bg-intro-1-banner

ISO/IEC 27002:2013

Thales kann Ihr Unternehmen bei der Einhaltung von ISO/IEC 27002:2013 unterstützen

ISO/IEC 27002:2013:

TestISO/IEC 27002 ist eine internationale Norm, die als Referenz für Kontrollen bei der Implementierung eines Informationssicherheits-Managementsystems verwendet wird und die Kontrolle des Datenzugriffs, die kryptographische Kontrolle sensibler Daten und die Schlüsselverwaltung umfasst.

Thales bietet viele der Lösungen an, die zur Erfüllung dieser ISO-Norm erforderlich sind, darunter:

  • Verschlüsselung von Daten mit Zugriffskontrolle;
  • Verwaltung und Schutz von kryptographischen Schlüsseln;
  • Überwachung des Datenzugriffs, um eine Kompromittierung zu verhindern.
  • Verordnung
  • Einhaltung von Vorschriften

Zusammenfassung der Regelungen

Die in ISO/IEC 27002 geforderten Best Practices sind unter anderem:

  • Datenzugriffskontrolle
  • Kryptographische Kontrolle sensibler Daten
  • Verwaltung und Schutz von kryptographischen Schlüsseln
  • Aufzeichnung und Archivierung „aller wesentlichen Ereignisse, die die Verwendung und Verwaltung von Benutzeridentitäten und geheimen Authentifizierungsinformationen betreffen“ und Schutz dieser Aufzeichnungen vor „Manipulation und unberechtigtem Zugriff“.

1ISO/IEC 27002, Zweite Ausgabe 01.10.2013: Information technology — Security techniques — Code of practice for information security controls. https://www.iso.org/standard/54533.html

Überblick über die Einhaltung der Vorschriften

Thales kann Sie durch folgende Funktionen dabei unterstützen, die Standards der ISO 27002:2013 zu erfüllen:

  • Zugriffskontrollen, die nur berechtigte Benutzer auf Daten zugreifen lassen
  • Verschlüsselung oder Tokenisierung von Daten, sodass sie im Falle eines Diebstahls nichtssagend und damit für Cyberkriminelle unbrauchbar werden
  • Zentrale Verwaltung und sichere Speicherung von kryptographischen Schlüsseln aus allen Bereichen Ihres Unternehmens
  • Geschützte Security-Intelligence-Protokolle zur Identifizierung unregelmäßiger Zugriffsmuster und laufender Verstöße

Zugriffskontrolle

Die CipherTrust Data Security Platform bietet hochmoderne Benutzerzugriffskontrolle.

  • Trennung von Benutzern mit privilegiertem Zugriff und sensiblen Benutzerdaten. Mit der CipherTrust Data Security Platform können Unternehmen eine starke Aufgabentrennung zwischen privilegierten Administratoren und Dateneigentümern schaffen. CipherTrust Transparent Encryption verschlüsselt Dateien, aber nicht die Metadaten. So können IT-Administratoren – einschließlich Hypervisoren sowie Cloud-, Speicher- und Serveradministratoren – ihre Systemverwaltungsaufgaben erledigen, ohne auf die sensiblen Daten zugreifen zu können, die auf den Systemen gespeichert sind, die sie verwalten.
  • Trennung der administrativen Aufgaben. Es können strenge Richtlinien zur Aufgabentrennung durchgesetzt werden, um sicherzustellen, dass ein Administrator nicht die vollständige Kontrolle über Datensicherheitsaktivitäten, kryptographische Schlüssel oder die Verwaltung hat. Darüber hinaus unterstützt der CipherTrust Manager Zwei-Faktor-Authentifizierung für Administratorzugriffe.
  • Granulare Kontrolle des privilegierten Zugriffs. Die Lösung von Thales kann sehr granulare Zugriffsverwaltungsrichtlinien für die am wenigsten privilegierten Benutzer durchsetzen und ermöglicht so den Schutz der Daten vor Missbrauch durch privilegierte Benutzer und APT-Angriffen. Granulare Richtlinien für die Verwaltung des privilegierten Benutzerzugriffs können nach Benutzer, Prozess, Dateityp, Tageszeit und anderen Parametern angewendet werden. Mit den Erzwingungsoptionen kann nicht nur die Berechtigung zum Zugriff auf Klartextdaten kontrolliert werden, sondern auch, welche Dateisystembefehle einem Benutzer zur Verfügung stehen.

Datenzentrierter Schutz

Thales schützt die Daten selbst durch CipherTrust Transparent Encryption mit integriertem Key Management für Data-at-Rest, CipherTrust Application Data Protection, CipherTrust Tokenization und weitere Funktionen. Diese Techniken sorgen dafür, dass die Daten für alle diejenigen nichtssagend und wertlos sind, die nicht über die nötigen Tools zur Entschlüsselung verfügen.

Einheitliche Schlüsselverwaltung

CipherTrust Enterprise Key Management von Thales bietet eine robuste, standardbasierte Plattform für die Verwaltung kryptographischer Schlüssel aus unterschiedlichen Quellen im gesamten Unternehmen. Es vereinfacht die Verwaltung kryptographischer Schlüssel und die damit einhergehenden administrativen Herausforderungen und gewährleistet, dass die Schlüssel sicher sind und jederzeit für autorisierte Verschlüsselungsdienste bereitgestellt werden.

Security-Intelligence-Protokolle

Mit Thales können Unternehmen außergewöhnliche Datenzugriffe überwachen und identifizieren. CipherTrust-Security-Intelligence-Protokolle sind detaillierte Verwaltungsprotokolle, die angeben, welche Prozesse und Benutzer auf geschützte Daten zugegriffen haben. Sie legen fest:

  • wann und gemäß welchen Richtlinien Benutzer und Prozesse auf welche Daten zugegriffen haben
  • ob Zugriffsanfragen genehmigt oder abgelehnt wurden
  • Zudem zeigen sie, wenn ein privilegierter Benutzer einen Befehl wie „Benutzer wechseln“ eingibt, um zu versuchen, die Anmeldedaten eines anderen Benutzers zu imitieren.

Die Weitergabe dieser Protokolle an eine SIEM-Plattform (Security Information and Event Management) hilft dabei, anomale Muster in Prozessen und Benutzerzugriffen aufzudecken, die weitere Untersuchungen erforderlich machen können.

  • Zugehörige Ressourcen
  • Andere wichtige Datenschutz- und Sicherheitsvorschriften

    DSGVO

    VERORDNUNG
    JETZT AKTIV

    Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.

    PCI-DSS

    MANDAT
    JETZT AKTIV

    Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.

    Gesetze zur Benachrichtigung bei Datenverletzungen

    VERORDNUNG
    JETZT AKTIV

    Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.