Verbesserung der Sicherheit mit ISO 27002-Kontrolle 8.22: Strategien zur Netzwerktrennung
Wenn Cyberkriminelle Computernetzwerke, Dienste oder Geräte kompromittieren, beschränken sie sich nicht auf die kompromittierten Vermögenswerte.
Sie nutzen den anfänglichen Einbruch, um das gesamte Netzwerk einer Organisation zu infiltrieren, sich Zugang zu sensiblen Informationsbeständen zu verschaffen oder Ransomware-Angriffe durchzuführen.
Beispielsweise können Cyberkriminelle nach einem erfolgreichen Phishing-Angriff die Anmeldedaten von Personalmitarbeitern eines Krankenhauses stehlen und sich Zugang zu Personalsystemen verschaffen.
Anschließend können sie diesen Zugangspunkt nutzen, um sich lateral durch das gesamte Netzwerk zu bewegen und Netzwerke zu entdecken, die vertrauliche Patienteninformationen enthalten. Dieser Eingriff kann zur Kompromittierung von Informationsbeständen führen, Ausfallzeiten auslösen oder das Krankenhaus einem Ransomware-Angriff aussetzen.
Wenn das Krankenhaus über Netzwerktrennungstechniken wie Firewalls, virtuelle Netzwerke oder Serverisolation verfügen würde, würde es Eindringlinge wahrscheinlich daran hindern, Zugriff auf sensible Informationsbestände zu erhalten, und die Auswirkungen des Verstoßes minimieren.
In Control 8.22 geht es darum, wie Unternehmen geeignete Techniken zur Netzwerktrennung implementieren und aufrechterhalten können, um Risiken für die Verfügbarkeit, Integrität und Vertraulichkeit von Informationsressourcen zu beseitigen.
Zweck der Kontrolle 8.22
Mit Control 8.22 können Unternehmen ihre Computernetzwerke je nach Sensibilitäts- und Kritikalitätsgrad in Subnetzwerke unterteilen und den Datenverkehr zwischen diesen verschiedenen Subnetzwerken einschränken.
Dies hilft Unternehmen, die Ausbreitung von Malware oder Viren aus kompromittierten Netzwerken auf andere Netzwerke zu verhindern, in denen vertrauliche Informationsbestände gespeichert sind.
Dadurch wird sichergestellt, dass Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen wahren, die in kritischen Subnetzwerken gehostet werden.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Attributtabelle der Steuerung 8.22
Control 8.22 ist präventiver Natur, da es von Organisationen verlangt, einen proaktiven Ansatz zu verfolgen und Regeln, Verfahren und geeignete Techniken festzulegen und umzusetzen, um das größere Computernetzwerk in kleinere Netzwerkdomänen zu unterteilen, sodass eine Gefährdung sensibler Netzwerke verhindert werden kann.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #System- und Netzwerksicherheit | #Schutz |
| #Integrität | ||||
| #Verfügbarkeit |
Eigentum an der Kontrolle 8.22
In Anbetracht der Tatsache, dass Kontrolle 8.22 eine Segmentierung von Netzwerken, Geräten und Systemen auf der Grundlage des Grads der damit verbundenen Risiken sowie die Implementierung von Techniken und Verfahren zur Netzwerksegregation beinhaltet, sollte ein Informationssicherheitsbeauftragter für die Einhaltung verantwortlich gemacht werden.
Allgemeine Richtlinien zur Compliance
Bei der Implementierung von Maßnahmen zur Netzwerktrennung sollten Unternehmen versuchen, ein Gleichgewicht zwischen betrieblichen Anforderungen und Sicherheitsbedenken zu finden.
Control 8.22 listet drei Empfehlungen auf, die bei der Implementierung der Netzwerksegregation berücksichtigt werden sollten.
So unterteilen Sie das Netzwerk in kleinere Teilnetzwerke
Bei der Aufteilung des Netzwerks in kleinere Netzwerk-Subdomänen sollten Unternehmen den Grad der Sensibilität und Kritikalität jeder Netzwerkdomäne berücksichtigen. Abhängig von dieser Analyse können Netzwerk-Subdomänen „öffentlichen Domänen“, „Desktop-Domänen“, „Server-Domänen“ oder „Systemen mit hohem Risiko“ zugeordnet werden.
Darüber hinaus können Unternehmen bei der Trennung des Netzwerks auch die Geschäftsabteilungen wie Personal, Marketing und Finanzen berücksichtigen.
Es wird außerdem darauf hingewiesen, dass Unternehmen diese beiden Kriterien kombinieren und Netzwerk-Subdomänen Kategorien wie „Serverdomäne mit Verbindung zur Vertriebsabteilung“ zuordnen können.
Sicherheitsperimeter und Zugangskontrolle
Organisationen sollten den Umfang jeder Netzwerk-Subdomäne klar definieren. Wenn ein Zugriff zwischen zwei verschiedenen Netzwerkdomänen erfolgt, sollte dieser Zugriff auf der Perimeterebene über das Gateway, z. B. Firewalls oder Filterrouter, eingeschränkt werden.
Organisationen sollten die Sicherheitsanforderungen für jede spezifische Domäne bewerten, wenn sie die Netzwerktrennung implementieren und den Zugriff über die Gateways autorisieren.
Diese Bewertung sollte in Übereinstimmung mit der Zugangskontrollrichtlinie gemäß Kontrolle 5.15 durchgeführt werden und sollte außerdem Folgendes berücksichtigen:
- Den Informationsressourcen zugewiesene Klassifizierungsebene.
- Kritikalität von Informationen.
- Kosten und praktische Überlegungen zur Verwendung einer bestimmten Gateway-Technologie.
Drahtlose Netzwerke
Angesichts der Tatsache, dass die Definition von Netzwerksicherheitsparametern für drahtlose Netzwerke eine Herausforderung darstellt, empfiehlt Control 8.22 Unternehmen, die folgenden Praktiken einzuhalten:
- Der Einsatz von Techniken zur Anpassung der Funkabdeckung zur Trennung drahtloser Netzwerke sollte geprüft werden.
- Bei sensiblen Netzwerken können Organisationen alle drahtlosen Zugriffsversuche als externe Verbindungen annehmen und den Zugriff auf interne Netzwerke verhindern, bis die Gateway-Steuerung den Zugriff genehmigt.
- Wenn das Personal nur seine eigenen Geräte gemäß den Richtlinien der Organisation verwendet, sollte der drahtlose Netzwerkzugang für Personal und Gäste getrennt erfolgen.
- Die Nutzung von WLAN durch Gäste sollte denselben Einschränkungen und Kontrollen unterliegen, die auch für das Personal gelten.
Ergänzende Leitlinien zur Kontrolle 8.22
Control 8.22 stellt fest, dass Organisationen häufig verschiedene Geschäftspartnerschaften mit anderen Unternehmen eingehen und ihr Netzwerk, ihre IT-Geräte und andere Informationseinrichtungen gemeinsam nutzen.
Daher sind sensible Netzwerke möglicherweise einem erhöhten Risiko des unbefugten Zugriffs durch andere Benutzer ausgesetzt, und Organisationen sollten geeignete Maßnahmen ergreifen, um diesem Risiko vorzubeugen.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022/8.22 replaces 27002:2013/(13.1.3)
Obwohl sich die Versionen 2022 und 2013 weitgehend ähneln, gibt es einen wesentlichen Unterschied.
Im Gegensatz zur Version 2013 enthält die Version 2022 folgende Anforderungen für drahtlose Netzwerke:
- Wenn das Personal nur seine eigenen Geräte gemäß den Richtlinien der Organisation verwendet, sollte der drahtlose Netzwerkzugang für Personal und Gäste getrennt erfolgen.
- Die Nutzung von WLAN durch Gäste sollte denselben Einschränkungen und Kontrollen unterliegen, die auch für das Personal gelten.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.online hilft
ISMS.Online ermöglicht Ihnen:
- Dokumentieren Sie Ihre Prozesse. Mit dieser intuitiven Benutzeroberfläche können Sie Ihre Prozesse dokumentieren, ohne Software auf Ihrem Computer oder Netzwerk installieren zu müssen.
- Automatisieren Sie Ihren Risikobewertungsprozess.
- Weisen Sie Compliance ganz einfach mit Online-Berichten und Checklisten nach.
- Halten Sie den Fortschritt fest, während Sie auf die Zertifizierung hinarbeiten.
ISMS.Online bietet eine umfassende Palette an Funktionen, die Organisationen und Unternehmen dabei helfen, die Einhaltung des Industriestandards ISO 27001 und/oder ISO 27002 ISMS zu erreichen.
Bitte kontaktieren Sie uns noch heute Demo anfordern.
