Hintergrund
Die Internationale Organisation für Normung (International Standards Organization, ISO) ist die weltweit größte Vereinigung zur Erarbeitung von Standards. Zu ihren Mitgliedern gehören die nationalen Normungsgremien überall auf der Welt, einschließlich Nord- und Südamerika, Europa und Asien. Die Normen werden von technischen Sachverständigenausschüssen entwickelt und vor der Veröffentlichung eingehenden Untersuchungen und Prüfungen unterzogen. Die internationale Norm ISO 27001 ist das Ergebnis derartiger Bemühungen und stellt eine Aktualisierung und Ausweitung des britischen Standards BS 7799-2 dar. ISO 27001 will ein „Modell zur Bestimmung, Implementierung, Betrieb, Überwachung, Prüfung, Pflege und Verbesserung von Managementsystemen für Informationssicherheit (ISMS) bieten“. ISO 27002 erläutert darüber hinaus auch Kontrollen für die Informationssicherheit und definiert in großem Umfang die Komponenten, die ein ISMS ausmachen. Die einst separaten Normen ISO 27001 und 27002 werden mittlerweile als ergänzend angesehen. Unternehmen könnten die kombinierten Anweisungen dazu nutzen, ein ISMS aufzubauen, das den Größen- und Risikotoleranzen der Organisation entspricht. Letztendlich zertifizieren Unternehmen, die den ISO 27000 Leitfaden implementieren, ihre ISMS anschließend gemäß ISO 27001.
An wen richtet sich die ISO 27001?
Alle Organisationen, Unternehmen, Regierungsgruppen, akademischen Einrichtungen und gemeinnützige Unternehmen, die an der Implementierung eines Rahmenwerks für den langfristigen Schutz ihrer Informationswerte interessiert sind, können die Anweisungen und Zertifizierungsanforderungen der ISO 27000 Norm anwenden. Vor allem werden Unternehmen die ISO 27001 für Folgendes heranziehen:
- Formulierung von Sicherheitsanforderungen und -zielen
- Sicherstellen, dass Sicherheitsrisiken kostenwirksam verwaltet werden
- Einhaltung der Gesetze und Regelungen
- Sicherstellen, dass spezielle Sicherheitsziele der Organisationen erfüllt werden
- Implementierung neuer Verwaltungsprozesse zur Informationssicherheit
- Bestimmung des Grads der Compliance mit Richtlinien, Direktiven und Normen, die von einer Organisation übernommen wurden
- Bereitstellung relevanter Informationen über Richtlinien, Direktiven, Normen und Verfahren zur Informationssicherheit an Kunden und Geschäftspartner sowie an andere Organisationen, mit denen diese zusammenarbeiten
- Implementierung von geschäftsförderlicher Informationssicherheit
ISO 27001 – Darstellung der Funktionen und Anforderungen
Varonis bietet ein umfangreiches System zur Erfüllung der Kontrollen des Informationsschutzes, die für unstrukturierte und semi-strukturierte Daten gelten, d. h. den Inhalt von Dateiservern und SharePoint-Servern. Die Lösungen von Varonis sorgen insbesondere dafür, dass der Zugriff und die Nutzung von sensiblen und wichtigen personenbezogenen Daten auf diesen Servern automatisch auf den tatsächlichen Nutzungsbedarf eingeschränkt werden, und dass die Nutzung von sensiblen Daten kontinuierlich überwacht wird, damit Organisationen zu jeder Zeit ein genaues Audit der Datennutzung und des Zugriffsverhaltens der Benutzer haben.
Anforderung | Beschreibung | Varonis-Produkt/Funktion |
---|---|---|
Vermögensverwaltung |
7.1.1 Bestand der Vermögenswerte |
Varonis zeigt alle Inhalte von Verzeichnissen oder Laufwerken an und ordnet Daten Benutzern zu und umgekehrt. |
7.1.2 Eigentum der Vermögenswerte |
Varonis zeigt an, welche Personen mit hoher Wahrscheinlichkeit die Business Owner eines bestimmten Datensatzes oder Ordners sind. |
|
7.1.3 Zulässige Verwendung der Vermögenswerte |
Varonis überwacht alle Datennutzungen der Laufwerke nach Benutzernamen, Dateinamen und den mit den Daten ausgeführte Aktionen und identifiziert ungewöhnlich hohe Zugriffsaktivitäten. |
|
7.2.1 Klassifizierungsrichtlinien |
Varonis bietet die Möglichkeit, Daten basierend auf Unternehmensrichtlinien zu klassifizieren und stellt sicher, dass basierend auf dieser Klassifizierung angemessene Kontrollen im Einsatz sind. |
|
Kommunikations- und Operations-Management |
10.1.2 Änderungsmanagement |
Varonis verfolgt alle Änderungen an Dateisystemen, einschließlich der Änderungen bei den Zugriffskontrollen und Sicherheitseinstellungen. |
10.1.3 Trennung von Aufgaben |
Varonis hilft bei der Umsetzung von Zugriff nach geringstem Recht, indem eine Liste der Personen erstellt wird, deren Zugriffsrechte auf Daten aufgehoben werden sollten, und Mittel zur Umsetzung bereitstellt. |
|
10.2.2 Überwachung und Prüfung der Dienstleistungen von Dritten |
VVaronis hilft bei der Überwachung und dem Audit von externen Systemaktivitäten auf unstrukturierte und semi-strukturierte Daten. |
|
10.3.1 Kapazitätsverwaltung |
Varonis zeigt alle inaktiven oder verwaisten Daten zusammen und deren Größe an, um den Platz auf Laufwerken und angeschlossenen Speichergeräten effektiv zu nutzen und ungenutzte Vermögenswerte in weniger kostenintensive Datenarchive verlagert werden. |
|
10.10.1 Audit-Logging |
Varonis bietet ein detailliertes und durchsuchbares Audit-Log zur Nutzung unstrukturierter und semi-strukturierter Daten auf Dateisystemen und NAS-Geräten. |
|
10.10.2 Überwachung der Systemnutzung |
Varonis bietet eine detaillierte Aktivitätsanalyse des Zugriffs auf unstrukturierte Dateien und überwachte Dateisysteme. |
|
Zugriffskontrolle |
11.1.1 Zugriffskontrollrichtlinie |
Varonis ermöglicht die Umsetzung einer Richtlinie zur Zugriffskontrolle, indem sichergestellt wird, dass Business Owner Empfehlungen zur Aufhebung von Berechtigungen zulassen oder ablehnen. |
11.2.4 Prüfung der Zugriffsrechte von Benutzern |
Varonis bietet die Möglichkeit zur Durchführung einer umfangreichen Berechtigungsprüfung, nach der alle Benutzerrechte für Daten erfasst werden. Diese Prüfung ermöglicht darüber hinaus auch Berichte über bisherige Zugriffsrechte auf Datensätze, um mögliche Tendenzen zu übermäßigen Zugriffen aufzuzeigen. |
|
11.6.1 Zugriffsbeschränkung auf Informationen |
Varonis bietet Informationen zu übermäßigem Zugriff und hilft Organisationen dabei, die entsprechenden Zugriffskontrollen zu befolgen. |
|
Incident-Management in der Informationssicherheit |
13.1.1 Meldungen von Vorfällen in der Informationssicherheit |
Varonis meldet alle Arten ungewöhnlichen Datenzugriffs auf Laufwerke durch Personen, die ihre normale oder durchschnittliche Zugriffshäufigkeit übersteigen. Übermäßig rigoroser Zugriff führt zu einer Meldung und einem Bericht über die Art der Aktivität, der automatisch an die verantwortlichen Personen, wie Business Owner oder IT-Personal, übermittelt wird. |
13.1.2 Meldung von Sicherheitsschwächen |
Varonis meldet alle Daten, die aufgrund von globalen Gruppen (Jedermann, authentifizierte Benutzer etc.) oder aufgrund eines anderen übermäßigen Zugriffs gefährdet sind, sowie Benutzer und Gruppen, die übermäßigen Zugriff haben. |
|
13.2.3 Sammlung von Beweisen |
Das Varonis-Log des gesamten Dateikontaktes kann zur Unterstützung von forensischen Analysen der Datennutzung und -aktivität herangezogen werden. |
|
Compliance |
15.1.2 Rechte an geistigem Eigentum |
Varonis hilft Organisationen bei der Erfüllung von Initiativen, um sicherzustellen, dass Zugriff basierend auf dem geringsten Recht für regulierte Daten sichergestellt wird. Das System analysiert Datenzugriffsmuster und erstellt kontinuierlich Empfehlungen, Personen Zugriffsrechte zu entziehen, wenn sie nicht im Sinne der geschäftlichen Notwendigkeit auf Daten zugreifen müssen. |
15.1.3 Schutz der betrieblichen Aufzeichnungen |
Varonis hilft beim Schutz von empfindlichen und wichtigen Informationen, indem sichergestellt wird, dass der Zugriff kontinuierlich überwacht und Zugriffskontrollen garantiert werden. |
|
15.1.4 Datenschutz von personenbezogenen Informationen |
Mit Varonis können Compliance-Beauftragte und -Prüfer regelmäßige Berichte zu Datennutzung und Zugriffsaktivität für privilegierte und geschützte Informationen erhalten, um eine vorschriftsmäßige Nutzung und Aufbewahrung sicherzustellen. |
|
15.1.5 Verhindern des Informationsmissbrauchs von verarbeitenden Einrichtungen |
Durch die kontinuierliche Pflege von Zugriffskontrollen, die auf geschäftsrelevanten Notwendigkeiten basieren, vermindert Varonis das Risiko für Datenverlust und Missbrauch. |
|
15.2.1 Compliance mit Sicherheitsrichtlinien |
Varonis stellt sicher, dass nur Business Owner Datenberechtigungen verwalten und ermöglicht Prüfern und Compliance-Beauftragten darüber hinaus die Überwachung des Prozesses. |
|
15.2.2 Prüfung der technischen Compliance |
Die Varonis-Tools ermöglichen ein regelmäßiges Audit der Compliance-Standards der überwachten Systeme. |
|
15.3.1 Audit-Kontrollen des Informationssystems |
Varonis bietet eine detaillierte Berichterstattung zu allen Aspekten der Datennutzung und Laufwerke, einschließlich der Aktionen, die von Domain-Administratoren durchgeführt werden. |
ISO 27002 Darstellung der Funktionen und Anforderungen
Während die ISO 27001 Norm Standards für die Data Governance vorgibt, anhand derer eine Organisation zertifiziert und geprüft werden kann, bietet die ISO 27002 Norm bewährte Verfahren, die eine Organisation befolgen kann. Die folgende Tabelle präsentiert spezielle Wege, mit denen Varonis-Produkte Organisationen bei der Umsetzung der ISO 27002 Kontrollen unterstützen.
Anforderung | Beschreibung | Varonis-Produkt/Funktion |
---|---|---|
Ziele des Sicherheitsmanagements in Unternehmen |
6.1.18 Durchführung einer Risikobewertung, sobald es eine geschäftliche Notwendigkeit gibt, um externen Parteien Zugriff auf Ihre Informationen zu geben |
Varonis-Produkte ermöglichen eine schnelle Identifizierung des betrieblichen Risikos in Bezug auf Daten auf Dateisystemen und SharePoint. |
6.1.19 Sicherstellen, dass Ihre Risikobewertungen sicherheitsrelevante Folgen untersuchen, wenn es eine Notwendigkeit gibt, um externen Parteien Zugriff auf Ihre Informationen zu geben |
Varonis kann genau aufzeigen, welcher Zugriff Benutzern und Gruppen gewährt wird. |
|
Ziele des betrieblichen Vermögensmanagements |
7.1.1 Schützen Sie Ihre betrieblichen Vermögenswerte |
Varonis-Produkte bieten eine Übersicht darüber, wer auf Daten zugreifen kann und ermöglichen dadurch den Schutz von Daten sowie angemessene Zugriffskontrollen. |
7.1.4 Bestimmen von Eigentümern für alle betrieblichen Vermögenswerte |
Varonis-Produkte bieten die Möglichkeit zur intelligenten Identifizierung und Zuweisung von Eigentümern zu Daten, basierend auf detaillierten Aktivitätsanalysen. |
|
7.2.1 Bereitstellung von angemessenem Schutz für Ihre betrieblichen Informationen |
Das Varonis Data Classification Framework erweitert das IDU-Framework durch Einbindung der Informationen zur Inhaltsklassifizierung, die aus der Durchsuchung des Dateiinhalts nach Schlagwörtern, Sätzen, Mustern (d. h. regelmäßige Ausdrücke) resultieren, die für das Unternehmen von Interesse sind. |
|
Ziele des Kommunikations- und Operations-Managements |
10.4.4 Erkennung der Einspeisung von schädlichen Codes und unbefugten mobilen Codes |
Aktivitätsanalysen können auf mögliche schädliche und unbefugte Codes hinweisen. |
10.9.6 Schutz der Verfügbarkeit von Informationen, die über öffentlich verfügbare Systeme veröffentlicht werden |
Eine Übersicht über die Berechtigungen hilft bei der Erhaltung der Verfügbarkeit von Informationen. |
|
10.10.1 Überwachung von Systemen zur Informationsverarbeitung, um unbefugte Aktivitäten zu erkennen |
Varonis erfasst alle Ereignisse des Dateisystems, sodass die Software eine detaillierte Aktivitätsanalyse erstellen kann. Das hilft dabei, Systemprobleme zu erkennen und Kontrollen zu verifizieren. |
|
Ziele des Zugriffskontrollmanagements der Informationen |
11.1.1 Zugriffskontrolle auf Ihre betrieblichen Informationen |
Varonis-Produkte sorgen dafür, dass Zugriffskontrollen effektiv im Einsatz sind. |
11.2.1 Durch Kontrollen genehmigter Zugriff auf Informationssysteme |
Varonis hilft übermäßige Berechtigungen zu identifizieren und angemessene Genehmigungen für den Zugriff auf Dateisysteme umzusetzen. |
|
11.3.1 Verhindern von unbefugtem Benutzerzugriff auf Ihre Informationen und informationsverarbeitenden Einrichtungen |
Varonis unterstützt bei einer Identifizierung übermäßiger Berechtigungen, damit die zulässigen Zugriffe auf Dateisysteme besser gepflegt werden. |
|
11.3.3 Verhindert den Diebstahl von Informationen und Informationseinrichtungen |
Aktivitätsanalysen helfen bei der Identifizierung von ungewöhnlichem Benutzerverhalten und tragen dazu bei, Datendiebstahl zu verhindern. |
|
11.3.4 Bitten Sie autorisierte Benutzer um Mithilfe bei der Zugriffskontrolle auf Ihre Informationssysteme und informationsverarbeitenden Einrichtungen |
DataPrivilege beteiligt automatisch die Data und Business Owner an der Zugriffskontrolle, einschließlich Autorisierung und kontinuierlicher Überprüfung der Zugriffsberechtigungen. |
|
Ziele der Systementwicklung und -wartung |
12.4.1 Sorgen Sie für die Sicherheit der Systemdateien Ihrer Organisation |
Übersicht über die Berechtigungen, detaillierte Audit-Informationen und Datenklassifizierung helfen beim Schutz und der Kontrolle von Systemdateien. |
Ziele des Incident-Managements in der Informationssicherheit |
13.1.1 Stellen Sie sicher, dass Sicherheitsvorfälle in Informationssystemen umgehend gemeldet werden |
Varonis bietet automatische, datengesteuerte Berichte für Data Owner und IT. |
Ziele des Compliance-Managements |
15.1.1 Stellen Sie sicher, dass Ihre Informationssysteme allen relevanten gesetzlichen Sicherheitsanforderungen entsprechen |
Durch die Möglichkeit, Zugriffskontrollen zuverlässig umzusetzen, helfen die Varonis-Produkte dabei, die Compliance-Anforderungen in Bezug auf Data Governance zu erfüllen, einschließlich PCI, Sarbanes Oxley, HIPAA, Hitech und vielen anderen. |
15.2.1 Stellen Sie sicher, dass Ihre Systeme allen Sicherheitsbestimmungen Ihrer Organisation entsprechen |
Varonis-Produkte bieten detaillierte Audit-Informationen über die Aktivität der Dateisysteme und helfen Organisationen bei der Erfüllung von Sicherheitsrichtlinien. |
|
15.3.1 Führen Sie Audits Ihrer Informationssysteme durch |
Varonis bietet detaillierte Audit-Informationen zu allen Dateisystemen und Genehmigungsaktivitäten. |
The post Compliance Brief: ISO 27001- und 27002-Normen appeared first on Varonis Deutsch.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.