Sichere Speichermedienverwaltung: Schutz vertraulicher Informationen
Die Verwendung von Speichermedien wie Solid-State-Laufwerken (SSDs), USB-Sticks, externen Laufwerken und Mobiltelefonen ist für viele wichtige Informationsverarbeitungsvorgänge wie Datensicherung, Datenspeicherung und Informationsübertragung von entscheidender Bedeutung.
Allerdings ist die Speicherung sensibel und kritisch Informationen auf diesen Geräten bergen Risiken für die Integrität, Vertraulichkeit und Verfügbarkeit von Informationsressourcen. Zu diesen Risiken können der Verlust oder Diebstahl von Speichermedien mit vertraulichen Informationen, die Verbreitung von Malware über die Speichermedien in allen Computernetzwerken des Unternehmens sowie der Ausfall und die Verschlechterung der für die Datensicherung verwendeten Speichermedien gehören.
Control 7.10 befasst sich mit der Frage, wie Unternehmen geeignete Verfahren, Richtlinien und Kontrollen einrichten können, um die Sicherheit von Speichermedien während ihres gesamten Lebenszyklus, vom Erwerb bis zur Entsorgung, aufrechtzuerhalten.
Zweck der Kontrolle 7.10
Control 7.10 ermöglicht es Unternehmen, Risiken des unbefugten Zugriffs auf, der Nutzung, Löschung, Änderung und Übertragung sensibler Informationen, die auf Speichermediengeräten gehostet werden, zu eliminieren und zu mindern, indem Verfahren für den Umgang mit Speichermedien über ihren gesamten Lebenszyklus hinweg festgelegt werden.
Attributtabelle der Steuerung 7.10
Kontrolle 7.10 ist eine präventive Art der Kontrolle, die von Organisationen verlangt, Verfahren und Maßnahmen zu erstellen, umzusetzen und aufrechtzuerhalten, um die Sicherheit von Speichermediengeräten vom Erwerb bis zur Entsorgung zu gewährleisten.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Physische Sicherheit | #Schutz |
| #Integrität | #Vermögensverwaltung | |||
| #Verfügbarkeit |
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Welche Speichermedien deckt Control 7.10 ab?
Control 7.10 gilt sowohl für digitale als auch für physische Speichermedien. Zum Beispiel Speicherung von Informationen in physischen Dateien wird auch durch Control 7.10 abgedeckt.
Darüber hinaus unterliegen neben den Wechselspeichermedien auch feste Speichermedien wie Festplatten der Regelung 7.10.
Eigentum an der Kontrolle 7.10
Control 7.10 verlangt von Organisationen, geeignete Verfahren, technische Kontrollen und organisationsweite Richtlinien für die Nutzung von Speichermedien zu erstellen und umzusetzen, die auf dem eigenen Klassifizierungsschema der Organisation und ihren Datenverarbeitungsanforderungen wie gesetzlichen und vertraglichen Verpflichtungen basieren.
Vor diesem Hintergrund sollten Informationssicherheitsmanager für den gesamten Compliance-Prozess verantwortlich sein.
Allgemeine Richtlinien zur Compliance
Wechselbare Speichermedien
Während Wechselspeichermedien für viele Geschäftsabläufe unerlässlich sind und von den meisten Mitarbeitern häufig verwendet werden, stellen sie das höchste Risiko für vertrauliche Informationen dar.
Control 7.10 listet zehn Anforderungen auf, die Unternehmen für die Verwaltung von Wechselspeichermedien während ihres gesamten Lebenszyklus einhalten sollten:
- Organisationen sollten eine themenspezifische Richtlinie für den Erwerb, die Autorisierung, die Verwendung und die Entsorgung von Wechselspeichermedien festlegen. Diese Richtlinie sollte allen Mitarbeitern und allen relevanten Parteien mitgeteilt werden.
- Wenn es praktikabel und notwendig ist, sollten Organisationen Genehmigungsverfahren für die Mitnahme von Wechselspeichermedien aus dem Firmengelände einführen. Darüber hinaus sollten Organisationen Protokollaufzeichnungen über die Entfernung von Speichermedien für Audit-Trail-Zwecke führen.
- Alle Wechselspeichermedien sollten in einem sicheren Bereich, z. B. einem Safe, aufbewahrt werden, wobei die den Informationen zugewiesene Informationsklassifizierungsstufe sowie die Umwelt- und physischen Bedrohungen für Speichermedien zu berücksichtigen sind.
- Wenn Vertraulichkeit und Integrität der auf Wechselspeichermedien enthaltenen Informationen von entscheidender Bedeutung sind, sollten kryptografische Techniken eingesetzt werden, um die Speichermedien vor unbefugtem Zugriff zu schützen.
- Um das Risiko einer Verschlechterung der Wechselspeichermedien und des Verlusts der auf den Medien gespeicherten Informationen zu vermeiden, sollten die Informationen auf ein neues Speichermedium übertragen werden, bevor dieses Risiko eintritt.
- Kritische und sensible Informationen sollten kopiert und auf mehreren Speichermedien gespeichert werden, um das Risiko des Verlusts kritischer Informationen zu minimieren.
- Um das Risiko eines vollständigen Informationsverlusts zu verringern, kann die Registrierung von Wechselspeichermedien eine erwägenswerte Option sein.
- Sofern kein geschäftlicher Grund für die Verwendung von Wechselspeichermedienanschlüssen wie USB-Anschlüssen oder SD-Kartensteckplätzen besteht, sollten diese nicht zulässig sein.
- Es muss ein Überwachungsmechanismus für die Übertragung von Informationen auf Wechselspeichermedien vorhanden sein.
- Wenn Informationen, die in physischen Datenträgern wie Papieren enthalten sind, per Kurier oder Post übermittelt werden, besteht ein hohes Risiko eines unbefugten Zugriffs auf diese Informationen. Daher sollten geeignete Maßnahmen ergriffen werden.
Leitfaden zur sicheren Wiederverwendung und Entsorgung von Speichermedien
Control 7.10 bietet separate Leitlinien zur sicheren Wiederverwendung und Entsorgung von Speichermedien, damit Unternehmen Risiken für die Gefährdung der Vertraulichkeit von Informationen mindern und beseitigen können.
Control 7.10 betont, dass Organisationen Verfahren für die Wiederverwendung und Entsorgung von Speichermedien definieren und anwenden sollten, wobei der Sensibilitätsgrad der in den Speichermedien enthaltenen Informationen zu berücksichtigen ist.
Bei der Festlegung dieser Verfahren sollten Organisationen Folgendes berücksichtigen:
- Wenn ein Speichermedium von einer internen Partei innerhalb einer Organisation wiederverwendet wird, sollten die auf diesem Speichermedium gehosteten sensiblen Informationen unwiderruflich gelöscht oder neu formatiert werden, bevor sie zur Wiederverwendung freigegeben werden.
- Speichermedien, auf denen vertrauliche Informationen gespeichert sind, sollten auf sichere Weise vernichtet werden, wenn sie nicht mehr benötigt werden. Beispielsweise können Papierdokumente geschreddert und digitale Geräte physisch zerstört werden.
- Es sollte ein Verfahren zur Identifizierung von Speichermedienelementen vorhanden sein, die entsorgt werden müssen.
- Wenn Unternehmen sich dafür entscheiden, mit einer externen Partei zusammenzuarbeiten, um die Sammlung und Entsorgung von Speichermedien zu übernehmen, sollten sie sich gebührend verhalten Sorgfalt, um sicherzustellen, dass der ausgewählte Anbieter kompetent ist und es implementiert entsprechende Kontrollen.
- Führung einer Aufzeichnung aller entsorgten Gegenstände für Prüfpfad.
- Wenn mehrere Speichermedien zusammen entsorgt werden sollen, sollte der Akkumulationseffekt berücksichtigt werden: Durch die Kombination verschiedener Informationsteile von jedem Speichermedium können nicht sensible Informationen in sensible Informationen umgewandelt werden.
Last but not least verlangt Control 7.10 von Organisationen, dass sie Folgendes durchführen: Risikobewertung beschädigter Geräte, auf denen vertrauliche Informationen gespeichert sind zu entscheiden, ob die Ausrüstung zerstört statt repariert werden sollte.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022/7.10 ersetzt 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)
Es gibt vier wesentliche Unterschiede, die hervorgehoben werden müssen:
- Strukturelle Veränderungen
Während die Version von 2013 drei separate enthielt Kontrollen des Managements In der Version 2022 werden diese drei Steuerelemente unter Control 7.10 zusammengefasst: Medienverwaltung, Medienentsorgung und physische Medienübertragung.
- Die Version 2022 enthält Anforderungen für die Wiederverwendung von Speichermedien
Im Gegensatz zur Version 2013, in der es nur um die sichere Entsorgung von Speichermedien ging, befasst sich die Version 2022 auch mit der sicheren Wiederverwendung von Speichermedien.
- Die Version 2013 enthält umfassendere Anforderungen an die physische Übertragung von Speichermedien
Mit der Version 2013 wurden umfassendere Anforderungen an die physische Übertragung von Speichermedien gestellt. Beispielsweise enthielt die Version 2013 Regeln zur Identitätsprüfung für Kuriere und Verpackungsstandards.
Control 7.10 in der Version 2022 hingegen besagte lediglich, dass Organisationen bei der Auswahl von Dienstleistern wie Kurieren mit Sorgfalt vorgehen sollten.
- Die Version 2022 erfordert eine themenspezifische Richtlinie für Wechselspeichermedien
Während sich die Versionen 2022 und 2013 hinsichtlich der Anforderungen an Wechselspeichermedien weitgehend ähneln, führt die Version 2022 die Anforderung ein, eine themenspezifische Richtlinie für Wechselspeichermedien festzulegen. Die Version von 2013 deckte diese Anforderung hingegen nicht ab.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.online hilft
Die ISMS.online-Plattform verwendet einen risikobasierten Ansatz in Kombination mit branchenführenden Best Practices und Vorlagen, um Ihnen dabei zu helfen, die Risiken zu identifizieren, denen Ihr Unternehmen ausgesetzt ist, und die Kontrollen, die zur Bewältigung dieser Risiken erforderlich sind. Dadurch können Sie sowohl Ihre Risikoexposition als auch Ihren Compliance-Aufwand systematisch reduzieren.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
