Konfigurasjoner – enten de fungerer som en enkelt konfigurasjonsfil, eller en gruppe konfigurasjoner koblet sammen – er de underliggende parameterne som styrer hvordan maskinvare, programvare og til og med hele nettverk administreres.
For eksempel vil en brannmurs konfigurasjonsfil inneholde grunnlinjeattributtene som enheten bruker for å administrere trafikk til og fra en organisasjons nettverk, inkludert blokkeringslister, portvideresending, virtuelle LAN og VPN-informasjon.
Konfigurasjonsadministrasjon er en integrert del av en organisasjons bredere aktivaforvaltningsoperasjon. Konfigurasjoner er nøkkelen for å sikre at et nettverk ikke bare fungerer som det skal være, men også for å sikre enheter mot uautoriserte endringer eller feilaktige endringer fra vedlikeholdspersonell og/eller leverandører.
Kontroll 8.9 er en forebyggende kontrollere det opprettholder risiko ved å etablere en rekke retningslinjer som styrer hvordan en organisasjon dokumenterer, implementerer, overvåker og vurderer bruken av konfigurasjoner på tvers av hele nettverket.
Konfigurasjonsadministrasjon er utelukkende en administrativ oppgave som omhandler vedlikehold og overvåking av informasjon og data på aktivasiden som finnes på et bredt spekter av enheter og applikasjoner. Som sådan bør eierskapet ligge hos IT-sjefen, eller tilsvarende organisatorisk.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Sikker konfigurasjon | #Beskyttelse |
I det hele tatt, organisasjonens behov for å utarbeide og implementere retningslinjer for konfigurasjonsadministrasjon for både nye systemer og maskinvare, og alle som allerede er i bruk. Internkontroll bør inkludere forretningskritiske elementer som sikkerhetskonfigurasjoner, all maskinvare som inneholder en konfigurasjonsfil og eventuelle relevante programvareapplikasjoner eller systemer.
Kontroll 8.9 ber organisasjoner om å vurdere alle relevante roller og ansvar når de implementerer en konfigurasjonspolicy, inkludert delegert eierskap til konfigurasjoner på enhet-for-enhet, eller applikasjon-for-applikasjon basis.
Der det er mulig, bør organisasjoner bruke standardiserte maler for å sikre all maskinvare, programvare og systemer. Maler bør:
Sikkerhet er avgjørende når du bruker konfigurasjonsmaler, eller endrer eksisterende maler i tråd med veiledningen ovenfor.
Når de vurderer standardmaler for bruk på tvers av organisasjonen, bør organisasjoner for å minimere informasjonssikkerhetsrisikoer:
En organisasjon har et ansvar for å vedlikeholde og lagre konfigurasjoner, inkludert å holde et revisjonsspor for eventuelle endringer eller nye installasjoner, i tråd med en publisert endringsbehandlingsprosess (se kontroll 8.32).
Logger bør inneholde informasjon som skisserer:
Organisasjoner bør implementere et bredt spekter av teknikker for å overvåke driften av konfigurasjonsfiler på tvers av nettverket, inkludert:
Organisasjoner bør konfigurere spesialisert programvare for å spore eventuelle endringer i en enhets konfigurasjon, og iverksette passende tiltak for å rette opp endringen så snart som mulig, enten ved å validere endringen eller tilbakestille konfigurasjonen til dens opprinnelige tilstand.
Ingen. Kontroll 8.9 har ingen presedens i ISO 27002:2013 da den er ny.
ISMS.Online er en komplett løsning for implementering av ISO 27002.
Det er et nettbasert system som lar deg vise at ditt styringssystem for informasjonssikkerhet (ISMS) er i samsvar med de godkjente standardene ved hjelp av gjennomtenkte prosesser og prosedyrer og sjekklister.
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |