ISO 27001:2022
Konformität sicherstellen

Im Jahr 2022 hat die ISO die Zukunft des bekannten ISO 27001-Rahmenwerks überarbeitet. Bekannt als ISO 27001:2022, beinhalten die Aktualisierungen neue Controls für Informationssicherheit - einschließlich Data Leakage Prevention. Konforme Organisationen haben eine Frist bis zum 31. Oktober 2025 erhalten, um die neuen Anforderungen zu übernehmen.

Endpoint Protector von CoSoSys kann Unternehmen dabei helfen, viele der neuen Kontrollen im Rahmen von ISO 27001:2022 zu erfüllen; insbesondere den Bedarf, Daten vor unbefugter Weitergabe und Exfiltration zu schützen, sowie die Anforderung an zusätzliche Kontrollen an Mitarbeiter-Endpunkten.

Von DLP angesprochene ISO 27001:2022-Kontrollen

Ist DLP neu in ISO 27001:2022?

Der Bedarf, Daten vor Verlust zu schützen, war schon immer in ISO 27001 enthalten, aber die neueste Überarbeitung geht weiter, indem sie ihn zu einer expliziten Anforderung macht, mit zwei für die Zertifizierung erforderlichen Kontrolltypen:

1. Präventiv (Schützen): Kontrollen, um ein Datenverlustereignis zu verhindern; dies kann das Scannen nach sensiblen Daten im Ruhezustand (latentes Risiko), das Echtzeit-Blockieren von unbefugter Datentransfers oder die Fähigkeit, Angriffe/Exfiltrationsversuche zu identifizieren, umfassen.
2. Detektivisch (Erkennen):Organisationen müssen in der Lage sein, Datenverlustvorfälle zu identifizieren und über die notwendigen Werkzeuge zur Untersuchung derselben verfügen.

Die in Anhang A aufgeführten Controls leiten sich direkt von ISO 27002:2022 ab. Während ISO 27001:2022 die Anforderungen für die Zertifizierung festlegt, bietet ISO 27002 tatsächlich Best Practices und Kontrollziele in direktem Bezug zu wichtigen Cybersicherheitsaspekten; einschließlich Zugriffskontrolle, Kryptographie, Sicherheit der Humanressourcen und Vorfallreaktion. Die Norm dient als praktischer Leitfaden für Organisationen, die ihre Informationsvermögen effektiv schützen wollen.

ISO 27002:2022 | 8.12 Datenverlustprävention

Maßnahmen zur Verhinderung von Datenlecks sollten auf Systeme, Netzwerke und alle anderen Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übermitteln.

Sicherheitsrahmenwerke wie ISO 27001:2022 oder ISO 27002:2002 definieren selten einen genauen Technologietyp, um die Kontrollanforderung zu erfüllen. Dies ermöglicht es dem Unternehmen, eine Lösung auf Basis ihrer eigenen Umstände zu implementieren.

Es kann jedoch angenommen werden, dass der wahrscheinlichste Technologietyp zur Erfüllung von (8.12) Datenverlustprävention eine DLP-Lösung wie Endpoint Protector von CoSoSys ist. DLP-Lösungen bieten einen Satz von Werkzeugen, um die unbefugte Weitergabe und Exfiltration sensibler Daten zu erkennen und zu verhindern, um sicherzustellen, dass sie unter der Kontrolle des Unternehmens bleiben.

DLP-Lösungen können auf verschiedene Weise implementiert werden, wie z. B. netzwerkbasiert, endpunktbasier oder cloudbasiert, und können zum Schutz einer Vielzahl von Datentypen verwendet werden, einschließlich Text, Zahlen und Binärdaten.

Beachten Sie, dass (8.12) Datenverlustprävention eine Bestimmung für „Geräte“ wie Mitarbeiter-Endpunkte umfasst. Dies liegt daran, dass unabhängig davon, wo die Daten gespeichert sind (zum Beispiel in einem Cloud-Dateispeicher), mehr als 70% der Datenverlustvorfälle ihren Ursprung am Endpunkt haben. Dies geschieht typischerweise, wenn Mitarbeiter Dateien und Daten über E-Mail oder Messaging-Apps wie Slack und Microsoft Teams teilen, über einen Browser in eine private oder Drittanbieter-Cloud-Ressource hochladen, drucken oder Daten auf Wechseldatenträger übertragen. Um diese Kontrolle zu erfüllen, ist es wahrscheinlich, dass eine Kombination von DLP-Maßnahmen implementiert werden muss, am wichtigsten ist dies am Endpunkt.

ISO 27002:2022 | 8.1 Benutzer-Endgeräte

Informationen, die auf Benutzer-Endgeräten gespeichert, verarbeitet oder zugänglich sind, sollten geschützt werden.

Unter Benutzer-Endgeräten versteht man die Ausrüstung oder Geräte, die von Personen verwendet werden, um auf ein Netzwerk oder System zuzugreifen und damit zu interagieren - am wichtigsten sind die Laptops oder Desktop-PCs. Die Anforderungen für diese Kontrolle sind umfangreich und können Zugangskontrolle, Datenverschlüsselung, Geräteverwaltung und Antivirus umfassen. Die Kontrolle ist jedoch auch eng mit 8.12 verbunden, da Mitarbeiter-Endpunkte ebenfalls ein Schlüsselpunkt für die Datenexfiltration sind. Dies bedeutet, dass der Einsatz von Endpoint Protector einen gewissen Grad an Übereinstimmung mit beiden Kontrollen sicherstellt.

Es wird empfohlen, dass der Schutz von Endbenutzer-Laptops und -Desktops eine Gerätekontrollstrategie umfasst, um einzuschränken, welche Arten von Hardware angeschlossen werden können. Dies kann beispielsweise die Einschränkung des Zugriffs auf abnehmbare USB-Speicher, Bluetooth-Verbindungen und lokale Drucker beinhalten.

Verwaltung der ISO 27001:2002 DLP-Anforderungen mit Endpoint Protector

Anpassung von Endpoint Protector an Ihre Bedürfnisse

Denken Sie daran, dass aufgrund ihres Umfangs keine einzige Lösung alle Anforderungen von ISO 27001:2022 erfüllen wird. Stattdessen sollten Organisationen darauf abzielen, mehrere Technologien und Prozesse zu kombinieren, um ihre festgelegten Ziele zu erreichen.

Organisationen sollten auch die Sensibilität der zu verarbeitenden, zu speichernden oder zu übertragenden Informationen verstehen und eine gründliche Bewertung von Endpoint Protector durchführen, um sicherzustellen, dass es ihren einzigartigen Compliance-Anforderungen entspricht. Unternehmen sind allein verantwortlich für die Bestimmung der Angemessenheit der Verwendung von Endpoint Protector von CoSoSys zur Erreichung ihrer ISO 27001:2022-Zertifizierung.