Konfigurationen – ob als einzelne Konfigurationsdatei oder als Gruppe miteinander verknüpfter Konfigurationen – sind die zugrunde liegenden Parameter, die bestimmen, wie Hardware, Software und sogar ganze Netzwerke verwaltet werden.
Beispielsweise enthält die Konfigurationsdatei einer Firewall die Basisattribute, die das Gerät verwendet, um den Datenverkehr zum und vom Netzwerk einer Organisation zu verwalten, einschließlich Sperrlisten, Portweiterleitung, virtuelle LANs und VPN-Informationen.
Das Konfigurationsmanagement ist ein integraler Bestandteil des umfassenderen Asset-Management-Vorgangs einer Organisation. Konfigurationen sind von entscheidender Bedeutung, um nicht nur sicherzustellen, dass ein Netzwerk ordnungsgemäß funktioniert, sondern auch, um Geräte vor unbefugten Änderungen oder falschen Ergänzungen seitens des Wartungspersonals und/oder der Anbieter zu schützen.
Kontrolle 8.9 ist ein präventiv Kontrolliere das hält das Risiko aufrecht durch die Festlegung einer Reihe von Richtlinien, die regeln, wie eine Organisation die Verwendung von Konfigurationen in ihrem gesamten Netzwerk dokumentiert, implementiert, überwacht und überprüft.
Bei der Konfigurationsverwaltung handelt es sich lediglich um eine Verwaltungsaufgabe, die sich mit der Pflege und Überwachung anlagenseitiger Informationen und Daten befasst, die auf einer Vielzahl von Geräten und Anwendungen gespeichert sind. Daher sollte die Verantwortung beim IT-Leiter oder einer gleichwertigen Organisation liegen.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Sichere Konfiguration | #Schutz |
Im Großen und Ganzen besteht für die Organisation die Notwendigkeit, Richtlinien für das Konfigurationsmanagement sowohl für neue als auch für bereits verwendete Systeme und Hardware zu entwerfen und umzusetzen. Interne Kontrollen sollten geschäftskritische Elemente wie Sicherheitskonfigurationen, die gesamte Hardware, die eine Konfigurationsdatei enthält, und alle relevanten Softwareanwendungen oder -systeme umfassen.
Control 8.9 fordert Organisationen dazu auf, bei der Implementierung einer Konfigurationsrichtlinie alle relevanten Rollen und Verantwortlichkeiten zu berücksichtigen, einschließlich der delegierten Eigentümerschaft von Konfigurationen auf Geräte-für-Gerät- oder Anwendung-für-Anwendung-Basis.
Wo möglich sollten Organisationen standardisierte Vorlagen verwenden, um sämtliche Hardware, Software und Systeme zu sichern. Vorlagen sollten:
Beim Anwenden von Konfigurationsvorlagen oder beim Ändern bestehender Vorlagen gemäß den oben genannten Leitlinien ist die Sicherheit von größter Bedeutung.
Wenn Organisationen Standardvorlagen für die unternehmensweite Verwendung in Betracht ziehen, sollten sie zur Minimierung jeglicher Risiken für die Informationssicherheit Folgendes tun:
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Eine Organisation ist dafür verantwortlich, Konfigurationen zu pflegen und zu speichern, einschließlich der Führung eines Audit-Trails aller Änderungen oder Neuinstallationen, im Einklang mit einem veröffentlichten Änderungsmanagementprozess (siehe Kontrolle 8.32).
Protokolle sollten Informationen enthalten, die Folgendes beschreiben:
Unternehmen sollten eine breite Palette von Techniken einsetzen, um den Betrieb von Konfigurationsdateien in ihrem Netzwerk zu überwachen, darunter:
Unternehmen sollten spezielle Software konfigurieren, um alle Änderungen in der Konfiguration eines Geräts zu verfolgen, und geeignete Maßnahmen ergreifen, um die Änderung so schnell wie möglich zu beheben, indem sie entweder die Änderung validieren oder die Konfiguration auf ihren ursprünglichen Zustand zurücksetzen.
Keiner. Control 8.9 hat in ISO 27002:2013 keinen Präzedenzfall, da es neu ist.
ISMS.Online ist eine Komplettlösung zur ISO 27002-Implementierung.
Dabei handelt es sich um ein webbasiertes System, mit dem Sie anhand durchdachter Prozesse und Verfahren sowie Checklisten nachweisen können, dass Ihr Informationssicherheits-Managementsystem (ISMS) den anerkannten Standards entspricht.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neue | Bedrohungsinformationen |
5.23 | Neue | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neue | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neue | Physische Sicherheitsüberwachung |
8.9 | Neue | Konfigurationsmanagement |
8.10 | Neue | Löschung von Informationen |
8.11 | Neue | Datenmaskierung |
8.12 | Neue | Verhinderung von Datenlecks |
8.16 | Neue | Überwachungsaktivitäten |
8.23 | Neue | Web-Filter |
8.28 | Neue | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Schirmungsmaß |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neue | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |