von Dominik Weyand
Rückblick
Wie bereits im ersten Teil erläutert werden durch den neuen Aufbau der Controls die Attribute stärker spezifiziert und die Notwendigkeit stärker hervorgehoben. Des Weiteren wurden die neuen organisatorischen sowie physischen Controls erläutert. Der zweite Teil befasst sich mit den neuen technologischen Controls.
8.9 Konfigurationsmanagement
Das Control Konfigurationsmanagement fordert, dass die Unternehmen den gesamten Zyklus der Sicherheitskonfiguration für die Technologie der Organisation verwaltet, um ein angemessenes Sicherheitsniveau zu gewährleisten und unautorisierte Änderungen zu vermeiden. Dies beinhaltet die Definition, Implementierung, Überwachung und Überprüfung der Konfiguration. Neben der Richtlinie für das Konfigurationsmanagement soll zusätzlich ein Prozess für die Überprüfung sowie die Genehmigung von Sicherheitskonfigurationen und Prozessen erstellt werden.
8.10 Löschung von Informationen
Dieses Control beinhaltet die Anforderungen zur Datenspeicherung im Hinblick auf DSGVO. Darüber hinaus sollen Informationen, die in Informationssystemen, Geräten oder auf anderen Speichermedien gespeichert sind, gelöscht werden, sobald diese nicht mehr benötigt werden. Daher sollen die Unternehmen einen Prozess einrichten, der zum einen festlegt, welche Daten zu welchem Zeitpunkt gelöscht werden müssen, und zum anderen die Verantwortlichkeiten und Methoden für die Löschung definiert. Zudem sollte eine Richtlinie zur Informationsvernichtung erstellt und innerhalb des Unternehmens kommuniziert werden.
8.11 Datenmaskierung
Bei der Datenmaskierung geht es zusammengefasst um die Beschränkung, Anonymisierung sowie Pseudonymisierung von Daten. Das Control verlangt von den Unternehmen mit Hilfe der Datenmaskierung die Offenlegung sensibler Informationen zu begrenzen. Damit sind in erster Linie personenbezogene Daten gemeint, da diese durch Datenschutzbestimmungen stark reguliert werden. Zusätzlich können auch andere Kategorien sensibler Daten einbezogen werden. Die Datenmaskierung sollte in Übereinstimmung mit der themenspezifischen Richtlinie der Organisation zur Zugriffskontrolle sowie den geschäftlichen Anforderungen unter Berücksichtigung der geltenden Rechtsvorschriften erfolgen.
Die Erstellung einer Informationsschutzpolitik ist zwar nach der Norm optional, allerdings sollen durch das Unternehmen Prozesse eingerichtet werden, die festlegen, welche Daten maskiert werden müssen, wer auf welche Art von Daten zugreifen darf und welche Methoden zur Maskierung der Daten verwendet werden.
8.12 Verhinderung von Datenverlusten
Hierbei wird von den Unternehmen verlangt, dass verschiedene Maßnahmen festgelegt werden, die Datenlecks verhindern sollen, um die unbefugte Offenlegung sensibler Informationen zu verhindern. Zusätzlich sollen durch diese Sicherheitsmaßnahmen solche Vorfälle frühzeitig erkannt werden. Die Maßnahmen sollen auf Systeme, Netzwerke und alle anderen Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen.
In der Umsetzung bedeutet dies für die Unternehmen, dass Prozesse eingerichtet werden müssen, die die Sensibilität der Daten bestimmen, die Risiken verschiedener Technologien bewerten und Kanäle mit dem Potenzial für Datenlecks überwachen und festlegen. Ziel der Prozesse soll es sein die Offenlegung sensibler Daten zu verhindern. Eine zusätzliche Informationsschutzpolitik ist für dieses Control nicht zwingend erforderlich.
8.16 Überwachungstätigkeiten
Dieses Control verlangt, die Systeme des Unternehmens sowie abweichende Aktivitäten proaktiv zu überwachen, um diese frühzeitig zu erkennen und gegebenenfalls entsprechend auf den Vorfall zu reagieren. Durch die geeigneten Maßnahmen sollen potenzielle Informationssicherheitsvorfälle besser erkannt und bewertet werden.
Für eine konforme Dokumentation ist eine Protokollierungs- und Überwachungsrichtlinie notwendig. Zudem ist ein Prozess erforderlich, der festlegt welche Systeme überwacht werden und wer für die Überwachung Zuständig ist. Des Weiteren müssen Methoden für die Überwachung, die Erstellung sowie die Meldung von Ereignissen und Vorfällen bestimmt werden.
8.23 Web-Filterung
In diesem Control sollen Maßnahme festgelegt werden, die den Zugriff zu gefährlichen Webseiten verhindern, die Malware verbreiten oder aber unbefugt Daten auslesen. Daher muss das Unternehmen die Zugriffsrechte der Mitarbeiter verwalten, um die Systeme und Vermögenswerte zu schützen. Auf diese Weise kann verhindert werden, dass die Systeme kompromittiert und Illegale Inhalte aus dem Internet verwendet werden.
Die Erstellung einer Netzwerksicherheitspolitik ist dem Unternehmen selbst überlassen. Dennoch sollen Prozesse eingerichtet werden, welche die nicht erlaubten Webseiten sowie die notwendigen Web-Filter-Tools, inklusive des Überprüfungszeitraums, bestimmen.
8.28 Sichere Kodierung
Bei der Softwareentwicklung sollten die Grundsätze der sicheren Kodierung angewandt werden, um Sicherheitsschwachstellen in der Software zu verringern. Dies umfasst sowohl die Aktivitäten vor der Kodierung als auch während und danach.
Hierfür ist auch eine Richtlinie für die sichere Entwicklung und die sichere Kodierung notwendig. Zudem muss ein Prozess zur Definition der Mindestanforderungen an die sichere Kodierung eingerichtet werden, welcher sowohl für die interne als auch die externe Softwareentwicklung gilt. Darüber hinaus müssen Verfahren zur Überwachung neu auftretender Bedrohungen, zur Beratung über sichere Kodierung und zur Entscheidung über die verwendeten externen Tools und Bibliotheken festgelegt werden.
Fazit
Abschließend muss berücksichtigt werden, dass lediglich vier Controls inhaltlich komplett identisch geblieben sind. Dies hat zur Folge, dass es nicht ausreicht die neuen Controls in das Risikomanagement und die SoA (Statement of Applicability) einzupflegen sowie zu bewerten. Die Anforderungen bei bestehenden oder zusammengefassten Controls wurden zum einen spezifiziert und zum anderen hinzugefügt. Daraus resultierend stehen Unternehmen vor der großen Herausforderung über 800 neue oder geänderte Anforderungen umzusetzen. Darüber hinaus ist zu beachten, dass die tatsächlichen Auswirkungen der Revision auf Unternehmen von verschiedenen Faktoren abhängig sind. Daher wird empfohlen, sich mit einem Experten für Informationssicherheit Verbindung zu setzen, um die genauen Auswirkungen der ISO 27001:2022 auf Ihr Unternehmen zu ermitteln und geeignete Maßnahmen umzusetzen.