Korábbi írásainkban a változás több lényeges ismérvét és az IBIR rendszerek átállításának lépéseiről tájékoztatást adtunk.
A gondolatmenet folytatásaként jelen cikksorozat a GAP elemzéshez alkalmazható eszköz bemutatásával vette kezdetét.
Most pedig a 11 új követelmény néhány elemének megértéséhez, illetve a megfelelés biztosításához nyújtunk segítséget.
5.7.: Fenyegetésfelismerő képesség.
Intézkedés: Az információbiztonsági fenyegetésekkel kapcsolatos információkat össze kell gyűjteni és elemezni kell fenyegetést felismerő képesség kialakítása érdekében.
Alapja: Egyes szektorok (pl. pénzintézetek, államigazgatás, egészségügy, energiaszektor), illetve egyes ágazati szereplők pl. vezető szerepük vagy méretük miatt az átlagosnál nagyobb érdeklődésre tarthatnak számot. Ebbe a rosszindulatú érdeklődés is beletartozik.
Ahhoz, hogy a követelményre választ tudjunk adni azonosítani kell a szervezet „érdeklődésbeli” kitettségét. Nyilván ismernünk kell az adatvagyonunkat, amelyek számottevő érdeklődésre tarthatnak számot, beleértve a hozzáféréssel felhatalmazott személyzet körét is.
Példa:
Elképzelhető, hogy valaki hamis honlapot készít, hogy fontos keresőszavakra odataláljon a személyzet? Fel tudjuk ismerni a betolakodás tényét? Mikor?… (hopsz, ez már a 8.12 és 8.16. követelmény…)
Tudjuk kontrollálni az elérhető honlapokat? (hopsz, ez már a 8.23-as követelmény…)
A böngésző biztonságos beállításait alkalmazzuk? (hopsz, ez már az 8.9 követelmény)
A felhőn tárolt adatok védelmében milyen beállításaink vannak? (na, ez meg már az 5.23 követelmény)
Természetesen vannak alkalmazott hardware és software elemek is, sőt fizikailag is elérhető lehet valamely adat…
Kérdések a megfelelőség vizsgálatához: Tevékenységünk, adatvagyonunk miatt kik és hogyan támadhatnak? Milyen eszközökkel, módszerekkel tehetik ezt? Hogyan lehet ezt technikailag megelőzni és kimutatni (felismerni)? Milyen támadható rendszerelemeink vannak? Hogyan követjük a frissülő sebezhetőségi információkat? Hogyan követjük a frissítéseket?
Megfelel, ha legalább: Azonosítva van a szervezetre vonatkozó ágazat, méret, ismertség és az adatvagyon (nagysága, összetétele). Azonosítva vannak a támadók és támadás típusok. Ismertek a támadási módszerek és a támadási felületek (pl. alkalmazott sw-ek). Meg vannak határozva a fenyegetésfelismerési rendszer céljai. Mag vannak határozva a támadási felületekhez kapcsolódó információforrások, ahonnan rendszeresen gyűjtik az ismereteket. Az ismereteket értelmezik, a kockázatait elemzik és értelmezhető módon a szervezeten belül ismertetik a fenyegetést. Az elemzésekhez illeszkedő műszaki védelmet alkalmaznak, pl. tűzfalat, behatolásészlelő rendszert vagy anti-malware sw-t (ezek egyéb control pontok követelményei lesznek).