ISO 27002:2022, Control 8.9 – Konfigurationsmanagement

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

Glas,Gebäude,mit,bewölkt,blau,Himmel,Hintergrund

Zweck der Kontrolle 8.9

Konfigurationen – ob als einzelne Konfigurationsdatei oder als Gruppe miteinander verknüpfter Konfigurationen – sind die zugrunde liegenden Parameter, die bestimmen, wie Hardware, Software und sogar ganze Netzwerke verwaltet werden.

Beispielsweise enthält die Konfigurationsdatei einer Firewall die Basisattribute, die das Gerät verwendet, um den Datenverkehr zum und vom Netzwerk einer Organisation zu verwalten, einschließlich Sperrlisten, Portweiterleitung, virtuelle LANs und VPN-Informationen.

Das Konfigurationsmanagement ist ein integraler Bestandteil des umfassenderen Asset-Management-Vorgangs einer Organisation. Konfigurationen sind von entscheidender Bedeutung, um nicht nur sicherzustellen, dass ein Netzwerk ordnungsgemäß funktioniert, sondern auch, um Geräte vor unbefugten Änderungen oder falschen Ergänzungen seitens des Wartungspersonals und/oder der Anbieter zu schützen.

Attributtabelle

Kontrolle 8.9 ist ein präventiv Kontrolliere das hält das Risiko aufrecht durch die Festlegung einer Reihe von Richtlinien, die regeln, wie eine Organisation die Verwendung von Konfigurationen in ihrem gesamten Netzwerk dokumentiert, implementiert, überwacht und überprüft.

Eigentum an der Kontrolle 8.9

Bei der Konfigurationsverwaltung handelt es sich lediglich um eine Verwaltungsaufgabe, die sich mit der Pflege und Überwachung anlagenseitiger Informationen und Daten befasst, die auf einer Vielzahl von Geräten und Anwendungen gespeichert sind. Daher sollte die Verantwortung beim IT-Leiter oder einer gleichwertigen Organisation liegen.

Steuerungstyp Eigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Schützen#Sichere Konfiguration#Schutz
Zum Thema springen
Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Allgemeine Richtlinien zur Compliance

Im Großen und Ganzen besteht für die Organisation die Notwendigkeit, Richtlinien für das Konfigurationsmanagement sowohl für neue als auch für bereits verwendete Systeme und Hardware zu entwerfen und umzusetzen. Interne Kontrollen sollten geschäftskritische Elemente wie Sicherheitskonfigurationen, die gesamte Hardware, die eine Konfigurationsdatei enthält, und alle relevanten Softwareanwendungen oder -systeme umfassen.

Control 8.9 fordert Organisationen dazu auf, bei der Implementierung einer Konfigurationsrichtlinie alle relevanten Rollen und Verantwortlichkeiten zu berücksichtigen, einschließlich der delegierten Eigentümerschaft von Konfigurationen auf Geräte-für-Gerät- oder Anwendung-für-Anwendung-Basis.

Leitfaden – Standardvorlagen

Wo möglich sollten Organisationen standardisierte Vorlagen verwenden, um sämtliche Hardware, Software und Systeme zu sichern. Vorlagen sollten:

  1. Versuchen Sie, öffentlich verfügbare, herstellerspezifische und/oder Open-Source-Anleitungen zur optimalen Konfiguration von Hardware- und Softwareressourcen zu nutzen.

  2. Erfüllen Sie die Mindestsicherheitsanforderungen für das Gerät, die Anwendung oder das System, für das sie gelten.

  3. Arbeiten Sie im Einklang mit den umfassenderen Informationssicherheitsbemühungen der Organisation, einschließlich aller relevanten ISO-Kontrollen.

  4. Berücksichtigen Sie die individuellen Geschäftsanforderungen der Organisation – insbesondere wenn es um Sicherheitskonfigurationen geht – einschließlich der Frage, wie machbar es ist, eine Vorlage zu einem bestimmten Zeitpunkt anzuwenden oder zu verwalten.

  5. Lassen Sie sich in angemessenen Abständen überprüfen, um auf System- und/oder Hardware-Updates oder bestehende Sicherheitsbedrohungen vorbereitet zu sein.

Anleitung – Sicherheitskontrollen

Beim Anwenden von Konfigurationsvorlagen oder beim Ändern bestehender Vorlagen gemäß den oben genannten Leitlinien ist die Sicherheit von größter Bedeutung.

Wenn Organisationen Standardvorlagen für die unternehmensweite Verwendung in Betracht ziehen, sollten sie zur Minimierung jeglicher Risiken für die Informationssicherheit Folgendes tun:

  1. Beschränken Sie die Anzahl der Benutzer mit Administratorrechten auf ein Minimum.

  2. Deaktivieren Sie alle nicht verwendeten oder unnötigen Identitäten.

  3. Überwachen Sie den Zugriff auf Wartungsprogramme, Dienstprogramme und interne Einstellungen genau.

  4. Stellen Sie sicher, dass die Uhren synchronisiert sind, um die Konfiguration korrekt zu protokollieren und bei zukünftigen Untersuchungen zu helfen.

  5. Ändern Sie sofort alle Standardkennwörter oder Standardsicherheitseinstellungen, die mit einem Gerät, Dienst oder einer Anwendung bereitgestellt werden.

  6. Implementieren Sie einen Standard-Abmeldezeitraum für alle Geräte, Systeme oder Anwendungen, die für einen bestimmten Zeitraum inaktiv waren.

  7. Stellen Sie sicher, dass alle Lizenzanforderungen erfüllt sind (siehe Kontrolle 5.32).

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Anleitung – Konfigurationen verwalten und überwachen

Eine Organisation ist dafür verantwortlich, Konfigurationen zu pflegen und zu speichern, einschließlich der Führung eines Audit-Trails aller Änderungen oder Neuinstallationen, im Einklang mit einem veröffentlichten Änderungsmanagementprozess (siehe Kontrolle 8.32).

Protokolle sollten Informationen enthalten, die Folgendes beschreiben:

  1. Wem gehört der Vermögenswert?

  2. Ein Zeitstempel für die letzte Konfigurationsänderung.

  3. Die aktuelle Version der Konfigurationsvorlage.

  4. Alle relevanten Informationen, die die Beziehung zwischen Assets und Konfigurationen auf anderen Geräten oder Systemen erläutern.

Unternehmen sollten eine breite Palette von Techniken einsetzen, um den Betrieb von Konfigurationsdateien in ihrem Netzwerk zu überwachen, darunter:

  1. Automatisierung.

  2. Spezialisierte Konfigurationswartungsprogramme.

  3. Remote-Support-Tools, die Konfigurationsinformationen automatisch für jedes Gerät ausfüllen.

  4. Dienstprogramme zur Geräte- und Softwareverwaltung für Unternehmen, die für die gleichzeitige Überwachung großer Mengen an Konfigurationsdaten konzipiert sind.

  5. BUDR-Software, die Konfigurationen automatisch an einem sicheren Ort sichert und Vorlagen entweder aus der Ferne oder vor Ort auf gefährdeten und/oder nicht funktionierenden Geräten wiederherstellt.

Unternehmen sollten spezielle Software konfigurieren, um alle Änderungen in der Konfiguration eines Geräts zu verfolgen, und geeignete Maßnahmen ergreifen, um die Änderung so schnell wie möglich zu beheben, indem sie entweder die Änderung validieren oder die Konfiguration auf ihren ursprünglichen Zustand zurücksetzen.

Unterstützende Richtlinien

  • 5.32
  • 8.32

Änderungen und Unterschiede zu ISO 27002:2013

Keiner. Control 8.9 hat in ISO 27002:2013 keinen Präzedenzfall, da es neu ist.

Wie ISMS.online hilft

ISMS.Online ist eine Komplettlösung zur ISO 27002-Implementierung.

Dabei handelt es sich um ein webbasiertes System, mit dem Sie anhand durchdachter Prozesse und Verfahren sowie Checklisten nachweisen können, dass Ihr Informationssicherheits-Managementsystem (ISMS) den anerkannten Standards entspricht.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren