Kein Computernetzwerk, kein System, keine Software oder kein Gerät ist 100 % sicher. Schwachstellen sind ein wesentlicher Bestandteil des Betriebs eines modernen LANs oder WANs, und für Unternehmen ist es wichtig anzuerkennen, dass sie erstens tatsächlich existieren und zweitens das Risiko minimiert werden muss, wo sie auftreten können.
Control 8.8 enthält umfangreiche Ratschläge, die Unternehmen dabei helfen, die interne und externe Ausnutzung von Schwachstellen in ihrem gesamten Netzwerk zu verhindern. Control 8.8 stützt sich auf unterstützende Verfahren und Richtlinien zahlreicher anderer ISO 27002:2022-Kontrollen, insbesondere solcher, die sich auf das Änderungsmanagement (siehe Control 8.32) und Zugriffskontrollprotokolle beziehen.
Kontrolle 8.8 ist ein präventiv Kontrolliere das hält das Risiko aufrecht durch die Implementierung von Verfahren, die Informationen über technische Schwachstellen sammeln und es der Organisation ermöglichen, geeignete Maßnahmen zum Schutz von Vermögenswerten, Systemen, Daten und Hardware zu ergreifen.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren #Schützen | #Bedrohungs- und Schwachstellenmanagement | #Governance und Ökosystem #Schutz #Verteidigung |
Control 8.8 befasst sich mit der technischen und administrativen Verwaltung von Software, Systemen und IKT-Assets. Einige der Richtlinien beinhalten die Bereitstellung eines sehr detaillierten Ansatzes für Software-Management, Asset-Management und Netzwerksicherheitsprüfung.
Daher sollte das Eigentum an Control 8.8 bei der Person liegen, die die Gesamtverantwortung für die Aufrechterhaltung der IKT-Infrastruktur der Organisation trägt, beispielsweise der IT-Leiter oder ein gleichwertiges Unternehmen der Organisation.
Vor der Implementierung von Schwachstellenkontrollen ist es wichtig, eine vollständige und aktuelle Liste der physischen und digitalen Vermögenswerte (siehe Kontrollen 5.9 und 5.14) zu erhalten, die Eigentum der Organisation sind und von ihr betrieben werden.
Zu den Software-Asset-Informationen sollten Folgendes gehören:
Beim Versuch, technische Schwachstellen zu lokalisieren, sollten Unternehmen Folgendes tun:
Zusätzlich zu internen Systemen sollten Organisationen Richtlinien und Verfahren entwickeln, die Schwachstellen in allen ihren Produkten und Dienstleistungen erkennen, und Schwachstellenbewertungen in Bezug auf die Bereitstellung dieser Produkte und Dienstleistungen erhalten.
ISO empfiehlt Organisationen, öffentliche Anstrengungen zu unternehmen, um Schwachstellen aufzuspüren, und Dritte zu ermutigen, sich an Schwachstellenmanagementbemühungen durch den Einsatz von Kopfgeldprogrammen zu beteiligen (wobei nach Exploits gesucht und der Organisation gegen eine Belohnung gemeldet wird).
Organisationen sollten sich über Foren, öffentliche E-Mail-Adressen und Forschungsaktivitäten der breiten Öffentlichkeit zugänglich machen, damit das kollektive Wissen der breiten Öffentlichkeit zum Schutz von Produkten und Dienstleistungen an der Quelle genutzt werden kann.
Wenn Abhilfemaßnahmen ergriffen wurden, die sich auf Benutzer oder Kunden auswirken, sollten Organisationen die Weitergabe relevanter Informationen an die betroffenen Personen oder Organisationen in Betracht ziehen und mit spezialisierten Sicherheitsorganisationen zusammenarbeiten, um Informationen über Schwachstellen und Angriffsmethoden zu verbreiten.
Darüber hinaus sollten Unternehmen darüber nachdenken, ein automatisches Update-Verfahren anzubieten, das Kunden je nach ihren Geschäftsanforderungen aktivieren oder deaktivieren können.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Eine angemessene Berichterstattung ist der Schlüssel zur Gewährleistung schneller und wirksamer Abhilfemaßnahmen, wenn Schwachstellen entdeckt werden.
Bei der Bewertung von Schwachstellen sollten Organisationen:
Software-Schwachstellen lassen sich am besten mit einem proaktiven Ansatz bei Software-Updates und Patch-Management bekämpfen.
Bevor Änderungen implementiert werden, sollten Organisationen sicherstellen, dass bestehende Softwareversionen beibehalten werden, alle Änderungen vollständig getestet und auf eine bestimmte Kopie der Software angewendet werden.
Wenn Organisationen Schwachstellen direkt angehen, nachdem sie identifiziert wurden, sollten sie Folgendes tun:
Für den Fall, dass ein Update nicht verfügbar ist oder Probleme vorliegen, die die Installation eines Updates verhindern (z. B. Kostenprobleme), sollten Organisationen andere Maßnahmen in Betracht ziehen, wie zum Beispiel:
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
ISO 27002:2022-8.8 ersetzt zwei Kontrollen aus ISO 27002:2013:
27002:2022-8.8 stellt einen grundlegend anderen Ansatz für das Schwachstellenmanagement dar als in 27002:2013 enthalten.
27002:2013-12.6.1 befasst sich hauptsächlich mit der Umsetzung von Abhilfemaßnahmen, sobald eine Schwachstelle identifiziert wurde, während 18.2.3 sich auf technische Tools (hauptsächlich Penetrationstests) beschränkt.
27002:2022-8.8 enthält völlig neue Abschnitte zu Themen wie den öffentlichen Aktivitäten einer Organisation, wie Schwachstellen überhaupt identifiziert werden und welche Rolle Cloud-Anbieter dabei spielen, sicherzustellen, dass Schwachstellen auf ein Minimum beschränkt werden.
Insgesamt legt die ISO einen größeren Schwerpunkt auf die Rolle, die das Schwachstellenmanagement in anderen Bereichen der 27002:2022 spielt (insbesondere im Änderungsmanagement), und befürwortet einen ganzheitlichen Ansatz, der zahlreiche andere Kontrollen und Informationssicherheitsverfahren einbezieht.
Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres ISMS einzubeziehen, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |