09.06.2005, 15:21 Uhr
Messen, kontrollieren und optimieren
Der international anerkannte Standard ISO 17799 gilt als «gemeinsame Sprache» für die praxisorientierte Informationssicherheit. Durch seine normierte Struktur, die über 130 definierten Kontrollziele und integrierten Best-Practices-Methoden wird Informationssicherheit zu einer kontinuierlich überprüf-, optimier- und anpassbaren Prozessvariablen. Momentan wird die Sicherheitsnorm durch die ISO gerade erneuert und demnächst in ihrer überarbeiteten Version verabschiedet.
Der herausragendste Vorteil des internationalen Standards ISO 17799 liegt im Aufbau eines umfassenden Informations-Sicherheits-Management-Systems für Unternehmen jeder Grösse. Durch seine normierte Struktur, die über 130 definierten Kontrollziele und integrierten Best-Practices-Methoden wird Informationssicherheit zu einer kontinuierlich überprüf-, optimier- und anpassbaren Prozessvariablen. Eine aktuelle Überarbeitung der Sicherheitsnorm durch die ISO steht kurz vor ihrer offiziellen Verabschiedung.
Informationen sind mittlerweile zu sensiblen Unternehmenswerten geworden, die zuverlässig geschützt werden müssen. Denn deren Verlust oder Missbrauch kann ein Unternehmen in Image und Geschäftsprozess empfindlich treffen. Ein Informations-Sicherheits-Management-System (ISMS), das nach der offiziell statuierten Sicherheitsnorm BS 7799 gestaltet ist, bietet eine gute Basis, um spezifische Risiken zu identifizieren und zu beherrschen und die benötigte Zuverlässigkeit der Systeme sicherzustellen.
Ziel des 1993 vom British Standards Institution (BSI) beglaubigten Werks ist es, eine Systematik zur unternehmensweiten Betrachtung der Informationssicherheit bereitzustellen und ein umfassendes Informations-Sicherheits-Management-System einzuführen. Die Sicherheitsnorm BS 7799 besteht aus zwei Teilen: ISO/IEC 17799 (BS 7799-1) ist der international anerkannte Leitfaden zum Management von Informationssicherheit mit einer breiten Sammlung von Empfehlungen für IT-Sicherheitsverfahren und -methoden, die sich in der Praxis bewährt haben, sog. «Best practices». Diese können von Unternehmen beliebiger Grösse in allen Industrie- und Geschäftsbereichen eingesetzt werden. Der Standard ist bewusst flexibel und offen ausgelegt, da es kaum möglich ist, einen Standard zu definieren, der auf die meisten IT-Umgebungen anwendbar ist und mit dem technologischen Fortschritt Schritt halten kann. Er beschreibt, welche Bereiche zu berücksichtigen sind, ohne konkret auf die Umsetzung einzugehen. Er ist auch unvoreingenommen hinsichtlich bestimmter Technologien oder Produkte. BS 7799-2 ist die Spezifikation für das ISMS und erlaubt dessen Schaffung, Implementierung und Dokumentation und bietet eine solide Grundlage für die Bewertung, das heisst die Auditierung und Zertifizierung von Informations-Systemen.
Messen, kontrollieren und optimieren
Code of practice: ISO 17799:2000
Die Sicherheitsnorm ISO/IEC 17799:2000, hervorgegangen aus BS 7799-1, stellt eine Basis zur Entwicklung organisationsbezogener Sicherheitsnormen und effektiver Managementpraktiken dar. Sie definiert die Zielsetzung der Informationssicherheit durch die Erhaltung von Vertraulichkeit, Integrität und Verfügbarkeit. Ihre Gliederung umfasst neu die elf Normelemente eines ISMS:
o Security Policy
o Organizing information security
o Asset management
o Human resources security
o Physical & environmental security
o Communications & operations management
o Access control
o Information systems acquisitions, development & maintenance
o Information security incident management (neu ab 2005)
o Business continuity management
o Compliance
Messen, kontrollieren und optimieren
ISO/IEC 17799:2005 im Überblick
Wie alle Normenwerke ist auch die ISO 17799 einem regelmässigen Revisionsprozess unterworfen. Eine spezialisierte ISO-Arbeitsgruppe erstellte eine neue Version (offizielle Verabschiedung im Frühjahr oder Sommer 2005) auf der Basis von Kommentaren aus über 20 Mitgliedsländern, was das grosse Interesse widerspiegelt, das weltweit an diesem Standard besteht. Die Struktur der Kapitel wurde im Wesentlichen beibehalten. Neu wurde das Kapitel Information Security Incident Management integriert und die Terminologie leicht überarbeitet. Die Gliederung des Standards in Massnahmenziele und Massnahmen zur Zielerreichung wurde allerdings beibehalten. Da in diesem Beitrag unmöglich ist, alle Modifikationen wiederzugeben, seien hier vorab die wichtigsten Änderungen in Kürze beschrieben.
Eine der offensichtlichsten Veränderungen ist die benutzerfreundlichere und klarere Präsentationsform der konkreten Massnahmen in drei Teilen: Control, Implementation Guidance und Other Information.
Ein häufig auftretendes Problem wurde im Standard (bisher Personal Security genannt) bis anhin nicht adäquat behandelt: Was soll beim Ausscheiden eines Mitarbeiters geschehen? Neue Ziele und Massnahmen mussten definiert werden, um eine solche Situation zuverlässig handzuhaben und eventuelle sicherheitsgefährdende Vorkommnisse wie Firmenbesuche ohne Zugangskontrolle oder die Möglichkeit eines noch späteren Zugriffs auf das Firmennetzwerk zu verhindern. Das Kapitel wurde neu gemäss eines typischen Anstellungsverhältnisses untergliedert.
Das Thema Incidents (Ereignisse) wurde in den bis anhin benannten Kapiteln Personal Security und Communications and Operations Management behandelt. Eine benutzergerechtere Präzisierung führte nun zu einem neuen Kapitel mit dem Term Information Security Incident Management - in Harmonisierung mit dem kürzlich pub-lizierten Standard ISO/IEC TR 18044. Es wird nun zwischen Events, allen sicherheitsrelevanten Ereignissen, und Incidents, Ereignissen, die ein echtes Sicherheitsproblem darstellen, unterschieden. Ein Event, der kein Incident ist, stellt zum Beispiel ein autorisierter User dar, der sein Passwort vergessen hat und versucht, sich mit einem falschen anzumelden. Die Massnahmenziele sind zum einen das Information Reporting of Security Events and Security Weaknesses, zum anderen das Informations Management of Security Incidents and Improvements, was sicherstellen soll, dass schadensrelevante Sicherheitsvorfälle konsistent und effektiv gemanagt werden.
Das signifikant überarbeitete Kapitel Organizing Information Security wurde klarer strukturiert und in die zwei Gebiete Internal Organization und External Parties unterteilt. Das Letztere behandelt die Risiken beim Zugang von Fremdunternehmen und die Sicherheitsanforderungen, die vertraglich festgehalten werden können - berücksichtigt ist dabei auch die Zusammenarbeit mit Kunden. Die Massnahme External Facilities Management im Kapitel Communications and Operations Management wurde zudem durch ein neues Ziel ersetzt, das die sicherheitsrelevanten Aspekte im IT Service Management aufgreift: Third Party Service Delivery Management - das sichere Management von Services, die ein Fremdunternehmen anbietet.
Messen, kontrollieren und optimieren
Das Massnahmenziel Monitoring, das die notwendigen Überwachungs- und Protokollierungsaktivitäten beschreibt, wurde thematisch ausgeweitet, um dabei auch den operationalen Aspekt mit einzubeziehen. So ist es auch nicht mehr im Kapitel Access Control, sondern im Communications and Operations Management zu finden. Ebenfalls neu ist eine Massnahme, die den Schutz von Protokollen und den darin enthaltenen Informationen adressiert.
Schwachstellen-Management
Es ist bekannt, dass die Auswertung veröffentlichter Schwachstellen inzwischen äusserst rasch geschieht. Die Firmen haben kaum noch Zeit, die notwendigen Updates zu installieren. Zudem problematisch sind die Patches selbst: Ungetestete Updates können zu ernsthaften Problemen führen. Daher wurde ein neues Massnahmenziel im Kapitel Information Systems Acquisition, Development and Maintenance kreiert: Das Technical Vulnerability Management. Dieses adressiert die -Sicherheitsfragen im Zusammenhang mit Updates und Software-Patches. Die Massnahme selbst nennt sich Control of Technical Vulnerabilities und beinhaltet das zeitnahe Identifizieren neuer Schwachstellen und der vorgesehenen Updates, deren notwendiges Testen und Anweisung zur Installation
Franco Cerminara