Ingen datanettverk, system, programvare eller enheter er 100 % sikre. Sårbarheter er en del av det å drive et moderne LAN eller WAN, og det er viktig for organisasjoner å erkjenne at for det første eksisterer de, og for det andre behovet for å minimere risikoen der de har potensial til å oppstå.
Kontroll 8.8 inneholder en betydelig mengde råd som hjelper organisasjoner med å forhindre intern og ekstern utnyttelse av sårbarheter på tvers av hele nettverket. Kontroll 8.8 er avhengig av støttende prosedyrer og retningslinjer fra en rekke andre ISO 27002:2022 kontroller, spesielt de som er relatert til endringshåndtering (se kontroll 8.32) og tilgangskontrollprotokoller.
Kontroll 8.8 er en forebyggende kontrollere det opprettholder risiko ved å implementere prosedyrer som samler informasjon om tekniske sårbarheter og lar organisasjonen iverksette passende tiltak for å sikre eiendeler, systemer, data og maskinvare.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere #Beskytte | #Trussel- og sårbarhetshåndtering | #Governance og økosystem #Beskyttelse #Forsvar |
Kontroll 8.8 omhandler teknisk og administrativ forvaltning av programvare, systemer og IKT-ressurser. Noen av retningslinjene innebærer å implementere en svært detaljert tilnærming til programvareadministrasjon, aktivaadministrasjon og revisjon av nettverkssikkerhet.
Som sådan bør eierskapet til Kontroll 8.8 ligge hos den enkelte som har det overordnede ansvaret for å vedlikeholde organisasjonens IKT-infrastruktur, for eksempel IT-sjefen eller tilsvarende organisatorisk.
Før implementering og sårbarhetskontroller, er det viktig å få en fullstendig og oppdatert liste over fysiske og digitale eiendeler (se kontrollene 5.9 og 5.14) som eies og drives av organisasjonen.
Informasjon om programvareressurser bør inkludere:
Når organisasjoner prøver å finne tekniske sårbarheter, bør:
I tillegg til interne systemer bør organisasjoner utvikle retningslinjer og prosedyrer som oppdager sårbarheter på tvers av alle sine produkter og tjenester, og motta sårbarhetsvurderinger knyttet til levering av nevnte produkter og tjenester.
ISO råder organisasjoner til å gjøre en offentlig innsats for å spore opp eventuelle sårbarheter, og oppmuntre tredjeparter til å engasjere seg i sårbarhetshåndteringsarbeid gjennom bruk av dusørprogrammer (hvor utnyttelser letes etter og rapporteres til organisasjonen for en belønning).
Organisasjoner bør gjøre seg tilgjengelige for allmennheten gjennom fora, offentlige e-postadresser og forskningsaktivitet, slik at den kollektive kunnskapen til allmennheten kan brukes til å sikre produkter og tjenester ved kilden.
Der det er iverksatt avhjelpende tiltak som påvirker brukere eller kunder, bør organisasjoner vurdere å gi ut relevant informasjon til de berørte personene eller organisasjonene, og ta kontakt med spesialiserte sikkerhetsorganisasjoner for å spre informasjon om sårbarheter og angrepsvektorer.
I tillegg bør organisasjoner vurdere å tilby en automatisk oppdateringsprosedyre som kunder kan velge seg inn eller ut av, basert på deres forretningsbehov.
Tilstrekkelig rapportering er nøkkelen til å sikre rask og effektiv utbedring når sårbarheter oppdages.
Når de evaluerer sårbarheter, bør organisasjoner:
Programvaresårbarheter bekjempes best med en proaktiv tilnærming til programvareoppdateringer og patchadministrasjon.
Før eventuelle endringer implementeres, bør organisasjoner sørge for at eksisterende programvareversjoner beholdes, alle endringer er fullstendig testet og brukt på en utpekt kopi av programvaren.
Ved direkte adressering av sårbarheter etter at de er identifisert, bør organisasjoner:
I tilfelle en oppdatering ikke er tilgjengelig, eller problemer som hindrer at en oppdatering blir installert (som kostnadsproblemer), bør organisasjoner vurdere andre tiltak, for eksempel:
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
ISO 27002:2022-8.8 erstatter to kontroller fra ISO 27002:2013:
27002:2022-8.8 representerer en fundamentalt annen tilnærming til sårbarhetshåndtering enn den som finnes i 27002:2013.
27002:2013-12.6.1 er i stor grad opptatt av implementering av utbedrende tiltak når en sårbarhet er identifisert, mens 18.2.3 er begrenset til tekniske verktøy (for det meste penetrasjonstesting).
27002:2022-8.8 inneholder helt nye avsnitt om temaer som en organisasjons offentlige aktiviteter, hvordan sårbarheter identifiseres i utgangspunktet og rollen som skyleverandører spiller for å sikre at sårbarheter holdes på et minimum.
Totalt sett legger ISO større vekt på rollen som sårbarhetsstyring spiller i andre områder av 27002:2022 (spesielt endringsstyring), og tar til orde for en helhetlig tilnærming som trekker inn en rekke andre kontroller og informasjonssikkerhetsprosedyrer.
Vår plattform er intuitiv og enkel å bruke. Det er ikke bare for svært tekniske mennesker; det er for alle i organisasjonen din. Vi oppfordrer deg til å involvere ansatte på alle nivåer i virksomheten din i prosessen med å bygge ditt ISMS, fordi det hjelper deg å bygge et virkelig bærekraftig system.
Ta kontakt i dag for å bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |