A.8 Technologische Maßnahmen
Sicherheit von Netzwerkdiensten
Sicherheitsmechanismen, Leistungsniveaus und Anforderungen an Netzwerkdienste müssen identifiziert, umgesetzt und überwacht werden, unabhängig davon, ob sie intern oder ausgelagert erbracht werden.
Was fordert dieses Control?
Sicherheitsmechanismen, Leistungsniveaus und Anforderungen an Netzwerkdienste müssen identifiziert, umgesetzt und überwacht werden, unabhängig davon, ob sie intern oder ausgelagert erbracht werden.
Warum ist das wichtig?
Netzwerkdienste wie VPN, DNS oder Internetzugang müssen klar definierte Sicherheitseigenschaften haben, auch wenn sie von Providern erbracht werden.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| TISAX | 5.2.9 | Direkt |
| BSI | NET.1.1 | Direkt |
| DORA | Art. 28 | Indirekt |
Was der Auditor erwartet
- 1Definierte Sicherheitsanforderungen an Netzwerkdienste
- 2Vereinbarungen mit Dienstleistern (SLA/Security)
- 3Überwachung der Diensterbringung
Audit-Checkliste
Dokumente
Anforderungen an Netzwerkdienste
Sicherheitsmerkmale und Leistungsniveaus je Dienst
Nachweise
Provider-Vereinbarungen
Vertraglich zugesicherte Sicherheit und SLAs
Technisch
Dienstkonfiguration
Sichere Konfiguration von VPN, DNS und Zugängen
Praxis-Tipps zur Umsetzung
Anforderungen festlegen
Für jeden Dienst Sicherheits- und Verfügbarkeitsanforderungen definieren.
Provider einbinden
Bei ausgelagerten Diensten Sicherheit vertraglich zusichern lassen.
Überwachen
Erbringung und Sicherheit der Dienste laufend kontrollieren.
Häufige Fehler
Provider blind vertraut
Keine Sicherheitszusagen für ausgelagerte Netzwerkdienste.
Unklare Anforderungen
Es ist nicht definiert, welche Sicherheit ein Dienst bieten muss.
Häufig gestellte Fragen
Was zählt als Netzwerkdienst?
Etwa Internetzugang, VPN, DNS, Firewall-as-a-Service und ausgelagerte Netzbetriebsleistungen.
Wie sichert man ausgelagerte Dienste ab?
Über klar definierte Sicherheitsanforderungen, Verträge mit SLAs und laufende Überwachung.
Wie verhält sich das zu A.8.20?
A.8.20 betrifft die Netzwerksicherheit selbst, A.8.21 die Sicherheit der bereitgestellten Netzwerkdienste.
So hilft CompliantDesk bei A.8.21
Erfassen Sie Netzwerkdienst-Anbieter als Lieferanten mit Sicherheitsanforderungen und verknüpfen Sie deren Bewertung mit Ihren Kontrollen.