Zweck der Kontrolle 8.9
Konfigurationen – ob als einzelne Konfigurationsdatei oder als Gruppe miteinander verknüpfter Konfigurationen – sind die zugrunde liegenden Parameter, die bestimmen, wie Hardware, Software und sogar ganze Netzwerke verwaltet werden.
Beispielsweise enthält die Konfigurationsdatei einer Firewall die Basisattribute, die das Gerät verwendet, um den Datenverkehr zum und vom Netzwerk einer Organisation zu verwalten, einschließlich Sperrlisten, Portweiterleitung, virtuelle LANs und VPN-Informationen.
Das Konfigurationsmanagement ist ein integraler Bestandteil des umfassenderen Asset-Management-Vorgangs einer Organisation. Konfigurationen sind von entscheidender Bedeutung, um nicht nur sicherzustellen, dass ein Netzwerk ordnungsgemäß funktioniert, sondern auch, um Geräte vor unbefugten Änderungen oder falschen Ergänzungen seitens des Wartungspersonals und/oder der Anbieter zu schützen.
Attributtabelle der Steuerung 8.9
Kontrolle 8.9 ist ein präventiv Kontrolliere das hält das Risiko aufrecht durch die Festlegung einer Reihe von Richtlinien, die regeln, wie eine Organisation die Verwendung von Konfigurationen in ihrem gesamten Netzwerk dokumentiert, implementiert, überwacht und überprüft.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Sichere Konfiguration | #Schutz |
| #Integrität | ||||
| #Verfügbarkeit |
Eigentum an der Kontrolle 8.9
Bei der Konfigurationsverwaltung handelt es sich lediglich um eine Verwaltungsaufgabe, die sich mit der Pflege und Überwachung anlagenseitiger Informationen und Daten befasst, die auf einer Vielzahl von Geräten und Anwendungen gespeichert sind. Daher sollte die Verantwortung beim IT-Leiter oder einer gleichwertigen Organisation liegen.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Richtlinien zur Compliance
Im Großen und Ganzen besteht für die Organisation die Notwendigkeit, Richtlinien für das Konfigurationsmanagement sowohl für neue als auch für bereits verwendete Systeme und Hardware zu entwerfen und umzusetzen. Interne Kontrollen sollten geschäftskritische Elemente wie Sicherheitskonfigurationen, die gesamte Hardware, die eine Konfigurationsdatei enthält, und alle relevanten Softwareanwendungen oder -systeme umfassen.
Control 8.9 fordert Organisationen dazu auf, bei der Implementierung einer Konfigurationsrichtlinie alle relevanten Rollen und Verantwortlichkeiten zu berücksichtigen, einschließlich der delegierten Eigentümerschaft von Konfigurationen auf Geräte-für-Gerät- oder Anwendung-für-Anwendung-Basis.
Leitfaden – Standardvorlagen
Wo möglich sollten Organisationen standardisierte Vorlagen verwenden, um sämtliche Hardware, Software und Systeme zu sichern. Vorlagen sollten:
- Versuchen Sie, öffentlich verfügbare, herstellerspezifische und/oder Open-Source-Anleitungen zur optimalen Konfiguration von Hardware- und Softwareressourcen zu nutzen.
- Erfüllen Sie die Mindestsicherheitsanforderungen für das Gerät, die Anwendung oder das System, für das sie gelten.
- Arbeiten Sie im Einklang mit den umfassenderen Informationssicherheitsbemühungen der Organisation, einschließlich aller relevanten ISO-Kontrollen.
- Berücksichtigen Sie die individuellen Geschäftsanforderungen der Organisation – insbesondere wenn es um Sicherheitskonfigurationen geht – einschließlich der Frage, wie machbar es ist, eine Vorlage zu einem bestimmten Zeitpunkt anzuwenden oder zu verwalten.
- Lassen Sie sich in angemessenen Abständen überprüfen, um auf System- und/oder Hardware-Updates oder bestehende Sicherheitsbedrohungen vorbereitet zu sein.
Anleitung – Sicherheitskontrollen
Beim Anwenden von Konfigurationsvorlagen oder beim Ändern bestehender Vorlagen gemäß den oben genannten Leitlinien ist die Sicherheit von größter Bedeutung.
Wenn Organisationen Standardvorlagen für die unternehmensweite Verwendung in Betracht ziehen, sollten sie zur Minimierung jeglicher Risiken für die Informationssicherheit Folgendes tun:
- Beschränken Sie die Anzahl der Benutzer mit Administratorrechten auf ein Minimum.
- Deaktivieren Sie alle nicht verwendeten oder unnötigen Identitäten.
- Überwachen Sie den Zugriff auf Wartungsprogramme, Dienstprogramme und interne Einstellungen genau.
- Stellen Sie sicher, dass die Uhren synchronisiert sind, um die Konfiguration korrekt zu protokollieren und bei zukünftigen Untersuchungen zu helfen.
- Ändern Sie sofort alle Standardkennwörter oder Standardsicherheitseinstellungen, die mit einem Gerät, Dienst oder einer Anwendung bereitgestellt werden.
- Implementieren Sie einen Standard-Abmeldezeitraum für alle Geräte, Systeme oder Anwendungen, die für einen bestimmten Zeitraum inaktiv waren.
- Stellen Sie sicher, dass alle Lizenzanforderungen erfüllt sind (siehe Kontrolle 5.32).
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Anleitung – Konfigurationen verwalten und überwachen
Eine Organisation ist dafür verantwortlich, Konfigurationen zu pflegen und zu speichern, einschließlich der Führung eines Audit-Trails aller Änderungen oder Neuinstallationen, im Einklang mit einem veröffentlichten Änderungsmanagementprozess (siehe Kontrolle 8.32).
Protokolle sollten Informationen enthalten, die Folgendes beschreiben:
- Wem gehört der Vermögenswert?
- Ein Zeitstempel für die letzte Konfigurationsänderung.
- Die aktuelle Version der Konfigurationsvorlage.
- Alle relevanten Informationen, die die Beziehung zwischen Assets und Konfigurationen auf anderen Geräten oder Systemen erläutern.
Unternehmen sollten eine breite Palette von Techniken einsetzen, um den Betrieb von Konfigurationsdateien in ihrem Netzwerk zu überwachen, darunter:
- Automatisierung.
- Spezialisierte Konfigurationswartungsprogramme.
- Remote-Support-Tools, die Konfigurationsinformationen automatisch für jedes Gerät ausfüllen.
- Dienstprogramme zur Geräte- und Softwareverwaltung für Unternehmen, die für die gleichzeitige Überwachung großer Mengen an Konfigurationsdaten konzipiert sind.
- BUDR-Software, die Konfigurationen automatisch an einem sicheren Ort sichert und Vorlagen entweder aus der Ferne oder vor Ort auf gefährdeten und/oder nicht funktionierenden Geräten wiederherstellt.
Unternehmen sollten spezielle Software konfigurieren, um alle Änderungen in der Konfiguration eines Geräts zu verfolgen, und geeignete Maßnahmen ergreifen, um die Änderung so schnell wie möglich zu beheben, indem sie entweder die Änderung validieren oder die Konfiguration auf ihren ursprünglichen Zustand zurücksetzen.
Unterstützende Richtlinien
- 5.32
- 8.32
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
Keiner. Control 8.9 hat in ISO 27002:2013 keinen Präzedenzfall, da es neu ist.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
ISMS.Online ist eine Komplettlösung zur ISO 27002-Implementierung.
Dabei handelt es sich um ein webbasiertes System, mit dem Sie anhand durchdachter Prozesse und Verfahren sowie Checklisten nachweisen können, dass Ihr Informationssicherheits-Managementsystem (ISMS) den anerkannten Standards entspricht.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Beratung buchen Angebotsanfrage
