Informationsklassifizierung für ISO 27001-Konformität

ISO 27001 ist eine internationale Norm, die sich auf Informationssicherheit konzentriert. Diese Norm leitet die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Um Compliance zu erreichen, müssen Sie folgendes tun:

• Verstehen Sie, welche Datenbestände Sie besitzen, deren Wert und wer die Eigentümer der Vermögenswerte sind
• Effektiv priorisieren Sie Sicherheitskontrollen und -prozesse
• Schützen Sie Ihre kritischen Vermögenswerte angemessen, einschließlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit (das CIA-Dreieck)
• Implementieren Sie das risk management durch die Bewertung des Wertes Ihrer Daten und der Auswirkungen, falls bestimmte Daten verloren gehen, missbraucht oder kompromittiert werden

Der Standard ist freiwillig, aber Unternehmen weltweit entscheiden sich dafür, ihm zu folgen. Die Anforderungen sind für Organisationen jeder Größe in allen Branchen geeignet, besonders in der heutigen datenreichen, aber risikobehafteten Umgebung. Die Einhaltung von ISO 27001 zeigt Auditoren und Kunden, dass ein Unternehmen angemessene Schutzniveaus für seine wertvollen Informationen hat. Es hilft Unternehmen auch, gesetzliche Anforderungen zu erfüllen, Wettbewerbsvorteile zu erzielen, die Produktivität zu steigern und Kosten zu senken.

ISO 27001 ist in Anhänge unterteilt, um spezifische Bereiche zu adressieren. In diesem Artikel werden wir die Schlüsselanforderungen von Anhang A.8 untersuchen, der das Asset-Management regelt.

Anhang A.8: Asset Management

Anhang A.8 legt die Arten von Kontrollen fest, die Organisationen implementieren müssen, um eine genaue Identifizierung von Informationssicherheitsressourcen zu gewährleisten, Verantwortung für die Sicherheit zu bestimmen und zu sichern, dass Datenressourcen basierend auf ihren Klassifizierungsstufen geschützt werden. Die durch die Verordnung definierten Kontrollen, die in technische, organisatorische, rechtliche, physische und personelle Kontrollen unterteilt sind.

Beachten Sie, dass ISO 27001 keine genaue Liste sensibler Vermögenswerte vorschreibt; Ihre Organisation trifft diese Entscheidung anhand ihres besten Urteilsvermögens.

Der Anhang ist in drei Hauptunterabschnitte unterteilt, die im Folgenden kurz beschrieben werden. Anschließend werden wir genauer auf den zweiten Unterabschnitt eingehen, der sich mit der Datenklassifizierung befasst.

A.8.1 Verantwortung für Vermögenswerte

Das Ziel von A.8.1 ist es, die Datenvermögen zu identifizieren, die für das ISMS relevant sind, und Schutzverantwortlichkeiten festzulegen. Führen Sie eine Entdeckung durch, um alle Informationsvermögen innerhalb Ihrer Organisation zu identifizieren, wie Papierakten, digitale Dateien, Wechseldatenträger und E-Mails. Erstellen Sie dann ein Vermögensregister. Weisen Sie für jedes Vermögen einem Datenbesitzer die Verantwortung für dessen Schutz zu.

A.8.2 Klassifizierung von Vermögenswerten

Die Klassifizierung Ihrer Vermögenswerte ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Daten richtig zu sichern und sie denen zugänglich zu machen, die sie benötigen. Die Klassifizierung ermöglicht es Ihnen, jedes Vermögenswert auf dem angemessenen Sicherheitsniveau zu schützen: Sie verwenden weniger Ressourcen für weniger sensible Daten und bieten starken Schutz für Ihre sensibelsten Vermögenswerte.

A.8.3 Verfahren für Mediengeräte

Unterabschnitt A.8.3 ist darauf ausgelegt, Organisationen dabei zu helfen, die unbefugte Offenlegung, Änderung, Entfernung oder Zerstörung von Informationen zu verhindern, die auf Wechselmedien gespeichert sind, wie USB-Sticks, CD-ROMs und abnehmbare Festplatten. Es umfasst auch Kontrollen für die ordnungsgemäße Entsorgung oder Übertragung dieser Medien, um gegen data breaches zu schützen, wie zum Beispiel die Verwendung autorisierter Kurierdienste und sichere Verpackungen sowie das Führen eines Protokolls über alle Dateninhalte und deren Schutzstufe.

Ein tieferer Einblick in Anhang A.8.2: Informationsklassifizierung

Wie oben besprochen, behandelt Anhang A.8.2 die Klassifizierung von Daten und das Kennzeichnen jedes Vermögenswerts entsprechend seiner Sensibilität oder Bedeutung für Ihre Organisation, sodass Sie angemessene Schutzmaßnahmen (wie Zugriffsbeschränkungen) basierend auf diesen Ebenen implementieren können. Hier sind die Unterabschnitte von Anhang A.8.2.

A.8.2.1 Klassifizierung von Informationen

Das ideale Klassifizierungsschema für Informationen ist eines, das die Geschäftsaktivität widerspiegelt, anstatt sie zu behindern oder zu komplizieren. Erstellen Sie Ihr Schema entsprechend der Sensibilität Ihrer Daten, den gesetzlichen Anforderungen, der Kritikalität und dem Wert, sodass Sie jedem Vermögenswert ein angemessenes Schutzniveau zuweisen können.

Die meisten Unternehmen beginnen mit nur drei oder vier Kategorien. Zum Beispiel sortiert das classification scheme der Universität von Bath im Vereinigten Königreich Informationen in diese Gruppen:

• Stark eingeschränkt — Erfordert erhebliche Sicherheitsmaßnahmen mit streng kontrolliertem und begrenztem Zugang.
• Eingeschränkt — Erfordert Sicherheitsmaßnahmen und begrenzten Zugang, jedoch nicht bedeutend oder streng kontrolliert.
• Interne Verwendung — Erfordert keinen zusätzlichen Schutz.

Ein Beispiel für ein Klassifizierungsschema mit vier Kategorien ist vertraulich, eingeschränkt, intern und öffentlich.

A.8.2.2 Kennzeichnung von Daten

Sowohl physische als auch elektronische Vermögenswerte sollten mit ihren Kategorien gekennzeichnet werden. Etiketten sollten leicht zu verwalten sein, damit Mitarbeiter sie angemessen verwenden können. Beispielsweise können Sie Papierdokumente durch Stempeln als „geheim“ oder „vertraulich“ kennzeichnen. Elektronische Daten werden in der Regel mit Metadaten gekennzeichnet.

A.8.2.3 Umgang mit Daten

Datenhandhabung bezieht sich darauf, wie die Daten verwendet werden dürfen und wer sie verwenden darf. Zum Beispiel können Sie entscheiden, dass bestimmte Datenbestände von bestimmten Benutzergruppen gelesen, aber nicht kopiert werden dürfen.

Es gibt mehrere Kontrollmechanismen zur Durchsetzung von Richtlinien für die Datenverarbeitung. Möglicherweise müssen Ihre sensibelsten Vermögenswerte verschlüsselt werden, sodass nur Personen mit einer bestimmten Berechtigung sie öffnen können. Wichtige physische Vermögenswerte können in einem abgeschlossenen Schrank oder Safe aufbewahrt werden. Verfahren für Mediengeräte sollten mit A.8.2.3 übereinstimmen.

Wie Netwrix helfen kann

Die Netwrix Data Security Platform hilft Ihnen dabei, ISO-Konformität zu erreichen, aufrechtzuerhalten und nachzuweisen indem sie Ihnen die notwendige Sicherheitsintelligenz bietet, um:

• Entdecken und klassifizieren Sie Daten in Ihren verschiedenen Repositories.
• Identifizieren Sie Sicherheitslücken durch kontinuierliche Risikobewertung
• Erkennen Sie anomale Aktivitäten
• Schnell Bedrohungsmuster erkennen und untersuchen
• Etablieren Sie eine starke Data Access Governance

Noch besser, die Plattform unterstützt sowohl On-Premises- als auch Cloud-Datensysteme und sowohl strukturierte als auch unstrukturierte Daten.