27.08.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Peter Schmitz
ISO 27001:2005 dient zur Errichtung eines Managementsystems für Informationssicherheit (ISMS). Der achte Überwachungsbereich beschäftigt sich speziell mit der Systementwicklung und Wartung, denn ein ISMS muss laufend Up-to-date gehalten werden. Verbesserungen können beispielsweise durch Kauf neuer Sicherheitsprodukte oder durch Erneuerung von kryptografischen Methoden erreicht werden.
ISO/IEC 27001:2005 besteht insgesamt aus 11 Überwachungsbereichen. Das hier angesprochene Thema ist der 8. Überwachungsbereich aus dem Annex A (§12). Der Überwachungsbereich ist in 6 Kategorien und insgesamt 16 Kontrollzielen unterteilt. Die Kontrollziele stellen die eigentlichen Aufgaben oder Maßnahmen dar. Wie bei den anderen Überwachungsbereichen, übernimmt die Norm die Vorgaben aus ISO 17799:2005.
Ein direkter Vergleich mit dem BSI-Standard 100-2 (Bundesamt für Sicherheit in der Informationstechnik) ist in diesem Fall jedoch nicht möglich, da die Kontrollziele in die jeweiligen BSI-Schutzbedarfskategorien eingebunden sind.
In diesem Überwachungsbereich wird noch einmal ganz speziell auf die Weiterentwicklung von IT-Sicherheit hingewiesen, um zu verdeutlichen, dass es sich hier um einen wesentlichen Bestandteil eines ISMS handelt. Gemäß dem PDCA-Lebenszyklusmodell (siehe Abbildung 1) unterliegen ISMS-Prozesse einer fortwährenden Überprüfung und Wartung.
Folgende Kategorien betreffen die Systementwicklung und Wartung:
Hinter dieser Kategorie verbirgt sich die einfache Aussage, dass neu angeschaffte IT-Systeme einen Sicherheitstest absolvieren müssen. Es sollte eigentlich selbstredend sein- Die Norm weist aber auch darauf hin, dass neue Produkte vor dem Kauf auf deren Risikoanfälligkeit getestet sein sollten. Eine Aufrechterhaltung der IT-Sicherheit und die kontinuierliche Verbesserung sollte sinnvoll nach dem bereits erstellen Sicherheitslevel durchgeführt werden. Dennoch müssen auch bei einem geringen Risikolevel alle Beschlüsse und Ergebnisse nachvollziehbar dokumentiert sein (siehe auch BSI-Grundschutz 100-2).
Leser anderer Überwachungsbereiche aus dem Best-Practices (ISO 17799:2005) werden zwar keine wesentlichen Neuigkeiten finden, doch zum Überblick lassen sich folgende Kontrollziele gut verwenden:
Kryptografische Kontrollen in der Informationstechnologie haben die Vertraulichkeit, Echtheit und die Integrität zum Ziel. Hierzu sieht die Norm vor, dass zunächst eine Richtlinie für den Gebrauch von kryptografischen Methoden entwickelt werden sollte. Nachfolgend beschäftigt sich die Norm mit der Schlüsselverwaltung (Key Management).
Eine fehlerhafte oder nicht einheitliche Verschlüsselung, zum Beispiel mit IPSec, hat sehr schnell zur Folge, dass Computersysteme nicht mehr miteinander Kommunizieren können. Beim Einsatz von MS Windows Server sollte daher auf eine Systemrichtlinie in der Active Directory zurückgegriffen werden. Diese sollte innerhalb der Active Directory-Struktur entsprechend des Sicherheitslevels einheitlich erstellt und gewartet werden. Sinnvoll ist es dann, dass Planung, Dokumentation, Einrichtung und Schlüsselverwaltung von einem Team oder einer verantwortlichen Person ausgeführt werden.
Die Norm weist besonders auf folgende Sicherheitsaspekte hin:
Neben der Entwicklung darf in der Wartungsphase die Kontrolle von Schlüsseln und Zertifikaten nicht vergessen werden. Insbesondere mit Zertifikaten und Schlüsseln muss verantwortungsvoll umgegangen werden, da man diese auch abspeichern und kopieren kann. Ein Diebstahl eines Schlüssels hätte schlimme Folgen, da ein Angreifer alle Eingangskontrollen eines Systems überwinden kann und nur durch individuelle Fehler überführt werden könnte. Daher ist die Wartungsaufgabe „Wechseln der Schlüssel und Zertifikate“ und „Überprüfung der Schlüsselstärke“ innerhalb der PKI (Public Key Infrastructure) sehr wichtig.
Sicherheit von Systemdateien
Systemdateien sind Ziele von Sabotage oder bösartigem Code. Eine Kontrolle und Entwicklung einer Sicherheitsrichtlinie hat die Integrität dieser Dateien zum Ziel. Kryptografische Methoden kommen hier eher weniger zum tragen, denn eine Verschlüsslung der Datei kann zu einer Fehlfunktion des Betriebssystems führen.
Wichtige Aufgaben sind daher das Aufspielen der neuesten Sicherheits-Patches. Zwecks Funktionskontrolle sollten die Patches vor dem Einsatz gesondert getestet sein. Auch die Ereignisanzeige (Audit Log) sollte regelmäßig ausgewertet werden. Grundsätzlich sollte mit dem Zugriff auf Systemdateien verantwortungsvoll und vorsichtig umgegangen werden. Tools zur Sicherung helfen hierbei, wie z.B. das Snap-In „Sicherheitsvorlagen“ bei Microsoft XP und Server (siehe Abbildung 2).
Änderungen sollten nach den Vorgaben von ISO 17799:2005 standardisiert durchgeführt werden. Dies geschieht beispielsweise durch formbasierte Änderungsprotokolle, die Prozesse, wie Dokumentation, Spezifikation, Testen und Qualitätskontrolle beinhalten. Die Norm weist erneut darauf hin, Entwicklungs- oder Support-Umgebungen von den Produktiv-Umgebungen zu trennen. Eine Entwicklung von Standards hilft dem Supportteam bei einer effizienten Fehlersuche. Von der Veränderung oder besonderen Modifikation von Applikationen sei daher abgeraten.
Ziel der Verwaltungsprozesse ist eine Reduzierung des Schadensrisikos, indem die Effektivität der Systeme durch kontinuierliche Messungen erhöht wird. Mögliche Messungen können beispielsweise durch Logdateien auf Servern, Firewalls oder anderen Geräten erfolgen.
Hinsichtlich der Verwaltungsprozesse weist die Norm auf andere Überwachungsbereiche hin, wie beispielsweise auf die Vermögensverwaltung (Asset Management, Annex A, §7), dem Kommunikations- und Operationsmanagement (§10) und der Zugriffskontrolle (§11).
Die Systementwicklung und Wartung rollt noch einmal thematisch viele Informationen aus vorangegangenen Überwachungsbereichen auf. Damit ein ISMS immer einen aktuellen Sicherheitslevel besitzt, ist logischer Weise eine laufende Verbesserung notwendig. Die Norm liefert hierzu Kontrollziele, wie beispielsweise die Anwendung und Verbesserung kryptografischer Methoden.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007050)
