Съвременният пейзаж на киберзаплахите се променя бързо. В съответствие с това е необходимо системната защита на информационната сигурност да се актуализира постоянно и да се доразвива - с модерен, широк и гъвкав каталог от съвременни мерки за информационна сигурност. Новият стандарт ISO/IEC 27001:2022 подкрепя именно тази цел и предвижда единадесет нови контролни механизми, три от които ще разгледаме по-подробно по-долу, които са ефикасни при предотвратяването и откриването на атаки.
Кибератаките остават неразкрити твърде дълго
Изключителната стойност на информацията и данните в света на бизнеса през 21-ви век все повече принуждава компаниите и организациите да се фокусират върху информационната сигурност и да инвестират в системна защита на своите цифрови активи. Защо? В динамичните пейзажи на заплахите тактиките на нападателите стават все по-сложни и многопластови - което води до сериозни щети върху имиджа и репутацията на засегнатите компании и до милиарди долари годишни икономически загуби в световен мащаб.
Експертите са единодушни, че вече не съществува пълна защита срещу кибератаки - най-малкото заради човешкия фактор на несигурност. Поради това ранното откриване на потенциални и реални атаки е още по-важно, за да се ограничи техният страничен вектор в корпоративните мрежи и да се запази броят на компрометираните системи възможно най-нисък. Но в тази област все още има да се наваксва огромно количество: проучване, проведено като част от проучването на IBM "Стойност на нарушенията на сигурността на данните 2022 г.", показва, че през 2022 г. са били необходими средно 277 дни за откриване и ограничаване на атака.
Новият стандарт ISO 27001:2022
За да подпомогне компаниите и организациите със съвременна, стандартизирана рамка за системи за управление на информационната сигурност, ISO публикува новия стандарт за ISMS ISO/IEC 27001:2022 на 25 октомври 2022 г. Приложение А предоставя контроли/мерки, които могат да се използват на специфична за компанията основа за справяне с рисковете за информационната сигурност.
Прилагането на мерките от приложение А в настоящата версия се подпомага от идентично структурираните насоки за прилагане на ISO/IEC 27002:2022, които вече бяха актуализирани. Общите контроли за стратегическо предотвратяване на атаки и по-бързото им откриване са включени наново.
Три нови контроли за откриване и превенция
Сегашните 93 мерки в приложение А на ISO/IEC 27001:2022 са реорганизирани в рамките на актуализацията в четири теми
- Организационни мерки,
- Персонални мерки,
- Физически мерки и
- Технологични мерки.
Три от единадесетте нововъведени контроли за информационна сигурност са свързани с предотвратяването и своевременното откриване на кибератаки. Тези три контрола са
- 5.7 Разузнаване на заплахите (организационно).
- 8.16 Дейности по наблюдение (технологични)
- 8.23 Филтриране на уебсайтове (технологично).
По-долу ще разгледаме по-подробно тези три нови контроли.
Разузнаване на заплахите
Организационният контрол 5.7 се занимава със систематичното събиране и анализиране на информация за съответните заплахи. Целта на мярката е организациите да запознаят собствената си ситуация със заплахите, за да могат впоследствие да предприемат подходящи действия за намаляване на риска. Данните за заплахите трябва да се анализират по структуриран начин в съответствие с три аспекта: стратегически, тактически и оперативен.
Стратегическият анализ на заплахите дава представа за променящите се пейзажи на заплахите, като например видовете атаки и участниците в тях, напр. мотивирани от държавата участници, киберпрестъпници, поръчкови атакуващи, хактивисти. Националните и международните правителствени агенции (като BSI - Германската федерална служба за информационна сигурност, enisa - Агенцията на Европейския съюз за киберсигурност, Министерството на вътрешната сигурност на САЩ или NIST - Националният институт за стандарти и технологии), както и организациите с нестопанска цел и съответните форуми, предоставят добре проучена информация за заплахите във всички отрасли и критични инфраструктури.
DQS Ръководство за одит ISO 27001
Полезно ноу-хау
Нашето ръководство за одит на ISO 27001 - Приложение А е създадено от водещи експерти като практическо ръководство за прилагане, и е отличен начин за по-добро разбиране на избраните изисквания на стандарта. Ръководството все още не се отнася до преработената версия на ISO 27001 от октомври 2022 г.
Тактическото разузнаване на заплахите и неговата оценка предоставят оценки на методите, инструментите и технологиите на нападателите.
Оперативната оценка на конкретни заплахи предоставя подробна информация за конкретни атаки, включително технически индикатори, напр. понастоящем екстремното нарастване на кибератаките чрез ransomware и неговите варианти през 2022 г.
Анализът на заплахите може да осигури подкрепа по следните начини:
- Процедурно за интегриране на данните за заплахите в процеса на управление на риска,
- Технически - за превенция и откриване, напр. чрез актуализиране на правилата на защитната стена, системите за откриване на прониквания (IDS), решенията за борба със зловреден софтуер,
- С входна информация за специфични процедури за изпитване и техники за изпитване на информационната сигурност.
Качеството на данните от организационен контрол 5.7 за определяне на ситуацията на заплаха и нейното анализиране влияе пряко върху двете технически контроли за дейности по наблюдение (8.16) и филтриране на уебсайтове (8.23), разгледани по-долу, които също са нови за ISO/IEC 27002.
Дейности по наблюдение
Детективният и коригиращ контрол за информационна сигурност 8.16 за техническо наблюдение на дейностите се фокусира върху откриването на аномалии като метод за предотвратяване на заплахи. Мрежите, системите и приложенията се държат в съответствие с очакваните модели, като например пропускателна способност на данните, протоколи, съобщения и т.н. Всяка промяна или отклонение от тези очаквани модели се открива като аномалия.
Сертификация по ISO 27001
Какви усилия трябва да положите, за да бъде сертифицирана Вашата ISMS в съответствие с ISO 27001? Получете информация безплатно и без задължение.
Очакваме с нетърпение да разговаряме с вас.
За да се открие това необичайно поведение, съответните дейности трябва да се наблюдават в съответствие с изискванията за бизнес и информационна сигурност и всички аномалии трябва да се сравняват със съществуващите данни за заплахи, наред с други неща (вж. по-горе, изискване 5.7). Следните аспекти са от значение за системата за наблюдение:
- Входящ и изходящ мрежов, системен и приложен трафик,
- Достъп до системи, сървъри, мрежово оборудване, системи за наблюдение, критични приложения и др,
- Файлове за системна и мрежова конфигурация на административно или критично ниво;
- Протоколи на инструменти за сигурност [напр. антивирусни програми, системи за откриване на проникване (IDS), системи за предотвратяване на проникване (IPS), уеб филтри, защитни стени, предотвратяване на изтичане на данни],
- Протоколи за събития, свързани със системни и мрежови дейности,
- Проверка на целостта и оторизацията на изпълнимия код в системата,
- Използване на ресурси, например процесорна мощност, капацитет на диска, използване на паметта, пропускателна способност.
Основните изисквания за функциониращо наблюдение на дейностите са чисто и прозрачно конфигурирана IT/OT инфраструктура и правилно функциониращи IT/OT мрежи. Всяка промяна срещу това основно състояние се открива като потенциална заплаха за функционалността и следователно като аномалия. В зависимост от сложността на инфраструктурата прилагането на тази мярка е голямо предизвикателство въпреки съответните решения на доставчиците. Важността на системите за откриване на аномалии беше призната почти едновременно с изискването 8.16 на ISO/IEC 27002:2022 за операторите на т.нар. критични инфраструктури. По този начин в националния обхват на съответните, законови разпоредби, съществува задължение за тях да прилагат ефективно т.нар. системи за откриване на атаки със срокове.
Уеб филтриране
Интернет е едновременно благословия и проклятие. Достъпът до съмнителни уебсайтове продължава да бъде входна врата за зловредно съдържание и зловреден софтуер. Контролът на информационната сигурност 8.23 Уеб филтриране има превантивна цел да защити собствените системи на организацията от проникване на злонамерен софтуер и да предотврати достъпа до неоторизирани уеб ресурси. За тази цел организациите трябва да установят правила за безопасно и подходящо използване на онлайн ресурсите - включително задължителни ограничения на достъпа до нежелани или неподходящи уебсайтове и уеб базирани приложения. Достъпът до следните видове уебсайтове трябва да бъде блокиран от организацията:
- Уебсайтове, които имат функция за качване - освен ако това не е необходимо по законни, бизнес причини,
- Известни или дори предполагаеми злонамерени уебсайтове,
- Командни и контролни сървъри,
- Злонамерени уебсайтове, идентифицирани като такива от данните за заплахите (вж. също мярка 5.7),
- Уебсайтове с незаконно съдържание.
Мярката за филтриране на уеб страници работи реално само с обучен персонал, който е достатъчно осведомен за безопасното и подходящо използване на онлайн ресурси.
Техническо заключение
Описаните тук нови мерки за откриване и превенция играят ключова роля в защитата срещу организираната киберпрестъпност и с право са намерили място в настоящите версии на ISO/IEC 27001 и ISO/IEC 27002. С непрекъснатото актуализиране и анализиране на наличната информация за заплахите, широкото наблюдение на активността в собствените ИТ инфраструктури и защитата на собствените системи от съмнителни уебсайтове, компаниите трайно засилват защитата си срещу проникването на опасен зловреден софтуер. Освен това те се поставят в позиция да инициират подходящи мерки за реакция на ранен етап.
Сега дружествата и организациите трябва да приложат съответно трите представени контроли/мерки и да ги интегрират последователно в своята ISMS, за да отговорят на изискванията на бъдещите сертификационни одити. DQS има повече от 35 години всеобхватен опит в областта на безпристрастните одити и сертифициране - и с удоволствие ще Ви подкрепи в управлението на промените във Вашата система за управление на информационната сигурност в съответствие с ISO/IEC 27001:2022.
Какво означава актуализацията за Вашата сертификация?
ISO/IEC 27001:2022 е публикуван на 25 октомври 2022 г. Това води до следните крайни срокове и времеви рамки за преход на потребителите:
Последна дата за сертификация по "стария" ISO 27001:2013:
- След 30 април 2024 г. DQS ще извършва първоначални и ресертификационни одити само по новия стандарт ISO/IEC 27001:2022
- Преобразуване на всички съществуващи сертификати съгласно "стария" ISO/IEC 27001:2013 към новия ISO/IEC 27001:2022: От 31 октомври 2022 г. се прилага тригодишен преходен период. Сертификатите, издадени съгласно ISO/IEC 27001:2013 или DIN EN ISO/IEC 27001:2017, ще бъдат валидни най-късно до 31 октомври 2025 г. или трябва да бъдат оттеглени на тази дата.
Най-съвременна ISMS с опита на DQS
При преминаването към новата версия на ISO/IEC 27001 организациите все още разполагат с известно време. Настоящите сертификати, базирани на стария стандарт, ще загубят валидността си на 31.10.2025 г. Въпреки това е добре да се справите с променените изисквания на ISMS на ранен етап, да инициирате подходящи процеси на промяна и да ги приложите по подходящ начин.
В качеството си на експерти по одити и сертифициране с опит от повече от три десетилетия, ние Ви подкрепяме в прилагането на новия стандарт. Научете от нашите многобройни опитни одитори за най-важните промени и тяхното значение за Вашата организация - и се доверете на нашата експертиза. Заедно ще обсъдим потенциала Ви за подобрение и ще Ви подкрепим, докато получите новия сертификат. Ще се радваме да се свържем с Вас.
DQS Бюлетин
Markus Jegelka
DQS експерт по системи за информационна сигурност (ISMS) и дългогодишен одитор по стандарти ISO 9001, ISO/IEC 27001 каталог за ИТ сигурност съгласно параграф 11.1а от германския Закон за енергийната индустрия (EnWG)