Förstå avsnitt 6.9.6: Teknisk sårbarhetshantering
Tekniska sårbarheter som har potential att påverka PII och integritetsrelaterade tillgångar är nästan omöjliga att helt utrota, oavsett budget, personalnivå eller expertis.
Som sådan kräver ISO att organisationer arbetar med en robust uppsättning av sårbarhetshanteringskontroller som både identifierar potentiella tekniska sårbarheter och ger tydlig vägledning om de korrigerande åtgärder som krävs för att mildra eventuella kommersiella, operativa eller rykteskador.
Vad som omfattas av ISO 27701 klausul 6.9.6
ISO 27001 6.9.6 innehåller två underklausuler som behandlar ämnet sårbarhetshantering, uppdelat mellan teknisk hantering och hur organisationer bör överväga programvaruinstallationer:
- ISO 27701 6.9.6.1 – Hantering av tekniska sårbarheter (ISO 27002 Kontroll 8.8)
- ISO 27701 6.9.6.2 – Begränsning av programvaruinstallation (ISO 27002 Kontroll 8.19)
Varken underklausulen innehåller någon PIMS eller PII-specifik vägledning, och det finns inte heller några Storbritannien GDPR konsekvenser att överväga.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.9.6.1 – Hantering av tekniska sårbarheter
Referenser ISO 27002 Kontroll 8.8
Organisationer bör skaffa en uppdaterad lista över alla tillgångar (se kontroller 5.9 och 5.14) som ägs och drivs av organisationen, inklusive:
- Leverantörsnamn.
- Applikationsnamn.
- Versionsnummer.
- Där programvaran är utplacerad.
- Vem är ansvarig för driften av nämnda programvara.
När organisationer identifierar sårbarheter som har potential att påverka PII och integritetsskydd bör organisationer:
- Beskriv den personal som ansvarar för sårbarhetshantering, inklusive:
- Kapitalförvaltning.
- Riskbedömning.
- Övervakning.
- Uppdaterar.
- Upprätthåll en uppdaterad inventering av applikationer och resurser som kommer att användas för att identifiera tekniska sårbarheter.
- Kontakta leverantörer och leverantörer och be dem att tydligt indikera sårbarheter när nya system och hårdvara levereras (se ISO 27002 Kontroll 5.20).
- Använd verktyg för sårbarhetsskanning och korrigeringsmöjligheter.
- Utför periodiska penetrationstest.
- Analysera tredje parts kodbibliotek och/eller källkod för underliggande sårbarheter och/eller utnyttjande (se ISO 27002 Kontroll 8.28).
Offentliga aktiviteter
Organisationer bör utveckla policyer och procedurer (inklusive automatiska uppdateringar) som upptäcker sårbarheter i alla dess produkter och tjänster, och ta emot sårbarhetsbedömningar avseende tillhandahållandet av nämnda produkter och tjänster.
ISO råder organisationer att göra en offentlig ansträngning för att spåra eventuella sårbarheter – inklusive användningen av strukturerade bounty-program – och använda forum och offentlig forskningsaktivitet för att öka medvetenheten om potentiella utnyttjande och säkerhetsfrågor.
Om korrigerande åtgärder har vidtagits efter en säkerhetsincident som på något sätt kan påverka kunder (eller deras uppfattning om den data som lagras), bör organisationer överväga att samarbeta med certifierade säkerhetsspecialister för att distribuera information om attackvektorer.
Utvärdera sårbarheter
Under hela processen med att utvärdera sårbarheter bör organisationer:
- Analysera eventuella rapporter och besluta vilka åtgärder som behöver vidtas, inklusive eventuella uppdateringar eller borttagning av berörda system och/eller hårdvara.
- Kom överens om en upplösning som tar hänsyn till andra ISO-kontroller.
Att motverka sårbarheter i programvara
När man tar itu med sårbarheter efter att de har identifierats bör organisationer:
- Lös alla sårbarheter på ett snabbt och effektivt sätt.
- Följ organisatoriska rutiner för förändringshantering (se ISO 27002 Kontroll 8.32) och incidentrespons (se ISO 27002 Kontroll 5.26), för att säkerställa ett enhetligt tillvägagångssätt.
- Begränsa uppdateringar och patchar till de från pålitliga källor.
- Testa uppdateringar innan implementering.
- Identifiera högrisk och affärskritiska system som en prioritet vid planering av korrigerande åtgärder.
Om en uppdatering inte kommer, och korrigerande åtgärder förhindras av externa faktorer, bör organisationer:
- Rådgör med leverantörer om lösningar.
- Inaktivera någon eller alla berörda nätverkstjänster.
- Implementera nätverkssäkerhetskontroller, inklusive trafikregler och innehållsfiltrering.
- Öka frekvensen och varaktigheten av övervakningsinsatser på berörda system.
- Sprid information om sårbarheten och se till att alla berörda parter är informerade – inklusive leverantörer och kunder.
Relevanta ISO 27002-kontroller
- ISO 27002 5.14
- ISO 27002 5.20
- ISO 27002 5.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.28
Kompletterande vägledning
En revisionsspår bör hållas över alla relevanta sårbarhetshanteringsaktiviteter, och organisationens sårbarhetshanteringsprocess bör granskas för att säkerställa att den både är lämplig för ändamålet och möter organisationens växande behov.
När det gäller molnbaserad programvara bör organisationen se till att tjänsteleverantörens inställning till sårbarhetshantering är i linje med dess egen. Organisationer bör söka få skriftlig bekräftelse på eventuella skyldigheter via ett bindande serviceavtal (se ISO 27002 Kontroll 5.32).
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.9.6.2 – Begränsning av programvaruinstallation
Referenser ISO 27002 Kontroll 8.19
För att skydda tillgängligheten och integriteten för PII och administrera förändringar bör organisationer:
- Se till att mjukvaruuppdateringar utförs av kompetent personal (se Kontrollkontroll 8.5).
- Se till att koden har lämnat utvecklingsstadiet på ett säkert sätt och är fri från buggar.
- Testa all programvara före uppdatering eller installation för att säkerställa att inga konflikter eller fel uppstår.
- Håll ett uppdaterat programvarubibliotekssystem.
- Upprätthålla ett "konfigurationskontrollsystem" för att administrera operativ programvara.
- Utforma en "återställningsstrategi" som återställer systemen till ett tidigare fungerande tillstånd, för att säkerställa kontinuitet i verksamheten.
- Håll en noggrann logg över alla uppdateringar som utförs.
- Se till att oanvända programvaror – och allt tillhörande material – lagras säkert för vidare användning och analys.
- Arbeta med en mjukvarubegränsningspolicy, som löper i enlighet med organisationens olika roller och ansvarsområden.
När du använder programvara från leverantören, bör applikationer hållas i gott skick och i enlighet med utfärdarens riktlinjer.
ISO gör det uttryckligen klart att organisationer bör undvika att använda programvara som inte stöds om det inte är absolut nödvändigt. Organisationer bör försöka uppgradera befintliga system, snarare än att använda inaktuella eller äldre applikationer som inte stöds.
En leverantör kan kräva åtkomst till en organisations nätverk för att utföra en installation eller uppdatering. Sådana aktiviteter bör alltid vara auktoriserade och övervakade (se ISO 27002 Kontroll 5.22).
Kompletterande vägledning
- Organisationer bör uppgradera, korrigera och installera programvara i enlighet med deras publicerade ändringshanteringsprocedurer.
- Patchar som eliminerar säkerhetssårbarheter eller på annat sätt förbättrar organisatoriskt integritetsskydd bör alltid betraktas som en prioriterad förändring.
- Organisationer bör vara mycket försiktiga med att använda programvara med öppen källkod, och bör identifiera den senaste allmänt tillgängliga versionen för att säkerställa att säkerhetskraven uppfylls i största möjliga utsträckning.
Relevanta ISO 27002-kontroller
- ISO 27002 5.22
- ISO 27002 8.5
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.9.6.1 | Hantering av tekniska sårbarheter |
8.8 – Hantering av tekniska sårbarheter för ISO 27002 |
Ingen |
| 6.9.6.2 | Begränsning av mjukvaruinstallation |
8.19 – Installation av programvara på operativa system för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Med ISMS.online-plattformen kan du integrera en PIMS för att säkerställa att din säkerhetsställning är allt-i-ett-ställe och undviker dubbelarbete där standarder överlappar varandra.
Det har aldrig varit enklare att övervaka, rapportera och granska mot både ISO 27001 och ISO 27701 med dina PIMS direkt tillgängliga för intresserade parter.
Ta reda på hur mycket tid och pengar du sparar på din resa till en kombinerad ISO 27001- och 27701-certifiering med ISMS.online.
