ISO 27002:2022, Kontrolle 8.8 – Management technischer Schwachstellen

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

datenzentrum,programmierer,verwenden,digital,laptop,computer,wartung,es,spezialist.

Zweck der Kontrolle 8.8

Kein Computernetzwerk, kein System, keine Software oder kein Gerät ist 100 % sicher. Schwachstellen sind ein wesentlicher Bestandteil des Betriebs eines modernen LANs oder WANs, und für Unternehmen ist es wichtig anzuerkennen, dass sie erstens tatsächlich existieren und zweitens das Risiko minimiert werden muss, wo sie auftreten können.

Control 8.8 enthält umfangreiche Ratschläge, die Unternehmen dabei helfen, die interne und externe Ausnutzung von Schwachstellen in ihrem gesamten Netzwerk zu verhindern. Control 8.8 stützt sich auf unterstützende Verfahren und Richtlinien zahlreicher anderer ISO 27002:2022-Kontrollen, insbesondere solcher, die sich auf das Änderungsmanagement (siehe Control 8.32) und Zugriffskontrollprotokolle beziehen.

Attributtabelle

Kontrolle 8.8 ist ein präventiv Kontrolliere das hält das Risiko aufrecht durch die Implementierung von Verfahren, die Informationen über technische Schwachstellen sammeln und es der Organisation ermöglichen, geeignete Maßnahmen zum Schutz von Vermögenswerten, Systemen, Daten und Hardware zu ergreifen.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Identifizieren
#Schützen		#Bedrohungs- und Schwachstellenmanagement#Governance und Ökosystem
#Schutz
#Verteidigung
Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Eigentum an der Kontrolle 8.8

Control 8.8 befasst sich mit der technischen und administrativen Verwaltung von Software, Systemen und IKT-Assets. Einige der Richtlinien beinhalten die Bereitstellung eines sehr detaillierten Ansatzes für Software-Management, Asset-Management und Netzwerksicherheitsprüfung.

Daher sollte das Eigentum an Control 8.8 bei der Person liegen, die die Gesamtverantwortung für die Aufrechterhaltung der IKT-Infrastruktur der Organisation trägt, beispielsweise der IT-Leiter oder ein gleichwertiges Unternehmen der Organisation.

Leitfaden – Schwachstellen identifizieren

Vor der Implementierung von Schwachstellenkontrollen ist es wichtig, eine vollständige und aktuelle Liste der physischen und digitalen Vermögenswerte (siehe Kontrollen 5.9 und 5.14) zu erhalten, die Eigentum der Organisation sind und von ihr betrieben werden.

Zu den Software-Asset-Informationen sollten Folgendes gehören:

  • Herstellername

  • Anwendungsname

  • Derzeit in Betrieb befindliche Versionsnummern

  • Wo die Software im gesamten Anwesen bereitgestellt wird

Beim Versuch, technische Schwachstellen zu lokalisieren, sollten Unternehmen Folgendes tun:

  1. Legen Sie klar dar, wer (innerhalb der Organisation) für das Schwachstellenmanagement aus technischer Sicht verantwortlich ist, entsprechend seinen verschiedenen Funktionen, einschließlich (aber nicht beschränkt auf):

    • Vermögensverwaltung

    • Risikobewertung

    • Netzwerk Performance

    • Aktualisierung

  2. Wer ist innerhalb der Organisation für die Software verantwortlich?

  3. Führen Sie eine Bestandsaufnahme der Anwendungen und Ressourcen, die zur Identifizierung technischer Schwachstellen verwendet werden.

  4. Bitten Sie Lieferanten und Anbieter, Schwachstellen bei der Lieferung neuer Systeme und Hardware offenzulegen (siehe Kontrolle 5.20) und geben Sie dies in allen relevanten Verträgen und Servicevereinbarungen an.

  5. Nutzen Sie Tools zum Scannen von Schwachstellen, einschließlich Patching-Funktionen.

  6. Führen Sie regelmäßige, dokumentierte Penetrationstests durch – entweder intern oder über einen zertifizierten Dritten.

  7. Achten Sie auf die Verwendung von Codebibliotheken und/oder Quellcodes von Drittanbietern für zugrunde liegende Programmschwachstellen (siehe Kontrolle 8.28).

Anleitung – Öffentliche Aktivitäten

Zusätzlich zu internen Systemen sollten Organisationen Richtlinien und Verfahren entwickeln, die Schwachstellen in allen ihren Produkten und Dienstleistungen erkennen, und Schwachstellenbewertungen in Bezug auf die Bereitstellung dieser Produkte und Dienstleistungen erhalten.

ISO empfiehlt Organisationen, öffentliche Anstrengungen zu unternehmen, um Schwachstellen aufzuspüren, und Dritte zu ermutigen, sich an Schwachstellenmanagementbemühungen durch den Einsatz von Kopfgeldprogrammen zu beteiligen (wobei nach Exploits gesucht und der Organisation gegen eine Belohnung gemeldet wird).

Organisationen sollten sich über Foren, öffentliche E-Mail-Adressen und Forschungsaktivitäten der breiten Öffentlichkeit zugänglich machen, damit das kollektive Wissen der breiten Öffentlichkeit zum Schutz von Produkten und Dienstleistungen an der Quelle genutzt werden kann.

Wenn Abhilfemaßnahmen ergriffen wurden, die sich auf Benutzer oder Kunden auswirken, sollten Organisationen die Weitergabe relevanter Informationen an die betroffenen Personen oder Organisationen in Betracht ziehen und mit spezialisierten Sicherheitsorganisationen zusammenarbeiten, um Informationen über Schwachstellen und Angriffsmethoden zu verbreiten.

Darüber hinaus sollten Unternehmen darüber nachdenken, ein automatisches Update-Verfahren anzubieten, das Kunden je nach ihren Geschäftsanforderungen aktivieren oder deaktivieren können.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Leitfaden – Bewertung von Schwachstellen

Eine angemessene Berichterstattung ist der Schlüssel zur Gewährleistung schneller und wirksamer Abhilfemaßnahmen, wenn Schwachstellen entdeckt werden.

Bei der Bewertung von Schwachstellen sollten Organisationen:

  1. Analysieren Sie alle Berichte sorgfältig und entscheiden Sie, welche Maßnahmen ergriffen werden müssen, einschließlich (aber nicht beschränkt auf) der Änderung, Aktualisierung oder Entfernung betroffener Systeme und/oder Hardware.

  2. Vereinbaren Sie eine Lösung, die andere ISO-Kontrollen (insbesondere solche im Zusammenhang mit ISO 27002:2022) berücksichtigt und das Ausmaß der damit verbundenen Risiken anerkennt.

Leitfaden – Software-Schwachstellen entgegenwirken

Software-Schwachstellen lassen sich am besten mit einem proaktiven Ansatz bei Software-Updates und Patch-Management bekämpfen.

Bevor Änderungen implementiert werden, sollten Organisationen sicherstellen, dass bestehende Softwareversionen beibehalten werden, alle Änderungen vollständig getestet und auf eine bestimmte Kopie der Software angewendet werden.

Wenn Organisationen Schwachstellen direkt angehen, nachdem sie identifiziert wurden, sollten sie Folgendes tun:

  1. Versuchen Sie, alle Schwachstellen zeitnah und effizient zu beheben.

  2. Befolgen Sie nach Möglichkeit die organisatorischen Verfahren zum Änderungsmanagement (siehe Kontrolle 8.32) und zur Reaktion auf Vorfälle (siehe Kontrolle 5.26).

  3. Wenden Sie nur Updates und Patches an, die aus vertrauenswürdigen und/oder zertifizierten Quellen stammen, insbesondere bei Software und Geräten von Drittanbietern.

    • Wenn es um Software von Anbietern geht, sollten Unternehmen auf der Grundlage der verfügbaren Informationen ein Urteil darüber fällen, ob es notwendig ist, automatische Updates (oder Teile davon) auf erworbene Software und Hardware anzuwenden.

  4. Testen Sie alle erforderlichen Updates vor der Installation, um unvorhergesehene Vorfälle in einer Betriebsumgebung zu vermeiden.

  5. Versuchen Sie, sich vorrangig mit risikoreichen und geschäftskritischen Systemen zu befassen.

  6. Stellen Sie sicher, dass alle Abhilfemaßnahmen wirksam und authentisch sind.

Für den Fall, dass ein Update nicht verfügbar ist oder Probleme vorliegen, die die Installation eines Updates verhindern (z. B. Kostenprobleme), sollten Organisationen andere Maßnahmen in Betracht ziehen, wie zum Beispiel:

  1. Bitten Sie den Anbieter um Rat zu einer Problemumgehung oder einer „Heftpflaster“-Lösung, während die Abhilfemaßnahmen intensiviert werden.

  2. Deaktivieren oder Stoppen aller Netzwerkdienste, die von der Sicherheitslücke betroffen sind.

  3. Implementierung von Netzwerksicherheitskontrollen an kritischen Gateway-Punkten, einschließlich Verkehrsregeln und Filtern.

  4. Erhöhung des Gesamtüberwachungsniveaus entsprechend dem damit verbundenen Risiko.

  5. Stellen Sie sicher, dass alle betroffenen Parteien, einschließlich Lieferanten und Kunden, sich der Sicherheitslücke bewusst sind.

  6. Verzögerung des Updates, um die damit verbundenen Risiken besser bewerten zu können, insbesondere wenn die Betriebskosten ein Problem darstellen könnten.

Unterstützende Kontrollen

  • 5.14
  • 5.20
  • 5.9
  • 8.20
  • 8.22
  • 8.28

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

Ergänzende Leitlinien zur Kontrolle 8.8

  • Organisationen sollten ein Prüfprotokoll aller relevanten Schwachstellenmanagementaktivitäten führen, um Abhilfemaßnahmen zu unterstützen und Verfahren im Falle eines Sicherheitsvorfalls zu verbessern.

  • Der gesamte Schwachstellenmanagementprozess sollte regelmäßig überprüft und bewertet werden, um die Leistung zu verbessern und mehr Schwachstellen an der Quelle zu identifizieren.

  • Wenn die Organisation Software verwendet, die von einem Cloud-Dienstanbieter gehostet wird, sollte die Organisation sicherstellen, dass die Haltung des Dienstanbieters zum Schwachstellenmanagement mit ihrer eigenen übereinstimmt, und sollte ein wesentlicher Bestandteil jeder verbindlichen Dienstleistungsvereinbarung zwischen den beiden Parteien sein, einschließlich aller Meldeverfahren (siehe Steuerung 5.32).

Änderungen und Unterschiede zu ISO 27002:2013

ISO 27002:2022-8.8 ersetzt zwei Kontrollen aus ISO 27002:2013:

  • 12.6.1 – Management technischer Schwachstellen

  • 18.2.3 – Technische Compliance-Überprüfung

27002:2022-8.8 stellt einen grundlegend anderen Ansatz für das Schwachstellenmanagement dar als in 27002:2013 enthalten.

27002:2013-12.6.1 befasst sich hauptsächlich mit der Umsetzung von Abhilfemaßnahmen, sobald eine Schwachstelle identifiziert wurde, während 18.2.3 sich auf technische Tools (hauptsächlich Penetrationstests) beschränkt.

27002:2022-8.8 enthält völlig neue Abschnitte zu Themen wie den öffentlichen Aktivitäten einer Organisation, wie Schwachstellen überhaupt identifiziert werden und welche Rolle Cloud-Anbieter dabei spielen, sicherzustellen, dass Schwachstellen auf ein Minimum beschränkt werden.

Insgesamt legt die ISO einen größeren Schwerpunkt auf die Rolle, die das Schwachstellenmanagement in anderen Bereichen der 27002:2022 spielt (insbesondere im Änderungsmanagement), und befürwortet einen ganzheitlichen Ansatz, der zahlreiche andere Kontrollen und Informationssicherheitsverfahren einbezieht.

Wie ISMS.online hilft

Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres ISMS einzubeziehen, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Entdecken Sie unsere Plattform

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren