ISO 27002:2022, Kontrolle 6.7 – Fernarbeit

Attributtabelle

Attribute werden zur Kategorisierung von Steuerelementen verwendet. Mithilfe von Attributen können Sie Ihre Steuerungsoption sofort mit weit verbreiteten Branchenausdrücken und -spezifikationen abgleichen.

Die Attribute für Steuerung 6.7 sind unten aufgeführt.

Was ist der Zweck von Kontrolle 6.7?

Der Zweck von Kontrolle 6.7 besteht darin, sicherzustellen, dass das Personal, das remote arbeitet, über angemessene Zugriffskontrollen verfügt, um die Vertraulichkeit, Integrität und Verfügbarkeit sensibler oder geschützter Informationen, Prozesse und Systeme vor unbefugtem Zugriff oder Offenlegung durch unbefugte Personen zu schützen.

Um die Informationssicherheit bei Remote-Arbeiten von Mitarbeitern zu gewährleisten, sollten Organisationen eine themenspezifische Richtlinie zum Remote-Arbeiten herausgeben, die die relevanten Bedingungen und Einschränkungen für die Informationssicherheit definiert. Die Richtlinie sollte an alle Mitarbeiter verteilt werden und Anleitungen zum sicheren Einsatz von Fernzugriffstechnologien enthalten.

Eine themenspezifische Richtlinie wie diese wird wahrscheinlich Folgendes abdecken:

• Die Umstände, unter denen Fernarbeit zulässig ist.
• Die Prozesse, mit denen sichergestellt wird, dass Remote-Mitarbeiter zum Zugriff auf vertrauliche Informationen berechtigt sind.
• Die Verfahren zur Gewährleistung des Schutzes von Informationen bei der Übertragung zwischen verschiedenen physischen Standorten.

Neben diesen Grundvoraussetzungen ist es auch wichtig, über ein klar definiertes Verfahren zur Meldung von Vorfällen einschließlich der entsprechenden Kontaktdaten zu verfügen. Dies kann dazu beitragen, das Risiko von Verstößen oder anderen Arten von Sicherheitsvorfällen von vornherein zu verringern.

Die Richtlinie muss möglicherweise auch Probleme wie Verschlüsselung, Firewalls und Antivirensoftware-Updates sowie Mitarbeiterschulungen zur sicheren Nutzung von Remote-Konnektivität behandeln.

Was dazugehört und wie man die Anforderungen erfüllt

Um die Anforderungen der Kontrolle 6.7 zu erfüllen, sollten Organisationen, die Remote-Arbeitsaktivitäten zulassen, eine themenspezifische Richtlinie zum Remote-Arbeiten herausgeben, in der die relevanten Bedingungen und Einschränkungen festgelegt sind.

Die Richtlinie sollte regelmäßig überprüft werden, insbesondere wenn sich Technologie oder Gesetzgebung ändern.

Die Richtlinie sollte allen Mitarbeitern, Auftragnehmern und anderen an Remote-Arbeitsaktivitäten beteiligten Parteien kommuniziert werden.

Die Richtlinie sollte dokumentiert und allen relevanten Dritten, einschließlich Aufsichtsbehörden und Prüfern, zur Verfügung gestellt werden.

Organisationen müssen außerdem sicherstellen, dass sie über angemessene Maßnahmen verfügen, um sensible oder vertrauliche Informationen zu schützen, die bei Remote-Arbeitsaktivitäten elektronisch übertragen oder gespeichert werden.

Im Einklang mit den Bestimmungen der Kontrolle 6.7 sollten die folgenden Punkte berücksichtigt werden:

• Die bestehende oder vorgeschlagene physische Sicherheit des Remote-Arbeitsstandorts unter Berücksichtigung der physischen Sicherheit des Standorts und der lokalen Umgebung, einschließlich der unterschiedlichen Gerichtsbarkeiten, in denen sich das Personal befindet.
• Regeln und Sicherheitsmechanismen für die entfernte physische Umgebung, wie z. B. abschließbare Aktenschränke, sicherer Transport zwischen Standorten und Regeln für den Fernzugriff, übersichtlicher Schreibtisch, Drucken und Entsorgen von Informationen und anderen zugehörigen Vermögenswerten sowie Berichterstattung über Informationssicherheitsereignisse.
• Die erwarteten physischen Remote-Arbeitsumgebungen.
• Die Anforderungen an die Kommunikationssicherheit unter Berücksichtigung der Notwendigkeit eines Fernzugriffs auf die Systeme der Organisation, der Sensibilität der Informationen, auf die über die Kommunikationsverbindung zugegriffen werden soll und die übertragen werden sollen, sowie der Sensibilität der Systeme und Anwendungen.
• Die Verwendung von Fernzugriff wie dem virtuellen Desktop-Zugriff, der die Verarbeitung und Speicherung von Informationen auf privaten Geräten unterstützt.
• Die Gefahr des unbefugten Zugriffs auf Informationen oder Ressourcen durch andere Personen am entfernten Arbeitsplatz (z. B. Familie und Freunde).
• Die Gefahr des unbefugten Zugriffs anderer Personen auf Informationen oder Ressourcen an öffentlichen Orten.
• Die Nutzung von Heimnetzwerken und öffentlichen Netzwerken sowie Anforderungen oder Einschränkungen bei der Konfiguration drahtloser Netzwerkdienste.
• Einsatz von Sicherheitsmaßnahmen wie Firewalls und Schutz vor Schadsoftware.
• Sichere Mechanismen für die Bereitstellung und Initialisierung von Systemen aus der Ferne.
• Sichere Mechanismen zur Authentifizierung und Aktivierung von Zugriffsrechten unter Berücksichtigung der Anfälligkeit von Ein-Faktor-Authentifizierungsmechanismen, bei denen der Fernzugriff auf das Netzwerk der Organisation zulässig ist.

Zu den zu berücksichtigenden Richtlinien und Maßnahmen sollten gehören:

1. Die Bereitstellung geeigneter Ausrüstung und Lagermöbel für die Remote-Arbeitstätigkeiten, wobei die Verwendung privater Geräte, die nicht unter der Kontrolle der Organisation stehen, nicht gestattet ist.
2. Eine Definition der erlaubten Arbeit, die Klassifizierung der Informationen, die gespeichert werden können, und die internen Systeme und Dienste, auf die der Remote-Mitarbeiter zugreifen darf.
3. Die Bereitstellung von Schulungen für Remote-Arbeiter und Support-Mitarbeiter. Dazu gehört auch, wie man Geschäfte auf sichere Weise abwickelt, während man aus der Ferne arbeitet.
4. Die Bereitstellung geeigneter Kommunikationsgeräte, einschließlich Methoden zur Sicherung des Fernzugriffs, wie z. B. Anforderungen an Gerätebildschirmsperren und Inaktivitätstimer.
5. Die Aktivierung der Gerätestandortverfolgung.
6. Installation von Remote-Wipe-Funktionen.
7. Physische Sicherheit.
8. Regeln und Leitlinien für den Zugang von Familien und Besuchern zu Ausrüstung und Informationen.
9. Die Bereitstellung von Hardware- und Software-Support und -Wartung.
10. Die Bereitstellung von Versicherungen.
11. Die Verfahren für Backup und Geschäftskontinuität.
12. Audit- und Sicherheitsüberwachung.
13. Entzug von Befugnissen und Zugriffsrechten sowie Rückgabe von Geräten bei Beendigung der Fernarbeitstätigkeit.

Änderungen und Unterschiede zu ISO 27002:2013

Kontrolle 6.7 in ISO 27002:2022 ist eine modifizierte Version von Kontrolle 6.2.2 in ISO 27002:2013 und keine neue Kontrolle.

Obwohl diese beiden Steuerelemente viele Merkmale aufweisen, unterscheiden sie sich etwas in der Nomenklatur und den Formulierungen. Der Name des Steuerelements ist beispielsweise nicht identisch. Steuerung 6.2.2 in ISO 27002:2013 wird als Telearbeit bezeichnet. Control 6.7 bezeichnet es als Fernarbeit. Gleichzeitig wurde in der neuen Version des Standards Telearbeit durch Remote-Arbeit ersetzt.

In Control 6.7, ISO 27002:2022, definiert der Standard, was Fernarbeit ist und welche Arten von Arbeit als Fernarbeit gelten können. Dazu gehört auch Telearbeit, der ursprüngliche Kontrollname in der Version 2013 des Standards.

Die Implementierungsrichtlinien sind einigermaßen ähnlich, auch wenn die Sprache und die Begriffe unterschiedlich sind. In der Version 2022 wurde viel benutzerfreundliche Sprache verwendet, um sicherzustellen, dass die Benutzer des Standards verstehen können, was sie tun.

Allerdings wurden einige Punkte in Kontrolle 6.7 hinzugefügt und einige aus Kontrolle 6.2.2 entfernt.

Zu Control 6.7 Remote Working hinzugefügt

• Regeln und Sicherheitsmechanismen für die entfernte physische Umgebung wie abschließbare Aktenschränke, sicherer Transport zwischen Standorten und Regeln für Fernzugriff, übersichtlicher Schreibtisch, Drucken und Entsorgen von Informationen und anderen zugehörigen Vermögenswerten sowie Berichterstattung über Informationssicherheitsereignisse.
• die erwarteten physischen Remote-Arbeitsumgebungen.
• die Gefahr des unbefugten Zugriffs anderer Personen auf Informationen oder Ressourcen an öffentlichen Orten.
• Sichere Mechanismen für die Bereitstellung und Initialisierung von Systemen aus der Ferne.
• Sichere Mechanismen zur Authentifizierung und Aktivierung von Zugriffsrechten unter Berücksichtigung der Anfälligkeit von Ein-Faktor-Authentifizierungsmechanismen, bei denen der Fernzugriff auf das Netzwerk der Organisation zulässig ist.

Aus der Kontrolle entfernt 6.2.2 Telearbeit

• Die Nutzung von Heimnetzwerken und Anforderungen oder Einschränkungen bei der Konfiguration drahtloser Netzwerkdienste.
• Richtlinien und Verfahren zur Verhinderung von Streitigkeiten über Rechte an geistigem Eigentum, die auf privater Ausrüstung entwickelt wurden.
• Zugang zu privater Ausrüstung (zur Überprüfung der Sicherheit der Maschine oder während einer Untersuchung), der gesetzlich verboten sein kann.
• Software-Lizenzvereinbarungen, die dazu führen, dass Organisationen für die Lizenzierung von Client-Software auf Workstations haftbar gemacht werden können, die sich im Privatbesitz von Mitarbeitern oder externen Nutzern befinden.

Darüber hinaus stellt die ISO 27002 Version 2022 Zweckerklärungen und Attributtabellen für jede Kontrolle bereit, die Benutzern dabei helfen, die Kontrollen besser zu verstehen und umzusetzen.

Die Version 2013 enthält diese beiden Teile nicht.

Wer ist für diesen Prozess verantwortlich?

Die Hauptverantwortung für die Erstellung einer Informationssicherheitsrichtlinie für Remote-Mitarbeiter liegt beim Informationssicherheitsbeauftragten der Organisation. Allerdings sollten auch andere Stakeholder in den Prozess einbezogen werden.

Dazu gehören IT-Manager, die für die Umsetzung und Aufrechterhaltung der Richtlinie verantwortlich sind, sowie Personalmanager, die dafür verantwortlich sind, dass die Mitarbeiter sie verstehen und einhalten.

Wenn Sie über ein Lieferantenmanagementprogramm verfügen, hängt die Antwort davon ab, wer für die Verwaltung von Auftragnehmern und Lieferanten im Allgemeinen verantwortlich ist. In den meisten Fällen wäre diese Person auch für die Erstellung einer Informationssicherheitsrichtlinie für Remote-Mitarbeiter in dieser Abteilung verantwortlich.

Was bedeuten diese Veränderungen für Sie?

Die ISO 27002 wurde nicht wesentlich geändert, sodass Sie nicht viel tun müssen, außer zu überprüfen, ob Ihre Informationssicherheitsprozesse mit dem Upgrade übereinstimmen.

Die wichtigste Änderung bestand darin, einige der Kontrollen zu ändern und einige Anforderungen klarzustellen. Der Haupteffekt in Bezug auf Kontrolle 6.7 besteht darin, dass Sie, wenn Sie einen Ihrer Vorgänge an Dritte auslagern oder Mitarbeiter aus der Ferne arbeiten lassen, sicherstellen müssen, dass diese über ein angemessenes Maß an Sicherheitskontrollen verfügen.

Wenn Sie bereits über eine ISO 27001-Zertifizierung verfügen, erfüllt Ihr aktueller Prozess zur Verwaltung der Informationssicherheit die neuen Anforderungen.

Das bedeutet, dass Sie überhaupt nichts tun müssen, wenn Sie Ihre aktuelle ISO 27001-Zertifizierung erneuern möchten. Sie müssen lediglich sicherstellen, dass Ihre Prozesse weiterhin dem neuen Standard entsprechen.

Wenn Sie jedoch bei Null anfangen, müssen Sie sich Gedanken darüber machen, wie Ihr Unternehmen auf Cyberangriffe und andere Bedrohungen seiner Informationsressourcen vorbereitet sein kann.

Das Wichtigste ist, dass Cyber-Risiken ernst genug genommen werden, damit sie als Teil Ihrer gesamten Geschäftsstrategie verwaltet werden und nicht nur von der IT- oder Sicherheitsabteilung als separates Problem behandelt werden.

Wie ISMS.Online hilft

Die ISMS.Online-Plattform hilft bei allen Aspekten der Implementierung von ISO 27002, von der Verwaltung von Risikobewertungsaktivitäten bis hin zur Entwicklung von Richtlinien, Verfahren und Leitlinien zur Einhaltung der Anforderungen der Norm.

Es bietet eine Möglichkeit, Ihre Ergebnisse zu dokumentieren und diese online mit Ihren Teammitgliedern zu kommunizieren. Mit ISMS.Online können Sie außerdem Checklisten für alle Aufgaben bei der Implementierung von ISO 27002 erstellen und speichern, sodass Sie den Fortschritt des Sicherheitsprogramms Ihrer Organisation problemlos verfolgen können.

Mit seinem automatisierten Toolset erleichtert ISMS.Online Organisationen den Nachweis der Einhaltung des ISO 27002-Standards.

Kontaktieren Sie uns noch heute zu planen eine Demo.