ISO 27001:2005 – Kommunikations- und Betriebsmanagement

Kernbereiche ausführbarer Managementprozesse im ISMS

22.08.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Peter Schmitz

Das Kommunikations- und Betriebsmanagement (operatives Controlling) ist einer der wichtigsten Überwachungsbereiche des ISO/IEC 27001:2005. Es beschäftigt sich mit konkreten Maßnahmen zur Netzwerk- und Betriebssystemsicherheit in dem ISMS (Managementsystem für Informationssicherheit). Darunter fallen betriebliche Abläufe, Systemplanung oder der elektronische Handel.

ISO/IEC 27001:2005 richtet sich bei den Kontrollzielen nach den „Best Practicies“ von ISO/IEC 17799:2005. Kontrollziele sind die „Aufgaben“ in einem Überwachungsbereich. Auf 23 Seiten werden Vorschläge zu Themen, wie Betriebsvorgänge bis hin zur Überwachung gegeben.

Dieser Artikel gibt einen Überblick über die Inhalte. Viele davon haben Überschneidungen mit anderen Kontrollzielen der Norm, aber auch mit weiteren standardisierten Managementsystemen, wie dem IT-Service-Management ITIL (IT Infrastructure Library) und Grundschutz nach BSI (Bundesamts für Sicherheit in der Informationstechnik).

Folgende Kontrollziele sind laut ISO-Norm zu beachten:

  • Betriebliche Abläufe und Verantwortlichkeiten
  • Verwaltung der Dienstleister
  • Systemplanung und Abnahme
  • Schutz gegen bösartigen Programmcode
  • Backup
  • Netzwerksicherheitsmanagement
  • Datenträgermedien-Behandlung
  • Austausch von Informationen
  • Elektronischer Handel (E-Commerce)
  • Überwachung von System- und Netzwerkzugriffen

(1) Betriebliche Abläufe und Verantwortlichkeiten

Unter den betrieblichen Abläufen fallen Kontrollziele, wie die Dokumentation von Arbeitsabläufen, das Veränderungsmanagement (Change Management), die Abtrennung von Verantwortlichkeiten und die Aufteilung von Entwicklungs-, Test- und Produktiveinrichtungen.

Im Veränderungsmanagement werden alle Aufgaben und Maßnahmen zusammengefasst, die eine Umstrukturierung von Prozessen und Systemen bewirken. Hier bezieht sich die ISO-Norm auf weitreichende Kontrollen von Betriebssystemen und Anwendungen, wie das Planen und Testen von Veränderungen. Da das Veränderungsmanagement sich nicht mit der Änderung bzw. Verbesserung von Produkten beschäftigt, darf man es nicht mit dem Änderungswesen verwechseln. Weitere Informationen zum Thema Organisation sind im Überwachungsbereich „Organisation der Informationssicherheit“ zu finden (Annex A, § 6).

(2) Verwaltung der Dienstleister

Im Falle von Outsourcing ist der Schutz der Informationen, die den Auftraggeber in Richtung Dienstleister verlassen, essentiell. Wie beim internen Sicherheitsmanagement, ist der Dienstleister zu überwachen und zu überprüfen. Zur Anwendung kommt auch der Kontrollbereich „Organisation der Informationssicherheit“ (§ 6, Annex A).

Der Auftraggeber sollte sich bewusst sein, dass ein Outsourcing ihn nicht aus der Haftung entlässt, sollte eine Verletzung des Datenschutzes bzw. gültiger Gesetze stattfinden. Daher ist es empfehlenswert, die letztendliche Entscheidungsgewalt nicht in fremde Hände zu geben.

(3) Systemplanung und Abnahme

Systemplanung und Abnahme minimieren das Risiko des Systemausfalls. In der Praxis hat sich gezeigt, dass ein zu knappes Kalkulieren von Ressourcen ein höheres Ausfall- oder Teilausfallrisiko nach sich zieht. Läuft ein Servergerät erst einmal, und hunderte von Benutzern arbeiten produktiv auf diesem Gerät, ist ein Upgrade aufwändiger, als eine sinnvolle Planung im Vorfeld.

Bei der Planung ist daher auf Skalierbarkeit und Ausfallsicherheit (redundante Hardware- und Softwarekomponenten) unbedingt zu achten. Des Weitern sind Notfallpläne und Prozeduren bei der Abnahme zu testen und dokumentieren.

(4) Schutz gegen bösartigen Programmcode

Vorsorgemaßnahmen gegen bösartigen Programmcode gehören mittlerweile zum Standard, wenn es um IT-Sicherheit geht. Diverse Hersteller bieten Softwarepakete zum Schutz vor Viren, Trojanern und Netzwerkwürmern an. Die Software wird meistens zentral verwaltet und auf Server und Clients zeitgesteuert aufgespielt.

Damit der Schutz immer Up-to-date ist, sind Aktualisierungsraten (über das Internet) von einer Stunde Standard. Sinnvoll kann allerdings auch das Entfernen oder Blockieren von Disketten, CD/DVD-Rom, PCMCIA-Schächten (bei Notebooks), USB-Schnittstellen oder anderen Daten-Schnittstellen sein. Sollte ein Schadensfall eintreten, ist ein geprüfter Notfallplan auszuführen.

(5) Backup

Backups sind bei versehentlich gelöschten Daten und zum Widerherstellen von Betriebssystemen nach Befall von bösartigem Code notwendig. Die Norm ebenfalls vor, dass eine Prüfung der Sicherung vorzunehmen ist. Für die Verwaltung der Datenmenge und Datenträger sind Informationen über Standort, Anzahl der Sicherheitskopien, Datum und Größe notwendig.

Sinnvollerweise liegt ein Backup-Standort etwas abseits vom Serverraum oder Rechenzentrum. Je nach Sicherheitsbedürfnis („Schutzbedarfskategorie“, laut BSI) ist auch ein zweites, vollständiges physikalisch geschütztes Backup-Rechenzentrum an einem anderen Standort notwendig. Sind Backups von Datenträgern erforderlich, sollte die Dauer des Backups und die Down-Zeit bei Widerherstellung beachtet werden.

(6) Netzwerksicherheitsmanagement

ISO 27001:2005 schreibt vor, dass Netzwerke angemessen verwaltet und kontrolliert werden. Aber auch auf die Sicherheit der Netzwerkdienste ist zu achten. Die Norm schreibt unter Anderen vor, dass verantwortliche Personen für die Netzwerksicherheit abzustellen sind. LAN und WAN-Strecken sollten genauso überwacht werden, wie die leider oft vernachlässigten funkbasierenden Netze.

Für die Überwachung können Kontrolldateien (Log-Files) ausgelesen und spezielle Intrusion-Detection-Software eingesetzt werden. Falls dennoch ein unerlaubter Zugriff vorkommt, können verschlüsselte Datenübertragungen ein Lesen der Informationen verhindern. Technologien zum Verschlüsseln (z. B. IPSec) sind heute Bestandteil von modernen Betriebssystemen und müssen lediglich eingerichtet werden. Durch Smartcards und andere Authentifizierungsgeräte kann in der Praxis sichergestellt werden, dass nur befugte Personen sich am Netzwerk anmelden. Aber auch einfache Maßnahmen, wie das „schlichte“ Abtrennen vom Internet, können sehr sinnvoll sein. Mehr zu diesem Thema ist auch im Überwachungsbereich „Zugriffskontrolle“ zu finden (Annex A, § 11).

(7) Datenträgermedien-Behandlung

Die Verwaltung von Medien (Diskette, Festplatte, USB-Sticks, CDs, DVDs, Papier, usw.) dient zum Schutz gegen Diebstahl oder unerlaubter Verwendung. Medien können physikalisch oder per Softwareverschlüsselung geschützt werden. Auch die sichere Entsorgung der Medien, wie zum Beispiel durch Shreddern, ist zu beachten.

Auch IT-Abwicklungsverfahren helfen, einen Missbrauch oder falsche Handhabung der Datenträger zu verhindern. Diese Maßnahmen umfassen beispielsweise ein Etikettieren, Inventarisieren oder Löschen nicht benötigter Kopien. Mehr zu diesem Thema ist im Überwachungsbereich „physische Sicherheit“ zu finden (Annex A, § 9).

(8) Austausch von Informationen

Bei diesem Kontrollziel soll der Austausch von Informationen innerhalb der Organisation und zu externen Parteien sicher gestaltet werden. Die Norm benennt 15 Betriebsabläufe, die einen sicheren Datenaustausch ermöglichen. Sie betreffen das Kopieren, Modifizieren, Löschen oder Öffnen von Informationen bzw. Daten. Aber auch der Einsatz kryptographischer Methoden oder der Umgang mit technischen Geräten ist zu beachten.

Manche Geräte haben unter Umständen Funktionen, die eine Zwischenspeicherung oder Widerherstellung von Daten ermöglichen. Darunter fallen Wahlwiederholungen (Faxe, Telefone), Fernabfragen (Fax, Faxkarten, Telefonanlagen, Router, Firewalls, …) oder das Cachen von Daten (Kopierer, Drucker, Faxgeräte, Proxy-Server,…). Ebenfalls zu schützen ist die Kommunikation via Sprache oder Fax. Telefongespräche werden bei den Telekommunikationsdiensten digitalisiert und über Satellit oder Internet (Voice over IP) gesendet. Es bedarf also nicht zwangsläufig eines Richtmikrofons, um Gespräche zu belauschen.

(9) Elektronischer Handel (E-Commerce)

Für Organisationen, die einen elektronischen Handel über das Internet betreiben, ist der Schutz und Vertraulichkeit der Daten laut ISO 27001:2005 vorgesehen. Da in diesem Fall schnell das deutsche Gesetz greift, sind die Vorgaben der Norm mit Vorsicht zu genießen.

Insgesamt zu beachten sind folgende gesetzliche Regelungen, für:

  • den Vertragsabschluss über das Internet
  • die Zugangs- und Beweisregelungen
  • die elektronische Signatur
  • die Anforderungen an den elektronischen Geschäftsverkehr
  • die Unternehmensangaben auf den geschäftlichen E-Mails
  • die elektronische Rechnungsstellung

Die Speicherung und Weitergabe von Informationen an Dritte sind ohne Zustimmung des Kunden untersagt. (Aus Kundensicht empfiehlt es sich daher, die AGBs eines Online-Shops durchzulesen!) Aber auch neben der Daten-Integrität ist die Verfügbarkeit der Dienste vorgeschrieben. Bei Online-Transaktionen muss die vollständige Transaktion durch eine Datenverschlüsselung gesichert sein.

Derzeitig ist der SSL-Standard üblich. Für die Vergabe von Sicherheitszertifikaten zur Verschlüsselung ist auf vertrauenswürdige Zertifikatsherausgeber bzw. Stammzertifizierungsstellen (siehe Abbildung 1) zurückzugreifen.

(10) Überwachung von System- und Netzwerkzugriffen

Eine Überwachung von System- und Netzwerkzugriffen ermöglicht eine Erkennung von Eindringlingen. Hier werden zwangsläufig persönliche Benutzerdaten (Zugriffszeiten, usw.) gespeichert.

Vermutlich werden die in der Norm vorgeschlagenen Ziele - wie Speichern von Log-Dateien und Überwachung von Datenzugriffen oder E-Mails - an dem Veto des Betriebsrats bzw. der Gerichte (falls es zu einer Klage kommt) scheitern. Dennoch ist eine Überwachung durchaus möglich und auch durchsetzbar – vorausgesetzt, eine vernünftige Koordination der IT-Sicherheitsrichtlinien wurde etabliert. Weitere Informationen zu diesem Thema liefert auch der Überwachungsbereich „IT-Compliance“ (Annex A, § 15).

Fazit

Der Überwachungsbereich „Kommunikations- und Betriebsmanagement“ ist eines der umfangreichsten der ISO-Norm. In insgesamt 10 Kapiteln werden Maßnahmen zur Sicherung von Netzwerken und Betriebssystemen geliefert. Der Rundumschlag betrifft nicht nur organisatorische Aspekte, sondern auch konkrete technische Hinweise, wie beispielsweise das Zwischenspeichern von Informationen in Kopierern oder Faxgeräten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2006891 / Standards)