ISO 27002:2022, Kontrolle 8.12 – Verhinderung von Datenlecks

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

doppelte,belichtung,von,geschäft,mann,hand,arbeiten,auf,leer,bildschirm

Zweck der Kontrolle 8.12

Unter Datenlecks versteht man allgemein alle Informationen, die von unbefugtem internem und externem Personal und Systemen abgerufen, übertragen oder extrahiert werden, oder von böswilligen Quellen, die auf den Informationsbetrieb einer Organisation abzielen.

Datenlecks sind ein häufiges Problem in Organisationen, die große Datenmengen unterschiedlicher Klassifizierung über mehrere eigenständige und verbundene IKT-Systeme, Anwendungen und Dateiserver hinweg verarbeiten.

Attributtabelle

Control 8.12 dient zwei Zwecken vorbeugend und Detektiv Kontrolliere das verändert das Risiko durch die Implementierung technischer Maßnahmen, die die Offenlegung und/oder Extraktion von Informationen durch internes und/oder externes Personal oder logische Systeme proaktiv erkennen und verhindern.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepte Operative FähigkeitenSicherheitsdomänen
#Präventiv
#Detektiv 		#Vertraulichkeit#Schützen
#Erkennen		#Informationsschutz#Schutz
#Verteidigung
Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Eigentum an der Kontrolle 8.12

Control 8.12 befasst sich mit IKT-Vorgängen, die über Systemadministratorzugriff ausgeführt werden und unter das Dach der Netzwerkverwaltung und -wartung fallen. Daher sollte die Verantwortung für Control 8.12 beim IT-Leiter oder einer gleichwertigen Organisation liegen.

Allgemeine Richtlinien zur Compliance

Es ist schwierig, Datenlecks vollständig zu beseitigen. Um die mit ihrem Betrieb verbundenen Risiken zu minimieren, sollten Organisationen jedoch Folgendes tun:

  1. Klassifizieren Sie Daten nach anerkannten Industriestandards (PII, kommerzielle Daten, Produktinformationen), um unterschiedliche Risikostufen pauschal zuzuordnen.

  2. Überwachen Sie bekannte Datenkanäle, die stark genutzt werden und anfällig für Lecks sind (z. B. E-Mails, interne und externe Dateiübertragungen, USB-Geräte), genau.

  3. Ergreifen Sie proaktive Maßnahmen, um zu verhindern, dass Daten verloren gehen (z. B. robuste Dateiberechtigungen und angemessene Autorisierungstechniken).

  4. Beschränken Sie die Möglichkeit eines Benutzers, Daten (sofern zutreffend) auf und von bestimmten Plattformen und Systemen zu kopieren und einzufügen.

  5. Fordern Sie vor der Durchführung von Massenexporten die Genehmigung des Dateneigentümers an.

  6. Erwägen Sie, Benutzer daran zu hindern, Screenshots zu machen oder Monitore zu fotografieren, auf denen geschützte Datentypen angezeigt werden.

  7. Verschlüsseln Sie Backups, die vertrauliche Informationen enthalten.

  8. Formulieren Sie Gateway-Sicherheitsmaßnahmen und Maßnahmen zur Verhinderung von Lecks, die vor externen Faktoren wie (aber nicht beschränkt auf) Industriespionage, Sabotage, kommerzieller Einmischung und/oder IP-Diebstahl schützen.

Die Verhinderung von Datenlecks ist mit zahlreichen anderen ISO-Sicherheitsrichtlinien verbunden, die darauf abzielen, Informationen und Daten im gesamten Netzwerk einer Organisation zu schützen, einschließlich Zugriffskontrollmaßnahmen (siehe Kontrolle 5.12) und sicherer Dokumentenverwaltung (siehe Kontrolle 5.15).

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Leitfaden – Datenleck-Tools

Unternehmen sollten den Einsatz spezieller Datenleck-Tools und Hilfsprogramme in Betracht ziehen, die:

  1. Arbeiten Sie mit dem Ansatz der Organisation zur Datenklassifizierung zusammen und identifizieren Sie das Potenzial für Datenlecks bei Datentypen mit hohem Risiko.

  2. Erkennen und proaktive Warnung bei der Übertragung und/oder Offenlegung von Daten, insbesondere an nicht autorisierte Systeme, Filesharing-Plattformen oder Anwendungen.

  3. Erkennen Sie die mit bestimmten Datenübertragungsmethoden verbundenen Risiken (z. B. das Kopieren von Finanzinformationen aus einer Datenbank in eine Tabellenkalkulation).

Tools zur Verhinderung von Datenlecks sind von Natur aus aufdringlich und sollten in Übereinstimmung mit allen behördlichen Anforderungen oder Gesetzen zum Schutz der Privatsphäre der Benutzer implementiert und verwaltet werden.

Unterstützende Kontrollen

  • 5.12
  • 5.15

Änderungen und Unterschiede zu ISO 27002:2013

Keiner. ISO 27002:2022-8.12 ist eine neue Kontrolle ohne Gegenstück in ISO 27002:2003.

Wie ISMS.online hilft

Mit unserer cloudbasierten Plattform können Sie alle Aspekte Ihres ISMS, einschließlich Risikomanagement, Richtlinien, Pläne, Verfahren und mehr, schnell und einfach an einem zentralen Ort verwalten. Die Plattform ist einfach zu bedienen und verfügt über eine intuitive Benutzeroberfläche, die das Erlernen der Bedienung erleichtert.

ISMS.Online ermöglicht Ihnen:

  • Dokumentieren Sie Ihre Prozesse über eine intuitive Weboberfläche, ohne dass Sie Software auf Ihrem Computer oder Netzwerk installieren müssen.

  • Automatisieren Sie Ihren Risikobewertungsprozess.

  • Weisen Sie Compliance ganz einfach mit Online-Berichten und Checklisten nach.

  • Verfolgen Sie den Fortschritt, während Sie auf die Zertifizierung hinarbeiten.

Kontaktieren Sie uns noch heute zu Demo buchen.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren