28.11.2023

Міжнародний стандарт ISO 27002 є настільною книгою для фахівців у галузі інформаційної безпеки. Це один із перших стандартів, розроблених у сучасному світі. Його особливість полягає в тому, що він охоплює всі аспекти кібербезпеки. Знайомство з цим стандартом починається ще в університетах. Будь-який фахівець, який займається інформаційною безпекою, користується ISO 27002 як довідником, щоб знати, які заходи та методи контролю слід впроваджувати для вирішення різних завдань.
Важливо акцентувати увагу на тому, що в жовтні 2022 року була випущена оновлена версія стандарту ISO/IEC 27001:2022. Це оновлення є найбільшим за останні 9 років, і всі фахівці з кібербезпеки мають ознайомитися з оновленою версією ISO/IEC 27002:2022.
Стару версію стандарту ISO/IEC 27002:2013 можна використовувати до 31 жовтня 2025 року. Після цієї дати будь-який аудит ISO 27001 повинен базуватися на новій версії ISO/IEC 27002:2022.
Подальша інформація, надана у статті, сфокусована на оновленому стандарті ISO/IEC 27002:2022.
Стандарт ISO/IEC 27002:2022 складається з чотирьох великих розділів, які представляють чотири класи заходів захисту. У стандарті вони відомі як контролі:1. Організаційні заходи захисту (Organizational controls):      ● Організаційні заходи, спрямовані на забезпечення ефективного управління інформаційною безпекою всередині організації. Включають політики, процедури та структуру управління безпекою.2. Заходи захисту, пов'язані з персоналом (People controls):      ● Це заходи, спрямовані на забезпечення безпеки інформації через правильні підбір, навчання, мотивацію та перевірку персоналу. Вони також можуть включати процедури управління доступом та забезпечення конфіденційності.3. Фізичні заходи захисту (Physical controls):      ●  Заходи, спрямовані на фізичний захист інформаційних активів, таких як обладнання, приміщення та інфраструктура. Можуть включати контроль доступу, системи відеоспостереження та інші фізичні обмеження.4. Технологічні заходи захисту (Technological controls):      ● Заходи, пов'язані з використанням технологій для забезпечення інформаційної безпеки. Це включає застосування антивірусів, фаєрволів, систем ідентифікації та автентифікації, шифрування та інші технології.
Ці чотири класи заходів захисту (контролів) сприяють комплексному підходу до забезпечення інформаційної безпеки в організації.
Заходи фізичної та персональної безпеки, зазвичай, не викликають питань, оскільки ними займаються відділ кадрів та департамент охорони, тому ми не будемо розглядати їх у межах нашої статті.
Розглянемо докладніше Organizational controls
Серед усіх організаційних контролів найбільшого значення набувають вимоги, пов'язані з класифікацією та контролем інформації. Наприклад, розділ 5.9 прямо вимагає, щоб кожна організація безперервно ідентифікувала всю інформацію та пов'язані з нею активи, які можуть впливати на безпеку. Без використання засобів автоматизації такий інвентаризаційний процес у більшості компаній є майже нереальним завданням, оскільки потрібно знайти кожний сервер, комп'ютер, маршрутизатор, кожен пристрій і вивчити його. Іншими словами, потрібна точна інформація про програмне забезпечення, конфігурацію та параметри кожної одиниці обладнання, яке використовується в ІТ-інфраструктурі.
У великій компанії, де розгорнута велика ІТ-інфраструктура, ручна інвентаризація може займати роки, і на момент свого завершення вже втратити актуальність. Це не лише роздуми, а реальна інформація, підтверджена нашим багаторічним досвідом.
Існують системи класу CMDB, які складно розгортаються, мають високі витрати і вимагають значних зусиль для того, щоб утримувати інформацію в базі даних в актуальному стані.
Щоб спростити цей процес, було розроблено програмний продукт ITS Inventory. Цей продукт має простий та швидкий процес розгортання, збирає інформацію в режимі реального часу. Тепер не потрібно витрачати місяці чи навіть роки на інвентаризацію.
Щоб мати повну, завжди актуальну та динамічно оновлювану базу даних, необхідно мати впевненість, що система управління інформаційною безпекою побудована згідно зі стандартом ISO27002:2022. Така система забезпечує повну інформацію, ураховані всі комп'ютери, сервери та інші компоненти ІТ-інфраструктури, і ніщо не втрачено і не забуто.
Доти, поки немає достовірної та точної інформації про ІТ-інфраструктуру, немає чіткого розуміння того, що необхідно захищати. Відповідно, кіберзахист не буде достатньо ефективним.
Логіка проста: ITS Inventory - це продукт, який не забезпечить захист ІТ-інфраструктури, але легко і швидко надасть інформацію про те, що необхідно захищати. Використання доступного за ціною продукту ITS Inventory напряму впливає на кібербезпеку компанії.
Програмний продукт ITS Inventory - гнучкий, налаштовуваний, з можливістю розширення. Кожна компанія налаштовує ITS Inventory під свої потреби з урахуванням усіх особливостей ІТ-інфраструктури. ITS Inventory ідеально вбудовується та підлаштовується під ІТ-інфраструктуру. Кожна інсталяція унікальна і схожа на те, як кравець пристосовує костюм, щоб він ідеально сидів на фігурі людини.
Завдяки такій гнучкості ITS Inventory може знаходити застосування і для виконання інших вимог, визначених стандартом ISO27002:2022. Наприклад, для реєстрації (5.11) виданого співробітникам обладнання та його повернення у компанію.Крім того, ITS Inventory надає можливість відстежувати, наскільки складові інфраструктури відповідають вимогам зовнішніх стандартів (5.36).
Technological controls теж потребують нашої ретельної уваги.
Користь від використання ITS Inventory особливо яскраво проявляється при моніторингу технологічних контролів, зазначених у розділі 8 стандарту.
Адміністратори в інтерфейсі ITS Inventory бачать усі пристрої, підключені до мережі організації, і можуть легко ідентифікувати різні робочі станції та мобільні пристрої користувачів. Це дозволяє швидко перевірити правильність налаштувань та визначити, чи працює необхідна система захисту. Ці дії потрібні для виконання вимог стандарту, які прописані в пункті 8.1.
Якщо на робочому місці встановлені агенти захисту, антивірус, EDR, то ITS Inventory відображає повний перелік встановленого програмного забезпечення та його версії, що допомагає виконати вимоги, описані в пункті 8.19.
Завдяки інтеграції між ITS Inventory та центральним сервером антивірусного захисту в ITS Inventory завжди відображається актуальна інформація щодо цього захисту на кожному робочому місці. Це відповідає вимозі ISO27002:2022 пункту 8.7.
Департаменти інформаційної безпеки за допомогою ITS Inventory завжди можуть визначити, чи ведеться логування для кожного пристрою в централізованій SIEM-системі (8.15). Також можна перевірити, чи коректно виконуються операції з резервним копіюванням (8.12) та чи пройшов кожний пристрій обов'язкові перевірки на вразливості та виправлення цих уразливостей (8.8).
ITS Inventory приділяє особливу увагу моніторингу змін. Адміністратор може переглядати повну історію для кожного пристрою та бачити, що й коли змінювалося, які були попередні значення параметрів і які нові параметри встановлені. Це значно допомагає впровадженню рекомендацій стандарту з розділу 8.32, який стосується управління змінами.
З нашого досвіду аудиту саме управління змінами викликає найбільше труднощів, і завдяки ITS Inventory ці труднощі можуть бути дуже легко подолані. Таким чином, ITS Inventory є ефективним інструментом, який скорочує час, необхідний для виконання вимог стандарту, допомагає забезпечити відповідність стандарту ISO27002:2022 та забезпечує більшу впевненість в успішному аудиті.
Щоб переконатися в справжньому значенні сказаного вище, рекомендуємо вам ознайомитися з демо-версією або почати використовувати безкоштовну версію ITS Inventory.