(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Überwachungs-, Prüf- und Auditaktivitäten sind notwendig, um die Wirksamkeit von Sicherheitsmaßnahmen zu bewerten. Gleichzeitig können diese Tätigkeiten selbst Risiken für Informationssysteme darstellen, etwa durch erhöhte Zugriffe, Tests an produktiven Systemen oder die Offenlegung sensibler Informationen. Dieses Control stellt sicher, dass Informationssysteme auch während Überwachungsprüfungen angemessen geschützt bleiben.

Zweck des Controls

A 8.34 soll gewährleisten, dass Überwachungs-, Prüf- und Auditaktivitäten keine unbeabsichtigten Risiken für die Informationssicherheit verursachen. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen und Daten während interner oder externer Prüfungen sicherzustellen.

Anforderungen und Maßnahmen

1. Planung von Überwachungs- und Prüfaktivitäten

Überwachungsprüfungen müssen sorgfältig geplant werden, insbesondere:

• Definition von Umfang, Ziel und Methode der Prüfung
• Festlegung der betroffenen Systeme und Daten
• Abstimmung mit Betrieb und Informationssicherheit
• Bewertung potenzieller Risiken durch die Prüfung

Eine strukturierte Planung reduziert Störungen und Risiken.

2. Festlegung zulässiger Prüfmethoden

Die eingesetzten Prüfmethoden müssen kontrolliert sein:

• Genehmigung technischer Prüfungen oder Tests
• Einschränkung invasiver oder risikoreicher Verfahren
• Vermeidung unnötiger Eingriffe in Produktivsysteme
• Nutzung sicherer und erprobter Prüfwerkzeuge

So wird die Systemstabilität gewahrt.

3. Zugriffsbeschränkungen für Prüfer

Zugriffe während der Überwachungsprüfung müssen begrenzt werden:

• Zugriff nur auf notwendige Systeme und Informationen
• zeitlich begrenzte Zugriffsrechte
• Nutzung dedizierter Prüfkonten
• Protokollierung aller Zugriffe

Dies schützt vor unbefugter Nutzung.

4. Schutz sensibler Informationen

Während der Prüfung müssen sensible Informationen geschützt werden:

• Einschränkung der Einsichtnahme in schützenswerte Daten
• Anonymisierung oder Maskierung, sofern möglich
• sichere Bereitstellung von Nachweisen
• Vermeidung unnötiger Datenkopien

So wird Informationsabfluss verhindert.

5. Überwachung von Prüfaktivitäten

Prüfaktivitäten müssen überwacht werden:

• Überwachung technischer Tests
• Kontrolle der Systembelastung
• Erkennung unbeabsichtigter Auswirkungen
• sofortige Reaktion bei Auffälligkeiten

Dies ermöglicht schnelles Eingreifen.

6. Umgang mit identifizierten Schwachstellen

Erkenntnisse aus Überwachungsprüfungen müssen geregelt behandelt werden:

• strukturierte Dokumentation der Ergebnisse
• Bewertung der identifizierten Risiken
• Priorisierung und Planung von Maßnahmen
• Nachverfolgung der Umsetzung

So werden Verbesserungen wirksam umgesetzt.

7. Einbindung externer Prüfer

Bei externen Prüfungen müssen zusätzliche Regelungen gelten:

• vertragliche Regelungen zu Vertraulichkeit
• klare Definition von Rechten und Pflichten
• Begleitung externer Prüfer
• Kontrolle der bereitgestellten Informationen

Dies reduziert Risiken durch Dritte.

8. Dokumentation und Nachbereitung

Überwachungsprüfungen müssen dokumentiert und nachbereitet werden:

• Prüfpläne und Genehmigungen
• Protokolle der durchgeführten Aktivitäten
• Ergebnisse und Maßnahmen
• Lessons Learned für zukünftige Prüfungen

Die Dokumentation unterstützt Transparenz und Auditfähigkeit.

Zusammenfassung

A 8.34 fordert, dass Organisationen Informationssysteme auch während Überwachungs- und Prüfaktivitäten wirksam schützen. Durch sorgfältige Planung, kontrollierte Prüfmethoden, beschränkte Zugriffe, Schutz sensibler Informationen sowie strukturierte Nachbereitung wird sichergestellt, dass Überwachungsprüfungen keine zusätzlichen Risiken für die Informationssicherheit verursachen. Das Control ist ein wichtiger Bestandteil eines sicheren und auditfähigen Informationssicherheitsmanagementsystems.