Управление на конфигурацията в информационната сигурност

СЪДЪРЖАНИЕ

• Нарастваща сложност и заплахи
• Управление на конфигурацията в контекста на ISO 27001:2022
• Контрол 8.9 "Управление на конфигурацията"
• Управление на конфигурацията в информационната сигурност - Заключение
• DQS: Вашият контакт за сертифицирана информационна сигурност

Нарастваща сложност и заплахи

Неправилните настройки и конфигурации за сигурност крият неизчислими рискове за информационната сигурност. С оглед на нарастващата сложност на съвременните ИТ среди управлението на конфигурациите - т.е. непрекъснатото и систематично определяне, документиране, прилагане, наблюдение и преглед на конфигурациите за сигурност - се превръща в предизвикателна задача, която обхваща и управлението на съответствието на организацията.

За външен наблюдател ИТ инфраструктурата представлява объркваща мрежа от приложения, устройства, мрежови компоненти и услуги, независимо дали са хоствани на място или в облак. Особено последните са се увеличили драстично по време на пандемията от коронавируса. За ИТ екипите обаче конфигурирането на нарастващия брой системни компоненти и непрекъснатото наблюдение и адаптиране на конфигурациите на системите означава значителен обем работа, който често претоварва служителите. Без системно управление на конфигурацията това може да доведе до значителен риск за сигурността и загуба или злоупотреба с данни (включително лични данни).

В крайна сметка 81% от мениджърите по сигурността в германско проучване от 2022 г. заявяват, че уязвимостите и неизвестните неправилни конфигурации причиняват най-големите проблеми със сигурността в техните инфраструктури. А в Pandemic Eleven, проучване на Cloud Security Alliance за най-сериозните уязвимости в изчислителните облаци по време на пандемия, неправилните конфигурации също са на видно трето място.

Следователно логично следствие от развитието през последните години е да се обърне по-голямо внимание на управлението на конфигурациите в информационните технологии, например в контекста на неоторизирания достъп. Ето защо е правилно, че новият стандарт ISO/IEC 27001:2022 е посветил отделен контрол на информационната сигурност на тази тема.

Управление на конфигурацията в контекста на ISO 27001:2022

Преструктурираното приложение А на ISO 27001 от 2022 г. съдържа 93 мерки (контроли) за информационна сигурност, включително 11 нови. С актуализацията контролите вече са организирани тематично в четири раздела

• Организационни мерки
• Персонални мерки
• Физически мерки
• Технологични мерки

Сигурното управление на конфигурациите в информационните технологии попада в тематичната област на технологичните или техническите мерки и е посочено в допълнение А в точка 8.9. То е един от превантивните инструменти, които подпомагат и трите цели на защитата на информационната сигурност (поверителност, цялостност и наличност).

Стандартни образци

Определянето на стандартни шаблони помага на организациите да систематизират своето управление на конфигурацията. При това разработване трябва да се вземат предвид следните основни аспекти:

• Публично достъпни насоки, например от доставчици или независими органи по сигурността
• Необходими нива на защита за осигуряване на адекватна сигурност
• Подкрепа за вътрешна политика за информационна сигурност, специфични за темата насоки, стандарти и други изисквания за сигурност
• Осъществимост и приложимост на конфигурациите в контекста на организацията

Разработените стандартни шаблони трябва да се преглеждат и актуализират редовно, особено когато е необходимо да се обърне внимание на нови заплахи или уязвимости или когато в организацията се въвеждат нови версии на софтуера или хардуера.

Има и редица други моменти, които трябва да се вземат предвид при създаването на шаблоните. Всички те спомагат за предотвратяване на неоторизирани или неправилни промени в конфигурациите:

• Намаляване на броя на идентичностите с привилегировани или административни права на достъп
• Деактивиране на ненужни, неизползвани или несигурни идентичности
• Деактивиране или ограничаване на функции и услуги, които не са необходими
• Ограничаване на достъпа до мощни помощни програми и настройки на параметрите на хоста
• Синхронизиране на часовници
• Промяна на данните за удостоверяване по подразбиране и паролите по подразбиране на производителя веднага след инсталиране и проверка на важни параметри, свързани със сигурността
• Извикване на средства за изчакване, които автоматично изключват компютърните устройства след определен период на неактивност
• Проверка дали са изпълнени изискванията за лиценз

Управление и наблюдение на конфигурациите

Всички конфигурации трябва да се записват и промените да се регистрират надеждно, за да се изключат погрешни конфигурации след инцидент. Тази информация трябва да се съхранява по сигурен начин, например в бази данни за конфигурации или в шаблони.

Всички промени се извършват в съответствие с контрол 8.32 "Контрол на промените", който описва насока за промени в насоките за обработка на информация и информационните системи. Конфигурационните записи трябва да съдържат цялата информация, необходима за проследяване както на състоянието на дадена ИТ система или актив, така и на всички промени, направени в нея по всяко време. Това включва например следната информация

• Текуща информация за въпросния актив - Кой е собственикът или лицето за контакт?
• Дата на последната промяна в конфигурацията
• Версия на шаблона за конфигурация
• Връзки и взаимоотношения с конфигурациите на други активи

Изчерпателен набор от инструменти за управление на системата - като програми за поддръжка, дистанционна поддръжка, инструменти за управление на предприятието и софтуер за архивиране и възстановяване - помага за наблюдение и редовна проверка на конфигурациите. С помощта на тези инструменти мениджърите могат да проверяват настройките на конфигурацията, да оценяват силата на паролите и да оценяват извършените дейности.

Действителните състояния също могат да бъдат сравнявани с определените целеви шаблони и в случай на отклонения да бъдат инициирани подходящи реакции - чрез автоматично налагане на определената целева конфигурация или чрез ръчен анализ на отклонението и последващи коригиращи мерки. Автоматизацията, например чрез инфраструктура като код (програмируема инфраструктура), позволява ефективно и сигурно управление на конфигурациите за сигурност във виртуализирани среди и изчисления в облак.

Управление на конфигурациите в информационната сигурност - резюме

Управлението на конфигурациите в информационната сигурност е важен инструмент за сигурност и има траен принос за значително намаляване на пропуските в сигурността, причинени от неправилни конфигурации. Системният му подход облекчава тежестта върху вътрешните екипи и допринася за ефективните ИТ операции, както и за укрепването на системите и за наличността на информация и поверителни данни. Очевидни са и положителните ефекти върху защитата на личните данни, например.

Управлението на конфигурацията може да бъде интегрирано и в процесите за управление на активите и свързаните с тях инструменти. Централизираното управление на настройките за сигурност дава възможност за бърза реакция на нови заплахи и уязвимости в наличността на системите и защитата на данните, като по този начин спомага за минимизиране на потенциалните повърхности за атаки в системите. Новият контрол на информационната сигурност 8.9 от ISO 27001 осигурява важен принос за сигурността на организациите и тяхното управление.

Тази добавена стойност трябва да се прилага от компаниите и организациите. Изискванията от контрол 8.9 трябва да бъдат сравнени с текущото състояние и допълнително оптимизирани чрез контролиран процес на промяна. С над 35-годишен опит в одитирането и сертифицирането ние сме вашият идеален партньор и можем да ви предоставим съвети и подкрепа по темата за информационната сигурност.

Какво означава актуализацията за Вашата сертификация?

Стандартът ISO/IEC 27001:2022 е публикуван на 25 октомври 2022 г.

Това води до следните крайни срокове и периоди за преход за потребителите

Последна дата за първоначални/ресертификационни одити по "стария" ISO 27001

• След 30 април 2024 г. DQS ще извършва само първоначални и ресертификационни одити в съответствие с новия стандарт ISO/IEC 27001:2022

Конвертиране на всички съществуващи сертификати съгласно "стария" ISO/IEC 27001:2013 към новата версия от 2022 г.

• Прилага се 3-годишен преходен период, считано от 31 октомври 2022 г.
• сертификатите, издадени в съответствие с ISO/IEC 27001:2013 или DIN EN ISO/IEC 27001:2017, са валидни най-късно до 31 октомври 2025 г. или трябва да бъдат оттеглени на тази дата

ISO/IEC 27001:2022 - Информационна сигурност, киберсигурност и защита на личните данни - Системи за управление на информационната сигурност - Изисквания

DQS: Simply leveraging Security

Организациите все още разполагат с известно време, за да преминат към новата версия на ISO/IEC 27001. Настоящите сертификати, основани на стария стандарт, ще загубят валидността си на 31 октомври 2025 г. Въпреки това е добре те да се справят с променените изисквания към системата за управление на информационната сигурност (СУИС) на ранен етап, да инициират подходящи процеси на промяна и да ги приложат по съответния начин.

Като експерти в областта на одитите и сертификацията с повече от три десетилетия опит, ние можем да Ви подкрепим при въвеждането на новия ISO 27001:2022. Научете от нашите многобройни опитни одитори за най-важните промени и тяхното значение за вашата компания - и се доверете на нашата експертиза. Очакваме с нетърпение да се свържете с нас.

Доверие и опит

Нашите статии и бели книги са написани изключително от нашите експерти по стандарти или дългогодишни одитори. Ако имате въпроси относно съдържанието на текста или услугите, които предоставяме на нашия автор, моля, свържете се с нас.