TOM INFORMATIONSSICHERHEIT

12.6 Handhabung technischer Schwachstellen

12 Betriebssicherheit

12.6.1 Handhabung von technischen Schwachstellen

Im Anhang A.12.6 geht es um das technische Schwachstellen-Management. Das Ziel in diesem Anhang A-Bereich besteht darin, die Ausnutzung technischer Schwachstellen zu verhindern.

  1. Benachrichtigung über mögliche Schwachstelle bzw. nötiges Sicherheitsupdate
  2. Analyse der möglichen Gegenmaßnahmen
  3. Erstellen eins Tickets in Azure-Devops im Board automIT an das Security-Management
  4. Festlegen der Bearbeiter
  5. Umsetzung der Gegenmaßnahmen
  6. Nachhalten der Gegenmaßnahmen

12.6.1.1 Zweck

Der Zweck dieses Prozesses besteht darin, Schwachstellen in den IT-Systemen und -Anwendungen einer Organisation zu identifizieren, zu bewerten und zu behandeln, um die Sicherheit der Informationen zu gewährleisten und Risiken zu minimieren. Das Vulnerability Management hilft bei der proaktiven Erkennung von Schwachstellen und ermöglicht es der Organisation, geeignete Maßnahmen zur Risikominderung zu ergreifen.

12.6.1.2 Verantwortlichkeiten

  • Verantwortlich für die Koordination und Durchführung des Vulnerability Management-Prozesses ist die/der IT-Sicherheitsbeauftragte.
  • Verantwortlich für die Bereitstellung von Ressourcen und die Unterstützung des Prozesses ist die/der IT-Sicherheitsbeauftragte.
  • Unterstützung bei der Durchführung von Schwachstellen-Bewertungen und der Umsetzung von Gegenmaßnahmen leistet die/der IT-Sicherheitsbeauftragte.

12.6.1.3 Vulnerability Management-Maßnahmen für Microsoft Azure Cloud

  1. Konfigurationsmanagement:

    • Überprüfung und Optimierung von Sicherheitskonfigurationen der Azure-Ressourcen, um bekannte Schwachstellen zu beheben und sicherzustellen, dass die Best Practices eingehalten werden.
    • Azure Policy wird verwendet um Richtlinien zur Durchsetzung von Sicherheitskonfigurationen festzulegen und durchzusetzen.

  2. Schwachstellen-Sans:

    • Regelmäßige Schwachstellen-Scans der Azure-Infrastruktur werden durchgeführt, um bekannte Schwachstellen zu identifizieren.
    • Das Security-Tool Microsoft Defender for Cloud untersucht täglich sämtliche Azure-Ressource auf bekannte Schwachstellen und fehlende Best Practices.

  3. Patch-Management:

    • Über den Security-Score des Microsoft Defender for Cloud wird sicher gestellt, dass Azure-Ressourcen und -Dienste regelmäßig mit den neuesten Sicherheitspatches und Updates aktualisiert werden.
    • Ein wöchentlicher Patching-Prozess stellt sicher, dass kritische Updates zeitnah eingespielt werden.

  4. Bedrohungsüberwachung:

    • Zur Überwachung von Bedrohungen wird Azure Security Center genutzt. Ziel ist es Angriffe und verdächtige Aktivitäten frühzeitig zu erkennen.
    • Benachrichtigungen via Email und Alarme stellen sicher, dass auf potenzielle Sicherheitsvorfälle in Echtzeit reagiert werden kann.

  5. Incident Response:

    • Der Plan für das Incident Response-Management, der den Umgang mit Schwachstellen in Azure abdeckt, wird unter A.12.6.1 beschrieben.
    • Kommt es zu Informationssicherheitsereignis ist diesem wie unter 16.1.2 beschrieben zu begegnen.

12.6.2 Einschränkungen von Softwareinstallation

12.6.2.1 Zweck

Diese Richtlinie dient dazu, die Installation von Software durch Benutzer in der automIT AG zu regeln, um die Sicherheit, Stabilität und Effizienz der IT-Infrastruktur zu gewährleisten. Die Richtlinie soll sicherstellen, dass nur vertrauenswürdige und genehmigte Software auf den Systemen installiert wird.

12.6.2.2 Gültigkeitsbereich

Diese Richtlinie gilt für alle Mitarbeiter*innen, Vertragspartner und Dritte, die Zugang zu den IT-Ressourcen des Unternehmens haben.

12.6.2.3 Richtlinien

  • Genehmigungspflicht:

    • a. Jede Softwareinstallation muss vorab genehmigt werden. Dies gilt für neue Programme sowie Updates oder Upgrades bestehender Software.
    • b. Die Genehmigung erfolgt durch die IT-Abteilung oder den für die Softwareverwaltung zuständigen Administrator.

  • Vertrauenswürdige Quellen:

    • a. Es dürfen nur Softwareprogramme von vertrauenswürdigen Quellen installiert werden, die als sicher und zuverlässig bekannt sind.
    • b. Software sollte bevorzugt von offiziellen Hersteller-Websites oder über autorisierte Vertriebskanäle bezogen werden.

  • Überprüfung der Software:

    • a. Vor der Installation muss die Software auf potenzielle Sicherheitsrisiken, Malware oder schädlichen Code überprüft werden.
    • b. Die IT-Abteilung ist für die Überprüfung verantwortlich oder kann die Überprüfung an autorisierte Fachkräfte delegieren.

  • Aktualisierungen und Patches:

    • a. Alle Software muss auf dem aktuellen Stand gehalten werden, indem regelmäßig Updates und Sicherheitspatches installiert werden.
    • b. Die IT-Abteilung oder der Softwareadministrator sollte die Mitarbeiter über wichtige Updates informieren und sicherstellen, dass diese zeitnah installiert werden.

  • Einschränkung von Administratorrechten:

    • a. Benutzer sollten keine Administratorrechte auf ihren Arbeitscomputern haben, um unautorisierte Installationen zu verhindern.
    • b. Nur autorisierte IT-Mitarbeiter oder Administratoren dürfen über Administrator-Zugriff verfügen.

  • Verbotene Software:

    • a. Bestimmte Software kann als unsicher, nicht unterstützt oder unvereinbar mit den IT-Ressourcen des Unternehmens eingestuft werden. Diese Software darf nicht installiert werden.
    • b. Eine Liste der verbotenen Software wird seitens der/des Sicherheitsbeauftragen regelmäßig aktualisiert und den Benutzern zur Verfügung gestellt.

  • Meldung von Softwareproblemen:

    • a. Benutzer sollten alle Probleme oder Störungen, die im Zusammenhang mit installierter Software auftreten, umgehend der/dem für diese Software Beauftragen melden.
    • b. Verdächtige oder möglicherweise schädliche Software sollte sofort gemeldet werden, um angemessene Maßnahmen zu ergreifen. Verantwortlich für die Maßnahmen ist der/die Sicherheitsbeauftrage.

  • Schulung und Sensibilisierung:

    • a. Alle Benutzer werden regelmäßig über die Richtlinien und Verfahren zur Softwareinstallation informiert.
    • b. Schulungen zur IT-Sicherheit wird regelmässig angeboten, um die Benutzer über die Risiken unsicherer Software zu sensibilisieren. Verantwortlich für die Maßnahmen ist der/die Sicherheitsbeauftrage. Die Durchführung erfolgt jährlich und wird dokumentiert.

  • Durchsetzung: Die Einhaltung dieser Richtlinie ist obligatorisch. Verstöße gegen die Richtlinie können disziplinarische Maßnahmen nach sich ziehen, einschließlich der eingeschränkten Zugriffsberechtigung oder Sanktionen gemäß den Unternehmensrichtlinien.

Weitere Informationen Durch die unkontrollierte Installation von Software auf Rechnern können Schwachstellen entstehen, die zu einem Informations- oder Integritätsverlust oder anderen Informationssicherheitsvorfällen oder zum Verstoß gegen Rechte an geistigem Eigentum führen.

Last updated: May 19, 2023: feat: add section 12.6.1. (35c4524)
Bearbeiten