Published November 18, 2019 • 2 min read

Informationssicherheitskontrollen sind Maßnahmen zur Verringerung von Informationssicherheitsrisiken wie Verstößen gegen Informationssysteme, Datendiebstahl und unbefugten Änderungen an digitalen Informationen oder Systemen. Diese Sicherheitskontrollen sollen zum Schutz der Verfügbarkeit, Vertraulichkeit und Integrität von Daten und Netzwerken beitragen und werden in der Regel nach einer Risikobewertung für die Informationssicherheit implementiert.Zu den Arten von Informationssicherheitskontrollen gehören Sicherheitsrichtlinien, -verfahren, -pläne, -geräte und -software zur Stärkung der Cybersicherheit. Es gibt drei Kategorien von Informationssicherheitskontrollen:

• Präventive Sicherheitskontrollen zur Verhinderung von Cybersicherheitsvorfällen
• Detektivische Sicherheitskontrollen, die darauf abzielen, einen Versuch einer Cybersicherheitsverletzung („Ereignis“) oder eine erfolgreiche Verletzung („Vorfall“) während der Ausführung zu erkennen und das Cybersicherheitspersonal zu alarmieren
• Korrekturmaßnahmen sicherheitskontrollen, die nach einem Cybersicherheitsvorfall eingesetzt werden, um Datenverluste und Schäden am System oder Netzwerk zu minimieren und kritische Geschäftssysteme und -prozesse so schnell wie möglich wiederherzustellen („Resilienz“)

Sicherheitskontrollen kommen in Form von:

• Zugangskontrollen einschließlich physischer Zugangsbeschränkungen wie Sicherheitsbeamte an Gebäudeeingängen, Schlössern und Umzäunungen
• Verfahrenskontrollen wie Sicherheitsbewusstseinsbildung, Schulungen zur Einhaltung von Sicherheitsrahmen und Pläne und Verfahren zur Reaktion auf Vorfälle
• Technische Kontrollen wie Multi-Faktor-Benutzerauthentifizierung bei der Anmeldung (Login) und logische Zugriffskontrollen, Antiviren-Software, Firewalls
• Compliance-Kontrollen wie Datenschutzgesetze und Cyber sicherheitsrahmen und -standards.

Zu den am häufigsten verwendeten Frameworks und Standards für Informationssicherheit gehören:

• Die Sonderpublikation des National Institute of Standards and Technology (NIST) 800-53, Sicherheits- und Datenschutzkontrollen für Bundesinformationssysteme und -organisationen. Dieses Dokument listet Sicherheitsanforderungen auf, die nicht nur für Bundesbehörden, sondern für alle Informationssicherheitsrisikomanagementprogramme von Organisationen nützlich sind.
• Die Internationale Organisation für Normung (ISO) Norm ISO 27001, Informationssicherheitsmanagement, die Leitlinien für die Sicherheit der Informationstechnologie und Computersicherheit bietet.
• Der Payment Card Industry Data Security Standard (PCI DSS), der Sicherheitsanforderungen und Sicherheitskontrollen für den Schutz sensibler Daten im Zusammenhang mit persönlichen Kreditkarten- und Zahlungskarteninformationen festlegt
• Der Health Insurance Portability and Accountability Act (HIPAA), ein Bundesgesetz zur Regelung der Informationssicherheit und des Datenschutzes für persönliche Gesundheitsinformationen

Frameworks und Standards sind Systeme, die wenn dies befolgt wird, hilft es einem Unternehmen, die Informationssicherheitskontrollen konsistent zu verwalten für alle ihre Systeme, Netzwerke und Geräte, einschließlich Konfigurationsmanagement, physische Sicherheit, Personalsicherheit, Netzwerksicherheit und Informationssicherheitssysteme. Sie definieren, was gute Cybersicherheitspraktiken ausmacht, und stellen eine Struktur bereit, die Unternehmen für die Verwaltung ihrer Informationssicherheitskontrollen verwenden können.