ISO 27002:2022, Kontroll 8.8 – Håndtering av tekniske sårbarheter

Eierskap til kontroll 8.8

Kontroll 8.8 omhandler teknisk og administrativ forvaltning av programvare, systemer og IKT-ressurser. Noen av retningslinjene innebærer å implementere en svært detaljert tilnærming til programvareadministrasjon, aktivaadministrasjon og revisjon av nettverkssikkerhet.

Som sådan bør eierskapet til Kontroll 8.8 ligge hos den enkelte som har det overordnede ansvaret for å vedlikeholde organisasjonens IKT-infrastruktur, for eksempel IT-sjefen eller tilsvarende organisatorisk.

Veiledning – Identifisering av sårbarheter

Før implementering og sårbarhetskontroller, er det viktig å få en fullstendig og oppdatert liste over fysiske og digitale eiendeler (se kontrollene 5.9 og 5.14) som eies og drives av organisasjonen.

Informasjon om programvareressurser bør inkludere:

• Leverandørnavn
• Programnavn
• Versjonsnummer i drift
• Hvor programvaren er distribuert over eiendommen

Når organisasjoner prøver å finne tekniske sårbarheter, bør:

1. Beskriv tydelig hvem (innenfor organisasjonen) som er ansvarlig for sårbarhetshåndtering fra et teknisk perspektiv, i samsvar med dens ulike funksjoner, inkludert (men ikke begrenset til):
• Kapitalforvaltning
• Risikovurdering
• Overvåking
• Oppdatering
2. Hvem er ansvarlig for programvaren i organisasjonen
3. Opprettholde en oversikt over applikasjoner og ressurser som vil bli brukt til å identifisere tekniske sårbarheter.
   

4. Be leverandører og leverandører om å avsløre sårbarheter ved levering av nye systemer og maskinvare (se kontroll 5.20), og spesifiser som sådan i alle relevante kontrakter og tjenesteavtaler.
5. Benytt deg av verktøy for sårbarhetsskanning, inkludert oppdateringsfasiliteter.
6. Gjennomfør regelmessige, dokumenterte penetrasjonstester – enten internt eller via en sertifisert tredjepart.
7. Vær oppmerksom på bruken av tredjeparts kodebiblioteker og/eller kildekode for underliggende programmatiske sårbarheter (se kontroll 8.28).

Veiledning – Offentlige aktiviteter

I tillegg til interne systemer bør organisasjoner utvikle retningslinjer og prosedyrer som oppdager sårbarheter på tvers av alle sine produkter og tjenester, og motta sårbarhetsvurderinger knyttet til levering av nevnte produkter og tjenester.

ISO råder organisasjoner til å gjøre en offentlig innsats for å spore opp eventuelle sårbarheter, og oppmuntre tredjeparter til å engasjere seg i sårbarhetshåndteringsarbeid gjennom bruk av dusørprogrammer (hvor utnyttelser letes etter og rapporteres til organisasjonen for en belønning).

Organisasjoner bør gjøre seg tilgjengelige for allmennheten gjennom fora, offentlige e-postadresser og forskningsaktivitet, slik at den kollektive kunnskapen til allmennheten kan brukes til å sikre produkter og tjenester ved kilden.

Der det er iverksatt avhjelpende tiltak som påvirker brukere eller kunder, bør organisasjoner vurdere å gi ut relevant informasjon til de berørte personene eller organisasjonene, og ta kontakt med spesialiserte sikkerhetsorganisasjoner for å spre informasjon om sårbarheter og angrepsvektorer.

I tillegg bør organisasjoner vurdere å tilby en automatisk oppdateringsprosedyre som kunder kan velge seg inn eller ut av, basert på deres forretningsbehov.

Veiledning – Evaluering av sårbarheter

Tilstrekkelig rapportering er nøkkelen til å sikre rask og effektiv utbedring når sårbarheter oppdages.

Når de evaluerer sårbarheter, bør organisasjoner:

1. Analyser nøye eventuelle rapporter og avgjør hvilke tiltak som må iverksettes, inkludert (men ikke begrenset til) endring, oppdatering eller fjerning av berørte systemer og/eller maskinvare.
2. Bli enige om en resolusjon som tar hensyn til andre ISO-kontroller (spesielt de som er knyttet til ISO 27002:2022) og anerkjenner risikonivået.

Veiledning – motvirke programvaresårbarheter

Programvaresårbarheter bekjempes best med en proaktiv tilnærming til programvareoppdateringer og patchadministrasjon.

Før eventuelle endringer implementeres, bør organisasjoner sørge for at eksisterende programvareversjoner beholdes, alle endringer er fullstendig testet og brukt på en utpekt kopi av programvaren.

Ved direkte adressering av sårbarheter etter at de er identifisert, bør organisasjoner:

1. Søk å løse alle sårbarheter på en rettidig og effektiv måte.
2. Der det er mulig, følg de organisatoriske prosedyrene for endringsledelse (se kontroll 8.32) og hendelsesrespons (se kontroll 5.26).
3. Bruk kun oppdateringer og oppdateringer som kommer fra pålitelige og/eller sertifiserte kilder, spesielt i vasen med tredjepartsleverandørers programvare og utstyr.
• Når det gjelder leverandørprogramvare, bør organisasjoner foreta en vurdering basert på den tilgjengelige informasjonen om hvorvidt det er nødvendig å bruke automatiske oppdateringer (eller deler av disse) til anskaffet programvare og maskinvare.
4. Test eventuelle oppdateringer som kreves før installasjon, for å unngå uforutsette hendelser i et operativt miljø.
5. Søk å ta opp høyrisiko og forretningskritiske systemer som en prioritet.
6. Sørg for at eventuelle utbedringstiltak er effektive og autentiske.

I tilfelle en oppdatering ikke er tilgjengelig, eller problemer som hindrer at en oppdatering blir installert (som kostnadsproblemer), bør organisasjoner vurdere andre tiltak, for eksempel:

1. Spør leverandøren om råd om en løsning eller "klistrepuss"-løsning mens utbedringsarbeidet øker.
2. Deaktivering eller stopp av nettverkstjenester som er berørt av sikkerhetsproblemet.
3. Implementering av nettverkssikkerhetskontroller ved kritiske gateway-punkter, inkludert trafikkregler og filtre.
4. Øke det overordnede overvåkingsnivået i tråd med tilhørende risiko.
5. Sørg for at alle berørte parter er klar over sårbarheten, inkludert leverandører og kunder.
6. Utsettelse av oppdateringen for bedre å evaluere de tilknyttede risikoene, spesielt der driftskostnader kan være et problem.

Støttekontroller

• 5.14
• 5.20
• 5.9
• 8.20
• 8.22
• 8.28

Supplerende veiledning om kontroll 8.8

• Organisasjoner bør føre en revisjonslogg over alle relevante sårbarhetshåndteringsaktiviteter for å hjelpe til med utbedring og forbedre prosedyrer i tilfelle en sikkerhetshendelse.
• Hele sårbarhetshåndteringsprosessen bør gjennomgås og evalueres med jevne mellomrom, for å forbedre ytelsen og identifisere flere sårbarheter ved kilden.
• Hvis organisasjonen brukte programvare som hostes av en skytjenesteleverandør, bør organisasjonen sørge for at tjenesteleverandørens holdning til sårbarhetshåndtering er på linje med dens egen, og bør utgjøre en sentral del av enhver bindende tjenesteavtale mellom de to partene, inkludert eventuelle rapporteringsprosedyrer (se Kontroll 5.32).

Endringer og forskjeller fra ISO 27002:2013

ISO 27002:2022-8.8 erstatter to kontroller fra ISO 27002:2013:

• 12.6.1 – Håndtering av tekniske sårbarheter
• 18.2.3 – Teknisk samsvarsgjennomgang

27002:2022-8.8 representerer en fundamentalt annen tilnærming til sårbarhetshåndtering enn den som finnes i 27002:2013.

27002:2013-12.6.1 er i stor grad opptatt av implementering av utbedrende tiltak når en sårbarhet er identifisert, mens 18.2.3 er begrenset til tekniske verktøy (for det meste penetrasjonstesting).

27002:2022-8.8 inneholder helt nye avsnitt om temaer som en organisasjons offentlige aktiviteter, hvordan sårbarheter identifiseres i utgangspunktet og rollen som skyleverandører spiller for å sikre at sårbarheter holdes på et minimum.

Totalt sett legger ISO større vekt på rollen som sårbarhetsstyring spiller i andre områder av 27002:2022 (spesielt endringsstyring), og tar til orde for en helhetlig tilnærming som trekker inn en rekke andre kontroller og informasjonssikkerhetsprosedyrer.

Hvordan ISMS.online hjelper

Vår plattform er intuitiv og enkel å bruke. Det er ikke bare for svært tekniske mennesker; det er for alle i organisasjonen din. Vi oppfordrer deg til å involvere ansatte på alle nivåer i virksomheten din i prosessen med å bygge ditt ISMS, fordi det hjelper deg å bygge et virkelig bærekraftig system.

Ta kontakt i dag for å bestill en demo.