Portal TFL

TFL Vsebine / TFLGlasnik

Obveščevalne informacije o kibernetskih grožnjah

O PUBLIKACIJI in AVTORJU
ŠTEVILKA in LETO IZDAJE
Kazalo 14 / 2025
Sirius 202501
AVTOR
Iz prakse za prakso
Datum
15.04.2025
Rubrika
Članki
Vir
Revija Sir*ius št. 1/2025
Pravna podlaga
ni določena
Povezave
Podsistem TAX
Podsistem FIN
Podsistem LEX
Povzetek
Zadnji standard SIST EN ISO/IEC 27001:2023 za sisteme upravljanja informacijske varnosti je uvedel novo kontrolo 5.7 – Obveščevalne informacije o kibernetskih grožnjah. V praksi se pojavljajo težave pri razumevanju ciljev in načina izvedbe te kontrole.
BESEDILO

IZHODIŠČE

Standard SIST EN ISO/IEC 27002:2017, ki opredeljuje kontrole informacijske varnosti, določa, da morajo biti informacije, ki se nanašajo na grožnje informacijski varnosti, zbrane in analizirane, da bi iz njih pridobili obveščevalne podatke. Namen kontrole je organizaciji zagotoviti zavedanje o grožnjah v okolju, da bi lahko sprejela ustrezne aktivnosti za njihovo obvladovanje.

STROKOVNA RAZLAGA

Kontrolo 8.8 – Vodenje tehničnih ranljivosti predstavljajo spremljanje informacij o tehničnih ranljivostih informacijskih sistemov, ocenjevanje vpliva ranljivosti na informacijski sistem in izvajanje ustreznih ukrepov. Te kontrole po namenu in vsebini ni mogoče enačiti s kontrolo, povezano z obveščevalnimi informacijami.

Obveščevalne informacije predstavljajo bistveno širši pogled na varnostno okolje organizacije kot le tehnične ranljivosti, ki jih praviloma obvladujemo s pravočasnim nameščanjem posodobitev programske opreme, utrjevanjem nastavitev in arhitekture ter spremljajočimi procesi in postopki.

SIST EN ISO/IEC 27002:2017 deli obveščevalne informacije v tri sloje, ki bi jih bilo treba obravnavati pri izvajanju omenjene kontrole:

  1. Strateške obveščevalne informacije o kibernetskih grožnjah se nanašajo na izmenjavo informacij o spremembah v okolju na najvišji konceptualni ravni, na primer vrste napadalcev in vrste napadov.
  2. Taktične obveščevalne informacije o kibernetskih grožnjah se nanašajo na metode napadalcev, orodja in tehnologije, ki jih uporabljajo.
  3. Operativne obveščevalne informacije so podrobnosti o specifičnih napadih, vključno s tehničnimi indikatorji napada.

Drugače kot pri naročninah na obvestilne sezname o posodobitvah programske opreme, ki predstavljajo vir podatkov za kontrolo vodenja tehničnih ranljivosti, so med bolj razširjenimi viri za zbiranje obveščevalnih podatkov:

  • SI-CERT,
  • Urad vlade za informacijskovarnost,
  • ENISA,
  • Cybersecurity & InfrastructureSecurity Agency – CISA,
  • SANS Internet Storm Center,
  • AlienVault OTX,
  • MITRE ATT&CK,
  • MISP,
  • CVE,
  • OpenCTI.

Seznam ne predstavlja celovitega popisa, ampak le usmeritev za vsebinsko primerljivo izbiro virov.