10.09.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten
ISO 27001:2005 dient zur Errichtung eines Managementsystems für Informationssicherheit (ISMS). Um Sicherzustellen, dass die IT-Sicherheit betreffende Ereignisse zeitnah kommuniziert und behoben werden können, stellt der neunte Überwachungsbereich der ISO-Norm geeignete Maßnahmen vor. Dieser Artikel beschreibt den Überwachungsbereich und gibt Hinweise auf den Einsatz in der Praxis.
ISO/IEC 27001:2005 besteht insgesamt aus elf Überwachungsbereichen. Das hier angesprochene Thema ist der neunte Überwachungsbereich aus dem Annex A (§13). Der Überwachungsbereich ist in zwei Kategorien und insgesamt fünf Kontrollzielen unterteilt.
Die Kontrollziele stellen die eigentlichen Aufgaben oder Maßnahmen dar. Wie bei den anderen Überwachungsbereichen, übernimmt die Norm die Vorgaben aus ISO 17799:2005.
Ein erfolgreiches ISMS erfordert einen präzisen Informationsfluss und eine schnelle Koordination der Gegenmaßnahmen. Folgende Kategorien sind daher in der Norm benannt, die nachfolgend beschrieben werden:
Eine effiziente und lückenlose Berichterstattungskette ist für ein ISMS unerlässlich. Die Kette sollte sogar soweit gehen, dass ein IT-Sicherheitsbeauftragter oder Datenschutzbeauftragter zum Vorstand bzw. zu der Geschäftsleitung gehört. Von höchster Stelle kann dann eine Anweisung erfolgen. Wie eine IT-Sicherheitsorganisation auszusehen hat, ist bereits im Überwachungsbereich „Organisation der Informationssicherheit“ (Annex A, §6) beschrieben worden.
Wenn beispielsweise Fehlfunktionen von Hard- und Software, Einbrüche oder Zugriffsverletzungen vorliegen, sollte die Berichterstattungskette angestoßen werden. Hier liegt eine nicht zu unterschätzende Fehlerquelle! Ein Vertuschen von Vorfällen kommt leider immer mal wieder vor – denn wer möchte aufgrund individueller Fehlern schon Job oder Reputation verlieren.
Ähnlich sieht es bei den Schwachstellen aus. Diese sind den Mitarbeitern oft bekannt, aufgrund personeller Besetzung wird aber meist geschwiegen. Die Geschäftsleitung bleibt in Unkenntnis, der Schaden ist oft immens.
Mögliche Auswege aus dem Dilemma sind anonymisierte Formulare (obwohl aus dem Inhalt auch erkenntlich sein kann, wer der Absender ist) oder der direkte Schutz des Meldenden durch die Geschäftsführung durch den Posten des IT-Sicherheitsbeauftragten. Bei der Fehlerkorrektur hilft nur ein Umdenken in der Firmenphilosophie: Fehler sind dazu da, um daraus zu lernen.
Sollte ein Sicherheitsvorfall auftreten, können folgende Maßnahmen in der Praxis hilfreich sein:
Das ISMS hat den Anspruch, bei IT-Sicherheitsvorfällen schnell und angemessen zu handeln. In der Norm werden daher folgende Maßnahmen beschrieben:
Dieses Kontrollziel hat erstens die Dokumentation der Informationssicherheitsrichtlinien und zweitens die Überprüfung der Inhalte der Richtlinie zur Aufgabe. Jeder Schadensfall wird nach Art, Umfang und Kosten dokumentiert.
Die Gegenmaßnahmen fließen in die Informationssicherheitsrichtlinien (siehe Annex A, §5) ein. Die Informationssicherheitsrichtlinien fließen anschließend in die „Organisation der Informationssicherheit“ (Annex A, §6) ein, wo sie in den jeweiligen Organisationsstrukturen Anwendung finden.
Die Beweissammlung bei einem Sicherheitsvorfall ist extrem wichtig – sei es zur Absicherung (der Unschuld) involvierter Personen oder Abteilungen oder zur Ermittlung eines schuldhaften Verhaltens. Da ein Mitarbeiter eine begrenzte Haftung vom Gesetzgeber zugesprochen bekommt, haftet er nur bei einer erwiesenen Fahrlässigkeit. Ebenfalls betroffen könnte die Geschäftsführung sein, die unter gewissen groben und fahrlässigen Gründen haftet.
Ein anderer Grund zur Beweissammlung ist die Überführung krimineller Elemente bzw. die Ermittlung einer Straftat. Bestehende Kontakte zu polizeilichen Organisationen beschleunigen die Ermittlungen und erhöhen die Erfolgswahrscheinlichkeit. Ob und wie weit Justiz und Organisationsleitung tatsächlich gegen Kriminelle oder staatlich sanktionierte Spione vorgehen können, sei an dieser Stelle ausgeklammert.
Eine Beweissammlung ist selbstverständlich nur dann möglich, wenn entsprechende Überwachungsfunktionen eingerichtet wurden. Weitere Informationen zum Thema sind dem Überwachungsbereich „Zugriffskontrolle“ (Annex A, § 11) zu entnehmen.
Ziel des Überwachungsbereichs „Management bei Sicherheitsvorfällen“ ist eine zeitnahe Reaktion auf Sicherheitsvorfälle. Es werden Berichterstattungs-Vorgänge und Maßnahmen nach dem Auftreten eines Vorfalls beschrieben, wie zum Beispiel die Beweissammlung zur Klärung möglicher Straftaten.
Dieser neunte Überwachungsbereich ist kein isoliertes Kapitel. Er bezieht sich auf Informationen aus den Überwachungsbereichen „Informationssicherheitsrichtlinien“, „Organisation der Informationssicherheit“ und „Zugriffskontrolle“.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007504)
