och skillnader från ISO 27002:2013

ISO 27002:2022-8.8 ersätter två kontroller från ISO 27002:2013:

12.6.1 – Hantering av tekniska sårbarheter
18.2.3 – Översyn av teknisk efterlevnad

27002:2022-8.8 representerar ett fundamentalt annorlunda tillvägagångssätt för sårbarhetshantering än vad som finns i 27002:2013.

27002:2013-12.6.1 handlar till stor del om genomförandet av korrigerande åtgärder när en sårbarhet har identifierats, medan 18.2.3 är begränsad till tekniska verktyg (främst penetrationstestning).

27002:2022-8.8 innehåller helt nya avsnitt om ämnen som en organisations offentliga verksamhet, hur sårbarheter identifieras i första hand och vilken roll molnleverantörer spelar för att säkerställa att sårbarheter hålls till ett minimum.

Sammantaget lägger ISO en större tonvikt på den roll som sårbarhetshantering spelar inom andra områden av 27002:2022 (särskilt förändringshantering), och förespråkar ett holistiskt tillvägagångssätt som drar in många andra kontroller och informationssäkerhetsprocedurer.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	NYA	Hot intelligens
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.30	NYA	ICT-beredskap för kontinuitet i verksamheten
7.4	NYA	Fysisk säkerhetsövervakning
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.16	NYA	Övervakningsaktiviteter
8.23	NYA	Webbfiltrering
8.28	NYA	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	NYA	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	5.30	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	NYA	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	NYA	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	NYA	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	NYA	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Vår plattform är intuitiv och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer av ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.

Hör av dig idag för att boka en demo.

Toby Cane

Partner Customer Success Manager

Toby Cane är Senior Partner Success Manager för ISMS.online. Han har arbetat för företaget i nästan fyra år och har haft en rad olika roller, bland annat som värd för deras webbseminarier. Innan han började arbeta med SaaS var Toby gymnasielärare.

Vi är ledande inom vårt område