29.06.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten
Nichts ist so dehnbar wie der Begriff „Sicherheit“. Was für den einen sicher erscheint, ist für den anderen höchst unsicher. Ebenso ist klar, dass ein Security-Mechanismus die Geschäftsabläufe nicht blockieren darf. Damit der Schutz in der IT einen messbaren Bewertungsfaktor erhält, sind weltweit eine Reihe von Normen und Richtlinien erstellt worden. SearchSecurity legt Ihnen die Notwendigkeit einer Norm nahe, um Ihnen dann aus der Vielzahl von Normen die ISO/IEC 27001:2005 vorzustellen.
Betriebliche Abläufe zu standardisieren steigert in vielen Fällen die Produktionseffizienz, wie das beispielsweise bei ISO 9001 der Fall ist. Ist ein Standard erst einmal eingeführt, sind die Abläufe transparent darstellbar und innerhalb gewisser Rahmenbedingungen auch vergleichbar. Bevor es dazu kommt sollten aber grundlegende Begriffe definiert werden, damit eine sichere Schnittstelle zu allen ausführenden Organen einer Ablaufkette entsteht.
Möchte man beispielsweise einen englischen Standard in einem deutschen Industriebetrieb einsetzen stellt sich die Frage, wie und ob Anglizismen übersetzt werden, damit alle Verantwortlichen sowie Anwender auch wirklich den Standard umsetzen und daran teilhaben können.
Hat dies keinen Erfolg, dann wird genau das Gegenteil des Angestrebten passieren: Die Effizienz verringert sich. Sind zum Beispiel die Kennwörter zu kompliziert, als dass sich die Mitarbeiter diese merken können, reicht meistens schon ein Blick unter die Tastatur um das Kennwort eines Kollegen zu ergattern.
Der Begriff „IT-Sicherheit“ wird im „Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik“ (BSIG) im zweiten Paragraphen definiert. Demnach bedeutet „Sicherheit in der Informationstechnik […] die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen
1. in informationstechnischen Systemen oder Komponenten oder
2. bei der Anwendung von informationstechnischen Systemen und Komponenten“.
Geschäftsführer, Vorstände und Aufsichtsräte müssen IT-Sicherheit sicherstellen und können bei Verstößen auch persönlich in Haftung genommen werden.
Die Normierung definiert Abläufe und füllt diese mit Begriffen. Darin sind sich alle wichtigen IT-Standards einig. Fragt man IT-Verantwortliche, so wird jeder verschiedene Aspekte nennen, die er mit Sicherheit assoziiert. Jeder Aspekt hat seinen Ursprung in der Erfahrung des jeweiligen IT-Verantwortlichen.
Normen wie die ISO/IEC 27001:2002 und die ISO/IEC 27001:2005 (die Zahl hinter dem Doppelpunkt bezeichnet das Erscheinungsjahr bzw. das Jahr der Überarbeitung) geben genaue Anweisungen in Form eines Aufgabenkatalogs. Nichts wird hier neu erfunden.
Dieser Aufgabenkatalog repräsentiert letztendlich die Summe aller Erfahrungswerte. Bei dem Versuch diese Erfahrungswerte kurz zusammenzufassen, kann man „klassische Grundwerte“ [ISO 13335-1:2004, ISO 27001:2005, BSI Standard 100-1] wie Vertraulichkeit, Integrität und Verfügbarkeit nennen. Die Schwierigkeit liegt also darin, den definierten Aufgabenkatalog so zu bewerten, dass letztendlich eine konkrete Konfiguration in einem Betriebssystem oder Anwendung herauskommt.
Im Wirrwarr der Normungen sind nationale Interessen nicht außer Acht zu lassen. Im Reigen der Normen finden sich hauptsächlich folgende Institutionen und Firmen:
Die Frage nach der richtigen Norm kann nicht klar beantwortet werden. Je nach Firmenpräferenz bzw. Servicestruktur werden bestimmte Zertifizierungen benötigt. Favorisiert werden in Deutschland zurzeit ISO/IEC-Normen, da sich auch die BSI-Standards nach diesen richten. Stark im Rennen ist ebenfalls noch das ITIL, das über die reine IT-Sicherheit hinausgeht.
ISO/IEC 27001:2005, „IT-Grundschutz nach BSI“ und ITIL haben ähnliche Wurzeln. Sie sind Weiterentwicklungen des britischen Standards BS 7799-2:2002. Bevor es zu einer tatsächlichen Zertifizierung kommen kann, sind in einem Aufgabenkatalog alle Notwendigkeiten beschrieben.
In ITIL und ISO 17799:2005 sind die so genannten „Best Practices“ aufgelistet, die eine Empfehlung darstellen. Insofern kann keine Zertifizierung nach ISO 17799:2005 erwirkt werden. Gleichwohl fließen diese Empfehlungen in ISO 27001:2005 ein. So ist es zu erklären, dass die Norm nur etwa 33 Seiten Inhalt zu Papier bringt. Davon gehören etwa 16 Seiten zum Annex A, der sich auf die ISO 17799:2005 bezieht. Beim Vergleich zum BSI-Standard finden sich dort die Inhalte von 17799:2005 und 27001:2005 wieder.
Wie schon erwähnt: Die Kernaussagen sind zum großen Teil identisch. Ein wesentlicher Bestandteil der Normen ist ein Managementsystem für Informationssicherheit (ISMS).
Die folgenden ISO-Standards beschäftigen sich mit der IT-Sicherheit (Stand Juni 2007):
ISO/IEC 27001:2005 ist - im Gegensatz zu ISO/IEC 17799:2005 - eine Normierung, die eine sinnvolle internationale Zertifizierung ermöglicht. Diese Zertifizierung richtet sich im Wesentlichen nach einem Aufgabenkatalog aus ISO/IEC 17799:2005. Im diesem Aufgabenkatalog sind Erfahrungswerte eingeflossen, die sog. „Best Practices“. Ziel des Katalogs ist der Aufbau eines Managementsystems für Informationssicherheit (ISMS). ISO/IEC 27001:2005 verwendet das gleiche Managementsystem-Prozessmodell, wie ISO 9001 (QMS) und ISO 14001 (EMS).
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2005772)
