Doel van de controle 8.8
Geen enkel computernetwerk, systeem, stukje software of apparaat is 100% veilig. Kwetsbaarheden zijn een essentieel onderdeel van het runnen van een modern LAN of WAN, en het is belangrijk voor organisaties om te erkennen dat ze ten eerste bestaan, en ten tweede de noodzaak om risico's te minimaliseren waar ze zich kunnen voordoen.
Control 8.8 bevat een aanzienlijke hoeveelheid advies dat organisaties helpt de interne en externe exploitatie van kwetsbaarheden in hun gehele netwerk te voorkomen. Controle 8.8 is gebaseerd op ondersteunende procedures en richtlijnen uit tal van andere ISO 27002:2022-controles, met name die welke betrekking hebben op wijzigingsbeheer (zie Controle 8.32) en toegangscontroleprotocollen.
Attributen Controletabel 8.8
Controle 8.8 is een preventieve controleer dat houdt het risico in stand door procedures te implementeren die informatie verzamelen over technische kwetsbaarheden en de organisatie in staat stellen passende maatregelen te nemen om activa, systemen, gegevens en hardware te beveiligen.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Identificeren | #Beheer van bedreigingen en kwetsbaarheden | #Governance en ecosysteem |
| #Integriteit | #Beschermen | #Bescherming | ||
| #Beschikbaarheid | #Verdediging |
Eigendom van zeggenschap 8.8
Controle 8.8 gaat over het technisch en administratief beheer van software, systemen en ICT-middelen. Sommige van de richtlijnen omvatten het implementeren van een zeer gedetailleerde benadering van softwarebeheer, activabeheer en auditing van netwerkbeveiliging.
Als zodanig moet het eigendom van Controle 8.8 berusten bij de persoon die de algehele verantwoordelijkheid heeft voor het onderhoud van de ICT-infrastructuur van de organisatie, zoals het hoofd IT, of een equivalent van de organisatie.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Begeleiding – Identificatie van kwetsbaarheden
Voordat er kwetsbaarheidscontroles worden geïmplementeerd, is het essentieel om een volledige en actuele lijst te verkrijgen van fysieke en digitale activa (zie Controles 5.9 en 5.14) die eigendom zijn van en beheerd worden door de organisatie.
Informatie over softwaremiddelen moet het volgende omvatten:
- Naam van de leverancier
- Naam van de toepassing
- Versienummers die momenteel in gebruik zijn
- Waar de software over het hele landgoed wordt ingezet
Wanneer organisaties proberen technische kwetsbaarheden op te sporen, moeten ze:
- Geef duidelijk aan wie (binnen de organisatie) verantwoordelijk is voor het kwetsbaarheidsbeheer vanuit technisch perspectief, in overeenstemming met de verschillende functies ervan, waaronder (maar niet beperkt tot):
- Asset management
- Risicobeoordeling
- Monitoren
- Bijwerken
- Wie is verantwoordelijk voor de software binnen de organisatie
- Houd een inventaris bij van applicaties en bronnen die zullen worden gebruikt om technische kwetsbaarheden te identificeren.
- Vraag leveranciers en verkopers om kwetsbaarheden bekend te maken bij de levering van nieuwe systemen en hardware (zie Controle 5.20), en specificeer dit in alle relevante contracten en serviceovereenkomsten.
- Maak gebruik van tools voor het scannen op kwetsbaarheden, inclusief patchfaciliteiten.
- Voer regelmatig gedocumenteerde penetratietests uit – intern of via een gecertificeerde derde partij.
- Houd rekening met het gebruik van codebibliotheken en/of broncode van derden voor onderliggende programmatische kwetsbaarheden (zie Controle 8.28).
Begeleiding – Publieke activiteiten
Naast interne systemen moeten organisaties beleid en procedures ontwikkelen die kwetsbaarheden in al hun producten en diensten detecteren, en kwetsbaarheidsbeoordelingen ontvangen met betrekking tot de levering van genoemde producten en diensten.
ISO adviseert organisaties om zich publiekelijk in te spannen om eventuele kwetsbaarheden op te sporen en derde partijen aan te moedigen deel te nemen aan inspanningen op het gebied van kwetsbaarheidsbeheer door het gebruik van premieprogramma's (waarbij exploits worden opgezocht en tegen beloning aan de organisatie worden gerapporteerd).
Organisaties moeten zichzelf beschikbaar maken voor het grote publiek via forums, openbare e-mailadressen en onderzoeksactiviteiten, zodat de collectieve kennis van het bredere publiek kan worden gebruikt om producten en diensten bij de bron te beschermen.
Als er corrigerende maatregelen zijn genomen die gevolgen hebben voor gebruikers of klanten, moeten organisaties overwegen om relevante informatie vrij te geven aan de getroffen personen of organisaties, en contact op te nemen met gespecialiseerde beveiligingsorganisaties om informatie over kwetsbaarheden en aanvalsvectoren te verspreiden.
Daarnaast zouden organisaties moeten overwegen om een automatische updateprocedure aan te bieden waar klanten zich voor kunnen aan- of afmelden, op basis van hun zakelijke behoeften.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Begeleiding – Kwetsbaarheden evalueren
Adequate rapportage is van cruciaal belang om te zorgen voor snelle en effectieve herstelmaatregelen wanneer kwetsbaarheden worden ontdekt.
Bij het evalueren van kwetsbaarheden moeten organisaties:
- Analyseer eventuele meldingen zorgvuldig en beslis welke actie moet worden ondernomen, inclusief (maar niet beperkt tot) het wijzigen, updaten of verwijderen van getroffen systemen en/of hardware.
- Kom tot overeenstemming over een resolutie die rekening houdt met andere ISO-controles (met name die gerelateerd aan ISO 27002:2022) en die het risiconiveau erkent.
Begeleiding – Het tegengaan van softwarekwetsbaarheden
Softwarekwetsbaarheden kunnen het beste worden bestreden met een proactieve benadering van software-updates en patchbeheer.
Voordat wijzigingen worden geïmplementeerd, moeten organisaties ervoor zorgen dat de bestaande softwareversies behouden blijven, dat alle wijzigingen volledig worden getest en toegepast op een aangewezen exemplaar van de software.
Bij het direct aanpakken van kwetsbaarheden nadat deze zijn geïdentificeerd, moeten organisaties:
- Probeer alle kwetsbaarheden tijdig en efficiënt op te lossen.
- Volg waar mogelijk de organisatorische procedures op het gebied van verandermanagement (zie Controle 8.32) en incidentrespons (zie Controle 5.26).
- Pas alleen updates en patches toe die afkomstig zijn van vertrouwde en/of gecertificeerde bronnen, vooral als het gaat om software en apparatuur van derden.
- Als het software van leveranciers betreft, moeten organisaties op basis van de beschikbare informatie een oordeel vellen over de vraag of het nodig is om automatische updates (of delen daarvan) toe te passen op aangeschafte software en hardware.
- Test eventuele updates die nodig zijn voorafgaand aan de installatie, om onvoorziene incidenten in een operationele omgeving te voorkomen.
- Probeer systemen met een hoog risico en bedrijfskritische systemen als prioriteit aan te pakken.
- Zorg ervoor dat eventuele herstelmaatregelen effectief en authentiek zijn.
In het geval dat een update niet beschikbaar is, of als er problemen zijn die de installatie van een update verhinderen (zoals kostenproblemen), moeten organisaties andere maatregelen overwegen, zoals:
- De leverancier om advies vragen over een tijdelijke oplossing of een “plamuuroplossing”, terwijl de herstelinspanningen worden opgevoerd.
- Het uitschakelen of stoppen van netwerkdiensten die door het beveiligingslek worden getroffen.
- Implementatie van netwerkbeveiligingscontroles op kritieke gatewaypunten, inclusief verkeersregels en filters.
- Het verhogen van het algehele monitoringniveau in overeenstemming met het daarmee samenhangende risico.
- Zorg ervoor dat alle betrokken partijen op de hoogte zijn van de kwetsbaarheid, inclusief leveranciers en klanten.
- Het uitstellen van de update om de bijbehorende risico's beter te kunnen beoordelen, vooral als de operationele kosten een probleem kunnen zijn.
Ondersteunende controles
- 5.14
- 5.20
- 5.9
- 8.20
- 8.22
- 8.28
Aanvullend richtsnoer voor controle 8.8
- Organisaties moeten een auditlogboek bijhouden van alle relevante activiteiten op het gebied van kwetsbaarheidsbeheer, om de herstelinspanningen te ondersteunen en de procedures te verbeteren in het geval van een beveiligingsincident.
- Het hele proces voor kwetsbaarheidsbeheer moet periodiek worden herzien en geëvalueerd om de prestaties te verbeteren en meer kwetsbaarheden bij de bron te identificeren.
- Als de organisatie software gebruikt die wordt gehost door een cloudserviceprovider, moet de organisatie ervoor zorgen dat het standpunt van de serviceprovider ten aanzien van kwetsbaarheidsbeheer in lijn is met dat van haarzelf, en een belangrijk onderdeel moet vormen van elke bindende serviceovereenkomst tussen de twee partijen, inclusief eventuele rapportageprocedures. (zie Controle 5.32).
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
ISO 27002:2022-8.8 vervangt twee controles uit ISO 27002:2013:
- 12.6.1 – Beheer van technische kwetsbaarheden
- 18.2.3 – Technische nalevingsbeoordeling
27002:2022-8.8 vertegenwoordigt een fundamenteel andere benadering van kwetsbaarheidsbeheer dan 27002:2013.
27002:2013-12.6.1 houdt zich grotendeels bezig met de implementatie van corrigerende maatregelen zodra een kwetsbaarheid is geïdentificeerd, terwijl 18.2.3 zich beperkt tot technische hulpmiddelen (meestal penetratietesten).
27002:2022-8.8 bevat geheel nieuwe paragrafen over onderwerpen als de publieke activiteiten van een organisatie, hoe kwetsbaarheden in de eerste plaats worden geïdentificeerd en de rol die cloudproviders spelen om ervoor te zorgen dat kwetsbaarheden tot een minimum worden beperkt.
Over het geheel genomen legt ISO een grotere nadruk op de rol die kwetsbaarheidsbeheer speelt op andere gebieden van 27002:2022 (met name verandermanagement), en pleit zij voor een holistische benadering die gebruik maakt van tal van andere controles en informatiebeveiligingsprocedures.
Nieuwe ISO 27002-controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | NIEUW | Bedreigingsintelligentie |
| 5.23 | NIEUW | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | NIEUW | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 8.9 | NIEUW | Configuratiebeheer |
| 8.10 | NIEUW | Verwijdering van informatie |
| 8.11 | NIEUW | Gegevensmaskering |
| 8.12 | NIEUW | Preventie van gegevenslekken |
| 8.16 | NIEUW | Monitoring activiteiten |
| 8.23 | NIEUW | Web filtering |
| 8.28 | NIEUW | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Hoe ISMS.online helpt
Ons platform is intuïtief en gemakkelijk te gebruiken. Het is niet alleen voor zeer technische mensen; het is voor iedereen in uw organisatie. We moedigen u aan om personeel op alle niveaus van uw bedrijf te betrekken bij het proces van het bouwen van uw ISMS, omdat dat u helpt een echt duurzaam systeem op te bouwen.
Neem vandaag nog contact op met boek een demo.
