ISO 27001 – Anhang A.16: Management von Informationssicherheitsvorfällen

Was ist das Ziel von Anhang A.16.1?

In Anhang A.16.1 geht es um das Management von Vorfällen, Ereignissen und Schwachstellen im Bereich der Informationssicherheit. Das Ziel in diesem Anhang A-Bereich besteht darin, einen konsistenten und effektiven Ansatz für den Lebenszyklus von Vorfällen, Ereignissen und Schwachstellen sicherzustellen. ISO 27001:2013 geht durch A.16.1.1 bis A.16.1.7 klar auf den Lebenszyklus ein und ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten. Lassen Sie uns diese Anforderungen und ihre Bedeutung nun etwas genauer verstehen.

A.16.1.1 Verantwortlichkeiten und Verfahren

Eine gute Kontrolle beschreibt, wie das Management Verantwortlichkeiten und Verfahren festlegt, um eine schnelle, effektive und geordnete Reaktion auf Schwachstellen, Ereignisse und Sicherheitsvorfälle sicherzustellen. Vereinfacht ausgedrückt handelt es sich bei einem Vorfall um einen Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit.

Ein Beispiel wäre, dass ein Fenster offen gelassen wurde und ein Dieb eine wichtige Akte gestohlen hat, die auf dem Schreibtisch lag. Nach diesem Thread gibt es ein Ereignis, bei dem das Fenster offen gelassen wurde, aber niemand die Akte gestohlen hat. Ein Schwachpunkt besteht darin, dass das Fenster leicht zerbricht oder alt ist und ein offensichtlicher Einbruchsort sein könnte. Eine Schwäche ist auch eine häufige Risikomanagement- oder Verbesserungsmöglichkeit.

Die Verfahren zur Planung von Vorfall-, Ereignis- und Schwachstellenreaktionen müssen vor dem Eintreten eines Vorfalls klar definiert und von Ihrer Führung genehmigt werden. Diese Verfahren sind ziemlich einfach zu entwickeln, da sie im Rest dieser Anhang-A-Kontrolle dargelegt werden. Ihr Prüfer erwartet, dass alle diese formalen, dokumentierten Verfahren vorhanden sind und dass sie beweisen, dass sie funktionieren.

A.16.1.2 Meldung von Informationssicherheitsereignissen

Eine gute Kontrolle stellt dabei sicher, dass Informationssicherheitsvorfälle und -ereignisse schnellstmöglich über geeignete Managementkanäle gemeldet werden können.

Mitarbeiter und verbundene interessierte Parteien (z. B. Lieferanten) müssen auf ihre Pflichten zur Meldung von Sicherheitsvorfällen aufmerksam gemacht werden, und Sie sollten dies im Rahmen Ihrer allgemeinen Sensibilisierung und Schulung abdecken. Um dies gut zu tun, müssen sie genau wissen, was eine Schwachstelle, ein Ereignis oder einen Vorfall in der Informationssicherheit darstellt. Machen Sie sich dies also klar, basierend auf dem einfachen Beispiel oben. Wenn ein Informationssicherheitsereignis auftritt oder vermutet wird, dass es eingetreten ist, muss dies unverzüglich dem benannten Informationssicherheitsbeauftragten gemeldet und dies muss entsprechend dokumentiert werden.

Zu den möglichen Gründen für die Meldung eines Sicherheitsvorfalls gehören: ineffektive Sicherheitskontrollen; vermutete Verstöße gegen die Informationsintegrität oder Vertraulichkeit oder Verfügbarkeitsprobleme, z. B. nicht möglicher Zugriff auf einen Dienst.

Der Prüfer möchte Beweise für die Kenntnis dessen, was eine Schwachstelle, ein Ereignis oder einen Vorfall beim allgemeinen Personal darstellt, sowie für die Kenntnis der Verfahren und Verantwortlichkeiten bei der Meldung von Vorfällen sehen und Stichproben durchführen.

A.16.1.3 Meldung von Schwachstellen in der Informationssicherheit

Diese Kontrolle baut lediglich auf Vorfällen und Ereignissen auf, kann jedoch nach der Meldung etwas anders behandelt werden (siehe A.16.1.4). Es ist wichtig, dass sich die Mitarbeiter der Tatsache bewusst sind, dass sie beim Entdecken einer Sicherheitslücke nicht versuchen dürfen, diese Schwachstelle nachzuweisen , da das Testen als Missbrauch des Systems interpretiert werden kann und gleichzeitig die Gefahr einer Beschädigung des Systems und seiner gespeicherten Informationen besteht, was zu Sicherheitsvorfällen führen kann!

A.16.1.4 Bewertung und Entscheidung über Informationssicherheitsereignisse

Informationssicherheitsereignisse müssen bewertet werden und dann kann entschieden werden, ob sie als Informationssicherheitsvorfälle oder Schwachstellenereignisse klassifiziert werden sollen. Sobald ein Sicherheitsereignis gemeldet und anschließend protokolliert wurde, muss es bewertet werden, um die beste Vorgehensweise festzulegen. Diese Maßnahme muss darauf abzielen, jegliche Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen zu minimieren und weitere Vorfälle zu verhindern. Im Idealfall hat dies nur minimale Auswirkungen auf andere Nutzer der Dienste. Auch in diesem Teil des Lebenszyklus kann berücksichtigt werden, wer intern über den Vorfall informiert werden muss (Kunden, Lieferanten, Aufsichtsbehörden).

Aufgrund der DSGVO und des Datenschutzgesetzes 2018 müssen einige Informationssicherheitsvorfälle im Zusammenhang mit personenbezogenen Daten auch der Aufsichtsbehörde gemeldet werden. Daher sollten Ihre Kontrollen auch diese Überlegungen berücksichtigen, um regulatorische Anforderungen zu erfüllen und Doppelarbeit oder Arbeitslücken zu vermeiden.

A.16.1.5 Reaktion auf Informationssicherheitsvorfälle

Es ist immer gut, Eigentümer zuzuweisen, Maßnahmen und Zeitpläne klar festzulegen und, wie bei allem für ISO 27001, die Informationen für Prüfungszwecke aufzubewahren (auch wichtig, wenn Sie andere Interessengruppen und Regulierungsbehörden berücksichtigen müssen). Die mit der Bewältigung des Sicherheitsvorfalls betraute Person ist für die Wiederherstellung eines normalen Sicherheitsniveaus verantwortlich.

• Sammeln von Beweisen so bald wie möglich nach dem Vorfall;
• Durchführung einer forensischen Analyse der Informationssicherheit (großer Begriff, aber zumindest Klarheit über die Grundursache und damit verbundene Aspekte oder was passiert ist und wer daran beteiligt war, warum usw.);
• Eskalation bei Bedarf, beispielsweise an die zuständigen Aufsichtsbehörden;
• Sicherstellen, dass alle beteiligten Reaktionsaktivitäten für eine spätere Analyse ordnungsgemäß protokolliert werden;
• Mitteilung des Vorliegens des Informationssicherheitsvorfalls oder aller relevanten Details an die Führung, damit diese bei Bedarf an verschiedene Personen oder Organisationen weitergegeben werden können; Und
• Umgang mit Schwachstellen in der Informationssicherheit, die den Vorfall verursacht oder dazu beigetragen haben.

A.16.1.6 Lernen aus Informationssicherheitsvorfällen

Dies ist eine wichtige Kontrolle, und Ihre Richtlinie muss nachweisen, dass die Erkenntnisse aus der Analyse und Lösung von Informationssicherheitsvorfällen dazu beitragen, die Wahrscheinlichkeit oder Auswirkungen künftiger Vorfälle zu verringern. Im Rahmen der Verpflichtung zur kontinuierlichen Serviceverbesserung sollten Sie sicherstellen, dass Sie aus den Lehren aus jedem Sicherheitsvorfall lernen, um so zur Weiterentwicklung und Anpassung des ISMS beizutragen, um es an die sich verändernde Landschaft anzupassen, in der gearbeitet wird.

Sobald ein Vorfall gelöst wurde, sollte er in einen Überprüfungs- und Lernstatus versetzt werden, in dem der Hauptverantwortliche für diesen Vorfall alle daraus resultierenden Änderungen an den Prozessen der ISMS-Richtlinien bespricht. Alle relevanten Empfehlungen sollten dann dem ISMS-Vorstand zur weiteren Diskussion vorgelegt werden. Sobald die Überprüfung und das Lernen abgeschlossen sind, wurden die Richtlinien nach Bedarf aktualisiert, das entsprechende Personal muss benachrichtigt und bei Bedarf neu geschult werden, und der Zyklus der Sensibilisierung und Schulung für Informationssicherheit wird fortgesetzt.

A.16.1.7 Beweiserhebung

Die Organisation muss Kontrollen für die Identifizierung, Sammlung, Beschaffung und Aufbewahrung von Informationen definieren und anwenden, die als Beweismittel verwendet werden können, insbesondere wenn aufgrund des Vorfalls wahrscheinlich ein Straf- oder Zivilverfahren eingeleitet wird.

Wenn die Organisation vermutet oder weiß, dass ein Sicherheitsvorfall zu rechtlichen oder disziplinarischen Maßnahmen führen könnte, sollte sie die Beweiserhebung sorgfältig durchführen, eine gute Überwachungskette gewährleisten und jede Gefahr vermeiden, von einem schlechten Management ertappt zu werden.

Es ist sinnvoll, das Management von Informationssicherheitsvorfällen auch klar mit Disziplinarverfahren zu verknüpfen. Jeder sollte wissen, Vorsichtsmaßnahmen zu treffen und sich gleichzeitig über die Konsequenzen für diejenigen im Klaren sein, die es nicht ernst nehmen.