ISO 27001 – Anhang A.13: Kommunikationssicherheit

Was ist das Ziel von Anhang A.13.1?

In Anhang A.13.1 geht es um das Netzwerksicherheitsmanagement. Das Ziel dieses Anhangs besteht darin, den Schutz von Informationen in Netzwerken und den unterstützenden Informationsverarbeitungseinrichtungen sicherzustellen. Es ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten.

A.13.1.1 Netzwerkkontrollen

Netzwerke müssen verwaltet und kontrolliert werden, um Informationen innerhalb von Systemen und Anwendungen zu schützen. Einfach ausgedrückt: Die Organisation sollte geeignete Methoden verwenden, um sicherzustellen, dass sie alle Informationen in ihren Systemen und Anwendungen schützt. Diese Netzwerkkontrollen sollten alle Abläufe des Unternehmens sorgfältig berücksichtigen, angemessen und verhältnismäßig gestaltet und gegebenenfalls entsprechend den Geschäftsanforderungen, der Risikobewertung, den Klassifizierungen und den Trennungsanforderungen implementiert werden.

Einige mögliche Beispiele für technische Kontrollen, die in Betracht gezogen werden könnten, könnten sein: Verbindungskontrolle und Endpunktüberprüfung, Firewalls und Intrusion Detection/Prevention-Systeme, Zugriffskontrolllisten sowie physische, logische oder virtuelle Trennung. Es ist auch wichtig, die Tatsache durchzusetzen, dass bei der Verbindung mit öffentlichen Netzwerken oder denen anderer Organisationen außerhalb der organisatorischen Kontrolle das erhöhte Risikoniveau berücksichtigt und diese Risiken gegebenenfalls durch zusätzliche Kontrollen gemanagt werden.

Sie müssen bedenken, dass der Prüfer darauf achten wird, dass diese implementierten Kontrollen wirksam sind und angemessen verwaltet werden, einschließlich der Verwendung formaler Änderungsmanagementverfahren.

A.13.1.2 Sicherheit von Netzwerkdiensten

Sicherheitsmechanismen, Servicelevel und Verwaltungsanforderungen aller Netzwerkdienste müssen identifiziert und in Netzwerkdienstvereinbarungen aufgenommen werden, unabhängig davon, ob diese Dienste intern bereitgestellt oder ausgelagert werden. Vereinfacht ausgedrückt sollte die Organisation alle verschiedenen Sicherheitsmaßnahmen, die sie zur Sicherung ihrer Netzwerkdienste ergreift, in ihre Netzwerkdienstverträge aufnehmen. Ihr Prüfer möchte sicherstellen, dass bei der Gestaltung und Implementierung von Netzwerken sowohl die Geschäftsanforderungen als auch die Sicherheitsanforderungen berücksichtigt werden und ein Gleichgewicht erreicht wird, das beiden angemessen und verhältnismäßig ist. Sie werden nach Beweisen dafür suchen, zusammen mit Beweisen für eine Risikobewertung.

A.13.1.3 Segregation in Netzwerken

Gruppen von Informationsdiensten, Benutzern und Informationssystemen sollten in Netzwerken getrennt werden. Erwägen Sie nach Möglichkeit eine Trennung der Aufgaben des Netzwerkbetriebs und des Computer-/Systembetriebs, z. B. öffentliche Domänen, Abteilungs-X- oder Y-Domänen. Das Netzwerkdesign und die Netzwerksteuerung müssen an Richtlinien zur Informationsklassifizierung und Segregationsanforderungen ausgerichtet sein und diese unterstützen.

Was ist das Ziel von Anhang A.13.2?

In Anhang A.13.2 geht es um die Informationsübermittlung. Das Ziel dieses Anhangs besteht darin, die Sicherheit der innerhalb der Organisation und mit externen Stellen, z. B. Kunden, Lieferanten oder anderen interessierten Parteien, übertragenen Informationen aufrechtzuerhalten.

A.13.2.1 Richtlinien und Verfahren zur Informationsübertragung

Es müssen formelle Übertragungsrichtlinien, Verfahren und Kontrollen vorhanden sein, um die Übertragung von Informationen durch die Nutzung aller Arten von Kommunikationseinrichtungen zu schützen. Welche Art von Kommunikationseinrichtung auch immer verwendet wird, es ist wichtig, die damit verbundenen Sicherheitsrisiken in Bezug auf die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen zu verstehen und dabei die Art, Art, Menge und Sensibilität oder Klassifizierung der Informationen zu berücksichtigen Informationen, die übertragen werden. Es ist besonders wichtig, solche Richtlinien und Verfahren umzusetzen, wenn Informationen von Dritten aus oder in die Organisation übertragen werden. Um die übertragenen Informationen vor dem Abfangen, Kopieren, Ändern, Fehlleiten und Vernichten zu schützen, können unterschiedliche, aber sich ergänzende Kontrollen erforderlich sein, die bei der Auswahl der zu wählenden Kontrollen ganzheitlich berücksichtigt werden sollten.

A.13.2.2 Vereinbarungen zur Informationsübertragung

Informationen können digital oder physisch übertragen werden und Vereinbarungen müssen die sichere Übertragung von Geschäftsinformationen zwischen der Organisation und externen Parteien regeln. Formale Verfahren für Übertragungsrichtlinien und technische Kontrollen sollten ausgewählt, implementiert, betrieben, überwacht, geprüft und überprüft werden, um einen kontinuierlich wirksamen Sicherheitsschutz zu gewährleisten. Häufig werden Kommunikations- und Übertragungssysteme und -verfahren eingerichtet, ohne dass die damit verbundenen Risiken wirklich verstanden werden, was zu Schwachstellen und möglichen Kompromissen führt. ISO 27002 befasst sich mit Überlegungen zur Umsetzung, einschließlich der Berücksichtigung von Benachrichtigungen, Rückverfolgbarkeit, Treuhandkonto, Identifizierungsstandards, Chain of Custody, Kryptographie, Zugangskontrolle und anderen.

A.13.2.3 Elektronische Nachrichtenübermittlung

Alle Informationen, die in irgendeiner Form der elektronischen Nachrichtenübermittlung enthalten sind, müssen angemessen geschützt werden. Einfach ausgedrückt: Bei der Verwendung elektronischer Nachrichten müssen diese geschützt werden, um sicherzustellen, dass kein unbefugter Zugriff erlangt werden kann. Die Organisation sollte eine Richtlinie erstellen, die festlegt, welche Formen der elektronischen Nachrichtenübermittlung für die verschiedenen Arten der übertragenen Informationen verwendet werden sollten, z wie sicher sie sind. Es müssen auch Überlegungen zur Übertragung von Sprach- und Faxkommunikation sowie zur physischen Übertragung (z. B. über Postsysteme) angestellt werden. Dies sollte mit Zugriffskontrollen und anderen sicheren Authentifizierungsrichtlinien und Anmeldeverfahren im Einklang stehen.

A.13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen

Eine gute Kontrolle beschreibt, wie die Anforderungen an Vertraulichkeits- oder Geheimhaltungsvereinbarungen, die die Bedürfnisse der Organisation zum Schutz von Informationen widerspiegeln, ermittelt, regelmäßig überprüft und dokumentiert werden müssen. Daher muss die Organisation sicherstellen, dass alle zu schützenden Informationen durch Vertraulichkeits- und Geheimhaltungsvereinbarungen geschützt werden.

Vereinbarungen sind in der Regel spezifisch für die Organisation und sollten im Anschluss an die Risikoanalyse unter Berücksichtigung ihrer Kontrollbedürfnisse entwickelt werden. Zu den Standardvereinbarungen zur Vertraulichkeit und Geheimhaltung, die hier berücksichtigt werden können, gehören:

• Allgemeine Geheimhaltungsvereinbarungen und gegenseitige Geheimhaltungsvereinbarungen, z. B. bei der Weitergabe sensibler Informationen, z. B. über neue Geschäftsideen.
• Kundenvereinbarungen unter Verwendung der Allgemeinen Geschäftsbedingungen – die Vertraulichkeit im Zusammenhang mit der Nutzung der verkauften Produkte und etwaiger ergänzender Dienstleistungen zum Ausdruck bringen, die in einem zugehörigen Bestellformular aufgeführt sind.
• Associate-/Lieferanten-/Partnervereinbarungen für kleine Lieferanten und unabhängige Dienstleister, die die Organisation für die Erbringung von Dienstleistungen einsetzt.
• Beschäftigungsbezogene Begriffe (angepasst an A.7).
• Datenschutzrichtlinien, z. B. aus E-Mail-Fußzeilen.