ISO 27001:2005 – Organisation der Informationssicherheit Bestimmungen und Tipps für das Sicherheits-Management in Unternehmen

Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten

Wer sich mit der Norm ISO/IEC 27001:2005 befasst, kommt an der Organisation der Informationssicherheit nicht herum. Dies ist ein Teilaspekt im Managementsystem für Informationssicherheit (ISMS) und gehört zu den Best-Practices aus ISO 17799:2005. Dort ist es das zweite von insgesamt elf Überwachungsbereichen. Dieser Artikel beschreibt die in der Norm spezifizierten Kontrollen sowie Kontrollziele und zieht einige Parallelen zur Grundsicherheit des BSI und zur Praxis.

Anbieter zum Thema

Die Norm unterteilt die Organisation der Informationssicherheit in zwei Blöcke: Der „internen Organisation“ und den „externen Parteien“. Der interne Bereich beschreibt, wie die IT-Sicherheit innerhalb der Organisation zu verwalten ist. Mit „externen Parteien“ sind IT-Dienstleistungsfirmen, Geschäftspartner oder Kunden angesprochen. Zusammengefasst sind die beiden folgenden Ziele wichtig:

Block A: Verantwortung des Firmenmanagements und Aufgaben der Mitarbeiter. Darunter fallen auch grundlegende Betrachtungen hinsichtlich der Verantwortlichkeiten in der Organisation. Wie bei den Sicherheitsrichtlinien dürfen auch die Tätigkeiten des Sicherheitsstabs die gesetzlichen Vorschriften nicht verletzen.

Bildergalerie

Block B: Zusammenspiel interner- und externer Organisationen, das heißt wie verhält es sich mit der IT-Sicherheit in Bezug auf Beraterfirmen, IT-Dienstleitern oder Kunden.

Block A: IT-Sicherheitsorganisation – Verantwortung des Firmenmanagements und Aufgaben der Mitarbeiter

ISMS-Prozesse können am effektivsten umgesetzt werden, wenn eine gewisse IT-Sicherheitsorganisation geschaffen wird. Damit nicht gleich mit Kanonen auf Spatzen geschossen wird, unterliegt die Organisation gewissen Randbedingungen, wie:

  • Größe der Organisation (Anzahl der Mitarbeiter bzw. Anzahl der Computerbenutzer)
  • Art bzw. Beschaffenheit der Organisation (öffentlicher Dienst, Industrie, Militär, usw.)
  • Angestrebter Sicherheitsgrad (oder auch Sicherheitsniveau)

Unter diesen Randbedingungen soll IT-Sicherheit laut ISO 27001:2005 mit folgenden Zielen aufgebaut werden:

a. Die Unternehmensleitung hat die Verpflichtung, die IT-Sicherheit zu führen und zu verwalten.

b. Repräsentanten verschiedenster Unternehmensteile/Organisationen koordinieren die IT-Sicherheit und bilden Ausschüsse.

c. Die Verantwortlichen im IT-Sicherheitsprozess sollten klar bestimmt, und die Tätigkeitsfelder müssen exakt definiert sein.

d. Autorisierungsprozesse für Informationen, die Einrichtungen durchlaufen, sollten definiert und eingerichtet sein. Dahinter verbirgt sich die Verwaltung und Einrichtung differenzierter Autorisierungen. Es regelt, welche Rechte ein Benutzer oder Gerät zu einem bestimmten Zeitpunkt oder Standort haben darf.

e. Non-Disclosure Agreements, die verhindern, dass vertrauliche Informationen jeder Art die Organisation verlassen, bzw. an nicht autorisierte Dritte weiter gegeben werden. Hierbei muss selbstverständlich auch das Recht des jeweiligen Landes eingehalten werden, was bei multinationalen Institutionen zu verschiedenen „Geheimhaltungsvereinbarungen“ führen kann.

f. Kontakte zu relevanten öffentlichen Einrichtungen, wie polizeiliche Behörden oder Feuerwehr sollten aufgebaut werden, damit im „Ernstfall“ ein schnelles Handeln erfolgen kann. Bei einem Datendiebstahl ermöglicht es unter Umständen eine Wiederbeschaffung der Daten.

g. Kontakte zu Interessengruppen, wie zum Beispiel dem Bundesamt für Sicherheit in der Informationstechnik (BSI), helfen präventiv auf Risiken einzuwirken. So können beispielsweise Gefahrenwarnungen zu einer Schadensabwendung führen.

Seite 2: Beispiel einer Organisation für Informationssicherheit

Beispiel einer Organisation für Informationssicherheit

Je nach Organisationsgröße bieten sich verschiedene Möglichkeiten für den Aufbau eines IT-Sicherheitsmanagements an. Die Abbildung 1 in der Bildergalerie greift einen Ansatz des BSI auf und zeigt eine mögliche Realisation für eine große Organisation – mit der kleinen Änderung, dass der „IT-Koordinationsausschuss“ und das „IT-Sicherheitsmanagement-Team“ hier an einem Tisch sitzen.

Das IT-Sicherheitsmanagement-Team hat die Aufgabe, Ziele und Strategien zu bestimmen und die IT-Sicherheitsrichtlinie zu entwickeln und zu überprüfen. Weiterhin berät das Team den IT-Koordinierungsausschuss und die Firmenleitung in allen Sicherheitsfragen.

Das Team wird daher am besten mit Mitarbeitern besetzt, die sowohl das technische, als auch das organisatorische Know-How mitbringen. Ebenso sollte mindestens ein Vertreter der Anwender vertreten sein. Idealerweise sind die Mitglieder hauptamtlich mit dieser Tätigkeit beschäftigt. Ist dies nicht möglich, sollte auf eine ausreichende Freistellung geachtet werden. Ebenso darf kein Interessenskonflikt zu anderen Tätigkeiten vorkommen.

Eine unglückliche Konstellation besteht immer dann, wenn der Kontrolleur auch Administrator in Personalunion ist. Ist dies nicht gegeben, spricht nichts gegen eine Doppelbesetzung von Ämtern, was auch in Abbildung 1 mit dem Koordinationsausschuss und dem IT-Sicherheitsmanagement-Team verdeutlicht ist.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Verantwortliche von Zeit zu Zeit aufeinander abstimmen

Der Koordinationsausschuss ist laut BSI keine Dauereinrichtung, sondern wird bei Bedarf zusammenberufen. Er stellt – wie der Name schon besagt – die Koordination zwischen IT-Sicherheitsmanagement-Team, Anwendervertreter, IT-Sicherheitsbeauftragten und der Unternehmensführung her.

Je nach Organisationsstruktur können dem „Chef-Sicherheitsbeauftragten“ diverse Security-Beauftragte zuarbeiten und lokale Sicherheitsrichtlinien ausführen. Die Delegierung erfolgt auf System- oder Projektebene. Aber auch ein Sicherheitsbeauftragter vor Ort, d. h. in einer Filiale oder Werk, ist manchmal sinnvoll.

Eventuell verschmilzt je nach Größe der Organisation die Bereichsebene (siehe Abbildung 1) mit der Gesamtorganisationsebene. Bei kleinen Institutionen oder Firmen kann letztendlich eine IT-Sicherheitsorganisation „nur“ aus Firmenleitung und IT-Sicherheits-/Datenschutzbeauftragten bestehen.

Seite 3: Der IT-Sicherheitsbeauftragte und der Datenschutzbeauftragte

Der IT-Sicherheitsbeauftragte und der Datenschutzbeauftragte

Laut ISO 17799:2005 sollte die Aufsicht der Überarbeitung und Überwachung eine Person übernehmen, die eine „Besitzerfunktion“ der Informationssicherheits-Richtlinien übernimmt. Es spricht also laut ISO nichts dagegen, den Datenschutzbeauftragten nach Deutschem Recht auch diese Funktion zu übergeben.

Das BSI benennt neben dem Datenschutzbeauftragten auch den IT-Sicherheitsbeauftragten, um im gleichen Atemzug zu erläutern, dass beide Rollen sich nicht grundsätzlich ausschließen. Eine potentielle Gefahr liege in „konfliktträchtigen Themen“ (Quelle BSI 100-2) und ungenügend zeitlichen Ressourcen. Wie diese Themen aussehen könnten, beschreibt das BSI an dieser Stelle allerdings nicht.

In kleineren Organisationen wird aus Personalmangel ohnehin meist nur ein Mitarbeiter zur IT-Sicherheit abgestellt. Nur eines sollte der Beauftragte nicht sein: Administrator! Denn auch hier dürfen keine Interessenskonflikte vorkommen. Von der Rolle des Laien oder eines Anwenders ganz zu schweigen.

Block B: Externe Parteien – Zusammenspiel interner- und externer IT-Sicherheitsstrukturen

Auch wenn die IT-Sicherheit komplett einem Dritten übergeben wird – die Unternehmensführung bzw. die haftenden Gesellschafter sind nicht automatisch aus der Pflicht entlassen. Sie haben trotzdem für den ordnungsgemäßen Ablauf des ISMS zu sorgen, indem Kontrollen über die externe Dienstleistung durchgeführt werden. An dieser Stelle darf auch noch einmal auf das PDCA-Modell (siehe Abbildung 2) hingewiesen werden, das jede Aufgabe bzw. Kontrollziel durchläuft.

ISO 17799:2005 und ISO 27001:2005 beschreiben insgesamt drei Ziele:

1. Identifizieren von Risiken, die durch externe Parteien hervorgerufen werden können

2. Behandlung der IT-Sicherheit in Verbindung mit Geschäftspartnern

3. Behandlung der IT-Sicherheit bei „Third Party Agreements“

Risiken durch externe Parteien

Wenn eine Organisation das Allerheiligste – nämlich den Schutz der Betriebsgeheimnisse – in dritte Hände übergibt, müssen vor Beginn dieser Allianz spezielle Sicherheitsrichtlinien erstellt werden. Die ohnehin zu erstellende Risikoabschätzung muss um die Rolle des externen Partners erweitert werden.

Fragen nach den involvierten Mitarbeitern des Sicherheitsunternehmens, Führungszeugnissen, Fachkenntnissen und Befugnisse sind genauso zu klären, wie mögliche Haftungen, die einen Missbrauch seitens dieser Personen mit sich ziehen. Genaue Kontrollen (Liste, siehe ISO-Norm) über den Sicherheitsstand des ISMS seitens der auftraggebenden Organisation sind unerlässlich.

Seite 4: IT-Sicherheit in Verbindung mit Geschäftspartnern

IT-Sicherheit in Verbindung mit Geschäftspartnern

Kunden oder Zulieferfirmen erhalten oft einen Zugriff auf Datenbanken des Auftraggebers. Primäres Ziel ist der Schutz seines Firmenkapitals vor unbefugten Dritten. Der Auftraggeber, der in diesem Fall die zu zertifizierende Organisation darstellt, sollte die eigene IT-Sicherheit dem Partner kommunizieren.

In vielen Fällen wird in diesem Zuge eine gleiche Zertifizierung des Partners gefordert. Wenn sich dann Sicherheitsprozesse ähnlich verhalten, kann ein gemeinsames Sicherheitsniveau einfacher ausgehandelt werden. Das können beispielsweise bestimmte Zugriffsrechte auf Datenbanken oder der verschlüsselte Zugriff auf einem Server über IPSec sein.

IT-Sicherheit bei „Third Party Agreements”

Verträge, die die Dienstleistung „ISMS” transparent beschreiben, helfen sowohl dem Dienstleister als auch dem Auftraggeber Missverständnisse zu umgehen. Der Dienstleister kann allerdings keine hundertprozentige Sicherheit versprechen, da es diese de facto nicht gibt.

Damit man auf schwammige Erklärungen im Vertragswerk („Er sollte sich redlich bemühen…“) verzichtet, liefert ISO 17799:2005 eine Liste von mehr als 35 Kontrollzielen. Diese umfassen Bereiche, wie den Zugriffsschutz bis hin zur Dokumentation.

Fazit

Damit ein Managementsystem für Informationssicherheit funktioniert, muss eine geeignete Organisationsstruktur aufgebaut werden. Sie ist Abhängig von der Größe und Art der Organisation/Firma und beschreibt die Rollen der einzelnen Personen in dieser Struktur.

Eine herausragende Rolle spielt hierbei der Datenschutzbeauftragte bzw. der IT-Sicherheitsbeauftragte. Er hat sich bei großen Institutionen um das Funktionieren des „Systems“ zu kümmern und ist wichtiges Bindeglied zwischen der Geschäftsführung, den Gremien, den Mitarbeitern und weiteren untergestellten IT-Sicherheitsbeauftragten.

Wird das ISMS oder Teile hiervon in dritte Hände vergeben, muss die auftraggebende Partei eine Risikoabschätzung durchführen und einen detaillierten Vertrag mit dem Dienstleister abschließen (Third Party Agreement).

Artikelfiles und Artikellinks

(ID:2006353)