Was ist Vulnerability Management (ISO 27002) im Rahmen von ISO 27001?
Verwundbarkeit! Ja, wer oder was ist das nicht heutzutage. Physisch, psychisch, finanziell, oder schlimmer noch für manche Menschen: das Telefon fällt in eine Bergschlucht. Gott (oder wer auch immer) sei Dank sind die Bilder und andere Daten in der Cloud gespeichert. Oh, aber sie sind auch dort gefährdet.... und hier sind wir ... und weinen trotzdem...
Es ist eine Sache, wenn Ihre Landschafts- oder Hundebilder gehackt werden könnten, ja vielleicht sogar kurz Ihr PayPal-Konto oder die fiesen Chat-Nachrichten mit den besten Kumpels über die langweiligen Kumpels. Aber können Sie das mit der Angreifbarkeit von Unternehmensdaten vergleichen? Persönlich vielleicht, aber die Verwundbarkeit von Daten, die in der Wirtschaft gedeihen, ist letztlich nicht zu vergleichen, also schauen wir mal, was das Vulnerability Management hier leisten kann.
Definition von Schwachstellenmanagement (ISO 27002)
Wie das Wort schon sagt, geht es beim Schwachstellenmanagement um die Schwachstellen in den Systemen eines Unternehmens. Logischerweise besteht der Zweck dieses Prozesses darin, sie zu identifizieren und gegebenenfalls zu beheben.
Sie ist ein wesentlicher Bestandteil der Informationssicherheit und wird nicht "nur" in ISO 27001 berücksichtigt. Sie hat sogar ihren eigenen Namen: ISO 27002.
Eigentlich ein guter Zeitpunkt, um die Begriffe ISO 27001, ISO 27002 und ISO 27005 (Informationssicherheits-Risikomanagement) und ihre Beziehung zueinander zu klären. Es gibt keinen "Unterschied" zwischen diesen drei Begriffen. ISO 27001 ist die Hauptfigur in diesem Film! ISO 27005 und ISO 27002 sind nur Nebendarsteller, aber sie bringen den Film auf die Leinwand! Jede der Normen der ISO 27000-Reihe hat also einen bestimmten Schwerpunkt.
Zurück zum Schwachstellenmanagement (Vulnerability Management), jetzt auch bekannt als ISO 27002. Dabei handelt es sich um einen detaillierten ergänzenden Leitfaden zu den Sicherheitskontrollen in ISO 27001. ISO 27002 bietet somit einen Leitfaden für bewährte Verfahren bei der Auswahl und Umsetzung der in ISO 27001 aufgeführten Kontrollen.
Der offizielle Wortlaut von ISO 27002: Dieses Dokument bietet einen Referenzsatz allgemeiner Informationssicherheitskontrollen einschließlich einer Anleitung zur Implementierung. Dieses Dokument ist für die Verwendung durch Organisationen im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) auf der Grundlage von ISO/IEC27001 bestimmt. Verantwortlich für die Implementierung von Informationssicherheitskontrollen auf der Grundlage international anerkannter Best Practices und für die Entwicklung organisationsspezifischer Informationssicherheitsmanagement-Richtlinien.
Das Schwachstellenmanagement ist also ein Prozess, der aus fünf Hauptschritten besteht, oder besser gesagt, der aus fünf Phasen besteht, denn er ist kontinuierlich. Das macht Sinn. Denn einmal ist in diesem Fall nicht einmalig. Zumindest bei der Überwachung von Daten und Systemen!
Wie funktioniert Vulnerability Management - die 5 Phasen
1. Identifizierung von Vermögenswerten, die Schwachstellen aufweisen können
In der Geschäftswelt ist ein Vermögenswert jede Art von Daten, Geräten oder anderen Komponenten der Systeme eines Unternehmens, die einen Wert haben. Gerade weil diese Vermögenswerte manchmal sehr sensible Informationen enthalten oder zur Durchführung wichtiger Geschäftsvorgänge verwendet werden, sind sie von besonderer Bedeutung.
2. Risikobewertung
Dies ist der Prozess der Identifizierung von Schwachstellen in diesen Anlagen. In der Regel beginnt man mit einem Schwachstellenscan. Falls erforderlich, ist eine detailliertere Bewertung durch einen Penetrationstest erforderlich. Möchten Sie mehr über Risikobewertung erfahren? Klicken Sie hier!
3. Dokumentieren Sie Ihre Ergebnisse
Der Bericht sollte die wichtigsten Risiken nach Prioritäten ordnen und Strategien zur Risikominderung aufzeigen. Beispiele für solche Strategien sind Software-Updates, die Neukonfiguration von Geräten oder die Einführung neuer Richtlinien zur Risikominderung.
Diese Beschreibungen der Risikominderungsstrategien sollten so detailliert und umfassend wie möglich sein. Im besten Fall sollten sie sogar eine Schritt-für-Schritt-Anleitung enthalten.
4. Umsetzung von Sanierungsstrategien
Wenn das Dokument vollständig ist, können Sie die im vorherigen Abschnitt erwähnten Abhilfestrategien umsetzen.
5. Überprüfen Sie den Erfolg Ihrer Strategien
So können Sie feststellen, ob die festgestellten Schwachstellen angemessen behoben wurden. Gleichzeitig sorgt es für Transparenz und Verantwortung in der gesamten Organisation.
Wie bereits erwähnt: Der Prozess des Schwachstellenmanagements ist ein Kreislauf. Ständig tauchen neue Schwachstellen auf, so dass Sie die Risiken ständig überwachen und die fünf oben beschriebenen Schritte wiederholen müssen.
Der ISO 27001-Ansatz für das Schwachstellenmanagement
Der oben beschriebene Ansatz des Schwachstellenmanagements weist viele Ähnlichkeiten mit dem allgemeinen Rahmen für das Risikomanagement nach ISO 27001 auf.
Der Schwerpunkt der Norm liegt auf einer Risikobewertung, die darauf abzielt, die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen zu schützen. Das ist nichts Neues! Schwachstellen sind eines der Elemente des Risikos. Stellen Schwachstellen nicht immer ein Risiko dar? Wenn mein Motor komische Geräusche macht, ist es nicht völlig ausgeschlossen, dass er bald auch zu rauchen beginnt. Es ist also klar, dass das Schwachstellenmanagement Teil des Gesamtansatzes der Norm zum Risikomanagement ist.
"Risiko" wird in der ISO 27001-Norm als eine Kombination aus einem Vermögenswert, einer Bedrohung und einer Schwachstelle definiert. Ein Informationssicherheitsrisiko besteht also, wenn "etwas" gefährdet ist (ein Vermögenswert), ein Akteur es ausnutzen kann (eine Bedrohung) und es eine Möglichkeit gibt, dies zu tun (eine Schwachstelle).
ISO 27002 wird verwendet, um die Kontrollen von ISO 27001 umzusetzen.
Insgesamt bietet es also eine praktische Anleitung zur Implementierung eines ISMS und damit zur Umsetzung der Anforderungen der ISO 27001.
Lassen Sie uns näher darauf eingehen, was getan werden muss:
Erstellung eines Inventars der Vermögenswerte
Nochmals zur Verdeutlichung: Ein Inventar ist eine Liste der Informationsgüter, die eine Organisation besitzt. Die Erstellung einer solchen Liste ist entscheidend für die Verwaltung des Bestands und damit für die Verringerung der Informationssicherheitsrisiken.
Und mit Vermögenswerten ist in der Regel alles gemeint, was für ein Unternehmen wertvoll ist, also alle Speichermedien und vertraulichen Informationen, aber auch Immobilien und Equipment.
Für das Schwachstellenmanagement benötigen Sie nur die Liste der Anlagen, die von technischen Schwachstellen betroffen sein könnten. Der Bürohund zählt hier nicht mit.
Definieren Sie Rollen und Verantwortlichkeiten
Das Schwachstellenmanagement ist ein komplexer Prozess, so dass Unternehmen gut beraten sind, diese Aufgaben an geeignete Personen zu delegieren.
Die zu erledigenden Aufgaben müssen wiederum gemeinsam mit den ausgewählten Mitarbeitern definiert werden. Konkret bedeutet dies, dass die mit jeder Aufgabe verbundenen Verantwortlichkeiten dokumentiert werden müssen und die Mitarbeiter eindeutig mit der Erfüllung ihrer Aufgaben betraut werden müssen!
Definieren Sie einen Zeitplan für die Reaktion
Ein effektives Schwachstellenmanagementsystem erkennt und behebt Schwachstellen sofort. Aber die Dringlichkeit kann manchmal falsch eingeschätzt werden. Daher müssen Unternehmen einen Zeitrahmen für die Reaktion auf die Entdeckung von Schwachstellen festlegen. Dabei sollte es sich um einen angemessenen Zeitraum handeln, der sich nach den Möglichkeiten des Unternehmens richtet. Kurz gesagt, nicht in drei Monaten, weil gerade die Sommerpause angesagt ist. Die Rechenschaftspflicht sollte nicht zu weit ausgedehnt werden, wenn es um sensible Informationen geht.
Führen Sie ein Audit-Protokoll
Grundsätzlich ist die Dokumentation der wesentliche Aspekt von ISO 27001, und das Schwachstellenmanagement folgt diesem Ansatz. Sie müssen also ein Auditprotokoll für die Maßnahmen führen, die Sie im Rahmen Ihres Schwachstellenmanagements umgesetzt haben. Dies ist eigentlich keine Verpflichtung, die unerwartet kommt.
Schwachstellenmanagement und Reaktion auf Vorfälle aufeinander abstimmen
Unternehmen sollten sicherstellen, dass ihr Schwachstellenmanagementprozess mit der Reaktion auf Vorfälle abgestimmt ist. Für zahlreiche Organisationen ist die Reaktion auf Vorfälle durch die GDPR (General Data Protection Regulation) vorgeschrieben, die strenge Anforderungen für die Meldung von Datenschutzverletzungen enthält, wobei erhebliche Vorfälle innerhalb von 72 Stunden gemeldet werden müssen.
Im Rahmen dieses Meldeverfahrens müssen die Organisationen die Schritte beschreiben, die sie zur Behebung des Vorfalls unternommen haben bzw. unternehmen werden.
Sicherstellung einer kontinuierlichen Verbesserung
Das Schwachstellenmanagement ist, wie alles in einem Informationssicherheitsmanagementsystem, ein kontinuierlicher Prozess, der von den Unternehmen verlangt, Schwachstellen ständig zu überwachen und zu prüfen, ob die bestehenden Verfahren wie vorgesehen funktionieren.
Daher ist es nicht verwunderlich, dass Sie Ihre Verfahren regelmäßig überprüfen und feststellen müssen, was verbessert werden kann.
Wichtig zum Schluss: ISO 27002 ist keine zwingende Voraussetzung für die ISO 27001-Zertifizierung, ebenso kann ein Unternehmen nicht nur nach ISO 27002 zertifiziert werden. Es ist eher so, als würde man sagen, das volljährige Kind darf das Auto fahren, aber das jüngere Kind kann helfen, den richtigen Weg zu einem Ort mit einer atemberaubenden Aussicht zu finden. Denn ja, es gibt immer noch Gegenden auf der Welt, in denen das Internet nicht funktioniert, und da braucht man einen cleveren Begleiter.
Also, all diese Verfahren, Prozesse, Audits, all das ist Teil einer hochwertigen ISO 27001-Zertifizierung, mit der Sie, weltweit anerkannt, deutlich machen, wie gut Sie mit Ihren und den Informationen und Daten anderer Organisationen umgehen!
Und das Vulnerability Management ist eine der wichtigsten Komponenten einer wirksamen Informationssicherheit. Denn regelmäßige Schwachstellenbewertungen, Risikobewertungen, Schwachstellenscans und Penetrationstests stellen sicher, dass Sie technische Schwachstellen rechtzeitig erkennen und beheben.
Wir unterstützen Sie auf dem Weg zu Ihrer ISO 27001-Zertifizierung! Kontaktieren Sie uns!