Wenn Cyberkriminelle Computernetzwerke, Dienste oder Geräte kompromittieren, beschränken sie sich nicht auf die kompromittierten Vermögenswerte.
Sie nutzen den anfänglichen Einbruch, um das gesamte Netzwerk einer Organisation zu infiltrieren, sich Zugang zu sensiblen Informationsbeständen zu verschaffen oder Ransomware-Angriffe durchzuführen.
Beispielsweise können Cyberkriminelle nach einem erfolgreichen Phishing-Angriff die Anmeldedaten von Personalmitarbeitern eines Krankenhauses stehlen und sich Zugang zu Personalsystemen verschaffen.
Anschließend können sie diesen Zugangspunkt nutzen, um sich lateral durch das gesamte Netzwerk zu bewegen und Netzwerke zu entdecken, die vertrauliche Patienteninformationen enthalten. Dieser Eingriff kann zur Kompromittierung von Informationsbeständen führen, Ausfallzeiten auslösen oder das Krankenhaus einem Ransomware-Angriff aussetzen.
Wenn das Krankenhaus über Netzwerktrennungstechniken wie Firewalls, virtuelle Netzwerke oder Serverisolation verfügen würde, würde es Eindringlinge wahrscheinlich daran hindern, Zugriff auf sensible Informationsbestände zu erhalten, und die Auswirkungen des Verstoßes minimieren.
In Control 8.22 geht es darum, wie Unternehmen geeignete Techniken zur Netzwerktrennung implementieren und aufrechterhalten können, um Risiken für die Verfügbarkeit, Integrität und Vertraulichkeit von Informationsressourcen zu beseitigen.
Mit Control 8.22 können Unternehmen ihre Computernetzwerke je nach Sensibilitäts- und Kritikalitätsgrad in Subnetzwerke unterteilen und den Datenverkehr zwischen diesen verschiedenen Subnetzwerken einschränken.
Dies hilft Unternehmen, die Ausbreitung von Malware oder Viren aus kompromittierten Netzwerken auf andere Netzwerke zu verhindern, in denen vertrauliche Informationsbestände gespeichert sind.
Dadurch wird sichergestellt, dass Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen wahren, die in kritischen Subnetzwerken gehostet werden.
Control 8.22 ist präventiver Natur, da es von Organisationen verlangt, einen proaktiven Ansatz zu verfolgen und Regeln, Verfahren und geeignete Techniken festzulegen und umzusetzen, um das größere Computernetzwerk in kleinere Netzwerkdomänen zu unterteilen, sodass eine Gefährdung sensibler Netzwerke verhindert werden kann.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #System- und Netzwerksicherheit | #Schutz |
In Anbetracht der Tatsache, dass Kontrolle 8.22 eine Segmentierung von Netzwerken, Geräten und Systemen auf der Grundlage des Grads der damit verbundenen Risiken sowie die Implementierung von Techniken und Verfahren zur Netzwerksegregation beinhaltet, sollte ein Informationssicherheitsbeauftragter für die Einhaltung verantwortlich gemacht werden.
Bei der Implementierung von Maßnahmen zur Netzwerktrennung sollten Unternehmen versuchen, ein Gleichgewicht zwischen betrieblichen Anforderungen und Sicherheitsbedenken zu finden.
Control 8.22 listet drei Empfehlungen auf, die bei der Implementierung der Netzwerksegregation berücksichtigt werden sollten.
Bei der Aufteilung des Netzwerks in kleinere Netzwerk-Subdomänen sollten Unternehmen den Grad der Sensibilität und Kritikalität jeder Netzwerkdomäne berücksichtigen. Abhängig von dieser Analyse können Netzwerk-Subdomänen „öffentlichen Domänen“, „Desktop-Domänen“, „Server-Domänen“ oder „Systemen mit hohem Risiko“ zugeordnet werden.
Darüber hinaus können Unternehmen bei der Trennung des Netzwerks auch die Geschäftsabteilungen wie Personal, Marketing und Finanzen berücksichtigen.
Es wird außerdem darauf hingewiesen, dass Unternehmen diese beiden Kriterien kombinieren und Netzwerk-Subdomänen Kategorien wie „Serverdomäne mit Verbindung zur Vertriebsabteilung“ zuordnen können.
Organisationen sollten den Umfang jeder Netzwerk-Subdomäne klar definieren. Wenn ein Zugriff zwischen zwei verschiedenen Netzwerkdomänen erfolgt, sollte dieser Zugriff auf der Perimeterebene über das Gateway, z. B. Firewalls oder Filterrouter, eingeschränkt werden.
Organisationen sollten die Sicherheitsanforderungen für jede spezifische Domäne bewerten, wenn sie die Netzwerktrennung implementieren und den Zugriff über die Gateways autorisieren.
Diese Bewertung sollte in Übereinstimmung mit der Zugangskontrollrichtlinie gemäß Kontrolle 5.15 durchgeführt werden und sollte außerdem Folgendes berücksichtigen:
Angesichts der Tatsache, dass die Definition von Netzwerksicherheitsparametern für drahtlose Netzwerke eine Herausforderung darstellt, empfiehlt Control 8.22 Unternehmen, die folgenden Praktiken einzuhalten:
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Control 8.22 stellt fest, dass Organisationen häufig verschiedene Geschäftspartnerschaften mit anderen Unternehmen eingehen und ihr Netzwerk, ihre IT-Geräte und andere Informationseinrichtungen gemeinsam nutzen.
Daher sind sensible Netzwerke möglicherweise einem erhöhten Risiko des unbefugten Zugriffs durch andere Benutzer ausgesetzt, und Organisationen sollten geeignete Maßnahmen ergreifen, um diesem Risiko vorzubeugen.
27002:2022/8.22 replaces 27002:2013/(13.1.3)
Obwohl sich die Versionen 2022 und 2013 weitgehend ähneln, gibt es einen wesentlichen Unterschied.
Im Gegensatz zur Version 2013 enthält die Version 2022 folgende Anforderungen für drahtlose Netzwerke:
ISMS.Online ermöglicht Ihnen:
ISMS.Online bietet eine umfassende Palette an Funktionen, die Organisationen und Unternehmen dabei helfen, die Einhaltung des Industriestandards ISO 27001 und/oder ISO 27002 ISMS zu erreichen.
Bitte kontaktieren Sie uns noch heute planen eine Demo.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
