9. Figyelemmel kísérési tevékenységek (A.8.16)
A szervezet által végrehajtott figyelemmel kísérési tevékenységek kiemelten fontosak a biztonsági incidensek felderítésében, megakadályozásában és kezelésében egyaránt.
A ISO/IEC 27001:2022 szabvány ezen pontja előírja és megköveteli, hogy a szervezetnek figyelemmel kell kísérnie a rendszereit a szokatlan tevékenységek felismerése és szükség esetén a bekövetkezett incidensre adott válaszlépések aktiválása érdekében. Ez magában foglalja az informatikai rendszerek, hálózatok és alkalmazások felügyeletét.
Technológia: a szervezet hálózatai, rendszerei és alkalmazásai esetében a következőket figyelheti, monitorozhatja: a biztonsági eszközök naplói, eseménynaplók, hozzáférés-vezérlés (ki mihez férhet hozzá), rendszergazdák tevékenységei, a bejövő és kimenő forgalom, a fejlesztési kód megfelelő végrehajtása és a rendszer erőforrásainak teljesítményét.
Folyamat: a szervezetnek létre kell hoznia egy folyamatot, amely meghatározza, hogy mely rendszereket szükséges felügyelni, ki tartozik felelősséggel a konzisztens felügyelet végrehajtásáért, valamint a szokatlan tevékenységek megállapításának és az incidensek jelentésének módszereit.
Humán erőforrás: a szervezetnek tudatosítania kell az alkalmazottakban, hogy tevékenységüket folyamatosan figyelemmel kísérik, valamint meg kell határozniuk azt, hogy mely az a tevékenység, ami normális viselkedésnek, és mi az, ami nem a rendszerek használata során.
A szervezetnek ki kell képeznie vagy alkalmaznia kell külső IT adminisztrátorokat a felügyeleti eszközök megfelelő és rendeltetésszerű használatának biztosítása érdekében.
Dokumentáció: az ISO 27001 szabvány nem ír elő külön dokumentációs kötelezettséget a szabványpont érvényesítésére.
Kisebb létszámú vállalat esetében a felügyeletre vonatkozó szabályok például a biztonsági működési szabályzatba belefoglalhatóak, amennyiben a szervezet rendelkezik ilyen dokumentummal. Ha nem, abban az esetben célszerű egy olyan dokumentum létrehozása, amelyben rögzítésre kerülnek a kontrollponthoz kapcsolódó előírások, szabályok.
Nagyobb létszámú vállalatok esetében szükséges külön eljárásban szabályozni azt, hogyan kell a rendszereket megfelelően felügyelni és hogy mik a pontos előírásai, szabályai a figyelemmel kísérési tevékenységnek.
Ezen kívül célszerű nyilvántartást vezetni a szervezetek által végrehajtott felügyeleti tevékenységekről (ki, mikor, mely rendszert vizsgálta meg).
10. Webszűrés (A.8.23)
Leírás: a webszűrés elsődleges célja kiszűrni azokat a weboldalakat, amelyek kártékony elemeket tartalmaznak és amelyekhez történő hozzáférés veszélyeztetné a szervezet megfelelő működését.
A ISO/IEC 27001:2022 szabvány ezen pontja előírja és megköveteli, hogy a szervezet az informatikai rendszerek védelme érdekében meghatározza azt, illetve felügyelje, hogy a felhasználók mely webhelyekhez férhetnek hozzá munkavégzésük során.
A szervezet ezen kontrollpont betartásával megakadályozhatja azt, hogy rosszindulatú kódok kerüljenek az informatikai infrastruktúrába és ezáltal megtámadják a rendszereit, továbbá azt, hogy a felhasználók nem biztonságos vagy illegális oldalakat használjanak az interneten – például nem jogtiszta szoftverek letöltése céljából.
Technológia: a szervezet használhat olyan eszközöket, amelyek blokkolják az egyes IP-címeket a hálózatban, ami magában foglalhatja a rosszindulatú szoftverek elleni programok (például: tűzfalak, végpontvédelmi eszközök, behatolásérzékelő szoftverek) használatát.
A szervezet használhat nem technikai módszereket is, például a tiltott weboldalak listáját, valamint megtilthatja a felhasználók számára azt, hogy ne látogassák ezeket a weboldalakat.
Folyamat: a szervezetnek olyan folyamatokat kell létrehoznia, amelyek meghatározzák azt, hogy milyen típusú weboldalak nem engedélyezettek a felhasználók számára, valamint, hogy hogyan kell karbantartani a webszűrésre szolgáló eszközöket.
Humán erőforrás: a szervezetnek tájékoztatnia kell az alkalmazottakat az internethasználat veszélyeiről, továbbá arról, hogy hol találhatóak a biztonságos használatra vonatkozó iránymutatások. Fontos aspektus az is, hogy ki kell képezni a rendszergazdákat a webszűrésre szolgáló eszközök megfelelő használatára és alkalmazására.
Dokumentáció: az ISO/IEC 27001:2022 szabvány nem ír elő külön dokumentációs kötelezettséget a szabványpont érvényesítésére.
Kisebb létszámú vállalat esetében a webszűrésre vonatkozó szabályok a következő dokumentumokban rögzíthetőek, mellyel a kontrollpontnak történő megfelelés kivitelezhető:
- Üzemeltetési eljárások: meghatározza a rendszergazdákra vonatkozó szabályokat a webszűrés megvalósítására vonatkozóan.
- Elfogadható használati szabályzat: meghatározza az összes felhasználóra irányadó szabályokat az internet elfogadható használatával összefüggésben.
Nagyobb létszámú vállalat esetében külön eljárást dolgozhatnak ki, amely lépésről lépésre leírja, hogy hogyan történik a webszűrés megvalósítása, karbantartása és felügyelete.
11. Biztonságos kódolás (A.8.28)
Leírás: a biztonságos kódolás a fejlesztési életciklus részeként nagyon fontos komponense egy biztonságos architektúra létrehozásában és bevezetésében.
A ISO/IEC 27001:2022 szabvány ezen pontja előírja és megköveteli a biztonságos kódolási elvek megállapítását és alkalmazását a szoftverfejlesztés során a szoftverek biztonsági sebezhetőségeinek csökkentése érdekében.
Ez magában foglalhatja a kódolás előtti, alatti és utáni tevékenységeket egyaránt.
Technológia: a szervezet használhat eszközöket a könyvtárak (directories) leltárának karbantartására, a szoftver forráskódjának manipulációtól való védelmére, a bekövetkezett hibák és támadások naplózására, valamint tesztelésre.
A szervezet használhat továbbá olyan biztonsági komponenseket is mint a hitelesítés, hozzáférés vezérlés vagy épp a titkosítás.
Folyamat: a szervezetnek létre kell hoznia egy folyamatot a biztonságos kódolás minimális alapszintjének meghatározására mind a belső szoftverfejlesztés, mind a harmadik féltől származó szoftverkomponensek esetében felmerülő fenyegetések és a biztonságos kódolással kapcsolatos tanácsadás nyomon követésére.
Létre kell hoznia továbbá egy folyamatot annak eldöntésére, hogy mely külső eszközök és könyvtárak használhatóak, valamint amely meghatározza a kódolás előtt, a kódolás alatt, a kódolás után (felülvizsgálat, karbantartás), illetve a szoftver módosítására végzett tevékenységeket.
Humán erőforrás: a szervezetnek tudatosítania kell a szoftverfejlesztőkben a biztonságos kódolási elvek alkalmazásának fontosságát, továbbá képeznie kell őket a biztonságos kódolás módszereinek és eszközeinek megismerésére és elsajátítására.
Ösztönözniük kell a szoftverfejlesztőket arra, hogy egy új szoftver fejlesztésénél a szoftverfejlesztési életciklus (Software Development Life Cycle-SDLC) alapelveit vegyék alapul.
Dokumentáció: az ISO/IEC 27001:2022 szabvány nem ír elő külön dokumentációs kötelezettséget a szabványpont érvényesítésére.
Kisebb létszámú vállalat esetében a biztonságos kódolásra vonatkozó szabályok a fejlesztési szabályzatba belefoglalhatóak, amennyiben a szervezet rendelkezik ilyen dokumentummal. Amennyiben nem, abban az esetben célszerű egy olyan dokumentum létrehozása, melyben rögzítésre kerülnek a kontrollponthoz kapcsolódó előírások, szabályok.
Nagyobb létszámú vállalatok esetében szükséges külön szabályzat elkészítése, melyben rögzítésre kerülnek a biztonságos kódoláshoz kapcsolódó eljárások minden egyes szoftverfejlesztési projektre vonatkozóan.
Reméljük, hogy informatívnak találtátok az ISO/IEC 27001:2022 szabványátálláshoz kapcsolódó cikksorozatunkat és sikerült közérthetően bemutatnunk az új kontrollpontokat.Amennyiben bármilyen kérdésetek lenne a témával kapcsolatban, forduljatok hozzánk bizalommal akár e-mailben, akár telefonon.
A sorozat korábbi részei:
