Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Compliance Brief: ISO 27001- und 27002-Normen

Geschrieben von Michael Buckbee | Jul 15, 2016 11:50:00 AM

Hintergrund

Die Internationale Organisation für Normung (International Standards Organization, ISO) ist die weltweit größte Vereinigung zur Erarbeitung von Standards. Zu ihren Mitgliedern gehören die nationalen Normungsgremien überall auf der Welt, einschließlich Nord- und Südamerika, Europa und Asien. Die Normen werden von technischen Sachverständigenausschüssen entwickelt und vor der Veröffentlichung eingehenden Untersuchungen und Prüfungen unterzogen. Die internationale Norm ISO 27001 ist das Ergebnis derartiger Bemühungen und stellt eine Aktualisierung und Ausweitung des britischen Standards BS 7799-2 dar. ISO 27001 will ein „Modell zur Bestimmung, Implementierung, Betrieb, Überwachung, Prüfung, Pflege und Verbesserung von Managementsystemen für Informationssicherheit (ISMS) bieten“. ISO 27002 erläutert darüber hinaus auch Kontrollen für die Informationssicherheit und definiert in großem Umfang die Komponenten, die ein ISMS ausmachen. Die einst separaten Normen ISO 27001 und 27002 werden mittlerweile als ergänzend angesehen. Unternehmen könnten die kombinierten Anweisungen dazu nutzen, ein ISMS aufzubauen, das den Größen- und Risikotoleranzen der Organisation entspricht. Letztendlich zertifizieren Unternehmen, die den ISO 27000 Leitfaden implementieren, ihre ISMS anschließend gemäß ISO 27001.

An wen richtet sich die ISO 27001?

Alle Organisationen, Unternehmen, Regierungsgruppen, akademischen Einrichtungen und gemeinnützige Unternehmen, die an der Implementierung eines Rahmenwerks für den langfristigen Schutz ihrer Informationswerte interessiert sind, können die Anweisungen und Zertifizierungsanforderungen der ISO 27000 Norm anwenden. Vor allem werden Unternehmen die ISO 27001 für Folgendes heranziehen:

  • Formulierung von Sicherheitsanforderungen und -zielen
  • Sicherstellen, dass Sicherheitsrisiken kostenwirksam verwaltet werden
  • Einhaltung der Gesetze und Regelungen
  • Sicherstellen, dass spezielle Sicherheitsziele der Organisationen erfüllt werden
  • Implementierung neuer Verwaltungsprozesse zur Informationssicherheit
  • Bestimmung des Grads der Compliance mit Richtlinien, Direktiven und Normen, die von einer Organisation übernommen wurden
  • Bereitstellung relevanter Informationen über Richtlinien, Direktiven, Normen und Verfahren zur Informationssicherheit an Kunden und Geschäftspartner sowie an andere Organisationen, mit denen diese zusammenarbeiten
  • Implementierung von geschäftsförderlicher Informationssicherheit

ISO 27001 – Darstellung der Funktionen und Anforderungen

Varonis bietet ein umfangreiches System zur Erfüllung der Kontrollen des Informationsschutzes, die für unstrukturierte und semi-strukturierte Daten gelten, d. h. den Inhalt von Dateiservern und SharePoint-Servern. Die Lösungen von Varonis sorgen insbesondere dafür, dass der Zugriff und die Nutzung von sensiblen und wichtigen personenbezogenen Daten auf diesen Servern automatisch auf den tatsächlichen Nutzungsbedarf eingeschränkt werden, und dass die Nutzung von sensiblen Daten kontinuierlich überwacht wird, damit Organisationen zu jeder Zeit ein genaues Audit der Datennutzung und des Zugriffsverhaltens der Benutzer haben.

Anforderung Beschreibung Varonis-Produkt/Funktion

Vermögensverwaltung

7.1.1 Bestand der Vermögenswerte

Varonis zeigt alle Inhalte von Verzeichnissen oder Laufwerken an und ordnet Daten Benutzern zu und umgekehrt.

 

7.1.2 Eigentum der Vermögenswerte

Varonis zeigt an, welche Personen mit hoher Wahrscheinlichkeit die Business Owner eines bestimmten Datensatzes oder Ordners sind.

 

7.1.3 Zulässige Verwendung der Vermögenswerte

Varonis überwacht alle Datennutzungen der Laufwerke nach Benutzernamen, Dateinamen und den mit den Daten ausgeführte Aktionen und identifiziert ungewöhnlich hohe Zugriffsaktivitäten.

 

7.2.1 Klassifizierungsrichtlinien

Varonis bietet die Möglichkeit, Daten basierend auf Unternehmensrichtlinien zu klassifizieren und stellt sicher, dass basierend auf dieser Klassifizierung angemessene Kontrollen im Einsatz sind.

Kommunikations- und Operations-Management

10.1.2 Änderungsmanagement

Varonis verfolgt alle Änderungen an Dateisystemen, einschließlich der Änderungen bei den Zugriffskontrollen und Sicherheitseinstellungen.

 

10.1.3 Trennung von Aufgaben

Varonis hilft bei der Umsetzung von Zugriff nach geringstem Recht, indem eine Liste der Personen erstellt wird, deren Zugriffsrechte auf Daten aufgehoben werden sollten, und Mittel zur Umsetzung bereitstellt.

 

10.2.2 Überwachung und Prüfung der Dienstleistungen von Dritten

VVaronis hilft bei der Überwachung und dem Audit von externen Systemaktivitäten auf unstrukturierte und semi-strukturierte Daten.

 

10.3.1 Kapazitätsverwaltung

Varonis zeigt alle inaktiven oder verwaisten Daten zusammen und deren Größe an, um den Platz auf Laufwerken und angeschlossenen Speichergeräten effektiv zu nutzen und ungenutzte Vermögenswerte in weniger kostenintensive Datenarchive verlagert werden.

 

10.10.1 Audit-Logging

Varonis bietet ein detailliertes und durchsuchbares Audit-Log zur Nutzung unstrukturierter und semi-strukturierter Daten auf Dateisystemen und NAS-Geräten.

 

10.10.2 Überwachung der Systemnutzung

Varonis bietet eine detaillierte Aktivitätsanalyse des Zugriffs auf unstrukturierte Dateien und überwachte Dateisysteme.

Zugriffskontrolle

11.1.1 Zugriffskontrollrichtlinie

Varonis ermöglicht die Umsetzung einer Richtlinie zur Zugriffskontrolle, indem sichergestellt wird, dass Business Owner Empfehlungen zur Aufhebung von Berechtigungen zulassen oder ablehnen.

 

11.2.4 Prüfung der Zugriffsrechte von Benutzern

Varonis bietet die Möglichkeit zur Durchführung einer umfangreichen Berechtigungsprüfung, nach der alle Benutzerrechte für Daten erfasst werden. Diese Prüfung ermöglicht darüber hinaus auch Berichte über bisherige Zugriffsrechte auf Datensätze, um mögliche Tendenzen zu übermäßigen Zugriffen aufzuzeigen.

 

11.6.1 Zugriffsbeschränkung auf Informationen

Varonis bietet Informationen zu übermäßigem Zugriff und hilft Organisationen dabei, die entsprechenden Zugriffskontrollen zu befolgen.

Incident-Management in der Informationssicherheit

13.1.1 Meldungen von Vorfällen in der Informationssicherheit

Varonis meldet alle Arten ungewöhnlichen Datenzugriffs auf Laufwerke durch Personen, die ihre normale oder durchschnittliche Zugriffshäufigkeit übersteigen. Übermäßig rigoroser Zugriff führt zu einer Meldung und einem Bericht über die Art der Aktivität, der automatisch an die verantwortlichen Personen, wie Business Owner oder IT-Personal, übermittelt wird.

 

13.1.2 Meldung von Sicherheitsschwächen

Varonis meldet alle Daten, die aufgrund von globalen Gruppen (Jedermann, authentifizierte Benutzer etc.) oder aufgrund eines anderen übermäßigen Zugriffs gefährdet sind, sowie Benutzer und Gruppen, die übermäßigen Zugriff haben.

 

13.2.3 Sammlung von Beweisen

Das Varonis-Log des gesamten Dateikontaktes kann zur Unterstützung von forensischen Analysen der Datennutzung und -aktivität herangezogen werden.

Compliance

15.1.2 Rechte an geistigem Eigentum

Varonis hilft Organisationen bei der Erfüllung von Initiativen, um sicherzustellen, dass Zugriff basierend auf dem geringsten Recht für regulierte Daten sichergestellt wird. Das System analysiert Datenzugriffsmuster und erstellt kontinuierlich Empfehlungen, Personen Zugriffsrechte zu entziehen, wenn sie nicht im Sinne der geschäftlichen Notwendigkeit auf Daten zugreifen müssen.

 

15.1.3 Schutz der betrieblichen Aufzeichnungen

Varonis hilft beim Schutz von empfindlichen und wichtigen Informationen, indem sichergestellt wird, dass der Zugriff kontinuierlich überwacht und Zugriffskontrollen garantiert werden.

 

15.1.4 Datenschutz von personenbezogenen Informationen

Mit Varonis können Compliance-Beauftragte und -Prüfer regelmäßige Berichte zu Datennutzung und Zugriffsaktivität für privilegierte und geschützte Informationen erhalten, um eine vorschriftsmäßige Nutzung und Aufbewahrung sicherzustellen.

 

15.1.5 Verhindern des Informationsmissbrauchs von verarbeitenden Einrichtungen

Durch die kontinuierliche Pflege von Zugriffskontrollen, die auf geschäftsrelevanten Notwendigkeiten basieren, vermindert Varonis das Risiko für Datenverlust und Missbrauch.

 

15.2.1 Compliance mit Sicherheitsrichtlinien

Varonis stellt sicher, dass nur Business Owner Datenberechtigungen verwalten und ermöglicht Prüfern und Compliance-Beauftragten darüber hinaus die Überwachung des Prozesses.

 

15.2.2 Prüfung der technischen Compliance

Die Varonis-Tools ermöglichen ein regelmäßiges Audit der Compliance-Standards der überwachten Systeme.

 

15.3.1 Audit-Kontrollen des Informationssystems

Varonis bietet eine detaillierte Berichterstattung zu allen Aspekten der Datennutzung und Laufwerke, einschließlich der Aktionen, die von Domain-Administratoren durchgeführt werden.

ISO 27002 Darstellung der Funktionen und Anforderungen

Während die ISO 27001 Norm Standards für die Data Governance vorgibt, anhand derer eine Organisation zertifiziert und geprüft werden kann, bietet die ISO 27002 Norm bewährte Verfahren, die eine Organisation befolgen kann. Die folgende Tabelle präsentiert spezielle Wege, mit denen Varonis-Produkte Organisationen bei der Umsetzung der ISO 27002 Kontrollen unterstützen.

Anforderung Beschreibung Varonis-Produkt/Funktion

Ziele des Sicherheitsmanagements in Unternehmen

6.1.18 Durchführung einer Risikobewertung, sobald es eine geschäftliche Notwendigkeit gibt, um externen Parteien Zugriff auf Ihre Informationen zu geben

Varonis-Produkte ermöglichen eine schnelle Identifizierung des betrieblichen Risikos in Bezug auf Daten auf Dateisystemen und SharePoint.

 

6.1.19 Sicherstellen, dass Ihre Risikobewertungen sicherheitsrelevante Folgen untersuchen, wenn es eine Notwendigkeit gibt, um externen Parteien Zugriff auf Ihre Informationen zu geben

Varonis kann genau aufzeigen, welcher Zugriff Benutzern und Gruppen gewährt wird.

Ziele des betrieblichen Vermögensmanagements

7.1.1 Schützen Sie Ihre betrieblichen Vermögenswerte

Varonis-Produkte bieten eine Übersicht darüber, wer auf Daten zugreifen kann und ermöglichen dadurch den Schutz von Daten sowie angemessene Zugriffskontrollen.

 

7.1.4 Bestimmen von Eigentümern für alle betrieblichen Vermögenswerte

Varonis-Produkte bieten die Möglichkeit zur intelligenten Identifizierung und Zuweisung von Eigentümern zu Daten, basierend auf detaillierten Aktivitätsanalysen.

 

7.2.1 Bereitstellung von angemessenem Schutz für Ihre betrieblichen Informationen

Das Varonis Data Classification Framework erweitert das IDU-Framework durch Einbindung der Informationen zur Inhaltsklassifizierung, die aus der Durchsuchung des Dateiinhalts nach Schlagwörtern, Sätzen, Mustern (d. h. regelmäßige Ausdrücke) resultieren, die für das Unternehmen von Interesse sind.

Ziele des Kommunikations- und Operations-Managements

10.4.4 Erkennung der Einspeisung von schädlichen Codes und unbefugten mobilen Codes

Aktivitätsanalysen können auf mögliche schädliche und unbefugte Codes hinweisen.

 

10.9.6 Schutz der Verfügbarkeit von Informationen, die über öffentlich verfügbare Systeme veröffentlicht werden

Eine Übersicht über die Berechtigungen hilft bei der Erhaltung der Verfügbarkeit von Informationen.

 

10.10.1 Überwachung von Systemen zur Informationsverarbeitung, um unbefugte Aktivitäten zu erkennen

Varonis erfasst alle Ereignisse des Dateisystems, sodass die Software eine detaillierte Aktivitätsanalyse erstellen kann. Das hilft dabei, Systemprobleme zu erkennen und Kontrollen zu verifizieren.

Ziele des Zugriffskontrollmanagements der Informationen

11.1.1 Zugriffskontrolle auf Ihre betrieblichen Informationen

Varonis-Produkte sorgen dafür, dass Zugriffskontrollen effektiv im Einsatz sind.

 

11.2.1 Durch Kontrollen genehmigter Zugriff auf Informationssysteme

Varonis hilft übermäßige Berechtigungen zu identifizieren und angemessene Genehmigungen für den Zugriff auf Dateisysteme umzusetzen.

 

11.3.1 Verhindern von unbefugtem Benutzerzugriff auf Ihre Informationen und informationsverarbeitenden Einrichtungen

Varonis unterstützt bei einer Identifizierung übermäßiger Berechtigungen, damit die zulässigen Zugriffe auf Dateisysteme besser gepflegt werden.

 

11.3.3 Verhindert den Diebstahl von Informationen und Informationseinrichtungen

Aktivitätsanalysen helfen bei der Identifizierung von ungewöhnlichem Benutzerverhalten und tragen dazu bei, Datendiebstahl zu verhindern.

 

11.3.4 Bitten Sie autorisierte Benutzer um Mithilfe bei der Zugriffskontrolle auf Ihre Informationssysteme und informationsverarbeitenden Einrichtungen

DataPrivilege beteiligt automatisch die Data und Business Owner an der Zugriffskontrolle, einschließlich Autorisierung und kontinuierlicher Überprüfung der Zugriffsberechtigungen.

Ziele der Systementwicklung und -wartung

12.4.1 Sorgen Sie für die Sicherheit der Systemdateien Ihrer Organisation

Übersicht über die Berechtigungen, detaillierte Audit-Informationen und Datenklassifizierung helfen beim Schutz und der Kontrolle von Systemdateien.

Ziele des Incident-Managements in der Informationssicherheit

13.1.1 Stellen Sie sicher, dass Sicherheitsvorfälle in Informationssystemen umgehend gemeldet werden

Varonis bietet automatische, datengesteuerte Berichte für Data Owner und IT.

Ziele des Compliance-Managements

15.1.1 Stellen Sie sicher, dass Ihre Informationssysteme allen relevanten gesetzlichen Sicherheitsanforderungen entsprechen

Durch die Möglichkeit, Zugriffskontrollen zuverlässig umzusetzen, helfen die Varonis-Produkte dabei, die Compliance-Anforderungen in Bezug auf Data Governance zu erfüllen, einschließlich PCI, Sarbanes Oxley, HIPAA, Hitech und vielen anderen.

 

15.2.1 Stellen Sie sicher, dass Ihre Systeme allen Sicherheitsbestimmungen Ihrer Organisation entsprechen

Varonis-Produkte bieten detaillierte Audit-Informationen über die Aktivität der Dateisysteme und helfen Organisationen bei der Erfüllung von Sicherheitsrichtlinien.

 

15.3.1 Führen Sie Audits Ihrer Informationssysteme durch

Varonis bietet detaillierte Audit-Informationen zu allen Dateisystemen und Genehmigungsaktivitäten.

The post Compliance Brief: ISO 27001- und 27002-Normen appeared first on Varonis Deutsch.