Geen enkel computernetwerk, systeem, stukje software of apparaat is 100% veilig. Kwetsbaarheden zijn een essentieel onderdeel van het runnen van een modern LAN of WAN, en het is belangrijk voor organisaties om te erkennen dat ze ten eerste bestaan, en ten tweede de noodzaak om risico's te minimaliseren waar ze zich kunnen voordoen.
Control 8.8 bevat een aanzienlijke hoeveelheid advies dat organisaties helpt de interne en externe exploitatie van kwetsbaarheden in hun gehele netwerk te voorkomen. Controle 8.8 is gebaseerd op ondersteunende procedures en richtlijnen uit tal van andere ISO 27002:2022-controles, met name die welke betrekking hebben op wijzigingsbeheer (zie Controle 8.32) en toegangscontroleprotocollen.
Controle 8.8 is een preventieve controleer dat houdt het risico in stand door procedures te implementeren die informatie verzamelen over technische kwetsbaarheden en de organisatie in staat stellen passende maatregelen te nemen om activa, systemen, gegevens en hardware te beveiligen.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren #Beschermen | #Beheer van bedreigingen en kwetsbaarheden | #Governance en ecosysteem #Bescherming #Verdediging |
Controle 8.8 gaat over het technisch en administratief beheer van software, systemen en ICT-middelen. Sommige van de richtlijnen omvatten het implementeren van een zeer gedetailleerde benadering van softwarebeheer, activabeheer en auditing van netwerkbeveiliging.
Als zodanig moet het eigendom van Controle 8.8 berusten bij de persoon die de algehele verantwoordelijkheid heeft voor het onderhoud van de ICT-infrastructuur van de organisatie, zoals het hoofd IT, of een equivalent van de organisatie.
Voordat er kwetsbaarheidscontroles worden geïmplementeerd, is het essentieel om een volledige en actuele lijst te verkrijgen van fysieke en digitale activa (zie Controles 5.9 en 5.14) die eigendom zijn van en beheerd worden door de organisatie.
Informatie over softwaremiddelen moet het volgende omvatten:
Wanneer organisaties proberen technische kwetsbaarheden op te sporen, moeten ze:
Naast interne systemen moeten organisaties beleid en procedures ontwikkelen die kwetsbaarheden in al hun producten en diensten detecteren, en kwetsbaarheidsbeoordelingen ontvangen met betrekking tot de levering van genoemde producten en diensten.
ISO adviseert organisaties om zich publiekelijk in te spannen om eventuele kwetsbaarheden op te sporen en derde partijen aan te moedigen deel te nemen aan inspanningen op het gebied van kwetsbaarheidsbeheer door het gebruik van premieprogramma's (waarbij exploits worden opgezocht en tegen beloning aan de organisatie worden gerapporteerd).
Organisaties moeten zichzelf beschikbaar maken voor het grote publiek via forums, openbare e-mailadressen en onderzoeksactiviteiten, zodat de collectieve kennis van het bredere publiek kan worden gebruikt om producten en diensten bij de bron te beschermen.
Als er corrigerende maatregelen zijn genomen die gevolgen hebben voor gebruikers of klanten, moeten organisaties overwegen om relevante informatie vrij te geven aan de getroffen personen of organisaties, en contact op te nemen met gespecialiseerde beveiligingsorganisaties om informatie over kwetsbaarheden en aanvalsvectoren te verspreiden.
Daarnaast zouden organisaties moeten overwegen om een automatische updateprocedure aan te bieden waar klanten zich voor kunnen aan- of afmelden, op basis van hun zakelijke behoeften.
Adequate rapportage is van cruciaal belang om te zorgen voor snelle en effectieve herstelmaatregelen wanneer kwetsbaarheden worden ontdekt.
Bij het evalueren van kwetsbaarheden moeten organisaties:
Softwarekwetsbaarheden kunnen het beste worden bestreden met een proactieve benadering van software-updates en patchbeheer.
Voordat wijzigingen worden geïmplementeerd, moeten organisaties ervoor zorgen dat de bestaande softwareversies behouden blijven, dat alle wijzigingen volledig worden getest en toegepast op een aangewezen exemplaar van de software.
Bij het direct aanpakken van kwetsbaarheden nadat deze zijn geïdentificeerd, moeten organisaties:
In het geval dat een update niet beschikbaar is, of als er problemen zijn die de installatie van een update verhinderen (zoals kostenproblemen), moeten organisaties andere maatregelen overwegen, zoals:
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
ISO 27002:2022-8.8 vervangt twee controles uit ISO 27002:2013:
27002:2022-8.8 vertegenwoordigt een fundamenteel andere benadering van kwetsbaarheidsbeheer dan 27002:2013.
27002:2013-12.6.1 houdt zich grotendeels bezig met de implementatie van corrigerende maatregelen zodra een kwetsbaarheid is geïdentificeerd, terwijl 18.2.3 zich beperkt tot technische hulpmiddelen (meestal penetratietesten).
27002:2022-8.8 bevat geheel nieuwe paragrafen over onderwerpen als de publieke activiteiten van een organisatie, hoe kwetsbaarheden in de eerste plaats worden geïdentificeerd en de rol die cloudproviders spelen om ervoor te zorgen dat kwetsbaarheden tot een minimum worden beperkt.
Over het geheel genomen legt ISO een grotere nadruk op de rol die kwetsbaarheidsbeheer speelt op andere gebieden van 27002:2022 (met name verandermanagement), en pleit zij voor een holistische benadering die gebruik maakt van tal van andere controles en informatiebeveiligingsprocedures.
Ons platform is intuïtief en gemakkelijk te gebruiken. Het is niet alleen voor zeer technische mensen; het is voor iedereen in uw organisatie. We moedigen u aan om personeel op alle niveaus van uw bedrijf te betrekken bij het proces van het bouwen van uw ISMS, omdat dat u helpt een echt duurzaam systeem op te bouwen.
Neem vandaag nog contact op met boek een demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
