Abschnitt 6.9.6 verstehen: Technisches Schwachstellenmanagement
Technische Schwachstellen, die potenziell Auswirkungen auf personenbezogene Daten und datenschutzrelevante Vermögenswerte haben, lassen sich unabhängig von Budget, Personalbestand oder Fachwissen kaum vollständig beseitigen.
Daher verlangt die ISO von Unternehmen, dass sie mit einem robusten Satz von Schwachstellenmanagement-Kontrollen arbeiten, die sowohl potenzielle technische Schwachstellen identifizieren als auch klare Leitlinien für die Abhilfemaßnahmen bieten, die zur Minderung kommerzieller, betrieblicher oder Reputationsschäden erforderlich sind.
Was in ISO 27701 Abschnitt 6.9.6 behandelt wird
ISO 27001 6.9.6 enthält zwei Unterabschnitte, die sich mit dem Thema Schwachstellenmanagement befassen, aufgeteilt in technisches Management und wie Organisationen Softwareinstallationen berücksichtigen sollten:
- ISO 27701 6.9.6.1 – Management technischer Schwachstellen (ISO 27002 Steuerung 8.8)
- ISO 27701 6.9.6.2 – Einschränkung der Softwareinstallation (ISO 27002 Control 8.19)
Keiner der Unterabschnitte enthält PIMS- oder PII-spezifische Leitlinien, noch gibt es UK Datenschutz Implikationen zu berücksichtigen.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.9.6.1 – Management technischer Schwachstellen
Referenzen ISO 27002-Steuerung 8.8
Organisationen sollten eine aktuelle Liste aller Vermögenswerte (siehe Kontrollen 5.9 und 5.14) erhalten, die Eigentum der Organisation sind und von ihr betrieben werden, einschließlich:
- Herstellername.
- Anwendungsname.
- Versionsnummern.
- Wo die Software bereitgestellt wird.
- Wer ist für den Betrieb dieser Software verantwortlich?
Bei der Identifizierung von Schwachstellen, die möglicherweise Auswirkungen auf personenbezogene Daten und den Schutz der Privatsphäre haben, sollten Unternehmen Folgendes tun:
- Beschreiben Sie das Personal, das für das Schwachstellenmanagement verantwortlich ist, einschließlich:
- Anlagenmanagement.
- Risikoabschätzung.
- Monitoring.
- Aktualisierung.
- Führen Sie ein aktuelles Inventar der Anwendungen und Ressourcen, die zur Identifizierung technischer Schwachstellen verwendet werden.
- Nehmen Sie Kontakt zu Lieferanten und Anbietern auf und bitten Sie sie, bei der Lieferung neuer Systeme und Hardware deutlich auf Schwachstellen hinzuweisen (siehe ISO 27002 Control 5.20).
- Nutzen Sie ein Schwachstellen-Scan-Tool und Patch-Funktionen.
- Führen Sie regelmäßige Penetrationstests durch.
- Analysieren Sie Codebibliotheken und/oder Quellcodes von Drittanbietern auf zugrunde liegende Schwachstellen und/oder Exploits (siehe ISO 27002 Control 8.28).
Öffentliche Aktivitäten
Organisationen sollten Richtlinien und Verfahren (einschließlich automatischer Updates) entwickeln, die Schwachstellen in allen ihren Produkten und Dienstleistungen erkennen, und Schwachstellenbewertungen in Bezug auf die Bereitstellung dieser Produkte und Dienstleistungen erhalten.
ISO empfiehlt Organisationen, öffentliche Anstrengungen zu unternehmen, um etwaige Schwachstellen aufzuspüren – einschließlich der Nutzung strukturierter Kopfgeldprogramme – und Foren und öffentliche Forschungsaktivitäten zu nutzen, um das Bewusstsein für potenzielle Exploits und Sicherheitsprobleme zu schärfen.
Wenn nach einem Sicherheitsvorfall Abhilfemaßnahmen ergriffen wurden, die sich in irgendeiner Weise auf die Kunden (oder deren Wahrnehmung der gespeicherten Daten) auswirken könnten, sollten Unternehmen in Erwägung ziehen, zertifizierte Sicherheitsspezialisten einzuschalten, um Informationen über Angriffsmethoden zu verbreiten.
Bewertung von Schwachstellen
Während des gesamten Prozesses der Schwachstellenbewertung sollten Organisationen:
- Analysieren Sie alle Berichte und entscheiden Sie, welche Maßnahmen ergriffen werden müssen, einschließlich etwaiger Aktualisierungen oder der Entfernung betroffener Systeme und/oder Hardware.
- Vereinbaren Sie eine Lösung, die andere ISO-Kontrollen berücksichtigt.
Gegenmaßnahmen gegen Software-Schwachstellen
Bei der Behebung von Schwachstellen nach deren Identifizierung sollten Organisationen Folgendes tun:
- Beheben Sie alle Schwachstellen zeitnah und effizient.
- Halten Sie sich an organisatorische Verfahren zum Änderungsmanagement (siehe ISO 27002-Kontrolle 8.32) und zur Reaktion auf Vorfälle (siehe ISO 27002-Kontrolle 5.26), um einen einheitlichen Ansatz sicherzustellen.
- Beschränken Sie Updates und Patches auf vertrauenswürdige Quellen.
- Testen Sie Updates vor der Implementierung.
- Identifizieren Sie risikoreiche und geschäftskritische Systeme als Priorität bei der Planung von Abhilfemaßnahmen.
Wenn keine Aktualisierung erfolgt und Abhilfemaßnahmen durch externe Faktoren verhindert werden, sollten Organisationen:
- Beraten Sie sich mit den Anbietern zu Problemumgehungen.
- Deaktivieren Sie einen oder alle betroffenen Netzwerkdienste.
- Implementieren Sie Netzwerksicherheitskontrollen, einschließlich Verkehrsregeln und Inhaltsfilterung.
- Erhöhen Sie die Häufigkeit und Dauer der Überwachungsbemühungen auf betroffenen Systemen.
- Verteilen Sie Informationen über die Schwachstelle und stellen Sie sicher, dass alle betroffenen Parteien informiert werden – einschließlich Lieferanten und Kunden.
Relevante ISO 27002-Kontrollen
- ISO 27002 5.14
- ISO 27002 5.20
- ISO 27002 5.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.28
Ergänzende Anleitung
Über alle relevanten Schwachstellenmanagementaktivitäten sollte ein Prüfpfad geführt werden, und der Schwachstellenmanagementprozess der Organisation sollte überprüft werden, um sicherzustellen, dass er sowohl seinen Zweck erfüllt als auch den wachsenden Anforderungen der Organisation gerecht wird.
Wenn es um cloudbasierte Software geht, sollte die Organisation sicherstellen, dass die Haltung des Dienstanbieters zum Schwachstellenmanagement mit ihrer eigenen übereinstimmt. Organisationen sollten eine schriftliche Bestätigung aller Verantwortlichkeiten durch eine verbindliche Servicevereinbarung anstreben (siehe ISO 27002 Control 5.32).
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.9.6.2 – Einschränkung der Softwareinstallation
Referenzen ISO 27002-Steuerung 8.19
Um die Verfügbarkeit und Integrität personenbezogener Daten zu schützen und Änderungen zu verwalten, sollten Organisationen:
- Stellen Sie sicher, dass Softwareaktualisierungen von kompetentem Personal durchgeführt werden (siehe Kontrollkontrolle 8.5).
- Stellen Sie sicher, dass der Code die Entwicklungsphase sicher verlassen hat und frei von Fehlern ist.
- Testen Sie die gesamte Software vor dem Update oder der Installation, um sicherzustellen, dass keine Konflikte oder Fehler auftreten.
- Halten Sie ein Software-Bibliothekssystem auf dem neuesten Stand.
- Pflegen Sie ein „Konfigurationskontrollsystem“ zur Verwaltung der Betriebssoftware.
- Entwerfen Sie eine „Rollback-Strategie“, die Systeme in einen zuvor funktionierenden Zustand zurückversetzt, um die Geschäftskontinuität sicherzustellen.
- Führen Sie ein gründliches Protokoll aller durchgeführten Aktualisierungen.
- Stellen Sie sicher, dass ungenutzte Softwareanwendungen – und das gesamte zugehörige Material – zur weiteren Verwendung und Analyse sicher gespeichert werden.
- Arbeiten Sie mit einer Softwareeinschränkungsrichtlinie, die in Übereinstimmung mit den verschiedenen Rollen und Verantwortlichkeiten der Organisation ausgeführt wird.
Bei der Verwendung von Software eines Anbieters müssen die Anwendungen in einwandfreiem Zustand und in Übereinstimmung mit den Richtlinien des Herausgebers gehalten werden.
Die ISO stellt ausdrücklich klar, dass Unternehmen den Einsatz nicht unterstützter Software vermeiden sollten wenn nicht unbedingt notwendig. Unternehmen sollten versuchen, bestehende Systeme zu aktualisieren, anstatt veraltete oder nicht unterstützte Legacy-Anwendungen zu verwenden.
Ein Anbieter benötigt möglicherweise Zugriff auf das Netzwerk einer Organisation, um eine Installation oder ein Update durchzuführen. Solche Aktivitäten sollten jederzeit genehmigt und überwacht werden (siehe ISO 27002 Control 5.22).
Ergänzende Anleitung
- Organisationen sollten Software gemäß ihren veröffentlichten Änderungsmanagementverfahren aktualisieren, patchen und installieren.
- Patches, die Sicherheitslücken beseitigen oder den Datenschutz des Unternehmens auf andere Weise verbessern, sollten immer als vorrangige Änderung betrachtet werden.
- Organisationen sollten bei der Verwendung von Open-Source-Software große Sorgfalt walten lassen und die neueste öffentlich verfügbare Version ermitteln, um sicherzustellen, dass die Sicherheitsanforderungen in vollem Umfang erfüllt werden.
Relevante ISO 27002-Kontrollen
- ISO 27002 5.22
- ISO 27002 8.5
Unterstützende Kontrollen gemäß ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.9.6.1 | Management technischer Schwachstellen |
8.8 – Management technischer Schwachstellen für ISO 27002 |
Non |
| 6.9.6.2 | Einschränkung der Softwareinstallation |
8.19 – Installation von Software auf Betriebssystemen für ISO 27002 |
Non |
Wie ISMS.online hilft
Mit der ISMS.online-Plattform können Sie ein PIMS integrieren, um sicherzustellen, dass Ihr Sicherheitsstatus an einem Ort ist und Duplizierungen bei sich überschneidenden Standards vermieden werden.
Es war noch nie so einfach, sowohl ISO 27001 als auch ISO 27701 zu überwachen, zu berichten und zu prüfen, da Ihr PIMS für interessierte Parteien sofort zugänglich ist.
Finden Sie heraus, wie viel Sie sparen Zeit und Geld auf Ihrer Reise zu einer kombinierten ISO 27001- und 27701-Zertifizierung mit ISMS.online.
