Compliance Archives - secureIO GmbH

Die neuen Controls der ISO IEC 27001 im Detail Teil 2

von Dominik Weyand | Nov 9, 2023 | Compliance, Cyber-Sicherheit, Datenschutz, GRC & Informationssicherheit, News

von Dominik Weyand

Rückblick

Wie bereits im ersten Teil erläutert werden durch den neuen Aufbau der Controls die Attribute stärker spezifiziert und die Notwendigkeit stärker hervorgehoben. Des Weiteren wurden die neuen organisatorischen sowie physischen Controls erläutert. Der zweite Teil befasst sich mit den neuen technologischen Controls.

8.9 Konfigurationsmanagement

Das Control Konfigurationsmanagement fordert, dass die Unternehmen den gesamten Zyklus der Sicherheitskonfiguration für die Technologie der Organisation verwaltet, um ein angemessenes Sicherheitsniveau zu gewährleisten und unautorisierte Änderungen zu vermeiden. Dies beinhaltet die Definition, Implementierung, Überwachung und Überprüfung der Konfiguration. Neben der Richtlinie für das Konfigurationsmanagement soll zusätzlich ein Prozess für die Überprüfung sowie die Genehmigung von Sicherheitskonfigurationen und Prozessen erstellt werden.

8.10 Löschung von Informationen

Dieses Control beinhaltet die Anforderungen zur Datenspeicherung im Hinblick auf DSGVO. Darüber hinaus sollen Informationen, die in Informationssystemen, Geräten oder auf anderen Speichermedien gespeichert sind, gelöscht werden, sobald diese nicht mehr benötigt werden. Daher sollen die Unternehmen einen Prozess einrichten, der zum einen festlegt, welche Daten zu welchem Zeitpunkt gelöscht werden müssen, und zum anderen die Verantwortlichkeiten und Methoden für die Löschung definiert. Zudem sollte eine Richtlinie zur Informationsvernichtung erstellt und innerhalb des Unternehmens kommuniziert werden.

8.11 Datenmaskierung

Bei der Datenmaskierung geht es zusammengefasst um die Beschränkung, Anonymisierung sowie Pseudonymisierung von Daten. Das Control verlangt von den Unternehmen mit Hilfe der Datenmaskierung die Offenlegung sensibler Informationen zu begrenzen. Damit sind in erster Linie personenbezogene Daten gemeint, da diese durch Datenschutzbestimmungen stark reguliert werden. Zusätzlich können auch andere Kategorien sensibler Daten einbezogen werden. Die Datenmaskierung sollte in Übereinstimmung mit der themenspezifischen Richtlinie der Organisation zur Zugriffskontrolle sowie den geschäftlichen Anforderungen unter Berücksichtigung der geltenden Rechtsvorschriften erfolgen.
Die Erstellung einer Informationsschutzpolitik ist zwar nach der Norm optional, allerdings sollen durch das Unternehmen Prozesse eingerichtet werden, die festlegen, welche Daten maskiert werden müssen, wer auf welche Art von Daten zugreifen darf und welche Methoden zur Maskierung der Daten verwendet werden.

8.12 Verhinderung von Datenverlusten

Hierbei wird von den Unternehmen verlangt, dass verschiedene Maßnahmen festgelegt werden, die Datenlecks verhindern sollen, um die unbefugte Offenlegung sensibler Informationen zu verhindern. Zusätzlich sollen durch diese Sicherheitsmaßnahmen solche Vorfälle frühzeitig erkannt werden. Die Maßnahmen sollen auf Systeme, Netzwerke und alle anderen Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen.
In der Umsetzung bedeutet dies für die Unternehmen, dass Prozesse eingerichtet werden müssen, die die Sensibilität der Daten bestimmen, die Risiken verschiedener Technologien bewerten und Kanäle mit dem Potenzial für Datenlecks überwachen und festlegen. Ziel der Prozesse soll es sein die Offenlegung sensibler Daten zu verhindern. Eine zusätzliche Informationsschutzpolitik ist für dieses Control nicht zwingend erforderlich.

8.16 Überwachungstätigkeiten

Dieses Control verlangt, die Systeme des Unternehmens sowie abweichende Aktivitäten proaktiv zu überwachen, um diese frühzeitig zu erkennen und gegebenenfalls entsprechend auf den Vorfall zu reagieren. Durch die geeigneten Maßnahmen sollen potenzielle Informationssicherheitsvorfälle besser erkannt und bewertet werden.

Für eine konforme Dokumentation ist eine Protokollierungs- und Überwachungsrichtlinie notwendig. Zudem ist ein Prozess erforderlich, der festlegt welche Systeme überwacht werden und wer für die Überwachung Zuständig ist. Des Weiteren müssen Methoden für die Überwachung, die Erstellung sowie die Meldung von Ereignissen und Vorfällen bestimmt werden.

8.23 Web-Filterung

In diesem Control sollen Maßnahme festgelegt werden, die den Zugriff zu gefährlichen Webseiten verhindern, die Malware verbreiten oder aber unbefugt Daten auslesen. Daher muss das Unternehmen die Zugriffsrechte der Mitarbeiter verwalten, um die Systeme und Vermögenswerte zu schützen. Auf diese Weise kann verhindert werden, dass die Systeme kompromittiert und Illegale Inhalte aus dem Internet verwendet werden.
Die Erstellung einer Netzwerksicherheitspolitik ist dem Unternehmen selbst überlassen. Dennoch sollen Prozesse eingerichtet werden, welche die nicht erlaubten Webseiten sowie die notwendigen Web-Filter-Tools, inklusive des Überprüfungszeitraums, bestimmen.

8.28 Sichere Kodierung

Bei der Softwareentwicklung sollten die Grundsätze der sicheren Kodierung angewandt werden, um Sicherheitsschwachstellen in der Software zu verringern. Dies umfasst sowohl die Aktivitäten vor der Kodierung als auch während und danach.
Hierfür ist auch eine Richtlinie für die sichere Entwicklung und die sichere Kodierung notwendig. Zudem muss ein Prozess zur Definition der Mindestanforderungen an die sichere Kodierung eingerichtet werden, welcher sowohl für die interne als auch die externe Softwareentwicklung gilt. Darüber hinaus müssen Verfahren zur Überwachung neu auftretender Bedrohungen, zur Beratung über sichere Kodierung und zur Entscheidung über die verwendeten externen Tools und Bibliotheken festgelegt werden.

Fazit

Abschließend muss berücksichtigt werden, dass lediglich vier Controls inhaltlich komplett identisch geblieben sind. Dies hat zur Folge, dass es nicht ausreicht die neuen Controls in das Risikomanagement und die SoA (Statement of Applicability) einzupflegen sowie zu bewerten. Die Anforderungen bei bestehenden oder zusammengefassten Controls wurden zum einen spezifiziert und zum anderen hinzugefügt. Daraus resultierend stehen Unternehmen vor der großen Herausforderung über 800 neue oder geänderte Anforderungen umzusetzen. Darüber hinaus ist zu beachten, dass die tatsächlichen Auswirkungen der Revision auf Unternehmen von verschiedenen Faktoren abhängig sind. Daher wird empfohlen, sich mit einem Experten für Informationssicherheit Verbindung zu setzen, um die genauen Auswirkungen der ISO 27001:2022 auf Ihr Unternehmen zu ermitteln und geeignete Maßnahmen umzusetzen.

Die neuen Controls der ISO IEC 27001 im Detail Teil 1

von Dominik Weyand | Jul 5, 2023 | Compliance, Cyber-Sicherheit, Datenschutz, GRC & Informationssicherheit, News

von Dominik Weyand

Einleitung

Durch die Revision der ISO 27001 sowie der ISO 27002 wurde die Norm auf den aktuellen Stand der Technik gebracht. Neben den Änderungen der Gliederung sowie kleiner inhaltlichen Anpassungen innerhalb der Norm liegt der Fokus auf den Controls im Anhang. Im Folgenden wird der Aufbau der Controls näher betrachtet und die neuen organisatorischen sowie physischen Controls kurz erläutert.

Aufbau der Controls

In der Version 2022 wurde jedes Control durch zwei neue Elemente erweitert. Diese hinzugefügten Elemente erleichtern es Informationen zu finden, das Control zu verstehen und die Anforderungen zu analysieren. Das erste Element ist eine Tabelle mit Attributen, welche ermöglicht die einzelnen Controls nach bestimmten Kriterien zu sortieren und zu filtern. Hierfür wurden fünf übergeordnete Merkmale festgelegt, welche jeweils durch Attribute spezifiziert werden:

Merkmale	Attribute
Kontrolltypen	Präventiv, Korrigierend, Aufdeckend
Informationssicherheitsmerkmale	Vertraulichkeit, Integrität, Verfügbarkeit
Cybersecurity Konzepte	Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen
Operative Möglichkeiten	Unternehmensführung, Verwaltung der Vermögenswerte, Informationssicherheit, Personalsicherheit, sichere Konfigurierung, Identitäts- und Zugriffsmanagement, Bedrohungs- und Schwachstellenmanagement, Kontinuität, Sicherheit der Lieferantenbeziehungen, Compliance, Verwaltung von Informationssicherheitsereignissen, Sicherstellung der Informationssicherheit
Sicherheitsbereiche	Governance und Ökosystem, Schutz, Verteidigung, Widerstandsfähigkeit

Das zweite hinzugefügte Element ist die Erläuterung des Zwecks, wodurch die Notwendigkeit der Umsetzung besser erklärt und die Angemessenheit zur Behandlung einfacher bewertet werden.

5.07 Bedrohungsintelligenz

In dem neuen Control der Bedrohungsintelligenz sollen Informationen über Bedrohungen der Informationssicherheit gesammelt und analysiert werden, um Schutzmaßnahmen zu bestimmen. Dabei können die gesammelten Informationen bestimmte Angriffe, Methoden und Technologien der Angreifer oder auch Angriffstrends beinhalten. Die Unternehmen sollen diese Informationen sowohl intern als auch extern durch beispielsweise Bekanntmachungen von Regierungsbehörden oder Herstellerberichten einholen.

Eine Richtlinie für Bedrohungsintelligenz ist laut der Norm optional und nicht verpflichtend. Allerdings muss das Unternehmen Prozesse festlegen, mit denen die Informationen über Bedrohungen gesammelt und verwendet werden, um präventive Kontrollen in den IT-Systemen der Organisation einzuführen, die Risikobewertung zu verbessern und neue Methoden für Sicherheitstests einzuführen.

5.23 Informationssicherheit für die Nutzung von Cloud-Diensten

Das Control stellt an die Unternehmen die Anforderung, dass ein Prozess für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten festgelegt wird, welcher mit den eigenen Informationssicherheitsanforderungen übereinstimmt. Darüber hinaus soll der Prozess Kriterien sowie Sicherheitsanforderungen für die Auswahl und akzeptable Nutzung eines Cloud-Anbieters enthalten. Hierdurch soll ein besserer Schutz der Unternehmensdaten in der Cloud gewährleistet werden.
Ebenso wie im vorherigen Control wird eine Richtlinie für Cloud-Dienste empfohlen, ist allerdings nicht verpflichtend.

5.30 IKT[1]-Bereitschaft für Geschäftskontinuität

Dieses Control beinhaltet Anforderungen an Wiederherstellungsmaßnahmen, wobei der neue Fokus auf den technischen Maßnahmen liegt. Die IKT-Bereitschaft sollte auf der Grundlage von Geschäftskontinuitätszielen und IKT-Kontinuitätsanforderungen geplant, implementiert, aufrechterhalten und geprüft werden. Unternehmen müssen also sicherstellen, dass die IKT auf potenzielle Störungen vorbereitet ist, damit die benötigten Vermögenswerte und Informationen bei Bedarf verfügbar sind. Ebenso wird gefordert, dass ein Wartungsprozess für die eingesetzte Technologie sowie ein Disaster Recovery Plan mit Maßnahmen und Anweisungen erstellt wird. Der Disaster Recovery Plan umfasst dabei verschiedene Szenarien wie beispielsweise Naturkatastrophen oder Cyber-Angriffe. Die Erstellung einer Richtlinie gemäß der IKT-Bereitschaft für die Geschäftskontinuität ist optional.

7.4 Überwachung der physischen Sicherheit

Dieses Control fordert Überwachungsmaßnahmen zur Abschreckung vor unbefugtem Zugriff sowie dem Schutz von sensiblen Bereichen. Zu diesen Bereichen können Büros, Produktionsanlagen, Läger oder auch andere Räumlichkeiten gehören. Wichtig ist hierbei, dass die sensiblen Bereiche kontinuierlich auf unbefugten physischen Zugang überwacht werden. Aus diesem Grund fordert die Norm auch ein Dokument, welches die physische Sicherheitspolitik des Unternehmens erläutert. Zudem soll ein Verfahren festgelegt werden, welches die Verantwortlichkeiten der Überwachung sowie die Kommunikation bei einem Vorfall regelt. Mögliche Überwachungsmaßnahmen bzw. -systeme sind beispielsweise Bewegungsmelder, Wachpersonal oder eine Videoüberwachung.

Zwischenfazit

Durch die Erweiterung des Aufbaus der jeweiligen Controls werden zum einen die Attribute stärker spezifiziert und zum anderen die Notwendigkeit stärker hervorgehoben. Darüber hinaus werden durch die Betrachtung der Bedrohungsintelligenz und die Nutzung von Cloud-Diensten aktuelle Themen in den organisatorischen Controls betrachtet. Für die Umsetzung der neuen Controls wird empfohlen, sich mit einem Experten für Informationssicherheit in Verbindung zu setzen, um die spezifischen Auswirkungen der ISO 27001:2022 auf ihr Unternehmen zu ermitteln und geeignete Maßnahmen umzusetzen. Im zweiten Teil werden die neuen technologischen Controls näher betrachtet und die Auswirkungen der Änderungen in einem Fazit abschließend bewertet.

[1] Informations- und Kommunikationstechnologien