Mit jedem Tag steigt die Anzahl an Bedrohungen für die Cybersicherheit. Zum Schutz der Integrität, Verfügbarkeit und Vertraulichkeit Ihrer Daten ist daher ein regelmäßig aktualisiertes und ganzheitliches Konzept für das Management von Informationssicherheitsvorfällen erforderlich.
Die Umsetzung von Maßnahmen zur Vermeidung von Informationssicherheitsvorfällen (Hackerangriffen und Datenschutzlücken usw.) und zur Verringerung derer Auswirkungen ist ein wesentlicher Bestandteil der Einhaltung von ISO 27001. Ganz gleich, ob Sie eine ISO 27001-Zertifizierung anstreben oder nicht: Ein starkes Konzept für das Management von Informationssicherheitsvorfällen (das Incident-Management nach ISO 27001) sollte in Ihrer Organisation in jedem Fall Vorrang haben.
In diesem Beitrag erfahren Sie, wie Anhang A.16 (Annex A.16) zur Entwicklung und Umsetzung von wirksamen Richtlinien für das Informationssicherheitsvorfallsmanagement beiträgt, weshalb das Vorfallsmanagement wichtig ist und welche einzelnen Anforderungen zur Verringerung der Auswirkungen und des Auftretens von Informationssicherheitsvorfällen A.16 enthält.
In diesem Beitrag
- Was ist Anhang A.16 (Annex A.16)?
- Was ist ein Informationssicherheitsvorfall?
- Warum ist das Management von Informationssicherheitsvorfällen wichtig?
- Was sind die Maßnahmen (Controls) in Anhang A.16?
- A.16.1 Management von Informationssicherheitsvorfällen, ereignissen und schwachstellen
- Anhang A.16.1.1 Zuständigkeiten und Verfahren
- Anhang A.16.1.2 Meldung von Informationssicherheitsereignissen
- Anhang A.16.1.3 Meldung von Informationssicherheitsschwachstellen
- Anhang A.16.1.4 Bewertung von und Entscheidung über Informationssicherheitsereignisse
- Anhang A.16.1.5 Reaktion auf Informationssicherheitsvorfälle
- Anhang A.16.1.6 Erkenntnisse aus Informationssicherheitsvorfällen
- Anhang A.16.1.7 Sammeln von Beweismaterial
- Fazit
Was ist Anhang A.16 (Annex A.16)?
In Anhang A.16 werden die Anforderungen für das Management von Informationssicherheitsvorfällen aufgeführt. Organisationen jeder Art und Größe sollten sich mit den bewährten Vorgehensweisen für die Verhinderung von Sicherheitsvorfällen und die Reaktion darauf vertraut machen. Bevor wir auf die einzelnen Anforderungen eingehen, möchten wir zunächst den Begriff „Informationssicherheitsvorfall“ klären und verdeutlichen, warum das Vorfallsmanagement für Ihre Organisation wichtig ist.
Was ist ein Informationssicherheitsvorfall?
Jede Handlung, die die Sicherheit der Informationstechnologie bedroht oder gegen geltende Richtlinien für eine verantwortungsvolle Nutzung verstößt, gilt als Informationssicherheitsvorfall.
Dazu zählen vermutete, erfolgreiche und versuchte Bedrohungen. Sie bergen das Risiko unberechtigter Datenzugriffe, ‑freigaben, ‑nutzungen, ‑verluste, ‑beschädigungen, ‑lecks oder ‑veränderungen. Beispiele für Vorfälle dieser Art sind:
- Unberechtigte Veränderungen an installierten Softwares
- Beeinträchtigung der physischen und umgebungsbezogenen Sicherheit, z. B. die Beschädigung unternehmenseigener Geräte
- Eindringen in Konten oder Offenlegung von Passwörtern und kryptografischen Schlüsseln
Obwohl Vorfälle, die nicht schwerwiegend sind (nicht das Potenzial haben, Schaden anzurichten), vermutlich nicht gemeldet werden, ist die Entwicklung eines hieb- und stichfesten Vorfallsmanagement-Konzepts aus den nachfolgenden Gründen wichtig:
Warum ist das Management von Informationssicherheitsvorfällen wichtig?
Informationssicherheitsvorfälle sind unvermeidbar, und Hacker und andere böswillige Dritte können davon profitieren. Durch ein gutes Vorfallsmanagement sollen die Auswirkungen der Vorfälle begrenzt und eine Wiederholung in der Zukunft verhindert werden.
Wirksame Informationssicherheitskonzepte berücksichtigen alle Aspekte einer Organisation und zeigen auf, welche Schwächen vorhanden sind. Die Anforderungen an das Management von Informationssicherheitsvorfällen lassen sich in sieben Schlüsselbereiche untergliedern, die unten genauer ausgeführt sind.
Was sind die Maßnahmen (Controls) in Anhang A.16?
Anhang A.16 umfasst sieben Maßnahmen, bei denen das Management von Informationssicherheitsvorfällen im Mittelpunkt steht. Diese Maßnahmen beschreiben die Anforderungen für die Erkennung und Handhabung von Informationssicherheitsschwachstellen, ‑ereignissen und ‑vorfällen.
Anhang A.16.1 Management von Informationssicherheitsvorfällen, ‑ereignissen und ‑schwachstellen
Ziel von A.16.1 ist es, sicherzustellen, dass Ihre Organisation ein tragfähiges Konzept bei der Handhabung und Meldung von Informationssicherheitsvorfällen verfolgt. Dieses umfasst u. a. Datenschutzlücken sowie die unberechtigte Offenlegung, Vernichtung und den Verlust von Daten.
Anhang A.16.1.1 Zuständigkeiten und Verfahren
Im Falle eines Sicherheitsvorfalls müssen rasch wirksame Maßnahmen ergriffen werden. Um dies zu gewährleisten, sollten die Zuständigkeiten der Führungsebene und einschlägige Verfahren festgelegt sein. Bei der Festsetzung von Zuständigkeiten für die Führungsebene und der Ausarbeitung von Informationssicherheitsverfahren (auch Incident-Management-Prozesse genannt) sind die folgenden Aspekte zu berücksichtigen:
- Planung von und Vorbereitung auf Vorfallsreaktionen
- Überwachung, Erkennung, Analyse und Meldung von Informationssicherheitsereignissen
- Protokollierung von Vorfallsmanagementmaßnahmen
- Handhabung forensischen Beweismaterials
- Bewertung von und Entscheidung über Informationssicherheitsereignisse und ‑schwachstellen
- Reaktionen auf einen Sicherheitsvorfall, sowohl intern als auch extern
Dabei ist darauf zu achten, dass alle Verfahren gewährleisten, dass Informationssicherheitsvorfälle von kompetenten Beschäftigten behandelt werden und dass relevante externe und interne Kontakte für die Handhabung der Probleme mit der Informationssicherheit erfasst und aufgenommen werden.
Meldeverfahren sollten Folgendes enthalten:
- Meldeformular für eine erleichterte Meldung und Protokollierung aller notwendigen Maßnahmen bei Auftreten eines Informationssicherheitsereignisses
- Zu ergreifende Folgemaßnahmen bei Auftreten eines Informationssicherheitsereignisses
- Formale Disziplinarmaßnahmen, die eingeleitet werden, wenn ein Mitarbeiter gegen die Sicherheitsbestimmungen verstößt
- Strukturiertes Feedbackverfahren, um sicherzustellen, dass alle Betroffenen über den Fortschritt und die Ergebnisse gemeldeter Informationssicherheitsereignisse auf dem Laufenden gehalten werden
Alle Verantwortlichen für das Management von Informationssicherheitsvorfällen müssen diese Verfahren kennen, und alle Verfahren sind mit der Führungsebene abzustimmen.
Anhang A.16.1.2 Meldung von Informationssicherheitsereignissen
Informationssicherheitsereignisse sollten bei ihrem Auftreten oder frühestmöglich über die relevanten Managementkanäle gemeldet werden. Alle beteiligten Parteien sollten ihre Meldeverantwortung, die Meldeverfahren und die Kontaktstellen bei Auftreten eines Informationssicherheitsvorfalls kennen.
Anhang A.16.1.3 Meldung von Informationssicherheitsschwachstellen
Alle Parteien, die auf die Informationssysteme und -dienste der Organisation zugreifen können und diese nutzen, müssen festgestellte oder vermutete Schwachstellen und Vorfälle zur Kenntnis nehmen und melden. Das Meldeverfahren und der Meldemechanismus sollten leicht zugänglich sein, damit die Beteiligten der eingerichteten Kontaktstelle Schwachstellen schnellstmöglich melden können – mit dem Ziel, das Auftreten von Vorfällen zu verhindern.
Anhang A.16.1.4 Bewertung von und Entscheidung über Informationssicherheitsereignisse
Noch vor der Klassifizierung als „Vorfälle“ müssen Informationssicherheitsereignisse bewertet werden. Die eingerichteten Kontaktstellen müssen die Informationssicherheitsereignisse anhand einer vorher festgelegten Klassifizierung beurteilen, um die Auswirkungen und das Ausmaß des Ereignisses zu bewerten und festzustellen, ob es sich dabei um einen Sicherheitsvorfall handelt. Die Ergebnisse dieser Bewertung müssen zur späteren Verwendung und für Überprüfungszwecke aufgezeichnet werden. Zusammenfassend lässt sich dieses Verfahren in die folgenden Phasen einteilen:
- Erkennung, Priorisierung und Bewertung
- Eindämmung
- Untersuchung/Ursachenanalyse
- Reaktion
- Nachbereitung
Anhang A.16.1.5 Reaktion auf Informationssicherheitsvorfälle
Die Reaktion auf einen Informationssicherheitsvorfall hat im Einklang mit den dokumentierten Verfahren (dem Incident-Response-Management Ihrer Organisation) zu stehen. Eine ernannte Kontaktstelle sowie andere relevante interne oder externe Parteien sollten auf Informationssicherheitsvorfälle reagieren.
Folgende Aspekte sollten Teil der Reaktion sein:
- Sofortiges Sammeln von Beweismaterial
- Durchführung einer forensischen Informationssicherheitsanalyse
- Eskalation der Vorfälle, wenn nötig
- Protokollierung aller Reaktionsmaßnahmen für die künftige Analyse
- Kommunikation aller Details des Informationssicherheitsvorfalls an relevante Parteien, sowohl intern als auch extern
- Behebung aller Informationssicherheitsschwachstellen, die zu dem Vorfall beitrugen oder ihn verursachten
- Offizielle Beendung und Aufzeichnung des Vorfalls, nachdem dessen Handhabung und die ergriffenen Maßnahmen vollständig abgeschlossen sind
- Analyse des Vorfalls zur Ursachenerkennung
Anhang A.16.1.6 Erkenntnisse aus Informationssicherheitsvorfällen
Nach der Bewältigung von Vorfällen müssen alle damit verbundenen Kenntnisse für die Verhinderung künftiger Vorfälle verwendet werden. Die Art, der Umfang und die Kosten des Informationssicherheitsvorfalls sind zu quantifizieren und mit wirksamen Mechanismen zu überwachen. Die aus diesen Beurteilungen erlangten Ergebnisse sollten effektiv eingesetzt werden, um wiederholte oder kritische Vorfälle zu erkennen und zu verhindern.
Anhang A.16.1.7 Sammeln von Beweismaterial
Verfahren zur Erkennung, zum Sammeln, zur Beschaffung und zur Aufbewahrung von Informationen sind erforderlich. Dieses Beweismaterial kann für die Entscheidung über Disziplinar- oder Rechtsmaßnahmen verwendet werden. Bei internen Verfahren sollten dabei Folgendes beachtet werden:
- Kontrollkette
- Sicherheit des Beweismaterials
- Sicherheit der Beschäftigten
- Rollen und Zuständigkeiten der beteiligten Beschäftigten
- Kompetenz der Beschäftigten
- Dokumentation
- Einweisung der Beschäftigten
Wenn möglich, sollte der Beweiswert des Materials durch Bestätigungen oder andere relevante unterstützende Unterlagen erhöht werden.
Fazit
Die Anhang A-Maßnahmen umfassen 114 Einzelmaßnahmen, die nicht obligatorisch sind, sondern je nach den Zielsetzungen Ihrer Organisation in puncto Informationssicherheit ausgewählt werden können.
Zusammenfassend befasst sich Anhang A.16 mit der Bedeutung des Informationssicherheitsvorfallsmanagements durch sieben Maßnahmen, die die Ausarbeitung von Verfahren, Meldemechanismen und Reaktionen aufzeigen. A.16 zielt darauf ab, das Vorfallsmanagement-Konzept Ihrer Organisation zu stärken, die Auswirkungen von Sicherheitsvorfällen einzudämmen sowie deren Auftreten in der Zukunft zu verhindern.
DataGuard unterstützt Unternehmen bei der Implementierung von ISO 27001-Maßnahmen und der Zertifizierung. Möchten Sie die Informationssicherheit in Ihrem Unternehmen verbessern? Vereinbaren Sie noch heute einen Termin und setzen Sie sich mit unseren Experten in Verbindung.
Roadmap zur ISO 27001 Zertifizierung
Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001.
Jetzt kostenlos herunterladen