Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Compliance Brief: ISO 27001- und 27002-Normen

Die Internationale Organisation für Normung (International Standards Organization, ISO) ist die weltweit größte Vereinigung zur Erarbeitung von Standards. Zu ihren Mitgliedern gehören die nationalen Normungsgremien überall auf der Welt, einschließlich...
Michael Buckbee
6 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Inhalt

    Hintergrund

    Die Internationale Organisation für Normung (International Standards Organization, ISO) ist die weltweit größte Vereinigung zur Erarbeitung von Standards. Zu ihren Mitgliedern gehören die nationalen Normungsgremien überall auf der Welt, einschließlich Nord- und Südamerika, Europa und Asien. Die Normen werden von technischen Sachverständigenausschüssen entwickelt und vor der Veröffentlichung eingehenden Untersuchungen und Prüfungen unterzogen. Die internationale Norm ISO 27001 ist das Ergebnis derartiger Bemühungen und stellt eine Aktualisierung und Ausweitung des britischen Standards BS 7799-2 dar. ISO 27001 will ein „Modell zur Bestimmung, Implementierung, Betrieb, Überwachung, Prüfung, Pflege und Verbesserung von Managementsystemen für Informationssicherheit (ISMS) bieten“. ISO 27002 erläutert darüber hinaus auch Kontrollen für die Informationssicherheit und definiert in großem Umfang die Komponenten, die ein ISMS ausmachen. Die einst separaten Normen ISO 27001 und 27002 werden mittlerweile als ergänzend angesehen. Unternehmen könnten die kombinierten Anweisungen dazu nutzen, ein ISMS aufzubauen, das den Größen- und Risikotoleranzen der Organisation entspricht. Letztendlich zertifizieren Unternehmen, die den ISO 27000 Leitfaden implementieren, ihre ISMS anschließend gemäß ISO 27001.

    An wen richtet sich die ISO 27001?

    Alle Organisationen, Unternehmen, Regierungsgruppen, akademischen Einrichtungen und gemeinnützige Unternehmen, die an der Implementierung eines Rahmenwerks für den langfristigen Schutz ihrer Informationswerte interessiert sind, können die Anweisungen und Zertifizierungsanforderungen der ISO 27000 Norm anwenden. Vor allem werden Unternehmen die ISO 27001 für Folgendes heranziehen:

    • Formulierung von Sicherheitsanforderungen und -zielen
    • Sicherstellen, dass Sicherheitsrisiken kostenwirksam verwaltet werden
    • Einhaltung der Gesetze und Regelungen
    • Sicherstellen, dass spezielle Sicherheitsziele der Organisationen erfüllt werden
    • Implementierung neuer Verwaltungsprozesse zur Informationssicherheit
    • Bestimmung des Grads der Compliance mit Richtlinien, Direktiven und Normen, die von einer Organisation übernommen wurden
    • Bereitstellung relevanter Informationen über Richtlinien, Direktiven, Normen und Verfahren zur Informationssicherheit an Kunden und Geschäftspartner sowie an andere Organisationen, mit denen diese zusammenarbeiten
    • Implementierung von geschäftsförderlicher Informationssicherheit

    ISO 27001 – Darstellung der Funktionen und Anforderungen

    Varonis bietet ein umfangreiches System zur Erfüllung der Kontrollen des Informationsschutzes, die für unstrukturierte und semi-strukturierte Daten gelten, d. h. den Inhalt von Dateiservern und SharePoint-Servern. Die Lösungen von Varonis sorgen insbesondere dafür, dass der Zugriff und die Nutzung von sensiblen und wichtigen personenbezogenen Daten auf diesen Servern automatisch auf den tatsächlichen Nutzungsbedarf eingeschränkt werden, und dass die Nutzung von sensiblen Daten kontinuierlich überwacht wird, damit Organisationen zu jeder Zeit ein genaues Audit der Datennutzung und des Zugriffsverhaltens der Benutzer haben.

    Anforderung Beschreibung Varonis-Produkt/Funktion

    Vermögensverwaltung

    7.1.1 Bestand der Vermögenswerte

    Varonis zeigt alle Inhalte von Verzeichnissen oder Laufwerken an und ordnet Daten Benutzern zu und umgekehrt.
     

    7.1.2 Eigentum der Vermögenswerte

    Varonis zeigt an, welche Personen mit hoher Wahrscheinlichkeit die Business Owner eines bestimmten Datensatzes oder Ordners sind.
     

    7.1.3 Zulässige Verwendung der Vermögenswerte

    Varonis überwacht alle Datennutzungen der Laufwerke nach Benutzernamen, Dateinamen und den mit den Daten ausgeführte Aktionen und identifiziert ungewöhnlich hohe Zugriffsaktivitäten.
     

    7.2.1 Klassifizierungsrichtlinien

    Varonis bietet die Möglichkeit, Daten basierend auf Unternehmensrichtlinien zu klassifizieren und stellt sicher, dass basierend auf dieser Klassifizierung angemessene Kontrollen im Einsatz sind.

    Kommunikations- und Operations-Management

    10.1.2 Änderungsmanagement

    Varonis verfolgt alle Änderungen an Dateisystemen, einschließlich der Änderungen bei den Zugriffskontrollen und Sicherheitseinstellungen.
     

    10.1.3 Trennung von Aufgaben

    Varonis hilft bei der Umsetzung von Zugriff nach geringstem Recht, indem eine Liste der Personen erstellt wird, deren Zugriffsrechte auf Daten aufgehoben werden sollten, und Mittel zur Umsetzung bereitstellt.
     

    10.2.2 Überwachung und Prüfung der Dienstleistungen von Dritten

    VVaronis hilft bei der Überwachung und dem Audit von externen Systemaktivitäten auf unstrukturierte und semi-strukturierte Daten.
     

    10.3.1 Kapazitätsverwaltung

    Varonis zeigt alle inaktiven oder verwaisten Daten zusammen und deren Größe an, um den Platz auf Laufwerken und angeschlossenen Speichergeräten effektiv zu nutzen und ungenutzte Vermögenswerte in weniger kostenintensive Datenarchive verlagert werden.
     

    10.10.1 Audit-Logging

    Varonis bietet ein detailliertes und durchsuchbares Audit-Log zur Nutzung unstrukturierter und semi-strukturierter Daten auf Dateisystemen und NAS-Geräten.
     

    10.10.2 Überwachung der Systemnutzung

    Varonis bietet eine detaillierte Aktivitätsanalyse des Zugriffs auf unstrukturierte Dateien und überwachte Dateisysteme.

    Zugriffskontrolle

    11.1.1 Zugriffskontrollrichtlinie

    Varonis ermöglicht die Umsetzung einer Richtlinie zur Zugriffskontrolle, indem sichergestellt wird, dass Business Owner Empfehlungen zur Aufhebung von Berechtigungen zulassen oder ablehnen.
     

    11.2.4 Prüfung der Zugriffsrechte von Benutzern

    Varonis bietet die Möglichkeit zur Durchführung einer umfangreichen Berechtigungsprüfung, nach der alle Benutzerrechte für Daten erfasst werden. Diese Prüfung ermöglicht darüber hinaus auch Berichte über bisherige Zugriffsrechte auf Datensätze, um mögliche Tendenzen zu übermäßigen Zugriffen aufzuzeigen.
     

    11.6.1 Zugriffsbeschränkung auf Informationen

    Varonis bietet Informationen zu übermäßigem Zugriff und hilft Organisationen dabei, die entsprechenden Zugriffskontrollen zu befolgen.

    Incident-Management in der Informationssicherheit

    13.1.1 Meldungen von Vorfällen in der Informationssicherheit

    Varonis meldet alle Arten ungewöhnlichen Datenzugriffs auf Laufwerke durch Personen, die ihre normale oder durchschnittliche Zugriffshäufigkeit übersteigen. Übermäßig rigoroser Zugriff führt zu einer Meldung und einem Bericht über die Art der Aktivität, der automatisch an die verantwortlichen Personen, wie Business Owner oder IT-Personal, übermittelt wird.
     

    13.1.2 Meldung von Sicherheitsschwächen

    Varonis meldet alle Daten, die aufgrund von globalen Gruppen (Jedermann, authentifizierte Benutzer etc.) oder aufgrund eines anderen übermäßigen Zugriffs gefährdet sind, sowie Benutzer und Gruppen, die übermäßigen Zugriff haben.
     

    13.2.3 Sammlung von Beweisen

    Das Varonis-Log des gesamten Dateikontaktes kann zur Unterstützung von forensischen Analysen der Datennutzung und -aktivität herangezogen werden.

    Compliance

    15.1.2 Rechte an geistigem Eigentum

    Varonis hilft Organisationen bei der Erfüllung von Initiativen, um sicherzustellen, dass Zugriff basierend auf dem geringsten Recht für regulierte Daten sichergestellt wird. Das System analysiert Datenzugriffsmuster und erstellt kontinuierlich Empfehlungen, Personen Zugriffsrechte zu entziehen, wenn sie nicht im Sinne der geschäftlichen Notwendigkeit auf Daten zugreifen müssen.
     

    15.1.3 Schutz der betrieblichen Aufzeichnungen

    Varonis hilft beim Schutz von empfindlichen und wichtigen Informationen, indem sichergestellt wird, dass der Zugriff kontinuierlich überwacht und Zugriffskontrollen garantiert werden.
     

    15.1.4 Datenschutz von personenbezogenen Informationen

    Mit Varonis können Compliance-Beauftragte und -Prüfer regelmäßige Berichte zu Datennutzung und Zugriffsaktivität für privilegierte und geschützte Informationen erhalten, um eine vorschriftsmäßige Nutzung und Aufbewahrung sicherzustellen.
     

    15.1.5 Verhindern des Informationsmissbrauchs von verarbeitenden Einrichtungen

    Durch die kontinuierliche Pflege von Zugriffskontrollen, die auf geschäftsrelevanten Notwendigkeiten basieren, vermindert Varonis das Risiko für Datenverlust und Missbrauch.
     

    15.2.1 Compliance mit Sicherheitsrichtlinien

    Varonis stellt sicher, dass nur Business Owner Datenberechtigungen verwalten und ermöglicht Prüfern und Compliance-Beauftragten darüber hinaus die Überwachung des Prozesses.
     

    15.2.2 Prüfung der technischen Compliance

    Die Varonis-Tools ermöglichen ein regelmäßiges Audit der Compliance-Standards der überwachten Systeme.
     

    15.3.1 Audit-Kontrollen des Informationssystems

    Varonis bietet eine detaillierte Berichterstattung zu allen Aspekten der Datennutzung und Laufwerke, einschließlich der Aktionen, die von Domain-Administratoren durchgeführt werden.

    ISO 27002 Darstellung der Funktionen und Anforderungen

    Während die ISO 27001 Norm Standards für die Data Governance vorgibt, anhand derer eine Organisation zertifiziert und geprüft werden kann, bietet die ISO 27002 Norm bewährte Verfahren, die eine Organisation befolgen kann. Die folgende Tabelle präsentiert spezielle Wege, mit denen Varonis-Produkte Organisationen bei der Umsetzung der ISO 27002 Kontrollen unterstützen.

    Anforderung Beschreibung Varonis-Produkt/Funktion

    Ziele des Sicherheitsmanagements in Unternehmen

    6.1.18 Durchführung einer Risikobewertung, sobald es eine geschäftliche Notwendigkeit gibt, um externen Parteien Zugriff auf Ihre Informationen zu geben

    Varonis-Produkte ermöglichen eine schnelle Identifizierung des betrieblichen Risikos in Bezug auf Daten auf Dateisystemen und SharePoint.
     

    6.1.19 Sicherstellen, dass Ihre Risikobewertungen sicherheitsrelevante Folgen untersuchen, wenn es eine Notwendigkeit gibt, um externen Parteien Zugriff auf Ihre Informationen zu geben

    Varonis kann genau aufzeigen, welcher Zugriff Benutzern und Gruppen gewährt wird.

    Ziele des betrieblichen Vermögensmanagements

    7.1.1 Schützen Sie Ihre betrieblichen Vermögenswerte

    Varonis-Produkte bieten eine Übersicht darüber, wer auf Daten zugreifen kann und ermöglichen dadurch den Schutz von Daten sowie angemessene Zugriffskontrollen.
     

    7.1.4 Bestimmen von Eigentümern für alle betrieblichen Vermögenswerte

    Varonis-Produkte bieten die Möglichkeit zur intelligenten Identifizierung und Zuweisung von Eigentümern zu Daten, basierend auf detaillierten Aktivitätsanalysen.
     

    7.2.1 Bereitstellung von angemessenem Schutz für Ihre betrieblichen Informationen

    Das Varonis Data Classification Framework erweitert das IDU-Framework durch Einbindung der Informationen zur Inhaltsklassifizierung, die aus der Durchsuchung des Dateiinhalts nach Schlagwörtern, Sätzen, Mustern (d. h. regelmäßige Ausdrücke) resultieren, die für das Unternehmen von Interesse sind.

    Ziele des Kommunikations- und Operations-Managements

    10.4.4 Erkennung der Einspeisung von schädlichen Codes und unbefugten mobilen Codes

    Aktivitätsanalysen können auf mögliche schädliche und unbefugte Codes hinweisen.
     

    10.9.6 Schutz der Verfügbarkeit von Informationen, die über öffentlich verfügbare Systeme veröffentlicht werden

    Eine Übersicht über die Berechtigungen hilft bei der Erhaltung der Verfügbarkeit von Informationen.
     

    10.10.1 Überwachung von Systemen zur Informationsverarbeitung, um unbefugte Aktivitäten zu erkennen

    Varonis erfasst alle Ereignisse des Dateisystems, sodass die Software eine detaillierte Aktivitätsanalyse erstellen kann. Das hilft dabei, Systemprobleme zu erkennen und Kontrollen zu verifizieren.

    Ziele des Zugriffskontrollmanagements der Informationen

    11.1.1 Zugriffskontrolle auf Ihre betrieblichen Informationen

    Varonis-Produkte sorgen dafür, dass Zugriffskontrollen effektiv im Einsatz sind.
     

    11.2.1 Durch Kontrollen genehmigter Zugriff auf Informationssysteme

    Varonis hilft übermäßige Berechtigungen zu identifizieren und angemessene Genehmigungen für den Zugriff auf Dateisysteme umzusetzen.
     

    11.3.1 Verhindern von unbefugtem Benutzerzugriff auf Ihre Informationen und informationsverarbeitenden Einrichtungen

    Varonis unterstützt bei einer Identifizierung übermäßiger Berechtigungen, damit die zulässigen Zugriffe auf Dateisysteme besser gepflegt werden.
     

    11.3.3 Verhindert den Diebstahl von Informationen und Informationseinrichtungen

    Aktivitätsanalysen helfen bei der Identifizierung von ungewöhnlichem Benutzerverhalten und tragen dazu bei, Datendiebstahl zu verhindern.
     

    11.3.4 Bitten Sie autorisierte Benutzer um Mithilfe bei der Zugriffskontrolle auf Ihre Informationssysteme und informationsverarbeitenden Einrichtungen

    DataPrivilege beteiligt automatisch die Data und Business Owner an der Zugriffskontrolle, einschließlich Autorisierung und kontinuierlicher Überprüfung der Zugriffsberechtigungen.

    Ziele der Systementwicklung und -wartung

    12.4.1 Sorgen Sie für die Sicherheit der Systemdateien Ihrer Organisation

    Übersicht über die Berechtigungen, detaillierte Audit-Informationen und Datenklassifizierung helfen beim Schutz und der Kontrolle von Systemdateien.

    Ziele des Incident-Managements in der Informationssicherheit

    13.1.1 Stellen Sie sicher, dass Sicherheitsvorfälle in Informationssystemen umgehend gemeldet werden

    Varonis bietet automatische, datengesteuerte Berichte für Data Owner und IT.

    Ziele des Compliance-Managements

    15.1.1 Stellen Sie sicher, dass Ihre Informationssysteme allen relevanten gesetzlichen Sicherheitsanforderungen entsprechen

    Durch die Möglichkeit, Zugriffskontrollen zuverlässig umzusetzen, helfen die Varonis-Produkte dabei, die Compliance-Anforderungen in Bezug auf Data Governance zu erfüllen, einschließlich PCI, Sarbanes Oxley, HIPAA, Hitech und vielen anderen.
     

    15.2.1 Stellen Sie sicher, dass Ihre Systeme allen Sicherheitsbestimmungen Ihrer Organisation entsprechen

    Varonis-Produkte bieten detaillierte Audit-Informationen über die Aktivität der Dateisysteme und helfen Organisationen bei der Erfüllung von Sicherheitsrichtlinien.
     

    15.3.1 Führen Sie Audits Ihrer Informationssysteme durch

    Varonis bietet detaillierte Audit-Informationen zu allen Dateisystemen und Genehmigungsaktivitäten.

    The post Compliance Brief: ISO 27001- und 27002-Normen appeared first on Varonis Deutsch.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?