ISO 27002, Control 8.9, Konfigurationsmanagement

ISO 27002:2022 – Kontrolle 8.9 – Konfigurationsmanagement

ISO 27002 Control 8.9 (Konfigurationsmanagement) unterstreicht die Notwendigkeit für Organisationen, Richtlinien zu erstellen und durchzusetzen, um Systemkonfigurationen sicher zu verwalten, die Betriebsintegrität zu gewährleisten und Sicherheitsrisiken zu reduzieren. Der Schwerpunkt liegt auf Standardisierung, Überwachung und kontrolliertem Zugriff, um unbefugte Änderungen zu verhindern.

Zweck der Kontrolle 8.9

Konfigurationen – ob als einzelne Konfigurationsdatei oder als Gruppe miteinander verknüpfter Konfigurationen – sind die zugrunde liegenden Parameter, die bestimmen, wie Hardware, Software und sogar ganze Netzwerke verwaltet werden.

Beispielsweise enthält die Konfigurationsdatei einer Firewall die Basisattribute, die das Gerät verwendet, um den Datenverkehr zum und vom Netzwerk einer Organisation zu verwalten, einschließlich Sperrlisten, Portweiterleitung, virtuelle LANs und VPN-Informationen.

Das Konfigurationsmanagement ist ein integraler Bestandteil des umfassenderen Asset-Management-Vorgangs einer Organisation. Konfigurationen sind von entscheidender Bedeutung, um nicht nur sicherzustellen, dass ein Netzwerk ordnungsgemäß funktioniert, sondern auch, um Geräte vor unbefugten Änderungen oder falschen Ergänzungen seitens des Wartungspersonals und/oder der Anbieter zu schützen.

Attributtabelle der Steuerung 8.9

Kontrolle 8.9 ist ein präventiv Kontrolliere das hält das Risiko aufrecht durch die Festlegung einer Reihe von Richtlinien, die regeln, wie eine Organisation die Verwendung von Konfigurationen in ihrem gesamten Netzwerk dokumentiert, implementiert, überwacht und überprüft.

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Schützen	#Sichere Konfiguration	#Schutz
	#Integrität
	#Verfügbarkeit

Eigentum an der Kontrolle 8.9

Bei der Konfigurationsverwaltung handelt es sich lediglich um eine Verwaltungsaufgabe, die sich mit der Pflege und Überwachung anlagenseitiger Informationen und Daten befasst, die auf einer Vielzahl von Geräten und Anwendungen gespeichert sind. Daher sollte die Verantwortung beim IT-Leiter oder einer gleichwertigen Organisation liegen.

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo

Allgemeine Richtlinien zur Compliance

Im Großen und Ganzen besteht für die Organisation die Notwendigkeit, Richtlinien für das Konfigurationsmanagement sowohl für neue als auch für bereits verwendete Systeme und Hardware zu entwerfen und umzusetzen. Interne Kontrollen sollten geschäftskritische Elemente wie Sicherheitskonfigurationen, die gesamte Hardware, die eine Konfigurationsdatei enthält, und alle relevanten Softwareanwendungen oder -systeme umfassen.

Control 8.9 fordert Organisationen dazu auf, bei der Implementierung einer Konfigurationsrichtlinie alle relevanten Rollen und Verantwortlichkeiten zu berücksichtigen, einschließlich der delegierten Eigentümerschaft von Konfigurationen auf Geräte-für-Gerät- oder Anwendung-für-Anwendung-Basis.

Leitfaden – Standardvorlagen

Wo möglich sollten Organisationen standardisierte Vorlagen verwenden, um sämtliche Hardware, Software und Systeme zu sichern. Vorlagen sollten:

Versuchen Sie, öffentlich verfügbare, herstellerspezifische und/oder Open-Source-Anleitungen zur optimalen Konfiguration von Hardware- und Softwareressourcen zu nutzen.
Erfüllen Sie die Mindestsicherheitsanforderungen für das Gerät, die Anwendung oder das System, für das sie gelten.
Arbeiten Sie im Einklang mit den umfassenderen Informationssicherheitsbemühungen der Organisation, einschließlich aller relevanten ISO-Kontrollen.
Berücksichtigen Sie die individuellen Geschäftsanforderungen der Organisation – insbesondere wenn es um Sicherheitskonfigurationen geht – einschließlich der Frage, wie machbar es ist, eine Vorlage zu einem bestimmten Zeitpunkt anzuwenden oder zu verwalten.
Lassen Sie sich in angemessenen Abständen überprüfen, um auf System- und/oder Hardware-Updates oder bestehende Sicherheitsbedrohungen vorbereitet zu sein.

Anleitung – Sicherheitskontrollen

Beim Anwenden von Konfigurationsvorlagen oder beim Ändern bestehender Vorlagen gemäß den oben genannten Leitlinien ist die Sicherheit von größter Bedeutung.

Wenn Organisationen Standardvorlagen für die unternehmensweite Verwendung in Betracht ziehen, sollten sie zur Minimierung jeglicher Risiken für die Informationssicherheit Folgendes tun:

Beschränken Sie die Anzahl der Benutzer mit Administratorrechten auf ein Minimum.
Deaktivieren Sie alle nicht verwendeten oder unnötigen Identitäten.
Überwachen Sie den Zugriff auf Wartungsprogramme, Dienstprogramme und interne Einstellungen genau.
Stellen Sie sicher, dass die Uhren synchronisiert sind, um die Konfiguration korrekt zu protokollieren und bei zukünftigen Untersuchungen zu helfen.
Ändern Sie sofort alle Standardkennwörter oder Standardsicherheitseinstellungen, die mit einem Gerät, Dienst oder einer Anwendung bereitgestellt werden.
Implementieren Sie einen Standard-Abmeldezeitraum für alle Geräte, Systeme oder Anwendungen, die für einen bestimmten Zeitraum inaktiv waren.
Stellen Sie sicher, dass alle Lizenzanforderungen erfüllt sind (siehe Kontrolle 5.32).

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

Anleitung – Konfigurationen verwalten und überwachen

Eine Organisation ist dafür verantwortlich, Konfigurationen zu pflegen und zu speichern, einschließlich der Führung eines Audit-Trails aller Änderungen oder Neuinstallationen, im Einklang mit einem veröffentlichten Änderungsmanagementprozess (siehe Kontrolle 8.32).

Protokolle sollten Informationen enthalten, die Folgendes beschreiben:

Wem gehört der Vermögenswert?
Ein Zeitstempel für die letzte Konfigurationsänderung.
Die aktuelle Version der Konfigurationsvorlage.
Alle relevanten Informationen, die die Beziehung zwischen Assets und Konfigurationen auf anderen Geräten oder Systemen erläutern.

Unternehmen sollten eine breite Palette von Techniken einsetzen, um den Betrieb von Konfigurationsdateien in ihrem Netzwerk zu überwachen, darunter:

Automatisierung.
Spezialisierte Konfigurationswartungsprogramme.
Remote-Support-Tools, die Konfigurationsinformationen automatisch für jedes Gerät ausfüllen.
Dienstprogramme zur Geräte- und Softwareverwaltung für Unternehmen, die für die gleichzeitige Überwachung großer Mengen an Konfigurationsdaten konzipiert sind.
BUDR-Software, die Konfigurationen automatisch an einem sicheren Ort sichert und Vorlagen entweder aus der Ferne oder vor Ort auf gefährdeten und/oder nicht funktionierenden Geräten wiederherstellt.

Unternehmen sollten spezielle Software konfigurieren, um alle Änderungen in der Konfiguration eines Geräts zu verfolgen, und geeignete Maßnahmen ergreifen, um die Änderung so schnell wie möglich zu beheben, indem sie entweder die Änderung validieren oder die Konfiguration auf ihren ursprünglichen Zustand zurücksetzen.

Unterstützende Richtlinien

5.32
8.32

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

Änderungen und Unterschiede zu ISO 27002:2013

Keiner. Control 8.9 hat in ISO 27002:2013 keinen Präzedenzfall, da es neu ist.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	5.30	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Rekrutierung
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISMS.Online ist eine Komplettlösung zur ISO 27002-Implementierung.

Dabei handelt es sich um ein webbasiertes System, mit dem Sie anhand durchdachter Prozesse und Verfahren sowie Checklisten nachweisen können, dass Ihr Informationssicherheits-Managementsystem (ISMS) den anerkannten Standards entspricht.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Toby Cane

Partner Customer Success Manager

Toby Cane ist Senior Partner Success Manager bei ISMS.online. Er arbeitet seit fast vier Jahren für das Unternehmen und hat dort verschiedene Aufgaben wahrgenommen, unter anderem als Moderator von Webinaren. Vor seiner Tätigkeit im SaaS-Bereich war Toby Sekundarschullehrer.

Wir sind führend auf unserem Gebiet