ISO 27001:2005 – Erfassung, Entwicklung und Wartung

Technische Verwaltungsprozesse vermindern Schadensanfälligkeit

27.08.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Peter Schmitz

ISO 27001:2005 dient zur Errichtung eines Managementsystems für Informationssicherheit (ISMS). Der achte Überwachungsbereich beschäftigt sich speziell mit der Systementwicklung und Wartung, denn ein ISMS muss laufend Up-to-date gehalten werden. Verbesserungen können beispielsweise durch Kauf neuer Sicherheitsprodukte oder durch Erneuerung von kryptografischen Methoden erreicht werden.

ISO/IEC 27001:2005 besteht insgesamt aus 11 Überwachungsbereichen. Das hier angesprochene Thema ist der 8. Überwachungsbereich aus dem Annex A (§12). Der Überwachungsbereich ist in 6 Kategorien und insgesamt 16 Kontrollzielen unterteilt. Die Kontrollziele stellen die eigentlichen Aufgaben oder Maßnahmen dar. Wie bei den anderen Überwachungsbereichen, übernimmt die Norm die Vorgaben aus ISO 17799:2005.

Ein direkter Vergleich mit dem BSI-Standard 100-2 (Bundesamt für Sicherheit in der Informationstechnik) ist in diesem Fall jedoch nicht möglich, da die Kontrollziele in die jeweiligen BSI-Schutzbedarfskategorien eingebunden sind.

In diesem Überwachungsbereich wird noch einmal ganz speziell auf die Weiterentwicklung von IT-Sicherheit hingewiesen, um zu verdeutlichen, dass es sich hier um einen wesentlichen Bestandteil eines ISMS handelt. Gemäß dem PDCA-Lebenszyklusmodell (siehe Abbildung 1) unterliegen ISMS-Prozesse einer fortwährenden Überprüfung und Wartung.

Folgende Kategorien betreffen die Systementwicklung und Wartung:

  • Sicherheitsanforderungen für Informationssysteme
  • Fehlerfreie Prozessausführung
  • Kryptografische Kontrollen
  • Sicherheit von Systemdateien
  • Sicherheit in Entwicklungs- und Support-Prozessen
  • Verwaltungsprozesse zur Reduzierung von Schadensanfälligkeit

Sicherheitsanforderungen für Informationssysteme

Hinter dieser Kategorie verbirgt sich die einfache Aussage, dass neu angeschaffte IT-Systeme einen Sicherheitstest absolvieren müssen. Es sollte eigentlich selbstredend sein- Die Norm weist aber auch darauf hin, dass neue Produkte vor dem Kauf auf deren Risikoanfälligkeit getestet sein sollten. Eine Aufrechterhaltung der IT-Sicherheit und die kontinuierliche Verbesserung sollte sinnvoll nach dem bereits erstellen Sicherheitslevel durchgeführt werden. Dennoch müssen auch bei einem geringen Risikolevel alle Beschlüsse und Ergebnisse nachvollziehbar dokumentiert sein (siehe auch BSI-Grundschutz 100-2).

Fehlerfreie Prozessausführung

Leser anderer Überwachungsbereiche aus dem Best-Practices (ISO 17799:2005) werden zwar keine wesentlichen Neuigkeiten finden, doch zum Überblick lassen sich folgende Kontrollziele gut verwenden:

  • Eine Gültigkeitsprüfung – Eingangsdaten werden überprüft, bevor diese in Applikationen eingehen, wie beispielsweise Werte, die sich außerhalb des gültigen Wertebereichs (out-of-range) befinden. Auch Ausgangsdaten sollen z. B. nach Plausibilität geprüft werden.
  • Eine interne Prozesskontrolle – Innerhalb von Applikationen werden Daten überprüft, wie beispielsweise buffer overruns/overflows.
  • Eine Nachrichtenintegrität – Die Überprüfung, ob alle Daten unversehrt und vollständig sind. Dies kann beispielsweise durch digitale Signaturen erreicht werden.

Kryptografische Kontrollen

Kryptografische Kontrollen in der Informationstechnologie haben die Vertraulichkeit, Echtheit und die Integrität zum Ziel. Hierzu sieht die Norm vor, dass zunächst eine Richtlinie für den Gebrauch von kryptografischen Methoden entwickelt werden sollte. Nachfolgend beschäftigt sich die Norm mit der Schlüsselverwaltung (Key Management).

Eine fehlerhafte oder nicht einheitliche Verschlüsselung, zum Beispiel mit IPSec, hat sehr schnell zur Folge, dass Computersysteme nicht mehr miteinander Kommunizieren können. Beim Einsatz von MS Windows Server sollte daher auf eine Systemrichtlinie in der Active Directory zurückgegriffen werden. Diese sollte innerhalb der Active Directory-Struktur entsprechend des Sicherheitslevels einheitlich erstellt und gewartet werden. Sinnvoll ist es dann, dass Planung, Dokumentation, Einrichtung und Schlüsselverwaltung von einem Team oder einer verantwortlichen Person ausgeführt werden.

Die Norm weist besonders auf folgende Sicherheitsaspekte hin:

  • Die Vertraulichkeit (Confidentiality) kann durch Verschlüsselung von Daten oder Datentransfer gewährleistet werden.
  • Die Integrität/Authentizität (Integrity/Authenticity) - Digitale Signaturen oder Authentifizierungsmethoden (z. B. Kerberos-Verschlüsselung) helfen, die Gültigkeit und Unversehrtheit von Informationen zu schützen.

Neben der Entwicklung darf in der Wartungsphase die Kontrolle von Schlüsseln und Zertifikaten nicht vergessen werden. Insbesondere mit Zertifikaten und Schlüsseln muss verantwortungsvoll umgegangen werden, da man diese auch abspeichern und kopieren kann. Ein Diebstahl eines Schlüssels hätte schlimme Folgen, da ein Angreifer alle Eingangskontrollen eines Systems überwinden kann und nur durch individuelle Fehler überführt werden könnte. Daher ist die Wartungsaufgabe „Wechseln der Schlüssel und Zertifikate“ und „Überprüfung der Schlüsselstärke“ innerhalb der PKI (Public Key Infrastructure) sehr wichtig.

Sicherheit von Systemdateien

Systemdateien sind Ziele von Sabotage oder bösartigem Code. Eine Kontrolle und Entwicklung einer Sicherheitsrichtlinie hat die Integrität dieser Dateien zum Ziel. Kryptografische Methoden kommen hier eher weniger zum tragen, denn eine Verschlüsslung der Datei kann zu einer Fehlfunktion des Betriebssystems führen.

Wichtige Aufgaben sind daher das Aufspielen der neuesten Sicherheits-Patches. Zwecks Funktionskontrolle sollten die Patches vor dem Einsatz gesondert getestet sein. Auch die Ereignisanzeige (Audit Log) sollte regelmäßig ausgewertet werden. Grundsätzlich sollte mit dem Zugriff auf Systemdateien verantwortungsvoll und vorsichtig umgegangen werden. Tools zur Sicherung helfen hierbei, wie z.B. das Snap-In „Sicherheitsvorlagen“ bei Microsoft XP und Server (siehe Abbildung 2).

Sicherheit in Entwicklungs- und Support-Prozessen

Änderungen sollten nach den Vorgaben von ISO 17799:2005 standardisiert durchgeführt werden. Dies geschieht beispielsweise durch formbasierte Änderungsprotokolle, die Prozesse, wie Dokumentation, Spezifikation, Testen und Qualitätskontrolle beinhalten. Die Norm weist erneut darauf hin, Entwicklungs- oder Support-Umgebungen von den Produktiv-Umgebungen zu trennen. Eine Entwicklung von Standards hilft dem Supportteam bei einer effizienten Fehlersuche. Von der Veränderung oder besonderen Modifikation von Applikationen sei daher abgeraten.

Verwaltungsprozesse zur Schadensanfälligkeit

Ziel der Verwaltungsprozesse ist eine Reduzierung des Schadensrisikos, indem die Effektivität der Systeme durch kontinuierliche Messungen erhöht wird. Mögliche Messungen können beispielsweise durch Logdateien auf Servern, Firewalls oder anderen Geräten erfolgen.

Hinsichtlich der Verwaltungsprozesse weist die Norm auf andere Überwachungsbereiche hin, wie beispielsweise auf die Vermögensverwaltung (Asset Management, Annex A, §7), dem Kommunikations- und Operationsmanagement (§10) und der Zugriffskontrolle (§11).

Fazit

Die Systementwicklung und Wartung rollt noch einmal thematisch viele Informationen aus vorangegangenen Überwachungsbereichen auf. Damit ein ISMS immer einen aktuellen Sicherheitslevel besitzt, ist logischer Weise eine laufende Verbesserung notwendig. Die Norm liefert hierzu Kontrollziele, wie beispielsweise die Anwendung und Verbesserung kryptografischer Methoden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007050 / Standards)