ISO 27001:2005 – Vermögensverwaltung für Unternehmen

Informationen und Systeme richtig klassifizieren und inventarisieren

01.08.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten

Die Norm ISO/IEC 27001:2005 beschreibt ein Managementsystem für Informationssicherheit (ISMS). Die Vermögensverwaltung ist in der Norm einer von insgesamt 11 Überwachungsbereichen, die ihre Wurzeln aus den Best-Practices von ISO/IEC 17799:2005 haben. Dieser Artikel liefert neben der Normbetrachtung auch Informationen aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Praxis.

Unter Vermögensverwaltung versteht die Norm eine laufende Inventarisierung und Klassifizierung der materiellen und immateriellen IT-Vermögenswerte einer Firma oder Organisation. Der dritte von insgesamt 11 Überwachungsbereichen handelt von der Vermögensverwaltung, bzw. vom „Asset Management“ (siehe Annex A, §7). Der Bereich ist in folgender Weise gegliedert:

1. Die Verantwortlichkeit für Vermögen – hierunter fallen Inventur, Besitzrechte und Verwendung des Vermögens.

2. Klassifizierung von Informationen – darunter fallen Richtlinien zum Klassifizieren und Etikettieren von Informationen.

Für eine genaue Bemessung der Vermögenswerte bedarf es einer besonderen IT-relevanten Inventur. Sinn und Zweck dieses Aufwands ist eine spätere Risikoabschätzung in Relation zum inventarisierten Vermögenswert.

Verwalten des Firmenvermögens – die Inventur

Leider hat sich in der Praxis gezeigt, dass gerade unvollständige Bestandsaufnahmen zu Sicherheitslücken geführt haben. Insbesondere Produktfeatures wie CTI-Funktionen in TK-Anlagen oder spezielle VPN-Anschlüsse müssen hierbei fachgerecht in die Inventur eingetragen werden. Die Prämisse heißt hier: „Denken Sie an alles!“

Bei der Inventur sind laut Norm folgende Vermögenswerte zu beachten:

1. Alle Informationen, die sich auf beweglichen Datenträgern, Festplatten und Printmedien befinden und folgenden Inhalt haben:

  • Datenbanken, aktive und archivierte Dateien
  • Verträge und Vereinbarungen
  • Systemdokumentation
  • Forschungsinformationen, Benutzermanuals und Trainingsmaterialien
  • Supportinformationen (der Helpdesk-Abteilung)
  • Geschäftspläne, die während eines Schadensfalls und danach die Weiterführung des Geschäftsfeldes gewährleisten
  • Überwachungspfade

2. Alle auf Software basierenden Werte, wie Anwendungen, Systemsoftware (Betriebssysteme, usw.) und Entwicklungs-Tools

  • Alle physikalischen Werte, wie Computer und Kommunikationseinrichtungen, Telefone, Telefonanlagen, Voice-over-IP-Installationen, usw.
  • Kommunikationsdienste und Dienste zum Betrieb von Computern, wie Klimaanlage, Stromversorgung, Beleuchtung und andere Dienstleistungen
  • Das Humankapital, das heißt Mitarbeiter und deren Qualifikation, Beruf und Erfahrung
  • Immaterielle Werte, wie Reputation und Image der Organisation

Besitzrecht im Sinne von Verantwortlichkeit

ISO 27001:2005 schreibt vor, dass alle Informationen und Vermögenswerte eine Art „Besitzer“ erhalten. Unter dem „Besitzer“ versteht die Norm eine Person oder Einheit, die für die Verwaltung des Vermögenswerts verantwortlich ist. Darunter fallen Kontrolle, Entwicklung, Wartung und Benutzung der Sache. Der juristische Besitz im Sinne von „Eigentum“ laut BGB ist damit nicht gemeint.

Verwendung des Vermögens

Die Norm gibt außerdem vor, wie das oben beschriebene Vermögen sinnvoll verwendet wird und verweist auf andere Kontrollziele (siehe Annex A, §10). Dahinter steckt die Idee, dass Regeln und Richtlinien erstellt werden, die die Verwendung von geistigen und materiellen Gütern betreffen.

Alle Mitarbeiter und partizipierenden Personen sollen ausdrücklich Regeln befolgen, die den Gebrauch von E-Mails und Internet sowie die Verwendung von mobilen Geräten betreffen. Intention des Kontrollziels ist – wie sollte es auch anders sein – der Schutz des Vermögens.

Klassifizierung von Informationen

Neben der Inventarisierung von Informationen und Gütern ist eine Klassifizierung notwendig, um den Schutzbedarf zu charakterisieren. Die ISO-Norm gibt vor, dass Datenträger und Geräte entsprechend der Inventur und Klassifizierung etikettiert werden sollen.

ISO 27001:2005 beschreibt sehr allgemein den Schutzgrad, wohl wissend, dass man ihn schlecht „greifen“ kann. Das BSI übernimmt den Denkansatz und verarbeitet diesen. Das Ergebnis sind drei Grade, die das BSI im BSI-Standard 100-2 „Schutzbedarfskategorien“ nennt. Die drei Kategorien, die auch qualitative Aussagen enthalten, lauten wie Folgt:

  • Normal – Die Schadensauswirkungen sind begrenzt und überschaubar
  • Hoch – Die Schadensauswirkungen können beträchtlich sein
  • Sehr hoch – Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Inventur in der Praxis

Zur Inventur von Microsoft-basierenden IT-Netzwerken gibt es mittlerweile eine Reihe von Anwendungen. Microsoft selbst bietet den Systems Management Server an, der eine Hard- und Softwareinventur zulässt (siehe Abbildung 1). Er kann auch die Active Directory-Informationen über Computer und Benutzer auswerten und Netzwerkpläne mit Routern, Servern und anderen SNMP-fähigen Geräten zeichnen. Alle Informationen werden in einer SQL-Datenbank abgelegt.

Nachträgliche Auswertungen der Datenbank sind ebenfalls möglich. Mit „Crystal Reports“ von der Firma Business Objects SA können beispielsweise Berichte aus der Datenbank generiert werden. Desweiteren ist es vorstellbar, Berichte über Webanwendungen auf Sharepoint-Websites darzustellen.

Eine Alternative aus dem Hause Microsoft gab es in der Visio 2002 Enterprise Edition. Hier konnten Netzwerkdiagramme über ein Add-On und unter Zuhilfenahme von SNMP erstellt werden. Bei den neueren Visio-Versionen existiert diese Funktion leider nicht mehr.

Die Firma 3Com bietet mit dem „Network Director“ ein Produkt an, mit dem sich Netzwerkpläne erstellen lassen. Über eine Exportfunktion können die Daten bei Bedarf auch zu Microsoft Visio übertragen werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt in seinen Richtlinien ferner Hinweise, wie eine Ausarbeitung aussehen könnte: In der Erfassung von IT-Systemen sollten Informationen, wie Nummer, Beschreibung, Plattform, Anzahl, Aufstellungsort, Status und Anwender, tabellarisch aufgelistet sein (siehe Abbildung 2). Bei der Inventur von Organisationsstrukturen wird entsprechend vorgegangen und eine Tabelle mit Raum, IT-Informationen und Schutzbedarf aufgestellt.

Fazit

Um potenzielle Schwachstellen entdecken zu können, bedarf es einer ausführlichen Inventur. ISO/IEC 27001:2005 beschreibt die notwendigen Kategorien, das heißt welche Güter materieller und immaterieller Art in das Managementsystem für Informationssicherheit (ISMS) einfließen. Bei einer automatisierten Erfassung der Inventurdaten helfen Anwendungen, wie beispielsweise Microsoft Systems Management Server oder 3Com Network Director.

Alle Anwendungen füllen kontinuierlich eine Datenbank mit Informationen oder erstellen Netzwerkdiagramme. Wie alle Kontrollbereiche der Norm unterliegt auch die Inventur dem Lebenszyklusmodell (Plan-Do-Check-Act-Modell, siehe Abbildung 3 in der Bildergalerie) und muss laufend überwacht sowie gewartet werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2006534 / Standards)