Bestehen Sie Ihr Vendor Security Review
Im Bereich der Sicherheit entwickelt sich alles ständig weiter, und Standards sind da keine Ausnahme. ISO 27001:2022 wird bald ISO 27001:2013 ersetzen. Für die Version 2022 wurden keine wesentlichen Anforderungen aus dem Jahr 2013 gestrichen. Es gibt jedoch zahlreiche Änderungen, hauptsächlich in zwei Kategorien:
- eine ganze Reihe neuer Sicherheitskontrollen
- Zusammenführung vieler der alten Prüfungen von 2013.
Für diesen Blogbeitrag konzentrieren wir uns nur auf die neuen, die sich auf Sicherheit konzentrieren.
Die Revision der ISO 27001:2022 führt 11 neue Kontrollen ein
A.5.7 Bedrohungsaufklärung
Bei dieser wichtigen ISO 27001:2022-Kontrolle geht es darum, Informationen über Bedrohungen zu sammeln und diese zu analysieren, um die richtigen Schutzmaßnahmen zu ergreifen. Das bedeutet, Einblicke in spezifische Angriffe sowie die raffinierten Methoden und Technologien zu erhalten, die diese Angreifer verwenden. Darüber hinaus erfordert sie die Überwachung der neuesten Angriffstrends. Der Trick dabei ist: Sie sollten diese Informationen sowohl innerhalb Ihrer eigenen Organisation als auch aus externen Quellen wie Ankündigungen von Regierungsbehörden und Anbieterberichten sammeln. Indem Sie auf dem Laufenden bleiben, können Sie A.5.7 einhalten.
🎯 Großartige Neuigkeiten – es ist, als wäre Aikido dafür konzipiert worden. Es ist buchstäblich das, was Aikido tut.
A.5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
Um diese ISO 27001:2022-Anforderung zu erfüllen, müssen Sie Sicherheitsanforderungen für Cloud-Dienste festlegen, um Ihre Informationen in der Cloud besser zu schützen. Dies umfasst den Kauf, die Nutzung, die Verwaltung und die Beendigung der Nutzung von Cloud-Diensten.
🎯 Aikido verfügt über ein integriertes Cloud Security Posture Management (CSPM)-Tool, um Ihnen zu helfen.
A.5.30 ICT-Bereitschaft für die Geschäftskontinuität
Diese Kontrolle erfordert, dass Ihre Informations- und Kommunikationstechnologie auf potenzielle Störungen vorbereitet ist. Warum? Damit benötigte Informationen und Assets bei Bedarf verfügbar sind. Dies umfasst die Planung, Implementierung, Wartung und das Testen der Bereitschaft.
🎯 Um Ihnen die Einhaltung dieser ISO 27001:2022-Anforderung zu ermöglichen, prüft Aikido Ihre Bereitschaft für große Cloud-Ausfälle, einschließlich Ihrer Fähigkeit, Backups regionsübergreifend durchzuführen. Diese Funktion ist selbst bei AWS keine Standardeinstellung.
A.7.4 Überwachung der physischen Sicherheit
Diese ISO 27001:2022-Kontrolle unterscheidet sich etwas von den anderen – sie konzentriert sich auf den physischen Arbeitsbereich. Sie erfordert die Überwachung sensibler Bereiche, um nur autorisierten Personen den Zugang zu ermöglichen. Die davon betroffenen Bereiche könnten überall dort sein, wo Sie tätig sind: Ihre Büros, Produktionsstätten, Lagerhallen und jeder andere physische Raum, den Sie nutzen.
🥋 Top-Tipp: Es ist Zeit, ins lokale Dojo zu gehen! Dafür brauchen Sie echtes Aikido! (die Kampfkunst) 😂
A.8.9 Konfigurationsmanagement
Diese Kontrolle erfordert, dass Sie den gesamten Zyklus der Sicherheitskonfiguration für Ihre Technologie verwalten. Ziel ist es, ein angemessenes Sicherheitsniveau zu gewährleisten und unautorisierte Änderungen zu vermeiden. Dies umfasst die Definition, Implementierung, Überwachung und Überprüfung der Konfiguration.
🎯 Eines der Dinge hier ist, dass Sie sicherstellen, dass die korrekte Sicherheit in Ihrem Git (GitHub) für jeden Branch eingerichtet ist, sodass nicht jeder ohne die entsprechenden Genehmigungen mergen kann.
Aikido wird viele der Konfigurationsprobleme in Ihrer Cloud überprüfen. Es wird auch überprüfen, dass Sie IAC verwenden, um Ihre Cloud zu definieren, um Konfigurationsdrift in Ihrer Cloud zu vermeiden.
A.8.10 Informationslöschung
Sie müssen Daten löschen, wenn sie zur Einhaltung dieser Kontrolle nicht mehr benötigt werden. Warum? Um das Austreten sensibler Informationen zu vermeiden und die Compliance mit Datenschutz- und anderen Anforderungen zu ermöglichen. Dies kann die Löschung in Ihren IT-Systemen, auf Wechselmedien und in Cloud-Diensten umfassen.
⚠️ Diese Art von Kontrolle wird von Aikido nicht abgedeckt.
A.8.11 Datenmaskierung
ISO 27001:2022 verlangt von Ihnen, Datenmaskierung (auch bekannt als Datenverschleierung) zusammen mit Zugriffskontrollen zu verwenden, um die Offenlegung sensibler Informationen zu begrenzen. Dies betrifft primär personenbezogene Daten (PII), da hierfür bereits robuste Datenschutzbestimmungen existieren. Darüber hinaus kann es auch andere Kategorien sensibler Daten umfassen.
⚠️ Bei dieser Kontrolle geht es darum sicherzustellen, dass keine falschen PII in Protokollierungssystemen usw. erfasst werden. Glücklicherweise verfügen die meisten modernen Systeme (z. B. Sentry) über eine Art integrierten Filter für diese Anforderung. Aikido ist jedoch nicht dafür ausgelegt, diese Kontrolle zu überprüfen.
A.8.12 Verhinderung von Datenlecks
Für diese Kontrolle müssen Sie verschiedene Maßnahmen zur Verhinderung von Datenlecks anwenden, um die unbefugte Offenlegung sensibler Informationen zu vermeiden. Und sollten solche Vorfälle eintreten, müssen Sie diese rechtzeitig erkennen. Dies umfasst Informationen in IT-Systemen, Netzwerken und allen Geräten.
🎯 Aikido überprüft, ob Ihre Cloud keine Sicherheitsfehlkonfiguration aufweist, die zu einem unerwünschten Datenleck führen könnte.
A.8.16 Überwachungsaktivitäten
Diese Kontrolle erfordert die Überwachung Ihrer Systeme, um ungewöhnliche Aktivitäten zu erkennen und bei Bedarf die entsprechende Incident Response zu aktivieren. Dies umfasst die Überwachung Ihrer IT-Systeme, Netzwerke und Anwendungen.
🎯 Sobald Ihre Anwendungen eingerichtet sind, reicht es nicht aus, die E-Mails einfach im Archiv Ihres Posteingangs zu sammeln. Am besten lassen Sie sie Warnmeldungen an Slack senden. Und wissen Sie was? Aikido macht das.
A.8.23 Web-Filterung
Zum Schutz Ihrer IT-Systeme erfordert die Webfilterkontrolle, dass Sie verwalten, auf welche Websites Ihre Benutzer zugreifen. Auf diese Weise können Sie verhindern, dass Ihre Systeme durch bösartigen Code kompromittiert werden. Sie verhindern auch, dass Benutzer illegale Inhalte aus dem Internet nutzen.
🎯 In der Praxis bedeutet dies die Verwendung jeder Art von WAF, wie z. B. AWS WAF oder Cloudflare. Aikido deckt Sie ab – wir überwachen deren Präsenz.
A.8.28 Sichere Programmierung
ISO 27001:2022 befasst sich auch mit sicherer Codierung. Diese Kontrolle erfordert, dass Sie Prinzipien der sicheren Codierung etablieren und diese in Ihrer Softwareentwicklung anwenden. Warum? Um Sicherheitslücken in der Software zu reduzieren. Wann? Dies kann Aktivitäten vor, während und nach der Codierung umfassen.
🎯 Dies ist Aikidos Statische Anwendungssicherheitstests (SAST), die wir auf erstklassiger Open-Source-Software aufgebaut haben. Zusätzlich können Sie unsere Software-Kompositionsanalyse (SCA) nutzen, die auf Trivy basiert.
ISO 27001:2022 Compliance mit Unterstützung von Aikido
Wenn Sie noch ISO 27001:2013 verwenden, haben Sie etwas Arbeit vor sich. Aber keine Sorge. Es ist machbar, sich in kurzer Zeit auf ISO 27001:2022 auf den neuesten Stand zu bringen.
Wenn Sie Ihre Anwendung schnell absichern möchten, bietet Ihnen Aikido einen vollständigen Überblick über Ihren Status bezüglich Code- und Cloud-Kontrollen.
Möchten Sie wissen, wie Sie dastehen? Überprüfen Sie jetzt Ihre Compliance mit Aikido! Es dauert nur wenige Minuten: https://app.aikido.dev/reports/iso
Möchten Sie mit jemandem sprechen, der den ISO-Zertifizierungsprozess durchlaufen hat? Füllen Sie das untenstehende Formular aus, und wir vereinbaren einen Anruf.
