bg-intro-1-banner

ISO 27799:2016

Thales kann Ihr Unternehmen bei der Einhaltung von ISO 27799:2016 unterstützen

ISO 27799:2016:

map
Regulierung |  Active Now

ISO 27799 ist eine internationale Norm, die allen, die im Gesundheitswesen oder dessen speziellen Betriebsumgebungen tätig sind, eine Anleitung dazu bereitstellt, wie die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Gesundheitsdaten am besten geschützt werden können.

Thales bietet viele der Lösungen an, die zur Erfüllung dieser ISO-Norm erforderlich sind, darunter:

  • Kontrolle des Datenzugriffs und Verwaltung privilegierter Zugriffe;
  • Verwaltung und Schutz von kryptographischen Schlüsseln;
  • Überwachung und Schutz von Datensätzen, um Kompromittierungen zu verhindern.

1ISO 27799, Zweite Ausgabe 01.07.2016, Health informatics — Information security management in health using ISO/IEC 27002. https://www.iso.org/standard/62777.html

2ISO/IEC 27002, Zweite Ausgabe 01.10.2013: Information technology — Security techniques — Code of practice for information security controls. https://www.iso.org/standard/54533.html

  • Verordnung
  • Einhaltung von Vorschriften

Zusammenfassung der Regelungen

Die in ISO 27799 geforderten Best Practices sind unter anderem:

  • Kontrolle des Datenzugriffs, einschließlich der Verwaltung privilegierter Zugriffe;
  • Kryptographische Kontrolle sensibler Daten
  • Verwaltung und Schutz von kryptographischen Schlüsseln
  • Aufzeichnung und Archivierung „aller wesentlichen Ereignisse, die die Verwendung und Verwaltung von Benutzeridentitäten und geheimen Authentifizierungsinformationen betreffen“ und Schutz dieser Aufzeichnungen vor „Manipulation und unberechtigtem Zugriff“.2

Überblick über die Einhaltung der Vorschriften

Thales kann Sie durch folgende Funktionen dabei unterstützen, die Standards der ISO 27799:2016 zu erfüllen:

  • Zugriffskontrollen, die nur berechtigte Benutzer auf Daten zugreifen lassen
  • Verschlüsselung oder Tokenisierung von Daten, sodass sie im Falle eines Diebstahls nichtssagend und damit für Cyberkriminelle unbrauchbar werden
  • Zentrale Verwaltung und sichere Speicherung von kryptographischen Schlüsseln aus allen Bereichen Ihres Unternehmens
  • Geschützte Security-Intelligence-Protokolle zur Identifizierung unregelmäßiger Zugriffsmuster und laufender Verstöße

Zugriffskontrolle

Die CipherTrust Data Security Platform bietet hochmoderne Benutzerzugriffskontrolle.

  • Trennung von Benutzern mit privilegiertem Zugriff und sensiblen Benutzerdaten. Mit der CipherTrust Data Security Platform können Unternehmen eine starke Aufgabentrennung zwischen privilegierten Administratoren und Dateneigentümern schaffen. CipherTrust Transparent Encryption verschlüsselt Dateien, aber nicht die Metadaten. So können IT-Administratoren – einschließlich Hypervisoren sowie Cloud-, Speicher- und Serveradministratoren – ihre Systemverwaltungsaufgaben erledigen, ohne auf die sensiblen Daten zugreifen zu können, die auf den Systemen gespeichert sind, die sie verwalten.
  • Trennung der administrativen Aufgaben. Es können strenge Richtlinien zur Aufgabentrennung durchgesetzt werden, um sicherzustellen, dass ein Administrator nicht die vollständige Kontrolle über Datensicherheitsaktivitäten, kryptographische Schlüssel oder die Verwaltung hat. Darüber hinaus unterstützt der CipherTrust Manager Zwei-Faktor-Authentifizierung für Administratorzugriffe.
  • Granulare Kontrolle des privilegierten Zugriffs. Die Lösung von Thales kann sehr granulare Zugriffsverwaltungsrichtlinien für die am wenigsten privilegierten Benutzer durchsetzen und ermöglicht so den Schutz der Daten vor Missbrauch durch privilegierte Benutzer und APT-Angriffen. Granulare Richtlinien für die Verwaltung des privilegierten Benutzerzugriffs können nach Benutzer, Prozess, Dateityp, Tageszeit und anderen Parametern angewendet werden. Mit den Erzwingungsoptionen kann nicht nur die Berechtigung zum Zugriff auf Klartextdaten kontrolliert werden, sondern auch, welche Dateisystembefehle einem Benutzer zur Verfügung stehen.

Datenzentrierter Schutz

Thales schützt die Daten selbst durch CipherTrust Transparent Encryption mit integriertem Key Management für Data-at-Rest, CipherTrust Application Data Protection, CipherTrust Tokenization und weitere Funktionen. Diese Techniken sorgen dafür, dass die Daten für alle diejenigen nichtssagend und wertlos sind, die nicht über die nötigen Tools zur Entschlüsselung verfügen.

Einheitliche Schlüsselverwaltung

CipherTrust Enterprise Key Management von Thales bietet eine robuste, standardbasierte Plattform für die Verwaltung kryptographischer Schlüssel aus unterschiedlichen Quellen im gesamten Unternehmen. Es vereinfacht die Verwaltung kryptographischer Schlüssel und die damit einhergehenden administrativen Herausforderungen und gewährleistet, dass die Schlüssel sicher sind und jederzeit für autorisierte Verschlüsselungsdienste bereitgestellt werden.

Security-Intelligence-Protokolle

Mit Thales können Unternehmen außergewöhnliche Datenzugriffe überwachen und identifizieren. CipherTrust-Security-Intelligence-Protokolle sind detaillierte Verwaltungsprotokolle, die angeben, welche Prozesse und Benutzer auf geschützte Daten zugegriffen haben. Sie legen fest:

  • wann und gemäß welchen Richtlinien Benutzer und Prozesse auf welche Daten zugegriffen haben
  • ob Zugriffsanfragen genehmigt oder abgelehnt wurden
  • Zudem zeigen sie, wenn ein privilegierter Benutzer einen Befehl wie „Benutzer wechseln“ eingibt, um zu versuchen, die Anmeldedaten eines anderen Benutzers zu imitieren.

Die Weitergabe dieser Protokolle an eine SIEM-Plattform (Security Information and Event Management) hilft dabei, anomale Muster in Prozessen und Benutzerzugriffen aufzudecken, die weitere Untersuchungen erforderlich machen können.

  • Zugehörige Ressourcen
  • Andere wichtige Datenschutz- und Sicherheitsvorschriften

    DSGVO

    VERORDNUNG
    JETZT AKTIV

    Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.

    PCI-DSS

    MANDAT
    JETZT AKTIV

    Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.

    Gesetze zur Benachrichtigung bei Datenverletzungen

    VERORDNUNG
    JETZT AKTIV

    Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.