ISO/IEC 27001 (früher BS 7799)

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Der British Standard 7799 war einige Jahre die Grundlage einer Norm für die Auditierung und Zertifizierung von IT-Systemen. Er wird auch außerhalb Großbritanniens genutzt und wurde als internationale Norm in seiner ersten Form verabschiedet. Seit 2005 ist er durch die Norm ISO/IEC 27001 abgelöst (die aktuelle Fassung ist aus dem Jahr 2013). Diese ist Bestandteil einer Normenreihe, die in den nächsten Jahren kontinuierlich ausgebaut werden soll. Den zur Zeit realisierten/vorgesehenen Entwicklungsstand der Normenserie gibt die folgende Tabelle im Überblick.

Normenreihe

Die Standards der Serie ISO/IEC 27000:

  • 27000 Information security management system - Overviev and vocabulary (2009)
  • 27001 Information security management system - Requirements (2013)
  • 27002 bislang ISO 17799 (früher BS 7799) Code of Practice (2013)
  • 27003 Information security management system implementation guidance (2010)
  • 27004 Information security management measurement (2009)
  • 27005 Information security risk management (2011) - geplant ist eine weitere Verweisung auf die ISO 31010:2009 Risikomanagement
  • 27006 Requirements for bodies providing audit and certification of information security management systems (2007)
  • 27007 Guidelines for information security management systems auditing (finaler Entwurf)
  • 27008 Guidance for auditors on information security management systems controls (Entwurf)
  • 27009 Information technology - Security techniques - Sector-specific application of ISO/IEC 27001 - Requirements

Fachspezifische Subnormen der ISO/IEC 27002 sind als ISO/IEC 27010 bis ISO/IEC 27019 ausgearbeitet:

  • 27010: Information security management for inter-sector communications (Entwurf)
  • 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (2008)
  • 27012: Guidelines for Finance (in Entwicklung)
  • 27013: Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001 (Entwurf, nicht zertifizierbar)
  • 27014: Information security governance framework (Entwurf)
  • 27015: Information security management systems guidelines for financial services (Entwurf)
  • TR 27016: Information security management – Organizational economics (Entwurf)
  • 27017: Security techniques — Code of practice for information security controls for cloud computing services
  • 27018: Security techniques — Code of practice for controls to protect personally identifiable information processed in public cloud computing services
  • TR 27019: Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry

Technische Subnormen werden ab ISO/IEC 27030 ausgearbeitet:

  • 27031 Guidelines for information and communications technology readiness for business continuity (in Entwicklung)
  • 27032 Guidelines for Cybersecurity (Vorschlag)
  • 27033 Revision von ISO 18028 und umfasst sieben Unterteile:
27033-1 Overview and concepts (2009)
27033-2 Guidelines for the design and implementation of network (Entwurf)
27033-3 Reference networking scenarios (2010)
27033-4 Securing communications between networks using security gateways (Entwurf)
27033-5 Securing virtual private networks (Entwurf)
27033-6 Securing communications across networks using Virtual Private Networks
27033-7 Guidelines for the design and implementation of network security (Entwurf)
27033-8 Risks, design techniques and control issues (geplant)
  • 27034-1 Guidelines for application security (2012)
27034-x Overview and concepts (geplant)
27034-x Organization normative framework (geplant)
27034-x Application security management process (geplant)
27034-x Application security validation (geplant)
27034-x Protocols and application secutity control data structure - XML-Schemas (1) (geplant)
27034-x Secutity guidance for specific applications (geplant)
27034-x Application security assurance prediction (geplant)
27034-x Protocols and application secutity control data structure - XML-Schemas (2) (geplant)
  • 27035 Information security incident management (Vorschlag)
  • 27036 Information security for supplier relationships (Vorschlag)
  • 27037 Guidelines for identification, collection and/or acquisition and preservation of digital evidence (Vorschlag)
  • 27038 Specification for digital redaction (Vorschlag)
  • 27040 Storage security (in Entwicklung)
  • 27044 Guidelines for Security Information and Event Management (SIEM)
  • 27799 Information security in health

Außerhalb der ISO 2700x-Normenreihe gibt es noch weitere sektorspezifische Spezialnormen für bestimmte Spezialbereiche, teilweise auch auf Basis der ISO/IEC 27009 (z.B. DIN EN 50600 für die Einrichtungen und Infrastrukturen von Rechenzentren; IEC 62443 für die Zertifizierung der IT-Sicherheit in industriellen Automatisierungs- und Kontrollsystemen; IEC 80001 für an IT-Netzwerken angeschlossene Medizinprodukte; "Good Automated Manufacturing Practice Supplier Guide for Validation of Automated Systems in Pharmaceutical Manufacture“ - GAMP - als Standardregelwerk für die Validierung computergestützter Systeme in der pharmazeutischen Industrie; Health Insurance Portability and Accountability Act of 1996 - HIPAA - schreibt strikte Regeln für U.S.-Unternehmen im Gesundheitswesen vor, um die Vertraulichkeit und Integrität von Patientendaten zu schützen (zusätzlich Meldung bei Datenverlust, zentrale Veröffentlichung von Sicherheitspannen); Critical Infrastructure Protection Standards Version 5 der North American Electric Reliability Corp. - NERC CIP 5 - für elektrische Systeme).

Der BSI-Standard 100-1 ist eine Ausprägung der ISO 27001 im deutschen Sprachraum; die ISO 27002 ist vergleichbar mit den Grundschutzkatalogen des BSI, auch wenn sie viel weniger als die weit über 1000 Einzelsicherheitsmaßnahmen auf über 4000 Grundschutzkatalog-Seiten aufführt. Die ISO 27003 dagegen ist methodisch vergleichbar mit dem BSI-Leitfaden IT-Sicherheit. Als eine Vorstufe zum Grundschutzkatalogen wurde die Methode ISIS 12 entwickelt, die sich für kleinere Kommunen und Unternehmen eignet. Auch der VdS hat mit seinen Cyber-Richtlinien VdS 3473 eine Methode zur Bewertung der Informationssicherheit für KMU aufgebaut.


Ziel der Norm ISO/IEC 27001

Im Gegensatz zu anderen Wertungssystemen, z. B. solchen, die Hardwarequalitätsaussagen treffen, haben der BS 7799 sowie die ISO/IEC 27001 das Hauptziel, einen Prüfstandard für das Management der IT-Sicherheit zu liefern. Dies bedeutet, dass nicht jede einzelne Anwendung, jedes einzelne Subsystem oder jede Datei auf das spezifische Risiko, hervorgerufen durch Bedrohungen und/oder Risikopotential, abgeprüft wird, sondern dass vielmehr untersucht wird, welche Schwächen ein gesamtes System hat und wie IT-Sicherheit gehandhabt, d. h. gemanagt wird. Die nachstehende Struktur zeigt, in welchen Hauptgebieten sich der BS 7799 von der ISO/IEC 27001 (Fassung aus dem Jahr 2005) unterscheidet, wobei spätere Fassungen der ISO/IEC 27001 keine wirklich tiefgreifende Änderung mehr vollzogen.

BS 7799-2: 2002 ..................... ISO/IEC 27001: 2005 Relevante Änderungen

  • Explizite Ausrichtung auf Informationssicherheit in vielen Formulierungen
  • Umfangreiche, detaillierte Risikobehandlung gemäß PDCA-Modell
  • Keine Restriktion auf Zugang durch Fremdunternehmen => generelle Einbeziehung externer Parteien
  • Managementforum nicht gefordert, Forderung der Definition von Rollen + Verantwortungszuweisung
  • Human Resources: Ausrichtung an den Phasen der Beschäftigung
  • Ausrichtung auf moderne Kommunikationstechnik
  • Technisches Schwachstellenmanagement (Kap. 12.6)
  • Informationssicherheitsvorfälle und Schwachstellen (Kap 13)

Aufbau

Der Aufbau des neuen, seit 2005 gültigen Standards/der ISO/IEC 27001 stellt sich wie folgt dar:

ISO/IEC 27001: 2005

0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Information security management system
4.1 General requirements
4.2 Establishing and managing the ISMS
4.2.1 Establish the ISMS
4.2.2 Implement and operate the ISMS
4.2.3 Monitor and review the ISMS
4.2.4 Maintain and improve the ISMS
4.3 Documentation requirements
4.3.1 General
4.3.2 Control of documents
4.3.3 Control of records
5 Management responsibility
5.1 Management commitment
5.2 Resource Management
5.2.1 Provision of resources
5.2.2 Training, awareness and competence
6 Internal ISMS Audits
7 Management review of the ISMS
7.1 General
7.2 Review input
7.3 Review output
8 ISMS improvement
8.1 Continual improvement
8.2 Corrective action
8.3 Preventive action

Diese Gebiete werden in der ISO/IEC 27001 noch weiter untergliedert und bilden eine Grundlage für die Vorbereitung der Auditierung - einen möglicherweise vorgeschalteten Checkup - für die Auditierung selbst und für die Zertifizierung. Die Erteilung eines Zertifikates ist nach dem Grundkonzept durch die Trägergemeinschaft für Akkreditierung (TGA) akkreditierten Institutionen vorbehalten.

Die ISO/IEC 27002 entspricht der alten ISO/IEC 17799, deren Grundlage der BS 7799 war. Sie ist ein Code of Practice für das Information Security Management. Sie enthält in 11 Kapiteln 133 IT-Sicherheitsanforderungen, die geeignet sind, Maßnahmenkataloge zu entwickeln und das "Statement of Applicability" zu erarbeiten. Sie gibt darüber hinaus eine Anleitung zur Aufstellung der Sicherheitspolitik, für Business Continuity Planung sowie weitere Gebiete.

Anwendung

Für eine checklistengestützte Vorarbeit ist es zweckmäßig, die ISO/IEC 27001/02-Unterlage aufzubereiten und sie für die Vorbereitung eines nachfolgenden Auditierungsprozesses einer formalen Überarbeitung zu unterziehen Mit Hilfe eines Checklistensystems - im Aufbau analog zum ISO/IEC 27001/02 - kann ein unternehmensinternes Team einen Checkup der IT-Sicherheit des Unternehmens durchführen und damit eine folgende Auditierung effizienter gestalten, da dann weniger Mängel zu erwarten sind².

Prüfung

Mit der Durchführung eines Checkups zur Vorbereitung einer Prüfung gem. ISO/IEC 27001/02 können auch Externe beauftragt werden, wenn unternehmensintern die Manpower und gegebenenfalls Sachkenntnis zur Durchführung eines solchen Vorhabens nicht zu Verfügung stehen. Hierbei ist es nach den Bedingungen der TGA erforderlich, dass die Vorbereitung auf eine Auditierung und Zertifizierung nicht von dem zertifizierenden Unternehmen selbst durchgeführt wird. Unerlässlich ist allerdings, dass auch die Vorbereitung - sofern sie durch Externe durchgeführt wird - durch kompetente Fachleute erfolgt.

Die Vorbereitung für die hausinterne oder auch externe Prüfung des IT-Sicherheitssystems sollte durch Schulungen über den Umgang mit dem ISO/IEC 27001/02 geschehen. Wesentlich ist ein auf höchster Ebene gefällter Entscheid über die Durchführung des Auditierungs- und Zertifizierungsverfahrens. Hier sollte im Sinne einer Kosten-/Nutzenüberlegung auch in Betracht gezogen werden, dass ein solcher Prozess nicht nur Kosten verursacht, sondern auch einen vielfachen internen und externen Nutzen hat. Zum internen Nutzen zählt, dass eine objektive und umfassende Prüfung der IT-Sicherheit des Unternehmens durchgeführt wird und damit Klarheit über den Zustand des Sicherheitssystems geschaffen wird. Eine objektive Bestätigung der Sicherheit des IT-Systems durch Externe als Beleg für die Kompetenz und Vertrauenswürdigkeit eines Unternehmens und seiner Informationsverarbeitung ist von beachtlicher Werbe- und Außenwirkung.


Literatur

  • ISO copyright office, CH-1211 Geneva/Schweiz, (Hrsg.) (2005):Information technology - Security, techniques - Information Security Management Systems-Requirements ISO/IEC 27001: 2005


Weblinks


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 13. Juli 2017 um 10:44 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Kaj-Sören Mossdorf, Peter Hohl, Admin und Reinhard Voßbein.

Anzeigen