Kontroll 8.8, Håndtering av tekniske sårbarheter

ISO 27002:2022 – Kontroll 8.8 – Håndtering av tekniske sårbarheter

ISO 27002:2022 Kontroll 8.8 legger vekt på proaktiv identifisering, vurdering og redusering av tekniske sårbarheter i IT-systemer. Organisasjoner bør vedlikeholde aktivabeholdninger, gjennomføre regelmessige sårbarhetsvurderinger, bruke patcher umiddelbart og integrere sikkerhetstiltak for å minimere risiko.

Formål med kontroll 8.8

Ingen datanettverk, system, programvare eller enheter er 100 % sikre. Sårbarheter er en del av det å drive et moderne LAN eller WAN, og det er viktig for organisasjoner å erkjenne at for det første eksisterer de, og for det andre behovet for å minimere risikoen der de har potensial til å oppstå.

Kontroll 8.8 inneholder en betydelig mengde råd som hjelper organisasjoner med å forhindre intern og ekstern utnyttelse av sårbarheter på tvers av hele nettverket. Kontroll 8.8 er avhengig av støttende prosedyrer og retningslinjer fra en rekke andre ISO 27002:2022 kontroller, spesielt de som er relatert til endringshåndtering (se kontroll 8.32) og tilgangskontrollprotokoller.

Attributttabell for kontroll 8.8

Kontroll 8.8 er en forebyggende kontrollere det opprettholder risiko ved å implementere prosedyrer som samler informasjon om tekniske sårbarheter og lar organisasjonen iverksette passende tiltak for å sikre eiendeler, systemer, data og maskinvare.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Identifisere	#Trussel- og sårbarhetshåndtering	#Governance og økosystem
	#Integritet	#Beskytte		#Beskyttelse
	#Tilgjengelighet			#Forsvar

Eierskap til kontroll 8.8

Kontroll 8.8 omhandler teknisk og administrativ forvaltning av programvare, systemer og IKT-ressurser. Noen av retningslinjene innebærer å implementere en svært detaljert tilnærming til programvareadministrasjon, aktivaadministrasjon og revisjon av nettverkssikkerhet.

Som sådan bør eierskapet til Kontroll 8.8 ligge hos den enkelte som har det overordnede ansvaret for å vedlikeholde organisasjonens IKT-infrastruktur, for eksempel IT-sjefen eller tilsvarende organisatorisk.

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Veiledning – Identifisering av sårbarheter

Før implementering og sårbarhetskontroller, er det viktig å få en fullstendig og oppdatert liste over fysiske og digitale eiendeler (se kontrollene 5.9 og 5.14) som eies og drives av organisasjonen.

Informasjon om programvareressurser bør inkludere:

Leverandørnavn
Programnavn
Versjonsnummer i drift
Hvor programvaren er distribuert over eiendommen

Når organisasjoner prøver å finne tekniske sårbarheter, bør:

Beskriv tydelig hvem (innenfor organisasjonen) som er ansvarlig for sårbarhetshåndtering fra et teknisk perspektiv, i samsvar med dens ulike funksjoner, inkludert (men ikke begrenset til):

Kapitalforvaltning
Risikovurdering
Overvåking
Oppdatering

Hvem er ansvarlig for programvaren i organisasjonen
Opprettholde en oversikt over applikasjoner og ressurser som vil bli brukt til å identifisere tekniske sårbarheter.
Be leverandører og leverandører om å avsløre sårbarheter ved levering av nye systemer og maskinvare (se kontroll 5.20), og spesifiser som sådan i alle relevante kontrakter og tjenesteavtaler.
Benytt deg av verktøy for sårbarhetsskanning, inkludert oppdateringsfasiliteter.
Gjennomfør regelmessige, dokumenterte penetrasjonstester – enten internt eller via en sertifisert tredjepart.
Vær oppmerksom på bruken av tredjeparts kodebiblioteker og/eller kildekode for underliggende programmatiske sårbarheter (se kontroll 8.28).

Veiledning – Offentlige aktiviteter

I tillegg til interne systemer bør organisasjoner utvikle retningslinjer og prosedyrer som oppdager sårbarheter på tvers av alle sine produkter og tjenester, og motta sårbarhetsvurderinger knyttet til levering av nevnte produkter og tjenester.

ISO råder organisasjoner til å gjøre en offentlig innsats for å spore opp eventuelle sårbarheter, og oppmuntre tredjeparter til å engasjere seg i sårbarhetshåndteringsarbeid gjennom bruk av dusørprogrammer (hvor utnyttelser letes etter og rapporteres til organisasjonen for en belønning).

Organisasjoner bør gjøre seg tilgjengelige for allmennheten gjennom fora, offentlige e-postadresser og forskningsaktivitet, slik at den kollektive kunnskapen til allmennheten kan brukes til å sikre produkter og tjenester ved kilden.

Der det er iverksatt avhjelpende tiltak som påvirker brukere eller kunder, bør organisasjoner vurdere å gi ut relevant informasjon til de berørte personene eller organisasjonene, og ta kontakt med spesialiserte sikkerhetsorganisasjoner for å spre informasjon om sårbarheter og angrepsvektorer.

I tillegg bør organisasjoner vurdere å tilby en automatisk oppdateringsprosedyre som kunder kan velge seg inn eller ut av, basert på deres forretningsbehov.

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din

Veiledning – Evaluering av sårbarheter

Tilstrekkelig rapportering er nøkkelen til å sikre rask og effektiv utbedring når sårbarheter oppdages.

Når de evaluerer sårbarheter, bør organisasjoner:

Analyser nøye eventuelle rapporter og avgjør hvilke tiltak som må iverksettes, inkludert (men ikke begrenset til) endring, oppdatering eller fjerning av berørte systemer og/eller maskinvare.
Bli enige om en resolusjon som tar hensyn til andre ISO-kontroller (spesielt de som er knyttet til ISO 27002:2022) og anerkjenner risikonivået.

Veiledning – motvirke programvaresårbarheter

Programvaresårbarheter bekjempes best med en proaktiv tilnærming til programvareoppdateringer og patchadministrasjon.

Før eventuelle endringer implementeres, bør organisasjoner sørge for at eksisterende programvareversjoner beholdes, alle endringer er fullstendig testet og brukt på en utpekt kopi av programvaren.

Ved direkte adressering av sårbarheter etter at de er identifisert, bør organisasjoner:

Søk å løse alle sårbarheter på en rettidig og effektiv måte.
Der det er mulig, følg de organisatoriske prosedyrene for endringsledelse (se kontroll 8.32) og hendelsesrespons (se kontroll 5.26).
Bruk kun oppdateringer og oppdateringer som kommer fra pålitelige og/eller sertifiserte kilder, spesielt i vasen med tredjepartsleverandørers programvare og utstyr.

Når det gjelder leverandørprogramvare, bør organisasjoner foreta en vurdering basert på den tilgjengelige informasjonen om hvorvidt det er nødvendig å bruke automatiske oppdateringer (eller deler av disse) til anskaffet programvare og maskinvare.

Test eventuelle oppdateringer som kreves før installasjon, for å unngå uforutsette hendelser i et operativt miljø.
Søk å ta opp høyrisiko og forretningskritiske systemer som en prioritet.
Sørg for at eventuelle utbedringstiltak er effektive og autentiske.

I tilfelle en oppdatering ikke er tilgjengelig, eller problemer som hindrer at en oppdatering blir installert (som kostnadsproblemer), bør organisasjoner vurdere andre tiltak, for eksempel:

Spør leverandøren om råd om en løsning eller "klistrepuss"-løsning mens utbedringsarbeidet øker.
Deaktivering eller stopp av nettverkstjenester som er berørt av sikkerhetsproblemet.
Implementering av nettverkssikkerhetskontroller ved kritiske gateway-punkter, inkludert trafikkregler og filtre.
Øke det overordnede overvåkingsnivået i tråd med tilhørende risiko.
Sørg for at alle berørte parter er klar over sårbarheten, inkludert leverandører og kunder.
Utsettelse av oppdateringen for bedre å evaluere de tilknyttede risikoene, spesielt der driftskostnader kan være et problem.

Støttekontroller

5.14
5.20
5.9
8.20
8.22
8.28

Supplerende veiledning om kontroll 8.8

Organisasjoner bør føre en revisjonslogg over alle relevante sårbarhetshåndteringsaktiviteter for å hjelpe til med utbedring og forbedre prosedyrer i tilfelle en sikkerhetshendelse.
Hele sårbarhetshåndteringsprosessen bør gjennomgås og evalueres med jevne mellomrom, for å forbedre ytelsen og identifisere flere sårbarheter ved kilden.
Hvis organisasjonen brukte programvare som hostes av en skytjenesteleverandør, bør organisasjonen sørge for at tjenesteleverandørens holdning til sårbarhetshåndtering er på linje med dens egen, og bør utgjøre en sentral del av enhver bindende tjenesteavtale mellom de to partene, inkludert eventuelle rapporteringsprosedyrer (se Kontroll 5.32).

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

ISO 27002:2022-8.8 erstatter to kontroller fra ISO 27002:2013:

12.6.1 – Håndtering av tekniske sårbarheter
18.2.3 – Teknisk samsvarsgjennomgang

27002:2022-8.8 representerer en fundamentalt annen tilnærming til sårbarhetshåndtering enn den som finnes i 27002:2013.

27002:2013-12.6.1 er i stor grad opptatt av implementering av utbedrende tiltak når en sårbarhet er identifisert, mens 18.2.3 er begrenset til tekniske verktøy (for det meste penetrasjonstesting).

27002:2022-8.8 inneholder helt nye avsnitt om temaer som en organisasjons offentlige aktiviteter, hvordan sårbarheter identifiseres i utgangspunktet og rollen som skyleverandører spiller for å sikre at sårbarheter holdes på et minimum.

Totalt sett legger ISO større vekt på rollen som sårbarhetsstyring spiller i andre områder av 27002:2022 (spesielt endringsstyring), og tar til orde for en helhetlig tilnærming som trekker inn en rekke andre kontroller og informasjonssikkerhetsprosedyrer.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Vår plattform er intuitiv og enkel å bruke. Det er ikke bare for svært tekniske mennesker; det er for alle i organisasjonen din. Vi oppfordrer deg til å involvere ansatte på alle nivåer i virksomheten din i prosessen med å bygge ditt ISMS, fordi det hjelper deg å bygge et virkelig bærekraftig system.

Ta kontakt i dag for å bestill en demo.

Toby Cane

Partner Customer Success Manager

Toby Cane er Senior Partner Success Manager for ISMS.online. Han har jobbet for selskapet i nesten fire år og har hatt en rekke roller, inkludert å være vert for webinarer. Før han jobbet med SaaS, var Toby lærer på ungdomsskolen.

Vi er ledende innen vårt felt