Was ist die Zertifizierung nach ISO 27001 und warum ist sie notwendig?

Was genau wurde zertifiziert und wie wurde die Zertifizierung durchgeführt?

Vor kurzem hat TÜV AUSTRIA bestätigt, dass das Informationssicherheitsmanagementsystem (ISMS), das wir im Rahmen unserer Kaspersky Security Network (KSN) Infrastruktur anwenden, dem ISO / IEC 27001: 2013-Standard für die Zustellung schädlicher und verdächtiger Dateien entspricht. TÜV bestätigte auch die sichere Speicherung und den sicheren Zugriff auf diese Dateien im Kaspersky Lab Distributed File System (KLDFS). Wir erklären Ihnen, was es mit der Zertifizierung nach ISO / IEC 27001: 2013 auf sich hat.

Was ist die ISO 27001?

Die ISO 27001 ist eine internationale Norm, die Anforderungen für die Erstellung, Wartung und Entwicklung von Managementsystemen der Informationssicherheit umfasst. Im Wesentlichen handelt es sich um eine Sammlung von Best Practices für Sicherheitsmanagementmaßnahmen zum Schutz von Informationen und zur Gewährleistung des Kundenschutzes (Ihrer Daten).

Für die Zertifizierung entsendet eine unabhängige Stelle, in unserem Fall TÜV AUSTRIA, Gutachter, die uns auf die Gewährleistung der Cybersicherheit und Best Practices prüfen. Während des Audits bewerten sie Prozesse in verschiedenen Abteilungen (einschließlich Personalwesen, IT, F & E und Sicherheit) und erstellen einen umfassenden Bericht, den andere unabhängige Experten analysieren, um die Unparteilichkeit der Gutachter sicherzustellen. Schließlich stellt die unabhängige Organisation ein Zertifikat aus, das in unserem Fall bestätigt, dass unser ISMS den Best Practices entspricht.

Was ist „zertifiziert“?

Unsere Kunden sind in erster Linie daran interessiert, ob wir ein Höchstmaß an Sicherheit für die Bereitstellung von böswilligen und verdächtigen Objekten (Dateien) für zusätzliche automatische und manuelle Analysen durch unsere Experten bieten und ob wir diese Objekte folglich zuverlässig speichern. Dieser Bereich ist maßgebend  für jedes Antivirenunternehmen. Aus diesem Grund haben wir die Zertifizierung der Bereitstellungsmechanismen für schädliche und verdächtige Dateien mithilfe der Infrastruktur von Kaspersky Security Network und deren sichere Speicherung im verteilten Kaspersky Lab-Dateisystem angestrebt. Die Prüfungen waren jedoch nicht nur auf diesen Bereich beschränkt. Viele Dienstleistungen im Unternehmen sind ähnlich angeordnet.

Viele Faktoren wirken sich auf die Sicherheit eines Prozesses aus und ISMS können dabei helfen, diese Faktoren zu definieren und einen zeitnahen Schutz zu bieten. Viele Fragen aus dem Bereich Cybersicherheitsmanagement können als grundlegend angesehen werden. Wer hat Zugang zu Informationssystemen und kritischen Daten? Wie verläuft der Bewerbungsprozess? Wie arbeiten Mitarbeiter mit Dokumenten und Informationssystemen? Wie geht das Sicherheitsteam mit dem Widerruf von Zugriffsrechten um, wenn ein Mitarbeiter das Unternehmen verlässt? Wie bewusst sind sich die Mitarbeiter möglicher Cyberbedrohungen und Schutzmaßnahmen? Wie arbeiten Administratoren mit Computern, auf denen kritische Vorgänge ausgeführt werden?

Das Schutzsystem berücksichtigt auch neue Arten von Bedrohungen und Gegenmaßnahmen, beispielsweise den Schutz vor APT-Angriffen, um den möglichen Risiken des Einsatzes neuer Technologien, einschließlich der Verwendung von Algorithmen für maschinelles Lernen, entgegenzuwirken.

Vor diesem Hintergrund analysierten die Prüfer die Dokumentation, sprachen mit Mitarbeitern aus verschiedenen Abteilungen und analysierten die technischen und organisatorischen Aspekte des Datenschutzes, wie z. B. die Prozesse der Einstellung, Entlassung und Schulung. Sie untersuchten, wie der IT-Service das Unternehmensnetzwerk unterhält und besuchten außerdem unsere Rechenzentren. Sie beobachteten auch, wie Mitarbeiter arbeiten, überprüften, ob sie gedruckte Dokumente und Wechselmedien im Büro herumliegen ließen und ob sie ihre Computer abseits ihrer Schreibtische sperrten, was auf ihren Monitoren und Dashboards angezeigt wurde und welche Arten von Programmen sie verwendeten. Mit anderen Worten, sie analysierten die Praktiken, die für das gesamte Unternehmen gelten, und achteten dabei besonders auf die Überprüfung der Prozesse des ISMS: Sicherheitsanalyse durch das Management, Risikomanagement, Incident-Management, Korrekturmaßnahmen, Audits, Gewährleistung des Cybersicherheitsbewusstseins der Mitarbeiter und Aufrechterhaltung der Geschäftskontinuität.

Was steht als Nächstes an?

Interessierte Kunden können sich nun mit dem Zertifikat vertraut machen, das die Meinung unabhängiger Experten darstellt. Fragen zur ISO 27001-Zertifizierung tauchen häufig auf, insbesondere wenn ein Unternehmen einen Sicherheitsanbieter auswählt, da die meisten unserer Lösungen zertifizierte Services beinhalten.

Doch die Arbeit hört hier nicht auf. Wir zertifizieren alle drei Jahre neu und das bedeutet mehr Audits. Darüber hinaus werden jährlich Stichproben von den Prüfern durchgeführt.

Weitere Informationen zum Zertifikat finden Sie unter https://www.kaspersky.com/about/iso-27001.

Tipps