datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Quản lý lỗ hổng trong tiêu chuẩn ISO 27001

André Saeckel

Chuyên gia tiêu chuẩn DQS về bảo mật thông tin
thg 5 23 , 2023
# Bảo mật thông tin và quản lý rủi ro

ISO 27001 tập trung vào thông tin nhạy cảm, có giá trị của tổ chức: Sự bảo vệ, tính bảo mật, tính toàn vẹn và tính sẵn sàng của tổ chức. ISO 27001 là tiêu chuẩn quốc tế về bảo mật thông tin trong các tổ chức tư nhân, công cộng hoặc phi lợi nhuận. Tiêu chuẩn mô tả các yêu cầu đối với việc thiết lập, triển khai, vận hành và tối ưu hóa hệ thống quản lý an toàn thông tin dạng văn bản (ISMS). Trọng tâm chính của hệ thống quản lý là xác định, xử lý, giải quyết rủi ro.

Các mối đe dọa và rủi ro đối với an toàn thông tin là gì?

Quản lý lỗ hổng bảo mật trong tiêu chuẩn ISO 27001 đề cập đến các lỗ hổng kỹ thuật. Những điều này có thể dẫn đến các mối đe dọa đối với bảo mật CNTT của các công ty và tổ chức. Bao gồm các:

  • Ransomware, một phần mềm tống tiền có thể dẫn đến việc mã hóa phương tiện dữ liệu và thu thập thông tin xâm phạm
  • Remote Access Trojan (RAT), có thể cho phép truy cập từ xa vào mạng
  • Phishing and SPAM, có thể dẫn đến mất kiểm soát qua email. Ở đây, một cổng đặc biệt phổ biến là Quy định chung về bảo vệ dữ liệu (GDPR) và yêu cầu kiểm tra dữ liệu khách hàng bằng cách nhấp vào liên kết trong email. Thông thường, người gửi dường như là ngân hàng hoặc thậm chí là PayPal.
  • DDoS/botnets, có thể dẫn đến suy giảm tính sẵn sàng và tính toàn vẹn của hệ thống do các gói dữ liệu khổng lồ
  • Những kẻ khủng bố mạng, các nhà hoạt động, tội phạm cũng như các thủ phạm nội gián được nhà nước bảo trợ mang lại nhiều mối đe dọa
  • Các quy trình không đầy đủ hoặc thiếu

Việc xác định các lỗ hổng và lỗ hổng bảo mật phát sinh từ các mối đe dọa này yêu cầu đánh giá nhu cầu bảo vệ với ISO 27001, vì điều này dẫn đến việc quản lý lỗ hổng có hệ thống để bảo mật cơ sở hạ tầng CNTT với đánh giá lỗ hổng liên tục.

ISO/IEC 27001:2022 – Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư – Hệ thống quản lý bảo mật thông tin – Yêu cầu.

Tiêu chuẩn ISO đã được sửa đổi và công bố lại vào ngày 25 tháng 10 năm 2022.

Các quy trình bị lỗi - Mối đe dọa đối với bảo mật thông tin?

Nếu không có quy trình phân tích nhật ký hệ thống và nhật ký dữ liệu, kiến thức về các lỗ hổng kỹ thuật và đánh giá sâu hơn về hệ thống CNTT, thì không thể đánh giá rủi ro thực tế. Quy trình thiếu hoặc sai sót cũng không cho phép thiết lập các tiêu chí chấp nhận rủi ro hoặc xác định mức độ rủi ro - theo yêu cầu của ISO 27001. Theo đó, rủi ro đối với bảo mật CNTT và do đó đối với an toàn thông tin của doanh nghiệp, không thể xác định được và phải được giả định là rủi ro cao nhất có thể xảy ra đối với doanh nghiệp đó.

Side view young man wearing wireless headset with microphone, looking at laptop screen, study on onl

Xem ngay: Cập nhật Thay đổi mới nhất của ISO/IEC 27001:2022

Phiên bản mới của ISO/IEC 27001, được điều chỉnh để phù hợp với các rủi ro thông tin hiện nay, đã được xuất bản vào ngày 25 tháng 10 năm 2022. Điều này có ý nghĩa gì đối với người dùng tiêu chuẩn?

Trong bản ghi hội thảo miễn phí của chúng tôi, bạn sẽ được tìm hiểu về:

  • Các tính năng mới của ISO/IEC 27001:2022 - Khung và Phụ lục A
  • ISO/IEC 27002:2022-02 - cấu trúc, nội dung, thuộc tính và hashtags 
  • Thời gian chuyển đổi và các bước tiếp theo của bạn
Xem ngay bây giờ !

Quản lý lỗ hổng bảo mật trong ISO 27001: Đảm bảo tối ưu cơ sở hạ tầng

Một biện pháp thích hợp có thể có để bảo mật cơ sở hạ tầng CNTT là quản lý các lỗ hổng bảo mật và lỗ hổng bảo mật tiềm ẩn. Điều này liên quan đến việc kiểm tra thường xuyên, có hệ thống, được kiểm soát bởi mạng và kiểm tra thâm nhập của tất cả các hệ thống để tìm các lỗ hổng kỹ thuật. Bất kỳ lỗ hổng nào được xác định đều được ghi lại trong hệ thống quản lý an toàn thông tin (ISMS) theo tiêu chuẩn ISO 27001.

Việc xác định các mối đe dọa đối với bảo mật CNTT - cũng như bảo mật thông tin bao trùm cũng rất quan trọng. Trong bối cảnh này, các lỗ hổng kỹ thuật phải được ưu tiên theo mức độ nghiêm trọng (CVSS) và cuối cùng được khắc phục. Đánh giá rủi ro tồn tại từ các lỗ hổng kỹ thuật còn lại và cuối cùng, chấp nhận rủi ro cũng là một phần của quản lý lỗ hổng theo ISO 27001.

Để đánh giá mức độ nghiêm trọng của lỗ hổng, có thể sử dụng tiêu chuẩn ngành "CVSS - Hệ thống chấm điểm lỗ hổng chung". Điểm tổng thể từ 0 đến 10 được xác định từ Chỉ số Điểm cơ sở, giải quyết những câu hỏi này, trong số những câu hỏi khác: Kẻ tấn công cần "gần" đến mức nào để tiếp cận hệ thống dễ bị tấn công (Vectơ tấn công)? Làm thế nào để kẻ tấn công tiếp cận mục tiêu một cách dễ dàng (Attack Complexity)? Quyền truy cập nào được yêu cầu để khai thác lỗ hổng (Yêu cầu đặc quyền)? Bạn có cần người trợ giúp không, vd. người dùng trước tiên phải theo liên kết (Tương tác người dùng)? Tính bảo mật có bị xâm phạm (Ảnh hưởng đến tính bảo mật) không?

 CVSS có thể được tìm thấy trên các trang của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST).

 

Làm thế nào để một công ty có thể tự bảo vệ mình khỏi các lỗ hổng kỹ thuật?

Ví dụ: một công ty có thể tự bảo vệ mình khỏi phần mềm độc hại một cách phòng ngừa bằng cách giới thiệu và triển khai các biện pháp phát hiện, ngăn chặn và bảo mật dữ liệu cùng với nhận thức phù hợp của người dùng. Cụ thể, điều này có nghĩa là: Để ngăn chặn việc khai thác lỗ hổng kỹ thuật trong bối cảnh quản lý lỗ hổng bảo mật của ISO 27001, cần phải:

  • Có được thông tin kịp thời về các lỗ hổng kỹ thuật của hệ thống thông tin được sử dụng
  • Đánh giá mức độ dễ bị tổn thương của họ và
  • Thực hiện các biện pháp thích hợp

Điều này có thể được thực hiện bằng cách cài đặt các bản vá bảo mật (quản lý bản vá), cô lập các hệ thống CNTT dễ bị tấn công hoặc cuối cùng là thông qua việc tắt hệ thống. Hơn nữa, các quy tắc cài đặt phần mềm của người dùng phải được xác định và thực hiện.

Các câu hỏi quan trọng về quản lý lỗ hổng bảo mật và khái niệm bảo mật ISO 20071

Các câu hỏi sau đây có thể được hỏi trong quá trình đánh giá, vì vậy bạn nên giải quyết trước các câu hỏi đó:

  • Bạn đã xác định vai trò và trách nhiệm đối với việc xử lý và giám sát các lỗ hổng kỹ thuật chưa?
  • Bạn đã tìm hiểu về các nguồn thông tin có thể được sử dụng để xác định các lỗ hổng kỹ thuật chưa?
  • Có thời hạn để phản hồi bằng hành động khi một lỗ hổng bảo mật được thông báo và phát hiện không?
  • Bạn đã thực hiện đánh giá rủi ro về các lỗ hổng liên quan đến tài sản của công ty ?
  • Bạn có biết các lỗ hổng kỹ thuật của mình không?

Nếu bạn muốn có cái nhìn tổng quan đầy đủ và có cơ sở về các mối đe dọa của Đức trong không gian mạng, bạn có thể tìm thấy "Báo cáo tình hình về an ninh CNTT 2019" bằng tiếng Anh từ Văn phòng Bảo mật Thông tin Liên bang Đức (BSI) tại https://www.bsi.bund.de.

Kết luận

Quản lý lỗ hổng bảo mật theo tiêu chuẩn ISO 27001 là một quá trình liên tục phải được thực hiện thường xuyên. Theo ISO 27001, kết quả phải "valid". Điều đó có nghĩa là việc quét lỗ hổng bảo mật một lần và đánh giá rủi ro để thực hiện hoặc chứng nhận sẽ không còn hợp lệ vào thời điểm sau đó, chẳng hạn như trong quá trình tái chứng nhận.

Quá trình quét lỗ hổng chỉ có hiệu lực tại thời điểm chính xác nó được thực hiện. Nhưng nếu các bản cập nhật phần mềm được thực hiện muộn hơn hoặc các thay đổi được thực hiện đối với cấu trúc liên kết, những thay đổi này có thể dẫn đến các lỗ hổng mới.

Do đó, điều quan trọng đối với bất kỳ tổ chức nào là phải liên tục theo dõi, xác minh và lặp lại các quy trình quản lý lỗ hổng và đưa thông tin liên quan vào hệ thống quản lý an toàn thông tin.

Portrait of a blonde woman with glasses working on her laptop in the computer centre, server cabinet

Sách trắng: Hướng dẫn đánh giá theo ISO 27001

Không chỉ là một bản checklist: Với hướng dẫn theo tiêu chuẩn ISO 27001 của chúng tôi, DQS hỗ trợ thúc đẩy các cuộc đánh giá nội bộ của bạn. Đăng ký ngay và nhận tài liệu hoàn toàn miễn phí hướng dẫn thực hành đánh giá nội bộ "ISO 27001 trong thực tế - kèm phụ lục A".

Tải xuống miễn phí !

DQS - Lựa chọn Đơn giản Tối ưu Chất lượng

Chúng tôi coi mình là đối tác quan trọng của khách hàng, những người mà chúng tôi làm việc để đạt được giá trị gia tăng bền vững. Mục tiêu của chúng tôi là mang lại cho các tổ chức những động lực gia tăng giá trị quan trọng để đạt được thành công trong kinh doanh thông qua các quy trình đơn giản nhất cũng như sự tuân thủ tối đa thời hạn và độ tin cậy.

Năng lực cốt lõi của chúng tôi nằm ở việc thực hiện các cuộc đánh giá và chứng nhận. Điều này khiến chúng tôi trở thành một trong những nhà cung cấp hàng đầu trên toàn thế giới với tuyên bố luôn đặt ra các tiêu chuẩn mới về độ tin cậy, chất lượng và định hướng khách hàng.

Tác giả
André Saeckel

Giám đốc sản phẩm tại DQS về quản lý bảo mật thông tin. Là một chuyên gia tiêu chuẩn cho lĩnh vực bảo mật thông tin và danh mục bảo mật CNTT (cơ sở hạ tầng quan trọng), André Säckel chịu trách nhiệm về các tiêu chuẩn sau và tiêu chuẩn ngành cụ thể, trong số những tiêu chuẩn khác: ISO 27001, ISIS12, ISO 20000-1, KRITIS và TISAX ( an toàn thông tin trong ngành công nghiệp ô tô). Ông cũng là thành viên của nhóm công tác ISO / IEC JTC 1 / SC 27 / WG 1 với tư cách là đại biểu quốc gia của Viện Tiêu chuẩn hóa Đức DIN.

Các bài báo và sự kiện có liên quan

Có thể bạn cũng quan tâm tới điều này

KHÓA ĐÀO TẠO ĐÁNH GIÁ VIÊN TRƯỞNG ISO/IEC 27001:2022 (CQI and IRCA Certified Course)

Theo yêu cầu
Hà Nội & TP. Hồ Chí Minh (on-site/online) | Tiếng Việt
Tìm hiểu thêm

KHÓA ĐÀO TẠO NHẬN THỨC VÀ ĐÁNH GIÁ VIÊN NỘI BỘ ISO 27001:2022

Theo yêu cầu
Hà Nội & TP. Hồ Chí Minh (on-site/online) | Tiếng Việt
Tìm hiểu thêm

Với bất kỳ các thông tin thêm cần hỗ trợ?

DQS luôn ở đây để hỗ trợ bạn
Vui lòng liên hệ với chúng tôi