ISO 27001 als Toolbox zur Abwehr von Malware und Angriffen

Normierte Sicherheit

ISO-Standards in Unternehmen werden oftmals als lästiges Übel angesehen und stehen für einen großen Aufwand, um später dem Kunden ein Zertifikat vorzeigen zu können. Doch bieten die Standards viel mehr als nur Dokumentationsaufwand. Sie bringen Struktur und ein standardisiertes und bewährtes Vorgehen zur Implementierung und Aufrechterhaltung von Prozessen. So unterstützt die ISO-Norm 27001 beim Thema Malware und dem Schutz vor Angriffen.
Den Schutz vor Angreifern und Malware hat sich IT-Administrator im März auf die Fahnen geschrieben. So lesen Sie in der Ausgabe, mit welchen Handgriffen Sie ... (mehr)

Im Bereich der IT-Sicherheit bietet sich die Norm ISO/IEC 27001 an. Inhaltlich beschreibt sie das Thema Informationssicherheit im Rahmen eines Managementsystems. Sie müssen nicht das gesamte Managementsystem nach ISO 27001 einführen und sich sofort danach zertifizieren lassen. Um Mehrwert für Ihr tägliches Geschäft zu erhalten, können Sie auch gezielt einzelne Elemente der Norm als Best-Practice-Empfehlung herausgreifen.

Der Standard ISO/IEC 27001 gliedert sich in zehn Kapitel, die das Managementsystem beschreiben, sowie in einen Anhang A. Auch wenn es auf den ersten Blick nur ein Anhang ist, enthält dieser wesentliche Informationen in Form von konkreten Schutzmaßnahmen, die Ihnen als Hilfestellung dienen. Ob und in welchem Umfang Sie jede der über 100 Controls implementieren, obliegt Ihrer Einschätzung des zugrundeliegenden Risikos.

Im Anhang A wird jede der Schutzmaßnahmen sehr kurz mit einem Satz beschrieben. Benötigen Sie tiefergehende Informationen zu jedem Punkt, müssen Sie den Standard ISO 27002 hinzuziehen. Dieser enthält zu jeder einzelnen Maßnahme eine ausführliche Erläuterung. Nachfolgend stellen wir ausgewählte Maßnahmen aus dem Standard vor, die Sie dabei unterstützen, ein strukturiertes Konzept zum Schutz vor Malware und Angriffen zu implementieren.

Vorgabe der Geschäftsleitung

Bevor Sie Entscheidungen über konkrete (Software-)Lösungen zum Schutz der IT-Sicherheit treffen können, sollten Sie auf übergeordnete Unternehmensvorgaben zur Informationssicherheit (inklusive IT-Sicherheit) zurückgreifen können. Der Standard fordert dazu im ersten Punkt des Anhangs A5, der aus historischen Gründen mit Punkt 5 beginnt, eine Leitlinie zur Informationssicherheit. Diese Vorgaben sollten Sie sich von oberster Ebene verabschieden lassen. Sie erhalten dadurch den gewünschten Sicherheitslevel des Unternehmens als Maßgabe, auf Basis dessen Sie die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019