IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz (eBook)

Heinrich Kersten ist Auditor und Leiter der Zertifizierungsstelle der T-Systems mit vielen Jahren "BSI-Erfahrung". Jürgen Reuter hat als Lead Auditor in den Bereichen Qualitäts- und Informationssicherheitsmanagement in vielfältigen Projekten Erfahrungen gesammelt. Klaus-Werner Schröder ist lizenzierter BS7799-Auditor sowie Common Criteria Evaluator und Zertifizierer mit langjähriger Praxiserfahrung.

Vorwort 6
Inhaltsverzeichnis 12
1 Gesetze und Standards im Umfeld der Informationssicherheit 15
1.1 Corporate Governance und Risikomanagement 15
1.2 Die Bedeutung des öffentlichen Beschaffungsrechts 20
1.3 Standards zu Managementsystemen 21
1.4 Zertifizierfähige Modelle 24
1.5 Konkrete Standards zur IT-Sicherheit 28
2 Vergleich der Begrifflichkeiten 33
2.1 Organisation, Werte und Sicherheitsziele 33
2.2 Risiken und Analysen 36
2.3 Maßnahmenauswahl und Risikobehandlung 42
2.4 Sicherheitsdokumente 45
3 Das ISMS nach ISO 27001 49
3.1 Das Modell des ISMS 49
3.2 PLAN: Das ISMS festlegen 53
3.3 DO: Umsetzen und Durchführen des ISMS 68
3.4 CHECK: Beobachten und Überwachen des ISMS 76
3.5 ACT: Pflegen und Verbessern des ISMS 82
3.6 Anforderungen an die Dokumentation 86
3.7 Dokumentenlenkung 89
3.8 Lenkung der Aufzeichnungen 93
3.9 Verantwortung des Managements 93
3.10 Interne ISMS-Audits 97
3.11 Managementbewertung des ISMS 98
3.12 Verbesserung des ISMS 101
3.13 Maßnahmenziele und Maßnahmen 103
4 Festlegung des Anwendungsbereichs und Überlegungen zum Management 111
4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen 111
4.2 Das Management-Forum für Informationssicherheit 113
4.3 Verantwortlichkeiten für die Informationssicherheit 114
4.4 Integration von Sicherheit in die Geschäftsprozesse 115
4.5 Bestehende Risikomanagementansätze ergänzen 117
4.6 Bürokratische Auswüchse 117
5 Informationswerte bestimmen 119
5.1 Welche Werte sollen berücksichtigt werden? 119
5.2 Wo und wie kann man Werte ermitteln? 121
5.3 Wer ist für die Sicherheit der Werte verantwortlich? 125
5.4 Wer bestimmt, wie wichtig ein Wert ist? 126
6 Risiken einschätzen 129
6.1 Normative Mindestanforderungen aus ISO 27001 129
6.2 Schutzbedarf nach Grundschutz 137
6.3 Erweiterte Analyse nach IT-Grundschutz 142
7 Maßnahmenziele und Maßnahmen bearbeiten 145
7.1 Vorgehen nach ISO 27001 145
7.2 Auswahl der Maßnahmen und Erwägung von Optionen 146
7.3 Anwendung der Maßnahmenkataloge 225
8 Maßnahmen: Validieren und Freigeben 227
8.1 Validierung von Maßnahmen 227
8.2 Maßnahmenbeobachtung und -überprüfung 229
8.3 Maßnahmenfreigabe 229
9 Audits und Zertifizierungen 231
9.1 Ziele und Nutzen 231
9.2 Prinzipielle Vorgehensweise 234
9.3 Vorbereiten eines Audits 241
9.4 Durchführung eines Audits 245
9.5 Auswertung des Audits und Optimierung der Prozesse 248
9.6 Grundschutz-Audit 249
10 Zum Abschluss… 251
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 255
Einige Fachbegriffe: deutsch / englisch 263
Verzeichnis der Abbildungen und Tabellen 265
Verwendete Abkürzungen 267
Quellenhinweise 271
Sachwortverzeichnis 275

4 Festlegung des Anwendungsbereichs und Überlegungen zum Management (S.97-98)

In diesem Kapitel wollen wir den Anwendungsbereich (englisch: Scope) des ISMS bestimmen und wichtige Management-Elemente einrichten.

4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen

Bei der Festlegung des Anwendungsbereichs sollte man sich von den Bedürfnissen der Organisation und ihren Gegebenheiten leiten lassen. Dennoch gilt: Jede Begrenzung des Anwendungsbereichs und jeder Ausschluss sind zu benennen und detailliert zu begründen (ISO 27001, Abschnitt 4.2.1.a). Anwendungsbereich des ISMS zweckmäßig bestimmen Bei der Festlegung des Anwendungsbereichs sollte man sich von den Bedürfnissen der Organisation und ihren Gegebenheiten leiten lassen. Dennoch gilt: Jede Begrenzung des Anwendungsbereichs und jeder Ausschluss sind zu benennen und detailliert zu begründen (ISO 27001, Abschnitt 4.2.1.a).

Ein weit verbreiteter Fehler bei der Festlegung des Anwendungsbereichs besteht darin, eine möglichst schnelle Realisierung der formalen Voraussetzungen für eine Zertifizierung zu erreichen. Vor diesem Hintergrund ist es in der Praxis leider häufig zu beobachten, dass ein sehr „kleiner" Anwendungsbereich zum Gegenstand des ISMS einer Organisation gemacht wird – einzig und allein zu dem Zweck, möglichst schnell eine Bescheinigung (Zertifikat) zu erhalten. Die wesentlichen Vorteile der Managementsysteme bleiben hierbei leider auf der Strecke: die Verbesserung interner und vor allem bereichsübergreifender Abläufe.

Der gleiche wenig wirksame Effekt entsteht bei einer Modularisierung der ISMS, bei der die unterschiedlichen Bereiche der Organisation, wie z. B. Einkauf, Vertrieb, IT-Abteilung, mit einem jeweils in sich geschlossenen ISMS versehen werden.

Von der Grundtendenz her werden die Informationsrisiken der gesamten Organisation bei der Betrachtung von solchen isolierten Management-Systemen nicht deutlich, da jedes einzelne ISMS nur seine Partikularrisiken betrachtet und reduzieren will, was möglicherweise sogar zu einer Erhöhung des Gesamtrisikos für die Organisation, aber in jedem Fall zu einer ineffizienten Verwendung von Ressourcen führt.

Wenn in der Organisation bereits ein bereichsübergreifendes Managementsystem – beispielsweise auf der Basis von ISO 9001 – besteht, liegt es nahe, dieses auch auf die Anwendung von ISO 27001 zu übertragen: Eine Vielzahl von Regelungen und Verfah ren dürften gleich oder ähnlich sein, somit kann Aufwand eingespart werden.

Vor der Einführung eines zweiten, parallelen Managementsystems muss jedoch ausdrücklich gewarnt werden, da erfahrungsgemäß eine eindeutige Zuweisung von Verantwortlichkeiten und eine Harmonisierung der Verfahrensweisen nicht erreicht wird. Falls die Organisation Hersteller eines bestimmten Produktes ist und sich in einem wichtigen Absatzmarkt mit der kurzfristigen Forderung nach einem Zertifikat konfrontiert sieht, kann dies Anlass für eine Begrenzung des Anwendungsbereiches sein. In diesem Fall wird es sinnvoll sein, zumindest die gesamte Wertschöpfungskette für dieses Produkt vom Einkauf bis zum Kundendienst in den Anwendungsbereich aufzunehmen.

Mittelfristig sollte in einem solchen Fall eine Ausweitung des Anwendungsbereichs z. B. auf die gesamte Produktion von Produkten angestrebt werden – dies vor allem, weil einheitliche Umwelt-, Sicherheits- und Qualitätsmaßstäbe weniger Kontrollaufwand erfordern und von den Mitarbeitern der Organisation leichter einzuhalten sind.

Ein weiterer Aspekt, der für die Festlegung eines möglichst umfassenden ISMS spricht, ist die Tatsache, dass ein ISMS einer Vielzahl von Anforderungen aus unterschiedlichen Quellen Rechnung tragen muss: Neben den Voraussetzungen für ein Zertifikat erfüllt ein intelligent abgegrenztes und realisiertes ISMS auch andere Ziele: – gesetzliche Forderungen nach einem internen Kontrollsystem werden erfüllt, – es dient der Verbilligung von Krediten bzw. Versicherungsbeiträgen, – es lässt sich ggf. zur besseren Erschließung bestimmter Absatzmärkte einsetzen, – es dient der Transparenz der Risiken und der Verbesserung der Sicherheitslage.