ISO 27001:2005 im Norm-Dschungel

Eine Einführung in Standards der IT-Sicherheit

29.06.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten

Nichts ist so dehnbar wie der Begriff „Sicherheit“. Was für den einen sicher erscheint, ist für den anderen höchst unsicher. Ebenso ist klar, dass ein Security-Mechanismus die Geschäftsabläufe nicht blockieren darf. Damit der Schutz in der IT einen messbaren Bewertungsfaktor erhält, sind weltweit eine Reihe von Normen und Richtlinien erstellt worden. Security-Insider legt Ihnen die Notwendigkeit einer Norm nahe, um Ihnen dann aus der Vielzahl von Normen die ISO/IEC 27001:2005 vorzustellen.

Betriebliche Abläufe zu standardisieren steigert in vielen Fällen die Produktionseffizienz, wie das beispielsweise bei ISO 9001 der Fall ist. Ist ein Standard erst einmal eingeführt, sind die Abläufe transparent darstellbar und innerhalb gewisser Rahmenbedingungen auch vergleichbar. Bevor es dazu kommt sollten aber grundlegende Begriffe definiert werden, damit eine sichere Schnittstelle zu allen ausführenden Organen einer Ablaufkette entsteht.

Möchte man beispielsweise einen englischen Standard in einem deutschen Industriebetrieb einsetzen stellt sich die Frage, wie und ob Anglizismen übersetzt werden, damit alle Verantwortlichen sowie Anwender auch wirklich den Standard umsetzen und daran teilhaben können.

Hat dies keinen Erfolg, dann wird genau das Gegenteil des Angestrebten passieren: Die Effizienz verringert sich. Sind zum Beispiel die Kennwörter zu kompliziert, als dass sich die Mitarbeiter diese merken können, reicht meistens schon ein Blick unter die Tastatur um das Kennwort eines Kollegen zu ergattern.

Gesetzgeber regelt IT-Sicherheit

Der Begriff „IT-Sicherheit“ wird im „Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik“ (BSIG) im zweiten Paragraphen definiert. Demnach bedeutet „Sicherheit in der Informationstechnik […] die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

1. in informationstechnischen Systemen oder Komponenten oder

2. bei der Anwendung von informationstechnischen Systemen und Komponenten“.

Geschäftsführer, Vorstände und Aufsichtsräte müssen IT-Sicherheit sicherstellen und können bei Verstößen auch persönlich in Haftung genommen werden.

Klassische Grundwerte in den Normen

Die Normierung definiert Abläufe und füllt diese mit Begriffen. Darin sind sich alle wichtigen IT-Standards einig. Fragt man IT-Verantwortliche, so wird jeder verschiedene Aspekte nennen, die er mit Sicherheit assoziiert. Jeder Aspekt hat seinen Ursprung in der Erfahrung des jeweiligen IT-Verantwortlichen.

Normen wie die ISO/IEC 27001:2002 und die ISO/IEC 27001:2005 (die Zahl hinter dem Doppelpunkt bezeichnet das Erscheinungsjahr bzw. das Jahr der Überarbeitung) geben genaue Anweisungen in Form eines Aufgabenkatalogs. Nichts wird hier neu erfunden.

Dieser Aufgabenkatalog repräsentiert letztendlich die Summe aller Erfahrungswerte. Bei dem Versuch diese Erfahrungswerte kurz zusammenzufassen, kann man „klassische Grundwerte“ [ISO 13335-1:2004, ISO 27001:2005, BSI Standard 100-1] wie Vertraulichkeit, Integrität und Verfügbarkeit nennen. Die Schwierigkeit liegt also darin, den definierten Aufgabenkatalog so zu bewerten, dass letztendlich eine konkrete Konfiguration in einem Betriebssystem oder Anwendung herauskommt.

Nationale und internationale Interessen

Im Wirrwarr der Normungen sind nationale Interessen nicht außer Acht zu lassen. Im Reigen der Normen finden sich hauptsächlich folgende Institutionen und Firmen:

  • ISO/IEC-Normen – Internationale Organisation für Normung (International Organization for Standardization) und IEC - Internationale elektrotechnische Kommission (International Electrotechnical Commission) )
  • BSI-Standards – Bundesamt für Sicherheit in der Informationstechnik
  • ITIL (IT Infrastructure Library) – Office of Government Commerce (OGC), Great Britain
  • BS-Normen – British Standards Institution (zum Beispiel „BS 7799 Teil 1“ oder kurz „BS 7799-1“)
  • Microsoft Operations Framework (MOF) – Firma Microsoft Inc.
  • Six Sigma – Motorola (80er Jahre) und später bei der Firma General Electric (GE) und deren Tochterfirmen weltweit

Die Frage nach der richtigen Norm kann nicht klar beantwortet werden. Je nach Firmenpräferenz bzw. Servicestruktur werden bestimmte Zertifizierungen benötigt. Favorisiert werden in Deutschland zurzeit ISO/IEC-Normen, da sich auch die BSI-Standards nach diesen richten. Stark im Rennen ist ebenfalls noch das ITIL, das über die reine IT-Sicherheit hinausgeht.

Aufgabenkatalog oder „Best Practices“

ISO/IEC 27001:2005, „IT-Grundschutz nach BSI“ und ITIL haben ähnliche Wurzeln. Sie sind Weiterentwicklungen des britischen Standards BS 7799-2:2002. Bevor es zu einer tatsächlichen Zertifizierung kommen kann, sind in einem Aufgabenkatalog alle Notwendigkeiten beschrieben.

In ITIL und ISO 17799:2005 sind die so genannten „Best Practices“ aufgelistet, die eine Empfehlung darstellen. Insofern kann keine Zertifizierung nach ISO 17799:2005 erwirkt werden. Gleichwohl fließen diese Empfehlungen in ISO 27001:2005 ein. So ist es zu erklären, dass die Norm nur etwa 33 Seiten Inhalt zu Papier bringt. Davon gehören etwa 16 Seiten zum Annex A, der sich auf die ISO 17799:2005 bezieht. Beim Vergleich zum BSI-Standard finden sich dort die Inhalte von 17799:2005 und 27001:2005 wieder.

Wie schon erwähnt: Die Kernaussagen sind zum großen Teil identisch. Ein wesentlicher Bestandteil der Normen ist ein Managementsystem für Informationssicherheit (ISMS).

Die folgenden ISO-Standards beschäftigen sich mit der IT-Sicherheit (Stand Juni 2007):

  • ISO/IEC 13335:2004 – Stellt ein Basiswerk mit Anleitungen dar. Es gibt allerdings keine Lösungen zum Management der IT-Sicherheit.
  • ISO/IEC 17799:2005 – Es werden Empfehlungen für das IT-Sicherheitsmanagement herausgegeben, um ein ISMS aufzubauen. ISO 17799:2005 ist der Nachfolger von BS 7799-1. Wie beim ISO 13335 gibt es keine konkreten technischen Hinweise.
  • ISO/IEC 18028:2005 – Standard über IT-Netzwerksicherheit, insbesondere bei Remote Access.
  • ISO/IEC 18044:2004 – Standard über das Management bei Sicherheitsvorfällen.
  • ISO/IEC 27001:2005 – Standard, der eine Zertifizierung ermöglicht und auf ISO 13335:2005 und ISO 17799:2005 aufbaut. Auch hier gibt es keine praktischen technischen Lösungen. ISO 27001:2005 kann auch als BS 7799-2:2005 bezeichnet werden.
  • ISO/IEC 27006:2007 – Dieser Standard beschreibt Kriterien, die zertifizierende Organisationen nach ISO 27001 erfüllen müssen und ist am 1. März 2007 in Kraft getreten.

ISO-Standards in Planung

  • ISO/IEC 27002 – Dieser geplante Standard trägt den Namen „Code of Practice“ und wird den ISO 17799:2005-Standard ersetzen.
  • ISO/IEC 27004 – Dieser geplante Standard mit der Bezeichnung „Information Security Measurements and Metrics“ hat die Operationalisierung und Messbarkeit von Sicherheitszielen zum Inhalt.
  • ISO/IEC 27005 – Dieser geplante Standard trägt den Namen „Information Security Risk Management“ und ist am Standard BS 7799-3 angelehnt.
  • ISO/IEC 27007 – Dieser Standard wird Auditoren-Richtlinien beinhalten.

Fazit

ISO/IEC 27001:2005 ist - im Gegensatz zu ISO/IEC 17799:2005 - eine Normierung, die eine sinnvolle internationale Zertifizierung ermöglicht. Diese Zertifizierung richtet sich im Wesentlichen nach einem Aufgabenkatalog aus ISO/IEC 17799:2005. Im diesem Aufgabenkatalog sind Erfahrungswerte eingeflossen, die sog. „Best Practices“. Ziel des Katalogs ist der Aufbau eines Managementsystems für Informationssicherheit (ISMS). ISO/IEC 27001:2005 verwendet das gleiche Managementsystem-Prozessmodell, wie ISO 9001 (QMS) und ISO 14001 (EMS).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2005772 / Standards)