Begrip van clausule 6.9.6: Technisch kwetsbaarheidsbeheer
Technische kwetsbaarheden die de potentie hebben om PII en privacygerelateerde activa te beïnvloeden, zijn vrijwel onmogelijk volledig uit te roeien, ongeacht het budget, de personeelsbezetting of de expertise.
Daarom vereist ISO dat organisaties werken met een robuuste set kwetsbaarheidsbeheercontroles die zowel potentiële technische kwetsbaarheden identificeren als duidelijke richtlijnen bieden voor de herstelmaatregelen die nodig zijn om eventuele commerciële, operationele of reputatieschade te beperken.
Wat wordt er behandeld in ISO 27701, clausule 6.9.6
ISO 27001 6.9.6 bevat twee subclausules die het onderwerp kwetsbaarheidsbeheer behandelen, verdeeld over technisch beheer en hoe organisaties software-installaties moeten overwegen:
- ISO 27701 6.9.6.1 – Beheer van technische kwetsbaarheden (ISO 27002 Controle 8.8)
- ISO 27701 6.9.6.2 – Beperking op software-installatie (ISO 27002 Controle 8.19)
Geen van beide subclausules bevat enige PIMS- of PII-specifieke richtlijnen, en die zijn er ook niet GDPR implicaties om te overwegen.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.9.6.1 – Beheer van technische kwetsbaarheden
Referenties ISO 27002 Controle 8.8
Organisaties moeten een bijgewerkte lijst verkrijgen van alle activa (zie Controles 5.9 en 5.14) die eigendom zijn van en beheerd worden door de organisatie, inclusief:
- Naam van de leverancier.
- Naam van de toepassing.
- Versienummers.
- Waar de software wordt geïmplementeerd.
- Wie is verantwoordelijk voor de werking van genoemde software.
Bij het identificeren van kwetsbaarheden die mogelijk van invloed kunnen zijn op PII en privacybescherming moeten organisaties:
- Geef een overzicht van het personeel dat verantwoordelijk is voor het beheer van kwetsbaarheden, waaronder:
- Vermogensbeheer.
- Risicobeoordeling.
- Toezicht houden.
- Updaten.
- Houd een actuele inventaris bij van applicaties en bronnen die zullen worden gebruikt om technische kwetsbaarheden te identificeren.
- Neem contact op met leveranciers en leveranciers en vraag hen om kwetsbaarheden duidelijk aan te geven wanneer nieuwe systemen en hardware worden geleverd (zie ISO 27002 Controle 5.20).
- Gebruik een tool voor het scannen op kwetsbaarheden en patchfaciliteiten.
- Voer periodiek penetratietesten uit.
- Analyseer codebibliotheken en/of broncode van derden op onderliggende kwetsbaarheden en/of exploits (zie ISO 27002 Controle 8.28).
Publieke activiteiten
Organisaties moeten beleid en procedures ontwikkelen (inclusief automatische updates) die kwetsbaarheden in al hun producten en diensten detecteren, en kwetsbaarheidsbeoordelingen ontvangen met betrekking tot de levering van genoemde producten en diensten.
ISO adviseert organisaties om een publieke inspanning te leveren om eventuele kwetsbaarheden op te sporen – inclusief het gebruik van gestructureerde premieprogramma’s – en om forums en openbare onderzoeksactiviteiten te gebruiken om het bewustzijn van potentiële exploits en beveiligingsproblemen te vergroten.
Als er na een beveiligingsincident corrigerende maatregelen zijn genomen die op enigerlei wijze gevolgen kunnen hebben voor klanten (of hun perceptie van de opgeslagen gegevens), moeten organisaties overwegen om gecertificeerde beveiligingsspecialisten in te schakelen om informatie over aanvalsvectoren te verspreiden.
Kwetsbaarheden evalueren
Tijdens het hele proces van het evalueren van kwetsbaarheden moeten organisaties:
- Analyseer eventuele meldingen en beslis welke actie moet worden ondernomen, inclusief eventuele updates of het verwijderen van getroffen systemen en/of hardware.
- Kom een resolutie overeen waarin rekening wordt gehouden met andere ISO-controles.
Softwarekwetsbaarheden tegengaan
Bij het aanpakken van kwetsbaarheden nadat deze zijn geïdentificeerd, moeten organisaties:
- Los alle kwetsbaarheden tijdig en efficiënt op.
- Houd u aan organisatorische procedures op het gebied van verandermanagement (zie ISO 27002 Controle 8.32) en incidentrespons (zie ISO 27002 Controle 5.26), om een uniforme aanpak te garanderen.
- Beperk updates en patches tot die van vertrouwde bronnen.
- Test updates voorafgaand aan implementatie.
- Identificeer systemen met een hoog risico en bedrijfskritische systemen als prioriteit bij het plannen van herstelmaatregelen.
Als er geen update komt en herstelmaatregelen worden verhinderd door externe factoren, moeten organisaties:
- Overleg met leveranciers over oplossingen.
- Schakel een of alle betrokken netwerkservices uit.
- Implementeer netwerkbeveiligingscontroles, inclusief verkeersregels en inhoudfiltering.
- Verhoog de frequentie en duur van de monitoringinspanningen op getroffen systemen.
- Verspreid informatie over de kwetsbaarheid en zorg ervoor dat alle betrokken partijen op de hoogte zijn – inclusief leveranciers en klanten.
Relevante ISO 27002-controles
- ISO 27002 5.14
- ISO 27002 5.20
- ISO 27002 5.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.28
Aanvullende begeleiding
Er moet een audittraject worden bijgehouden van alle relevante kwetsbaarheidsbeheeractiviteiten, en het kwetsbaarheidsbeheerproces van de organisatie moet worden beoordeeld om ervoor te zorgen dat het zowel geschikt is voor het beoogde doel als voldoet aan de groeiende behoeften van de organisatie.
Als het om cloudgebaseerde software gaat, moet de organisatie ervoor zorgen dat de houding van de serviceprovider ten aanzien van kwetsbaarheidsbeheer in lijn ligt met die van hemzelf. Organisaties moeten proberen schriftelijke bevestiging te krijgen van eventuele verantwoordelijkheden via een bindende serviceovereenkomst (zie ISO 27002 Controle 5.32).
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.9.6.2 – Beperking op software-installatie
Referenties ISO 27002 Controle 8.19
Om de beschikbaarheid en integriteit van PII te beschermen en wijzigingen door te voeren, moeten organisaties:
- Zorg ervoor dat software-updates worden uitgevoerd door bevoegd personeel (zie Controle Controle 8.5).
- Zorg ervoor dat de code de ontwikkelingsfase veilig heeft verlaten en vrij is van bugs.
- Test alle software voordat u deze bijwerkt of installeert, om er zeker van te zijn dat er geen conflicten of fouten optreden.
- Zorg voor een up-to-date softwarebibliotheeksysteem.
- Onderhoud een 'configuratiecontrolesysteem' om operationele software te beheren.
- Stel een 'rollback-strategie' op die systemen herstelt naar een voorheen werkende staat, om de bedrijfscontinuïteit te garanderen.
- Houd een uitgebreid logboek bij van alle uitgevoerde updates.
- Zorg ervoor dat ongebruikte softwareapplicaties – en al het bijbehorende materiaal – veilig worden opgeslagen voor verder gebruik en analyse.
- Werk met een softwarebeperkingsbeleid, dat in overeenstemming is met de verschillende rollen en verantwoordelijkheden van de organisatie.
Wanneer gebruik wordt gemaakt van door de leverancier geleverde software, moeten de applicaties in goede staat blijven en in overeenstemming zijn met de richtlijnen van de uitgever.
ISO maakt expliciet duidelijk dat organisaties het gebruik van niet-ondersteunde software moeten vermijden tenzij absoluut noodzakelijk. Organisaties moeten proberen bestaande systemen te upgraden, in plaats van verouderde of niet-ondersteunde verouderde applicaties te gebruiken.
Een leverancier heeft mogelijk toegang nodig tot het netwerk van een organisatie om een installatie of update uit te voeren. Dergelijke activiteiten moeten te allen tijde worden geautoriseerd en gecontroleerd (zie ISO 27002 Controle 5.22).
Aanvullende begeleiding
- Organisaties moeten software upgraden, patchen en installeren in overeenstemming met hun gepubliceerde change management-procedures.
- Patches die beveiligingskwetsbaarheden uitroeien of anderszins de privacybescherming van de organisatie verbeteren, moeten altijd als een prioriteitsverandering worden beschouwd.
- Organisaties moeten grote zorgvuldigheid betrachten bij het gebruik van open source-software en moeten de nieuwste publiekelijk beschikbare versie identificeren om ervoor te zorgen dat in de ruimste zin aan de beveiligingsvereisten wordt voldaan.
Relevante ISO 27002-controles
- ISO 27002 5.22
- ISO 27002 8.5
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.9.6.1 | Beheer van technische kwetsbaarheden |
8.8 – Beheer van technische kwetsbaarheden voor ISO 27002 |
Geen |
| 6.9.6.2 | Beperking op software-installatie |
8.19 – Installatie van software op besturingssystemen voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
Met het ISMS.online-platform kunt u een PIMS integreren om ervoor te zorgen dat uw beveiligingshouding alles op één plek is en duplicatie voorkomt waar standaarden elkaar overlappen.
Het is nog nooit zo eenvoudig geweest om zowel ISO 27001 als ISO 27701 te monitoren, rapporteren en auditen, waarbij uw PIMS direct toegankelijk is voor geïnteresseerde partijen.
Ontdek hoeveel tijd en geld dat u tijdens uw reis bespaart naar een gecombineerde ISO 27001- en 27701-certificering met behulp van ISMS.online.
