Was ist Netzwerksicherheit: Typen und Verwaltung
what is network security
Ein vollständiger Leitfaden zur Netzwerksicherheit: Notwendigkeit eines Netzwerksicherheitsmanagements mit Typen und Beispielen
In diesem Easy Networking Training Series haben wir mehr über erforscht Authentifizierungsstandards von IEEE und Wireless LAN in unserem vorherigen Tutorial.
Was ist Netzwerksicherheit?
Netzwerksicherheit ist eine Richtlinie für Computernetzwerksysteme, mit der die Sicherheit der Ressourcen, Software- und Hardwareressourcen des Unternehmens gewährleistet wird. Der Begriff Netzwerksicherheit konzentriert sich auch auf die Überwachung und Kontrolle von nicht autorisiertem Zugriff, Missbrauch und unerwünschten Änderungen im Netzwerksystem.
Der am häufigsten praktizierte Authentifizierungsprozess besteht darin, dem Benutzer eine exklusive Benutzer-ID und ein Kennwort zur Authentifizierung zuzuweisen und auf die Ressourcen des Netzwerks zuzugreifen.
Der Begriff Sicherheit umfasst sowohl private als auch gemeinfreie Netzwerke wie RTGS oder NEFT über Online-Banking.
In diesem Tutorial werden wir die Möglichkeiten des Umgangs mit verschiedenen Arten von Netzwerkangriffen untersuchen und lernen, wie die Netzwerksicherheitsrichtlinien implementiert werden, um unser Netzwerk zu einem hochsicheren Netzwerk zu machen.
Was du lernen wirst:
Was ist Netzwerksicherheit und deren Verwaltung?
Das Sicherheitsmanagement in jedem öffentlichen oder privaten Netzwerk ist eine Reihe von Richtlinien und Routineverfahren, die vom Netzwerksystem implementiert werden, um das Netzwerk vor unbefugtem Zugriff, Verweigerung des Computerdienstes, Unterbrechung des Betriebs usw. zu schützen. Dies wird als Netzwerksicherheitsmanagement bezeichnet.
Der Schwerpunkt liegt auch auf der Überwachung des Netzwerks rund um die Uhr, um Virenangriffe und Missbrauch oder Änderungen in der Datenbank zu verhindern.
Die beste Möglichkeit, die Sicherheit zu verwalten, besteht darin, fortschrittliche Antiviren- und Anti-Malware-Software zu verwenden und das System in regelmäßigen Abständen zu aktualisieren.
Bedarf an Netzwerksicherheit
Die Nutzung des Internets hat drastisch zugenommen, da wir sogar unsere täglichen Aktivitäten auf eine vollständige Digitalisierung ausrichten. Aufgrund der zunehmenden Nutzung des Internets werden Hacker und Angreifer auch aktiver und unser Netzwerksystem tendiert zu einer höheren Anzahl von Virenangriffen.
Grundsätzlich besteht die Notwendigkeit der Netzwerksicherheit hauptsächlich darin, zwei Aufgaben auszuführen: Erstens, die Informationen vor unbefugtem Zugriff zu schützen, und zweitens, die Sicherheit der auf einem PC oder Laptop gespeicherten Daten nicht nur für ein einzelnes Netzwerk, sondern auch für das Netzwerk bereitzustellen gemeinsame oder gemeinfreie Netzwerke.
Das Bedürfnis nach Informationssicherheit basiert auf folgenden Punkten:
Zum Schutz der Informationen vor unerwünschtem Zugriff.
Um die Daten vor unangemessenen Verzögerungen auf der Route zu schützen, werden sie zum gewünschten Zeitpunkt an das Ziel geliefert.
Um die Daten vor unerwünschten Änderungen zu schützen.
Um zu verhindern, dass ein bestimmter Benutzer im Netzwerk E-Mails sendet, Nachrichten so, dass sie dem Empfänger erscheinen, dass sie von einem Dritten gesendet wurden. (Schutz vor dem Ausblenden der Identität des ursprünglichen Absenders der Ressourcennachricht).
Um unsere Hardware wie Festplatte, PC, Laptop vor Angriffen durch Malware, Viren usw. zu schützen, die unser System beschädigen können, indem alle darin gespeicherten Inhalte beschädigt oder gelöscht werden.
Zum Schutz unserer PCs vor der Software, die bei Installation unser System beschädigen kann, wie es Hacker tun.
Um unser System vor trojanischen Pferden, Würmern usw. zu schützen, die unser System vollständig zerstören können.
Netzwerksicherheitstypen
Wir können unser Netzwerksystem auf verschiedene Arten abschirmen, je nach Art des Netzwerkangriffs.
Daher gibt es viele Lösungen, von denen im Folgenden nur wenige erörtert werden.
# 1) Antiviren- und Anti-Malware-Software:
Die Schutzsoftware, mit der unser System vor Viren, Trojanern, Würmern usw. geschützt wird, ist eine Antiviren- und Anti-Malware-Software.
Diese Software durchsucht das System und das Netzwerk jedes Mal nach Malware und Trojanern, wenn eine neue Datei in das System eingeführt wird. Es erkennt und behebt auch das Problem, wenn es mit infizierten Daten oder mit einem Virus gefunden wird.
# 2) Data Loss Prevention (DLP):
Die MNCs oder großen Organisationen wahren die Vertraulichkeit von Daten und Ressourcen, indem sie sicherstellen, dass ihre internen Informationen von keinem der Mitarbeiter an die Außenwelt weitergegeben werden.
Dies erfolgt durch die Bereitstellung der DLP-Technologie, bei der der Netzwerkadministrator den Zugriff des Mitarbeiters auf die Informationen einschränkt, um zu verhindern, dass diese an die Außenwelt weitergegeben werden, indem Ports und Sites für die Weiterleitung, das Hochladen oder sogar das Drucken von Informationen blockiert werden.
# 3) E-Mail-Sicherheit:
Die Angreifer können den Virus oder die Malware im Netzwerk auslösen, indem sie sie per E-Mail im System senden.
Daher ist eine hochqualifizierte E-Mail-Sicherheitsanwendung erforderlich, die eingehende Nachrichten auf Viren scannen kann und verdächtige Daten filtern und den Abfluss von Nachrichten steuern kann, um jeglichen Informationsverlust für das System zu verhindern.
# 4) Firewalls:
Diese sind ein wesentlicher Bestandteil des Netzwerksystems. Es fungiert als Wand zwischen zwei Netzwerken oder zwischen zwei Geräten. Grundsätzlich handelt es sich um eine Reihe vordefinierter Regeln, mit denen verhindert wird, dass das Netzwerk unbefugten Zugriff erhält.
Es gibt zwei Arten von Firewalls, d. H. Hardware und Software. Die Software-Firewall ist in den Systemen installiert, um Schutz vor verschiedenen Arten von Angriffen zu bieten, wenn diese die unerwünschten Kreaturen im Netzwerk filtern, blockieren und reparieren.
Die Hardware-Firewall fungiert als Gateway zwischen zwei Netzwerksystemen, sodass nur ein bestimmter vordefinierter Benutzer oder Datenverkehr auf das Netzwerk und seine Ressourcen zugreifen kann.
Intrusion Prevention System (IPS): Es ist das Netzwerksicherheitssystem, das einige Regeln enthält. Wenn Sie diese befolgen, können Sie die Bedrohungen leicht herausfinden und auch blockieren.
# 5) Mobile Sicherheit:
Die Cyberkriminellen können die Mobiltelefone mit der Datenfunktion auf den Mobilteilen leicht hacken oder angreifen und über einen ungesicherten Ressourcenlink auf der Website auf das Gerät zugreifen.
Daher ist es notwendig, ein Antivirenprogramm auf unserem Gerät zu installieren, und die Benutzer sollten die Daten von zuverlässigen Ressourcen und auch nur von gesicherten Websites herunterladen oder hochladen.
# 6) Netzwerksegmentierung:
Aus Sicherheitsgründen segmentiert eine softwarebasierte Organisation ihre wichtigen Daten in zwei oder drei Teile und speichert sie an verschiedenen Orten und auf mehreren Ressourcen oder Geräten.
Dies geschieht so, dass im schlimmsten Fall, wenn die Daten an einem Ort durch einen Virenangriff beschädigt oder gelöscht werden, sie aus beliebigen Sicherungsquellen erneut rekonstruiert werden können.
# 7) Web-Sicherheit:
Web-Sicherheit bezieht sich auf die Bereitstellung eines eingeschränkten Zugriffs auf Websites und URLs durch Blockieren der Websites, die anfälliger für Viren und Hacker sind. Daher geht es im Wesentlichen um die Kontrolle der webbasierten Bedrohungen.
# 8) Endpunktsicherheit:
Für das Netzwerksystem, in dem ein Benutzer am Remote-Ende anwesend ist und von einem Remote-Gerät wie Mobiltelefonen oder Laptops auf die wichtige Datenbank des Unternehmens zugreift, ist Endpunktsicherheit erforderlich.
Verschiedene Software, die über erweiterte Endpoint-Sicherheitsfunktionen verfügt und für diesen Zweck verwendet wird. Dies bietet sieben Sicherheitsebenen, einschließlich der Reputation von Dateien, der automatischen Sandbox, der Webfilterung, der Antivirensoftware und einer Firewall.
# 9) Zugangskontrolle:
Das Netzwerk sollte so gestaltet sein, dass nicht jeder auf alle Ressourcen zugreifen kann.
Dazu werden ein Kennwort, eine eindeutige Benutzer-ID und ein Authentifizierungsprozess für den Zugriff auf das Netzwerk bereitgestellt. Dieser Prozess wird als Zugriffskontrolle bezeichnet, da wir durch seine Implementierung den Zugriff auf das Netzwerk steuern können.
# 10) Virtuelles privates Netzwerk (VPN):
Ein System kann durch die Verwendung von VPN-Netzwerken in Verbindung mit der Verwendung von Verschlüsselungsmethoden für die Authentifizierung und den schwebenden Datenverkehr über das Internet zu einem remote verbundenen Gerät oder Netzwerk hochsicher gemacht werden. IPSec ist der am häufigsten verwendete Authentifizierungsprozess.
Arten von Sicherheitsbestimmungen auf verschiedenen Ebenen in einem System
Wie machen Sie Ihr System und Ihr Netzwerk sicher?
Das Netzwerk so zu verwalten, dass es in der Lage ist, alle Möglichkeiten des Netzwerkangriffs und des Virenproblems zu bewältigen und zu beheben, wird als Netzwerksicherheitsmanagement bezeichnet.
Die wichtigsten Parameter für die Sicherheit Ihres Systems sind:
1) Richten Sie sichere Passwörter ein:
Um Ihr System oder Netzwerk vor böswilligen Angriffen zu schützen, geben Sie zunächst ein sicheres Kennwort für die Anmeldung und den Zugriff in Ihr System ein. Das Kennwort muss aus vielen Zeichen, Symbolen und Zahlen bestehen. Vermeiden Sie es, Geburtstage als Passwort zu verwenden, da diese von den Hackern leicht geknackt werden können.
2) Richten Sie eine Firewall ein:
Setzen Sie immer eine starke Firewall in Ihr Netzwerksystem ein, um es vor unerwünschtem Zugriff oder anderen Bedrohungen zu schützen.
3) Virenschutz:
Installieren Sie Ihr System und Ihre Laptops immer mit Antivirensoftware. Die Antivirensoftware scannt, erkennt und filtert die infizierten Dateien und behebt auch das Problem, das durch Virenangriffe im System entsteht.
4) Aktualisierung:
Es ist sehr wichtig, Ihr System und Ihr Netzwerk mit der neuesten Version der Antivirensoftware zu aktualisieren und die neuesten Patches und Skripte für das System gemäß den Anforderungen des Systems zu installieren. Dies minimiert die Wahrscheinlichkeit von Virenangriffen und macht das Netzwerk sicherer.
5) Guard Laptops und Handys:
Laptops sind bewegliche Geräte und daher anfällig für Netzwerkbedrohungen.
In ähnlicher Weise sind Mobiltelefone drahtlose Geräte und sie sind auch leicht Bedrohungen ausgesetzt. Um diese Geräte abzuschirmen, sollte ein sicheres Kennwort verwendet werden, um auf die verschiedenen Ressourcen zuzugreifen. Es ist besser, ein biometrisches Fingerabdruckkennwort zu verwenden, um auf die Smart-Geräte zuzugreifen.
6) Pünktliche Sicherungen:
Wir sollten regelmäßig Backups von Dateien, Dokumenten und anderen wichtigen Daten auf unserem System oder unserer Festplatte erstellen und diese auf einem zentralen Server oder an einem sicheren Ort speichern. Dies sollte unbedingt erfolgen. Im Notfall hilft dies, das System schnell wiederherzustellen.
7) Smart Surfing auf Websites:
Bevor Sie einen Link oder eine Website im Internet herunterladen und darauf klicken, sollten Sie berücksichtigen, dass ein falscher Klick viele Viren in unserem Netzwerk einladen kann. Laden Sie daher die Daten nur von vertrauenswürdigen und sicheren Links herunter und vermeiden Sie das Surfen auf unbekannten Links und Websites.
Vermeiden Sie es auch, auf Anzeigen und Angebote zu klicken, die häufig auf der Webseite angezeigt werden, wenn Sie sich im Internet anmelden.
8) Sichere Konfiguration:
Die auf dem IOS oder Router vorgenommene Konfiguration sollte unter Verwendung einer eindeutigen Benutzer-ID und eines eindeutigen Kennworts erfolgen und sicher aufbewahrt werden.
9) Wechselmediensteuerung:
Wechselmedien wie USB-Sticks, Dongles und Datenkarten sollten immer gescannt werden, wenn sie im System induziert werden. Die Verwendung von Wechseldatenträgern sollte eingeschränkt werden, und es sollte eine solche Richtlinie festgelegt werden, über die keine Daten aus dem System exportiert werden können.
Beispiel eines Worm-Win 32-Angreifers
In der obigen Abbildung wurde erklärt, dass Computer mit einem sicheren Kennwort, aktualisierten Sicherheitsfunktionen und einem Schutz vor Virenschutz gegen einen Wurmangriff immun sind.
Auf der anderen Seite sind Computer oder Netzwerke mit einem schwachen Kennwort, veralteten Systemaktualisierungen und ohne Antivirensoftware anfälliger für Angriffe von Würmern und können leicht beschädigt und verringert werden.
Fazit
In diesem Lernprogramm haben wir die Notwendigkeit der Netzwerksicherheit, Sicherheitstypen und wichtige Punkte für deren Verwaltung untersucht.
Wir haben auch gesehen, wie wir unser Netzwerksystem gegen alle Arten von Viren- und Trojaner-Angriffen immun machen können, indem wir dem System sichere Passwörter implementieren, mehrstufige Sicherheit zuweisen, Antivirensoftware verwenden und die gesamte Software und das System rechtzeitig mit einem aktualisieren Beispiel.
PREV Tutorial | NÄCHSTES Tutorial
AlgoSec A30.10 bietet erweitertes Cloud- SDN- und Netzwerk-Sicherheits-Management
Sicherheitsmanagement
AlgoSec A30.10 bietet erweitertes Cloud- SDN- und Netzwerk-Sicherheits-Management
06.04.2020 , Ridgefield Park, Algosec | Autor: Herbert Wieler
Für Cisco ACI, Tetration & FirePower, Microsoft Azure, F5 AFM und Juniper Junos Space
AlgoSec, der führende Anbieter von geschäftsorientierten Netzwerksicherheits-Management-Lösungen, hat die Version A30.10 seiner Security Management Suite (ASMS) veröffentlicht. Sie bietet neue Verwaltungsfunktionen und eine Reihe verbesserter Features, um die Technologie- und Ökosystem-Integrationen auszubauen.
Das Update der AlgoSec Network Security Management Suite verbessert die Unterstützung führender Anbieter und erweitert die Cisco-Integration, wodurch eine enorme Anwendungs-Transparenz, Änderungs-Automatisierung und Kontrolle ermöglicht wird
Die Algosec Security Management Suite A30.10 baut auf den marktführenden Automatisierungsfunktionen der A30-Konsole auf, um ein nahtloses und berührungsloses Security Management in SDN-, Cloud- und lokalen Netzwerken zu ermöglichen. Dadurch erhalten Unternehmen umfassende Transparenz und Kontrolle über die Sicherheit in ihrer hybriden IT-Umgebung.
Zu den wichtigsten Funktionen ASMS A30.10 gehören:
Erweiterte Unterstützung für Cisco
A30.10 bietet erweiterte Unterstützung für Cisco, einschließlich der AlgoSec AppViz-Integration mit Cisco Tetration. Diese bietet eine verbesserte Sichtbarkeit aller Anwendungen und automatische Netzwerkerkennung, um die Identifizierung und Abbildung der Netzwerkattribute und Sicherheitsregeln geschäftskritischer Anwendungen erheblich zu beschleunigen. Das Update erweitert auch die Modellierung und Sichtbarkeit der Cisco ACI Network Map. AlgoSec liefert genaue und detaillierte Abfrageresultate des Datenverkehrs und ermöglicht eine intelligente Automatisierung der Umsetzung komplexer Änderungen in der Netzwerksicherheit. ASMS bietet zudem Berichte zur Einhaltung der Baseline Compliance für Cisco Firepower-Geräte. AlgoSec Firewall Analyzer Administratoren können nun ein Basisprofil auswählen, entweder das von AlgoSec bereitgestellte, eine modifizierte Version oder sie können ein eigenes Profil erstellen.
Erweiterte Automatisierung
ASMS A30.10 bietet eine verbesserte Automatisierung durch FireFlow-Unterstützung für F5-AFM-Bausteine und verschiedene Erweiterungen von Juniper Junos Space:
ActiveChange-Unterstützung für Junos Space: ActiveChange ermöglicht es Anwendern, Arbeitsauftragsempfehlungen über die Junos Space-Integration direkt aus FireFlow heraus automatisch umzusetzen.
Verbesserte Granularitätsunterstützung von virtuellen Routern, VRFs und Secure Wires für ein höheres Maß an Routenanalyse und präzise Automatisierung.
Offenheit des Technologie-Ökosystems
A30.10 bietet nahtlose Migration zu virtuellen Appliances, AlgoSec-Hardware-Appliances oder Amazon Web Services/Microsoft Azure-Instanzen. Eine einfache Geräteverlagerung ermöglicht es Systemadministratoren auf verteilten Architekturen auch, Geräte über Knoten hinweg zu verlagern. Das Update enthält ASMS-API-Verbesserungen, darunter eine erweiterte Swagger-Unterstützung, welche die Ausführung von API-Anforderungsaufrufen und Zugriffslisten von Anforderungs-Parametern direkt von Swagger ermöglicht. ASMS A30.10 führt auch neue Grafiken und Dashboards im AlgoSec Reporting Tool (ART) ein, die einen exekutiven Schwerpunkt haben.
Neue Multi-Cloud-Fähigkeit
ASMS A30.10 bietet einen optimierten Zugriff auf CloudFlow, umfangreiche Transparenz, Risiko-Erkennung und Minderung von Cloud-Fehlkonfigurationen. Außerdem vereinfacht es Netzwerksicherheitsrichtlinien mit zentralen Verwaltungs- und Bereinigungsfunktionen.
Eran Shiff, Vice President Product von AlgoSec
„Wenn Unternehmen ihre Initiativen zur digitalen Transformation beschleunigen wollen, müssen sie die Möglichkeit haben, Änderungen an ihren wichtigsten Geschäftsanwendungen schnell und ohne Beeinträchtigung der Sicherheit in SDN-, Cloud- und lokalen Umgebungen vorzunehmen. Dies bedeutet, dass IT- und Sicherheits-Teams eine ganzheitliche Transparenz und eine granulare Kontrolle über ihre gesamte Netzwerkinfrastruktur benötigen, um diese Prozesse zu verwalten“, erklärt Eran Shiff, Vice President Product von AlgoSec: „Die neuen Funktionen in AlgoSec A30.10 machen es diesen Teams noch einfacher, Änderungen in der gesamten Umgebung ihres Unternehmens schnell zu planen, zu prüfen und automatisch zu implementieren, um die geschäftliche Agilität zu maximieren und gleichzeitig ihre Sicherheits- und Compliance-Einhaltung zu stärken.“
Ein Wegweiser zu einem Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001
Voraussetzungen
Eine kürzliche Änderung der DiGA-Verordnung hat zur Folge, dass DiGA-Hersteller ab dem 1. April 2022 verpflichtet sind, dem BfArM auf Verlangen im Rahmen des Antragsverfahrens auf Listung im DiGA- Verzeichnis ein akkreditiertes Zertifikat über die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 nativ oder nach ISO27001 auf der Basis des BSI-Standards 200-2 vorzulegen. Das ISMS legt fest, mit welchen Instrumenten und Methoden die Leitungsebene die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt. Diese Nachweispflicht gilt auch für Hersteller, deren DiGA bereits vor dem 1. April 2022 gelistet wurde oder die sich zu diesem Zeitpunkt im Antragsverfahren befinden. Hier besteht also dringender Handlungsbedarf. Die internationale und weitestgehend anerkannte Norm für Informationssicherheitsmanagementsysteme (ISMS) DIN EN ISO/IEC 27001 fordert die Organisation der Informationssicherheit im Unternehmen nach dem „Plan – Do – Check – Act (PDCA)“-Ansatz, welcher an einer fundierten Risikomanagement-Methodologie ausgerichtet sein muss. Darüber hinaus werden konkrete Ziele und Maßnahmen zum Schutz von Informationswerten/Daten, der IT und der angrenzenden Geschäfts- und Unterstützungsprozesse aufgestellt. Diese müssen im Unternehmen dokumentiert, umgesetzt, überprüft/bewertet und nachweislich kontinuierlich verbessert werden. Das Aufsetzen eines solchen ISMS beschränkt sich nicht ausschließlich auf die Erstellung von Regelungen, sondern umfasst insbesondere die Aktivitäten zum Einführen, „Leben“ und Überprüfen von informationssicherheitsrelevanten Prozessen im Unternehmen. Die Unternehmen sollten daher zu diesem Zweck gut geplante und kontinuierlich laufende Programme, welche durch die Geschäftsführung aktiv unterstützt, durch die IT-Leitung vollumfänglich akzeptiert und durch den Informationssicherheitsbeauftragten geleitet und gesteuert werden müssen, aufsetzen.
Grundlagen
Ein Informationssicherheitsmanagementsystem (ISMS) nach Vorgabe der DIN EN ISO/IEC 27001 sollte in jedem geschäftlich getriebenen Unternehmen zum Schutz der wohl wichtigsten Unternehmenswerte – der Daten und Informationen seiner Mitarbeiter, Kunden und Geschäftspartner – umgesetzt sein. Der Aufbau eines ganzheitlichen ISMS beinhaltet folgende Bestandteile:
Top-Level Information Security Policy – definiert Vorgaben an die Governance, Risk & Compliance (GRC), die Aufbau- und Ablauforganisationen des ISMS;
eine Definition und Dokumentation der Organisation der Informationssicherheit im Unternehmen – hierbei handelt es sich um ein ineinandergreifendes Rahmenwerk von Regelungen zur Umsetzung der Informationssicherheit, inkl. IT- und Risikomanagement, Software-Entwicklung, Handhabung von Vorfällen, Identitäten und Berechtigen, Lieferantenverwaltung, Datenschutz und Auditierung;
detaillierte Arbeitsanweisungen für bestimmte Verfahren, Aktivitäten und Aufgaben der Mitarbeiter, z. B. Konfigurationen, Vorlagen, Werkzeuge, Formulare, Beispiele etc.;
Inventurlisten der wesentlichen ISMS-relevanten Unternehmenswerte, wie physische, technische und IT-Infrastruktur, Hardware, Software, IT-Systeme, Informationen/Daten, Personal und Zugriffsberechtigungen;
detaillierte Beschreibung der Aufbau-Organisation mit deren Rollen und Verantwortlichkeiten, um die Sicherheitsziele des ISMS zu erreichen;
detaillierte Beschreibung der Ablauf-Organisation mit Prozessen, Vorhaben und Projekten zur Aufrechterhaltung des ISMS, z. B. Notfallübungen, Auditpläne, Zertifizierungen etc.
Die Abbildung 1 veranschaulicht den Aufbau eines Informationssicherheitsmanagementsystems mit dessen Bestandteilen, welches zum Schutz der Unternehmenswerte, insbesondere der Daten und Informationen, eingesetzt werden soll.
Ein wohldefinierter Umsetzungsansatz, der bei allen auf ISO-Standards basierten Managementsystemen zur Geltung kommt, basiert auf dem grundlegenden PDCA-Prinzip und beschreibt, wie die Aktivitäten in einer zyklischen Abfolge umgesetzt werden sollen. Die vier Sektoren des Zyklus werden in Abbildung 2 illustrativ dargestellt und beinhalten:
Plan: Definition und Dokumentation des Soll- Konzepts und Planung dessen Umsetzung
Definition und Dokumentation des Soll- Konzepts und Planung dessen Umsetzung Do: Umsetzung der Planung in der Organisation und das „Leben“ der definierten unternehmensspezifischen Vorgaben, gemäß aufgestellten Regelungen
Umsetzung der Planung in der Organisation und das „Leben“ der definierten unternehmensspezifischen Vorgaben, gemäß aufgestellten Regelungen Check: Regelmäßige Überprüfung, ob das dokumentierte Soll-Konzept der aktuell im Unternehmen gelebten Praxis entspricht
Regelmäßige Überprüfung, ob das dokumentierte Soll-Konzept der aktuell im Unternehmen gelebten Praxis entspricht Act: Im Falle von identifizierten Abweichungen Bestimmung der korrektiven Maßnahmen und der erforderlichen Aktivitäten sowie deren Umsetzung und Nachverfolgung
Inhalte und Aspekte eines ISMS nach ISO 27001
Die Spannweite der Informationssicherheitsrelevanz reicht neben einer genaueren Betrachtung von Daten und Informationswerten des Unternehmens von der physischen Sicherheit (Safety) über die Infrastruktur, IT-Hardware und IT-Software bis hin zum Personalmanagement (HR) und der Governance. Untere Ebenen bilden das Fundament für die jeweils oberen Ebenen, die darauf aufbauen. Eine breite Palette von unterschiedlichen Typen der Unternehmenswerte werden somit durch ein ISMS abgedeckt, wie in der Abbildung 3 illustrativ dargestellt.
Das Top-Management muss die notwendige Governance und Anleitung bieten, ein starkes Engagement zeigen und die Unterstützung mit Ressourcen wie Personal, Zeit und Budget sicherstellen;
internes Personal und Externe müssen sich der ISMS-Ziele bewusst sein und stets gemäß den verbindlichen Vorschriften der Governance handeln;
Zugriffsberechtigungen müssen definiert, dokumentiert und überwacht werden. Änderungen an Rollen und Verantwortlichkeiten führen idealerweise zu einem Entzug und Neuzuweisung bestehender Berechtigungen für alle IT-Benutzer, einschließlich des Managements;
Daten und Informationen müssen in einer Inventurliste erfasst, bewertet, klassifiziert und entsprechend ihrem definierten Schutzbedarf behandelt werden;
Software-Systeme müssen ein angemessenes Sicherheitsniveau bieten, um offene Schwachstellen zu vermeiden, die von Hackern ausgenutzt werden könnten;
Hardware muss zuverlässig funktionieren und verfügbar bleiben. Die IT-Kontinuität muss durch Überwachung der Arbeitslast und durch das Vorhalten von Redundanzen sichergestellt werden;
die technische Infrastruktur muss die IT-Kontinuität sicherstellen, indem deren Bandbreiten überwacht und angemessene Redundanzen vorgehalten werden;
Standorte, Gebäude und Räume müssen einen angemessenen Schutz für die darin platzierten technischen Infrastruktur- und IT-Anlagen bieten. Deren Verfügbarkeit muss gewährleistet sein.
ISO 27001 ist nach dem Hauptleitprinzip strukturiert: PDCA. Daher definieren dedizierte Klauseln des Hauptteils die Grundlage für die vier Sektoren des Zyklus. Der Kern von ISO 27001 fordert eine Topdown- und kontextbasierte Führungsunterstützung für das ISMS. Der Hauptteil der internationalen Norm beinhaltet mehrere Klauseln, die stets erfüllt sein müssen:
Klauseln 0 und 1: Einleitung, Allgemeines und der Anwendungsbereich der ISO 27001;
Einleitung, Allgemeines und der Anwendungsbereich der ISO 27001; Klauseln 2 und 3: Normative Verweisungen und Begriffsdefinitionen (Verweis auf ISO 27000);
Normative Verweisungen und Begriffsdefinitionen (Verweis auf ISO 27000); Klausel 4 „Kontext der Organisation“ mit den Themen: Verstehen der Organisation, ihres Kontextes und der Erfordernisse und Erwartungen der interessierten Parteien sowie Festlegen des Anwendungsbereichs des ISMS;
mit den Themen: Verstehen der Organisation, ihres Kontextes und der Erfordernisse und Erwartungen der interessierten Parteien sowie Festlegen des Anwendungsbereichs des ISMS; Klausel 5 „Führung“ mit den Themen: Führung und Verpflichtung, Politik sowie Rollen, Verantwortlichkeiten und Befugnisse in der Organisation;
mit den Themen: Führung und Verpflichtung, Politik sowie Rollen, Verantwortlichkeiten und Befugnisse in der Organisation; Klausel 6 „Planung“ mit den Themen: Methodologie zur Risikobeurteilung und -Behandlung, Informationssicherheitsziele und Planung zu deren Erreichung;
mit den Themen: Methodologie zur Risikobeurteilung und -Behandlung, Informationssicherheitsziele und Planung zu deren Erreichung; Klausel 7 „Unterstützung“ mit den Themen: Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Information, insbesondere die Lenkung von Dokumenten;
mit den Themen: Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Information, insbesondere die Lenkung von Dokumenten; Klausel 8 „Betrieb“ mit den Themen: Betriebliche Planung und Steuerung sowie Umsetzung der Risikobeurteilungen und -Behandlungen;
mit den Themen: Betriebliche Planung und Steuerung sowie Umsetzung der Risikobeurteilungen und -Behandlungen; Klausel 9 „Bewertung der Leistung“ mit den Themen: Überwachung, Messung, Analyse und Bewertung sowie internes Audit und Managementbewertung;
mit den Themen: Überwachung, Messung, Analyse und Bewertung sowie internes Audit und Managementbewertung; Klausel 10 „Kontinuierliche Verbesserung“ mit den Themen: Umgang mit Nichtkonformitäten und Korrekturmaßnahmen.
Diese sind in der Abbildung 4 im Inneren des Kreises dargestellt.
Der normative Anhang A zur Norm ISO 27001 beinhaltet 114 spezifische Maßnahmen, welche zum Erreichen von 35 Zielen in 14 Abschnitten (A.5 bis A.18) zusammengefasst sind. Es besteht die Möglichkeit einzelne Maßnahmen oder ganze Maßnahmenziele aus dem Rahmen des ISMS herauszunehmen. Dazu muss für das ISMS eine sogenannte Anwendbarkeitserklärung (Statement of Applicability, SoA) erstellt werden. Jeder Ausschluss muss, selbstverständlich, fundiert begründet sein.
A.5: „Informationssicherheitsrichtlinien“ fordert Vorgaben der Leitung für Informationssicherheit;
A.6: „Organisation der Informationssicherheit“ fordert eine geordnete interne Organisation und macht Vorgaben für den Einsatz von Mobilgeräten und Telearbeit (z. B. Homeoffice);
A.7: „Personalsicherheit“ beinhaltet Anforderungen an Prozesse vor und während der Beschäftigung sowie bei der Beendigung und Änderung der Beschäftigung;
A.8: „Verwaltung der Werte“ fordert eine Definition der Verantwortlichkeit für Werte, Informationsklassifizierung und macht Vorgaben zur Handhabung von Datenträgern;
A.9: „Zugangssteuerung“ definiert Geschäftsanforderungen an die Zugangssteuerung, fordert eine Benutzerzugangsverwaltung mit Benutzerverantwortlichkeiten zur Gewährleistung der Zugangssteuerung für Systeme und Anwendungen;
A.10: „Kryptographie“ fordert die Definition von kryptographischen Maßnahmen;
A.11: „Physische und umgebungsbezogene Sicherheit“ fordert definierte und dokumentierte Sicherheitsbereiche und macht Vorgaben für den Schutz von Geräten und Betriebsmitteln;
A.12: „Betriebssicherheit“ fordert definierte und dokumentierte Betriebsabläufe und -verantwortlichkeiten, Schutz vor Schadsoftware, Backup, Protokollierung und Überwachung, macht Vorgaben zur Steuerung von Software im Betrieb, zur Handhabung technischer Schwachstellen sowie zur Auditierung von Informationssystemen;
A.13: „Kommunikationssicherheit“ fordert ein fundiertes Netzwerksicherheitsmanagement und macht Vorgaben zur Sicherheit bei der Informationsübertragung;
A.14: „Anschaffung, Entwicklung und Instandhalten von Systemen“ stellt Sicherheitsanforderungen an Informationssysteme auf und definiert Anforderungen an die Sicherheit in Entwicklungs- und Unterstützungsprozessen;
A.15: „Lieferantenbeziehungen“ definiert Aspekte der Informationssicherheit in Lieferantenbeziehungen und fordert Steuerung der Dienstleistungserbringung von Lieferanten;
A.16: „Handhabung von Informationssicherheitsvorfällen“ macht entsprechende Vorgaben und fordert Verbesserungen des ISMS nach Abarbeiten von Sicherheitsvorfällen;
A.17: „Informationssicherheitsaspekte beim Business Continuity Management (BCM)“ beschreibt Anforderungen an die Redundanzen;
A.18: „Compliance“ fordert die Einhaltung gesetzlicher und vertraglicher Anforderungen und fordert regelmäßige Überprüfungen der Informationssicherheit.
Der Weg zum ISMS nach ISO 27001
Grundsätzlich kann man den Weg zu einem ISMS nach ISO 27001 grob in zwei Phasen aufteilen: (A) die Design-Phase zur Konzeption und Entwicklung und (B) die Betriebsphase mit der Zertifizierung und der kontinuierlichen Verbesserung. Die beiden Phasen bestehen aus jeweils vier Schritten. Die initiale Design-Phase (A) beschäftigt sich mit der (A-1) Bestandsaufnahme, (A-2) der Konzeption und der Entwicklung, (A-3) sowie der Erstellung eines Managementsystems zur Informationssicherheit. Im letzten Schritt (A-4) wird das ISMS durch die Geschäftsführung bestätigt bzw. genehmigt. Diese Phase kann in einer linear ablaufenden Art, z. B. in Form eines Projekts, aufgesetzt werden. Die zweite Phase (B) muss sich in Form eines zyklischen Ablaufs mit der (B-5) Zertifizierung, (B-6) dem Betrieb und (C-7) der Messung, Überwachung und Überprüfung sowie (B-8) mit der kontinuierlichen Verbesserung beschäftigen. Diese muss daher in Form eines unternehmensweit etablierten und wiederkehrenden Prozesses umgesetzt werden. Die einzelnen Schritte der beiden Phasen, wie in der Abbildung 5 illustrativ dargestellt, beinhalten dabei die folgenden Detail-Aktivitäten:
A-1 „As-is-Analyse“:
Überprüfung und Bewertung des aktuellen Stands der Informationssicherheit im Unternehmen
a. Validieren der Erforderlichkeit und Bemessen des Bedarfs, ein ISMS nach Vorgaben des ISO 27001 im Unternehmen einführen zu wollen bzw. zu müssen. Dabei sind die gesetzlichen, regulatorischen Anforderungen sowie die kundenspezifischen Anfragen zu beachten und zu berücksichtigen.
b. Eruieren und Festlegen des Gültigkeitsrahmens für das ISMS sowie des Zertifizierungsrahmens. Dabei wird empfohlen, die Flexibilität der ISO-Vorgaben auszunutzen, um auch einzelne abgegrenzte Teile des Unternehmens (Abteilungen, Standorte, Prozesse, Produkte) zertifizieren zu können.
c. Durchführen von Konsultationen mit dem Verantwortlichen für Informationssicherheit (i. d. R. Chief Information Security Officer/CISO) zum aktuellen Stand der Informationssicherheit im Unternehmen.
d. Bewerten des aktuellen Stands der Informationssicherheit im zuvor definierten Rahmen. Man kann hierzu eines der gängigen Reifegradmodelle verwenden und das Ergebnis mit dem für eine Zertifizierung nach ISO 27001 sinnvollerweise erforderlichen Reifegrad abgleichen.
A-2 „To-be-Konzept“:
Konzeptionierung eines den Anforderungen entsprechenden ISMS
a. Identifizieren der für eine Zertifizierung nach ISO 27001 erforderlichen ISMS-Artefakte (Regelungen, Vorgaben, Konzepte, Prozesse, Nachweise), welche aktuell noch fehlen oder unzureichend gepflegt sind.
b. Festlegen der für eine Zertifizierung des ISMS nach ISO 27001 erforderlichen Detailtiefe für die ISMS-Artefakte. Dabei sollen die gesetzlichen, regulatorischen und branchenspezifischen Best Practices beachtet werden.
c. Planen der Erstellung von Regelungsdokumenten (Policies, Leitlinien, Richtlinien, Anweisungen) im Hinblick auf ihre spätere Umsetzung im Unternehmen. Dabei muss der Ressourcenbedarf sowohl für die Erstellung, insbesondere aber für deren Umsetzung beachtet werden.
d. Spezifizieren der Prozesse, Handlungsanweisungen und Ablaufbeschreibungen, welche zur Umsetzung der geplanten Regelungen erforderlich sein werden. Dabei sollte man frühzeitig den potenziellen Ressourcenbedarf für die Prozessumsetzung beachten.
e. Einplanen der für eine spätere Umsetzung der spezifizierten Prozesse erforderlichen Aufwände und Ressourcen. Insbesondere sollte man dabei die für eine einwandfreie Umsetzung der Prozesse erforderlichen Kompetenzen beachten.
A-3 „Erstellung des ISMS“:
Sukzessiver Aufbau das ISMS nach Plan – Do – Check – Act
a. Erstellen der für einen ordentlichen Betrieb des ISMS erforderlichen Regelungsdokumentation, welche eine Top-Level-Informationssicherheitspolitik als grundlegendes Fundament hat. Weitere Regelungsdokumente zu Detail-Themen der Informationssicherheit setzen auf dieser auf.
b. Festlegen der Rollen und Verantwortlichkeiten für Akteure, die im Rahmen der spezifizierten Prozesse einen Einfluss auf das ISMS haben. Die Rollen müssen mit vorhandenen Personalressourcen belegt werden; bei Bedarf sind fachlich kundige Stellvertretungen zu bestimmen.
c. Entwerfen der für einen ordentlichen Betrieb des ISMS erforderlichen Prozesse in Form eines Ablaufdiagramms mit Beachtung der Eingabeund Ausgabe-Dokumenten, der Schnittstellen zu anderen Prozessen sowie der Messbarkeit der Effektivität für die Prozesse.
d. Identifizieren der für eine effektive Umsetzung der Prozesse erforderlichen Werkzeuge/Tools und Entwerfen der Vorlagen. Detaillierte prozessspezifische Anleitungen und Betriebshandbücher unterstützen dabei die Austauschbarkeit der Ressourcen in den prozesskritischen Rollen.
A-4 „Genehmigen und Inkraftsetzen“:
Top-down-Einführung des ISMS im Unternehmen
a. Vorstellen des Managementsystems für Informationssicherheit, bestehend aus der Governance (Regelungen, Risikomanagement, Compliance), Aufbau-Organisation, Ablauf-Organisation und den unterstützenden Detail-Dokumentationen der Geschäftsführung.
b. Einholen der Zustimmung und der Unterstützung der Geschäftsführung für das definierte Informationssicherheitsmanagementsystem. Sicherstellen der Genehmigung für die Regelungen und Vorgaben des ISMS von der Geschäftsführung und Freigabe der Einführung des ISMS bei den Mitarbeitern und beim Management des Unternehmens.
c. Unternehmensweites Veröffentlichen der Regelungen und der Prozesse des ISMS über die jeweilige Kommunikationslösung des Unternehmens. Kommunikation an die mittlere und untere Management-Ebene, ggf. unter Zuhilfenahme von Schulungsveranstaltungen zu Umsetzungsdetails.
d. Planen und Umsetzen von Awareness-Maßnahmen zu Themen der Informationssicherheit bei den Mitarbeitern des Unternehmens. Initiieren der Prozessumsetzung. Planen und Durchführen von Management-Reviews mit der Geschäftsführung zur Überwachung der ISMS-Effektivität.
B-5 „Zertifizierung bzw. Rezertifizierung“:
Durchführung einer unabhängigen Überprüfung des ISMS
a. Auswählen der Zertifizierungsstelle, welche durch eine landesspezifische (DE: DAkkS) oder durch eine internationale (IAS) Akkreditierungsstelle zur Ausstellung eines Zertifikats befähigt/akkreditiert sein muss. Auswählen eines Audit-Dienstleisters, sofern ein Auditor nicht durch die Zertifizierungsstelle bereitgestellt wird.
b. Planen des Zertifizierungsaudits mit dem Auditor, Vorbereiten auf das bevorstehende Zertifizierungsaudit, Überprüfen der Aktualität der Regelungen, Sammeln von Evidenzen, Durchführen eines Management- Reviews mit der Geschäftsführung.
c. Durchführen des (Erst-)Zertifizierungsaudits mit dem ausgewählten Audit-Dienstleister in zwei Phasen: (i) Dokumentationsübergabe und Dokumentenprüfung (i. d. R. Remote) und (ii) Validierung der effektiven Umsetzung des ISMS und der einhergehenden Prozesse (i. d. R. vor Ort).
d. Abgabe des Audit-Berichts an die Zertifizierungsstelle zur Bewertung und Genehmigung (sofern nicht durch den Audit-Dienstleister zu erledigen). Bewerben um die Zertifizierung und Beantragen der Zertifikatsausstellung bei der Zertifizierungsstelle.
B-6 „Betrieb“:
Sorgfältiger Betrieb des ISMS
a. Betreiben des ISMS durch das Umsetzen der definierten Prozesse, das Befüllen der ISMS-Artefakte und das Sammeln der Nachweise. Hierbei sollte der CISO eine überwachende und prüferische Governance- Rolle einnehmen, während die maßgeblichen Prozessbeteiligten im mittleren bis unteren Management angesiedelt sein sollten.
b. Betreiben von Awareness-Aktivitäten bei den Mitarbeitern des Unternehmens zu grundlegenden und praktischen Themen der Informationsund IT-Sicherheit sowie beim Management des Unternehmens mit dem Ziel, ein Vorbild für die Mitarbeiter zu sein.
B-7 „Messen und Überprüfen“:
Messung, Prüfung, Überwachung und Management-Reviews
a. Messen der zuvor festgelegten Parameter des ISMS, ggf. Einholen der Messwerte von anderen Rollen in ISMS-angrenzenden Bereichen des Unternehmens, welche zur Berechnung der Key-Performance- Indikatoren (KPI) erforderlich sind.
b. Überwachen der Effektivität der Umsetzung des ISMS durch das Berechnen der Key-Performance- Indikatoren (KPI). Aufstellen der KPI-Entwicklung über die Revisions-/Messzyklen des ISMS. Beachten von deren Entwicklung mit dem Ziel der Demonstration der kontinuierlichen Verbesserung.
c. Planen und Durchführen von jährlichen Überwachungsaudits zum ISMS, basierend auf den Vorgaben über deren Umfänge aus der ISO 27001 sowie ISO 27006. Identifizieren von Nichtkonformitäten, Definieren, Zuweisen und Nachverfolgen von nachhaltigen Korrekturmaßnahmen.
B-8 „Verbessern“:
Planung der Rezertifizierung des ISMS nach 3 Jahren
a. Einholen von Verbesserungsvorschlägen für den Betrieb des ISMS bei der Geschäftsführung aus den Management-Reviews. Überwachen der Erledigung von Korrekturmaßnahmen aus internen Überwachungsaudits mit dem Ziel, das ISMS kontinuierlich zu verbessern.
b. Anpassen der Informationssicherheitspolitik, der ISMS-Regelungen und Prozesse an neue Gegebenheiten und Geschäftsentwicklungen sowie basierend auf neuen Erkenntnissen zur IT-Sicherheitslage und der aktuellen Gefahrenlandschaft.
c. Kontinuierliches Sammeln von Evidenzen und Nachweisen, welche nach spätestens drei Jahren im Rahmen der Rezertifizierung eine effiziente Abwicklung des Audits gewährleisten sollen. Frühzeitiges Planen eines Audits zur Rezertifizierung.
Unterstützung durch Mazars
Mazars verfügt sowohl im technischen als auch im prozessualen Bereich über das Know-how, Sie bei der Planung, der Definition, der Umsetzung und der Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach Vorgaben und Anforderungen der internationalen Norm DIN EN ISO/IEC 27001 zu unterstützen. Unsere auf diesem Fachgebiet praxiserfahrenen Berater*innen und Prüfer*innen helfen Ihnen gern dabei, die Informations- und IT-Sicherheit in Ihrem Hause regelkonform, praxistauglich und zeitgemäß auszugestalten. Ihr bestehendes ISMS nehmen wir dabei als Grundlage und bauen dieses vorgabenkonform aus. Wir bilden ein vollständiges Spektrum der Dienstleistungen rund um Informationssicherheitsmanagementsysteme und die ISO-27000er-Normenfamilie ab, von der Analyse und Bewertung über Prüfung und Auditierung bis zum Aufbau und Ausgestaltung des ISMS in Ihrem Unternehmen. Damit bringen wir Sie sicher an Ihr Ziel, ein zertifiziertes ISMS den Aufsichtsbehörden, Ihren Geschäftspartnern und Kunden vorweisen zu können.
Haben Sie Fragen oder weiteren Informationsbedarf?
Sprechen Sie uns an
Autoren:
Dr. Roman Krepki
Tel: + 49 711 666 31 814
Christopher Hock
Tel: + 49 69 967 65 1122
Ralph Krüger
Tel: + 49 30 208 88 1160
Marco Ehlert
Tel: + 49 30 208 88 1771
Sebastian Retter
Tel: + 49 30 208 88 1043
Dies ist ein Beitrag aus unserem Healthcare-Newsletter 1-2022. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.
