ISO 17799 - Sicherheitsverfahren
Der globale Sicherheitsstandard: ISO 17799
Sammlung von Empfehlungen für IT-Sicherheitsverfahren und -methoden
(03.08.2006) - Seit seiner Einführung durch die International Standards Organization (ISO) im Dezember 2000 hat sich der ISO 17799 zum weltweit am häufigsten anerkannten IT-Sicherheitsstandard entwickelt. Der ISO 17799 wird definiert als "umfassende Auswahl an Kontrollmechanismen, die auf Methoden und Verfahren basieren, die sich in der IT-Sicherheit bewährt haben."
Die Anfänge von ISO 17799
Seit mehr als 100 Jahren legen das British Standards Institute (BSi) und die International Organization for Standardization (ISO) globale Richtlinien für Standards in den Bereichen Betrieb, Produktion und Leistung fest. Ein Bereich, für den das BSI und die ISO bisher keine Standards definiert hatte, war die Informationssicherheit.
Im Jahr 1995 veröffentlichte das BSi den ersten Sicherheitsstandard, BS 7799, der darauf ausgerichtet war, die Sicherheitsaspekte im Zusammenhang mit E-Commerce abzudecken. Probleme wie Y2K und EMU entwickelten sich jedoch 1995 zu den gravierendsten Problemen überhaupt. Zu allem Überfluss wurde der BS 7799 als zu inflexibel beurteilt und nur vereinzelt anerkannt. Der Zeitpunkt war offensichtlich nicht der richtige und Sicherheitsaspekte standen nicht im Fokus des Interesses. Vier Jahre änderte sich jedoch die Situation. Im Mai 1999 legte das BSi mit der zweiten, grundlegend überarbeiteten Version von BS 7799 einen erneuten Vorschlag vor. Diese Ausgabe enthielt viele Verbesserungen und Änderungen gegenüber der Version von 1995. Die ISO fand Interesse daran und begann mit der Überarbeitung von BS 7799.
Im Dezember 2000 nahm die International Standards Organization (ISO) den ersten Teil von BS 7799 an und veröffentlichte diesen unter der Bezeichnung ISO 17799. Etwa zeitgleich wurde ein formelles Anerkennungs- und Zertifizierungsverfahren für die Einhaltung des Standards eingeführt. Für Y2K, EMU und ähnliche Probleme hatten sich bis 2000 Lösungen und entschärfende Maßnahmen gefunden und die allgemeine Qualität des Standards hatte sich erheblich verbessert. Die Annahme des ersten Teils von BS 7799 (der erste Teil umfasst jene Kriterien, die die Basis des Standards bilden) durch die ISO sorgte dafür, dass man sich endlich auf Sicherheitsstandards einigte, die weltweit akzeptiert wurden.
Rahmenwerk empfohlener Richtlinien (zurück zum Seitenanfang)
Der ISO 17799-Standard umfasst jedoch nicht den zweiten Teil von BS 7799, der den Bereich der Umsetzung abdeckt. Der aktuelle ISO 17799-Standard ist eine Sammlung von Empfehlungen für IT-Sicherheitsverfahren und -methoden, die sich in der Praxis bewährt haben (Best Practices). Diese können von Unternehmen oder Organisationen beliebiger Größe in allen Industrie- und Geschäftsbereichen eingesetzt werden. Der Standard ist bewusst flexibel ausgelegt und empfiehlt keine konkreten Sicherheitslösungen oder rät von bestimmten Alternativlösungen ab. Die Empfehlungen im Rahmen von ISO 17799 sind unvoreingenommen im Hinblick auf Technologien oder bestimmte Produkte und bieten keinerlei Hilfe bei der Bewertung oder Überprüfung bestehender Sicherheitsmaßnahmen. So wird beispielsweise die Notwendigkeit von Firewalls erörtert, es wird jedoch nicht näher auf die drei verschiedenen Arten von Firewalls und deren Verwendung eingegangen. Dies veranlasste Kritiker dazu, den ISO 17799-Standard als zu vage und wenig aussagekräftig zu bewerten.
Die Flexibilität und offene Auslegung des ISO 17799 ist jedoch durchaus beabsichtigt, da es kaum möglich ist, einen Standard zu definieren, der auf die meisten IT-Umgebungen anwendbar ist und mit dem technologischen Fortschritt Schritt halten kann. Er bietet lediglich ein Rahmenwerk für einen Bereich, in dem es vorher keinerlei Richtlinien gab.
Die zehn Überwachungsbereiche von ISO 17799
>> Richtlinien: Richtlinien sind erforderlich, um die von Unternehmen angestrebte Sicherheit festzulegen. Darüber hinaus bieten sie der Management-Ebene Anhaltspunkte und Unterstützung bei Entscheidungen. Die Richtlinien können auch als Basis für kontinuierliche Überprüfung und Bewertung der IT-Sicherheit verwendet werden.
>> Verteilung der Sicherheitsaufgaben: Empfiehlt das Festlegen einer Verwaltungsstruktur innerhalb des Unternehmens oder der Organisation. Diese legt fest, wer für welche Sicherheitsbereiche zuständig ist und definiert ein Verfahren, wie Vorfälle behandelt werden sollen.
>> Klassifizierung und Kontrolle unternehmenskritischer Daten: Erfordert eine Inventarliste aller unternehmenskritischen Daten und die Sicherstellung von angemessenen Maßnahmen, um diese zu schützen.
>> Mitarbeitersicherheit: Weist auf die Notwendigkeit hin, derzeitige und zukünftige Mitarbeiter darüber zu informieren, was im Hinblick auf Sicherheits- und Vertraulichkeitsfragen von ihnen erwartet wird und welche Rolle sie im Sicherheitsgefüge spielen. Es sollte ein Verfahren festgelegt sein, nach dem Vorfälle behandelt werden.
>> Physikalische Sicherheit und Schutz der IT-Bereiche: Befasst sich mit der Gerätesicherheit sowie mit der Notwendigkeit, sensible Bereiche zu schützen und allgemeine Kontrollmechanismen einzuführen.
>> Communications and Operations Management
Dieser Abschnitt befasst sich u.a. mit folgenden Zielsetzungen:
* Korrekte und sichere Verwendung von Informationsverarbeitungssystemen;
* Minimierung von potentiellen Systemausfällen;
* Integritätssicherung von Software und Informationen;
* Erhalt der Integrität und Verfügbarkeit der gesamten Informationsverarbeitung und Kommunikation;
* Schutz von Informationen in Netzwerken sowie Sicherung der unterstützenden Infrastrukturen;
* Schutz von unternehmenskritischen Daten und Sicherung der Geschäftsabläufe;
* Verhindern von Verlust, Veränderung oder Missbrauch von Informationen, die zwischen Unternehmen oder * Organisationen ausgetauscht werden.
>> Zugriffskontrolle: Verweist auf die Bedeutung von Kontroll- und Überwachungsmaßnahmen für den Zugriff auf Netzwerke und Anwendungsressourcen zum Schutz vor internem Missbrauch und externen Systemeindringlingen.
>> Systementwicklung und -wartung: Weist darauf hin, dass alle IT-Maßnahmen unter dem Gesichtspunkt der Sicherheit ausgeführt und Sicherheitskontrollmaßnahmen für jeden einzelnen Schritt angewendet werden müssen.
>> Geschäftskontinuitäts-Management: Rät zur Entwicklung von Gegenmaßnahmen bei möglichen Unterbrechungen der Geschäftstätigkeit und Schutzmaßnahmen für geschäftskritische Verfahren im Falle von schwerwiegenden Systemausfällen.
>> Richtlinieneinhaltung: Weist Organisationen an, zu überprüfen, inwiefern ihre Einhaltung der Richtlinien unter ISO 17799 mit anderen gesetzlichen Vorgaben wie beispielsweise den Datenschutzvorschriften der Europäischen Union, dem Health Insurance Portability and Accountability Act (HIPAA) und dem Gramm-Leach-Bliley Act (GLBA) in Einklang bzw. in Konflikt stehen. Dieser Abschnitt hebt außerdem hervor, regelmäßig Sicherheitsrichtlinien und technische Umsetzung zu überprüfen und Audit-Prozesse neu zu überdenken, so dass Unternehmen und Organisationen das höchste Maß an Schutz erzielen.
Vorteile durch die Einhaltung von ISO 17799
Mit ISO 17799 zertifizierte Unternehmen können u. U. bei der Vergabe von Aufträgen vor anderen Unternehmen ohne ISO-Zertifizierung bevorzugt werden. Wenn potenzielle Kunden sich zwischen zwei Unternehmen entscheiden müssen und Sicherheitsfragen einen wichtigen Aspekt darstellen, fällt die Entscheidung meistens zugunsten des zertifizierten Unternehmens aus.
Darüber hinaus bieten zertifizierte Unternehmen:
>> Sicherere Kooperations- und E-Commerce-Möglichkeiten
>> Höhere Unternehmenssicherheit
>> Effektivere Sicherheitsplanung und -verwaltung
>> Fundierteres Kundenvertrauen
>> Präzisere und verlässlichere Sicherheitsprüfungen
>> Geringere Anfälligkeit
Status von ISO 17799
Die ISO widmete sich seit 2003 der Überarbeitung von 17799, um dessen Akzeptanz noch weiter zu fördern und noch leichter realisierbar zu machen. ISO 17799 hat einen ersten Standard vorgegeben und seine Empfehlungen und Anregungen werden als Basis für zukünftige Erweiterungen und Überarbeitungen dienen.
Mitte Juni 2005 wurde dann die neue ISO 17799:2005 veröffentlicht. Rund 134 Maßnahmen in 11 Gebieten umfasst dieser "Leitfaden zum Management zur Informationssicherheit", der aus Teil 1 des BS (British Standard) 7799:1999 hervorgegangen ist. Informationen werden als Unternehmenswerte definiert und erhalten daher eine besondere Schutzwürdigkeit. Die Auseinandersetzung mit dieser Thematik verdeutlicht, dass die rein technische Umsetzung der Informationssicherheit, wie etwa mit Hilfe von Firewalls und Antiviren-Programmen, zu kurz greift. Die Vielfältigkeit gerade auch verhaltensbedingter Gefahren (z.B. durch den Missbrauch von Nutzerrechten) bleibt dabei oft unberücksichtigt.
Informationssicherheit für alle Branchen zunehmend wichtig
Nur ein ganzheitliches Managementsystem zur Informationssicherheit kann dem gesamten Gefahrenspektrum gerecht werden und die Geschäftskontinuität eines Unternehmens sichern. Dabei steht „Informationssicherheit“ nicht nur bei einzelnen Unternehmen auf der Agenda sondern wird von ganzen Branchen – wie beispielsweise der Automobilindustrie in ihren Überlegungen zum Prototypenschutz – thematisiert.
Dieser Entwicklung folgt jetzt auch die International Standards Organization (ISO) mit der gerade veröffentlichten neuen Version der ISO 17799:2005 und der Entscheidung, den als Zertifizierungsstandard weltweit etablierten Teil 2 des BS 7799 in die neue Normenfamilie ISO 27000 ff. zu integrieren.
Im November 2005 wurde aus dem zertifizierbaren Standard BS 7799-2:2002 die ISONorm 27001:2005. Die neue Normenfamilie wird zunächst die
Regelwerke ISO 27000 bis ISO 27005 umfassen.
Falls in Unternehmen noch kein klar umrissenes IT-Sicherheitsprogramm entwickelt wurde, bietet sich ISO 17799 als Rahmenwerk zur Definition eines solchen an. Selbst wenn Unternehmen entscheiden, keine Zertifizierung anzustreben, kann ISO 17799 als Richtlinie bei der Erstellung eines Sicherheitssystems für Ihr Unternehmen hilfreich sein. Auch ohne Zertifizierung bietet dieser Standard gute Vorgaben, um die Unternehmenssicherheit auszubauen. Auf Dauer wird die Zertifizierung allerdings zahlreiche andere Vorteile wie beispielsweise Wettbewerbsvorteile bringen, die Unternehmen für sich nutzen sollten.
Eine Ausgabe der Richtlinien unter ISO 17799 ist über die Website der ISO erhältlich: http://www.iso.org/. (Symantec: DQS: ma)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>