NOWECO Management Software


Über die Notwendigkeit von Management der Informationssicherheit

Der Standard ISO17799 als internationale Grundlage
Ein Beitrag von Andreas E. Fiedler

Einleitung

Die Informationen in einer Organisation sind das verfügbare organisatorische Wissen. Darin ist die organisatorische Erfahrung der Vergangenheit sowie das organisatorische Potential der Zukunft aufgehoben. Informationen sind der kritische Erfolgsfaktor Nr.1. Umgekehrt sind Bedrohungen der Informationen oder der informationsvermittelnden Verfahren Bedrohungen der Qualität, der Effizienz und schließlich der organisatorischen Existenz selbst. Informationssicherheitsmanagement ist die Antwort auf die Risiken, denen die organisatorischen Informationen ausgesetzt sind.

Das Management der Informationssicherheit

Informationssicherheit ist in den meisten Informationssystemen a priori nicht gegeben. Technische Lösungen für sich genommen, sind von der Wirkung her begrenzt und bedürfen der Managementunterstützung.

Das Qualitätsmanagement hat kennt als Managementprinzip das Deming Wheel mit den Phasen Plan - Do - Check - Act. Dieses Prinzip kann auch auf das Management der Informationssicherheit angewendet werden.

Ausgangspunkt für die Planung ist eine Bestandsaufnahme oder ein Audit des aktuellen Systems. Diesen wird die Definition der Sicherheitsanforderungen gegenübergestellt. Quellen dafür sind die Identifikation und Analyse von Risiken, gesetzliche und vertragliche Anforderungen sowie unternehmensinterne Regelungen. Aus den Sicherheitsanforderungen resultieren Maßnahmen, die es umzusetzen gilt. Wichtig ist analog dem Qualitätsmanagement den Erfolg der Maßnahmen zu auditieren und bei Bedarf Korrekturmaßnahmen einzuleiten. Das Management von Informationssicherheit ist keine einmalige Tätigkeit, sondern ein kontinuierlicher Prozeß.

Der Standard ISO17799

In Großbritannien wurde 1995 ein Standard entworfen (British Standard BS7799), der Empfehlungen zur Gestaltung eines Informationssicherheitsmanagementsystems (ISMS) geben sollte. Der Erfolg dieses Standards war groß, so daß er inzwischen international anerkannt als ISO17799 herausgegeben worden ist.

Es ist wichtig anzumerken, daß der Standard ISO17799 eben keinen normativen Charakter haben soll, wie der Qualitätsstandard ISO9000 häufig mißverstanden wird. Im Vorwort zum Standard heißt es, daß "Empfehlungen ausgesprochen" werden. Weiter heißt es, "sie sollten deswegen nicht so zitiert werden, als würde es sich um eine Spezifikation handeln. Außerdem ist besonders darauf zu achten, daß durch den Anspruch auf ihre Einhaltung keine Mißverständnisse hervorgerufen werden."(1) Der inhaltliche Nutzen eines "Code of Practice" geht vor.

Der Nutzen eines internationalen Standards

Die International Organisation of Standardization beschreibt den Nutzen wie folgt: "ISO/IEC17799 transformiert den British Standard BS7799, welcher in vielen Ländern übernommen worden ist, zu einem internationalen Standard und es ist zu erwarten, daß dieser zum Referenzdokument für Codes of good Practice wird, um ein sicheres und vertrauenswürdiges e-commerce zu gewährleisten."(2) (Übersetzung durch den Autor)

Die 10 Steuerungsbereiche des ISO17799

ISO17799 umfaßt zehn Steuerungsbereiche (Controls), zu denen Maßnahmen eingeleitet werden sollen, um deren Zielsetzungen sicherzustellen. Die Steuerungsbereiche sind folgende:

Sicherheitspolitik

Die Sicherheitspolitik umfaßt die strategische Ausrichtung und die Unterstützung der Geschäftsführung bei der Informationssicherheit. Die Sicherheitspolitik, dokumentiert und gelebt, ist eine Kernvoraussetzung für den Erfolg des ISMS.

Organisation der Sicherheit

Die Organisation der Sicherheit beinhaltet die Methoden und Verfahren zum Management von Informationssicherheit. Dies schließt auch die Sicherheit beim Zugang Dritter zu Informationen oder bei ausgelagerter Informationsverarbeitung (Outsourcing) ein.

Einstufung und Lenkung der Informationswerte

Um Informationswerte zu schützen, bedarf es zunächst der Bestandsaufnahme, welche Informationswerte in einer Organisation gegeben sind (Inventur). Eine Klassifikation der Informationswerte hilft bei der Einstufung und Zuordnung von Schutzmaßnahmen.

Personelle Sicherheit

Das Ziel der personellen Sicherheit ist es, die Risiken durch menschlichen Irrtum, Diebstahl, Betrug oder Mißbrauch der Einrichtungen zu reduzieren.

Die Anwenderschulung ist ein außerordentlich wichtiger Aspekt, um ein Bewußtsein für Informationssicherheit zu schaffen und ein entsprechendes Verhalten zu fördern. Dazu gehört auch die Ausbildung für den Fall von Sicherheitsvorfällen und Störungen.

Physische und umgebungsbezogene Sicherheit

Sicherheitszonen haben den Zweck, den unberechtigten Zugang, Beschädigung und Störung der Geschäftsräume und Informationen zu verhindern und vor Verlust, Beschädigung oder Kompromittierung von Werten und der Unterbrechung von Geschäftsaktivitäten zu schützen.

Management der Kommunikation und des Betriebs

Dieser Steuerungsbereich dient (a) der Gewährleistung des korrekten und sicheren Betriebs von Geräten zur Informationsverarbeitung, (b) der Minimierung des Systemausfallrisikos, (c) dem Integritätsschutz von Informationen und Software, (d) der Aufrechterhaltung der Integrität und Verfügbarkeit von Diensten zur Verarbeitung von Informationen und für die Kommunikation, (e) der Sicherung von Informationen in Netzen und dem Schutz der unterstützenden Infrastruktur, (f) der Verhinderung von Schäden an Werten und der Unterbrechungen des Geschäftsbetriebs und (g) der Verhinderung von Verlust, Änderung oder Mißbrauch von Informationen, die zwischen Organisationen ausgetauscht werden.

Zugangskontrolle

Die Zugangskontrolle steuert den Zugriff auf Informationen. Unautorisierter Zugriff auf das Informationssystem, auf Informationen, auf Anwendungen sowie auf das Computersystem sollen verhindert werden. Besondere Aufmerksamkeit gilt es auch der Informationssicherheit beim Mobile Computing und der Telearbeit.

Systementwicklung und -wartung

Bereits bei der Systementwicklung ist auf ausreichende Sicherheit zu achten. In Anwendungssystemen ist der Verlust, die Änderung oder der Mißbrauch von Benutzerdaten zu verhindern. Kryptographische Maßnahmen sollen die Vertraulichkeit, Authentizität oder Integrität von Informationen schützen. Ferner ist sicherzustellen, daß IT-Projekte und Supportaktivitäten auf sichere Art und Weise durchgeführt werden. Auch bei der Wartung von Software und Informationen ist auf Sicherheit zu achten.

Management des kontinuierlichen Geschäftsbetriebs

Es sind korrigierende und vorbeugende Maßnahmen gegen Unterbrechungen von Geschäftsaktivitäten und Schutz der kritischen Geschäftsprozesse vor den Auswirkungen großer Ausfälle oder Katastrophen zu treffen.

Einhaltung der Verpflichtungen

Im letzten Steuerbereich wird die Vermeidung von Verletzungen von Gesetzen des Straf- oder Zivilrechts, gesetzlicher, behördlicher oder vertraglicher Verpflichtungen und jeglicher Sicherheitsanforderungen angesprochen. Weiter ist die Erfüllung organisationseigener Sicherheitspolitiken und Normen durch Systeme sicherzustellen. Audits des ISMS sind zu planen und zu vereinbaren, um das Risiko von Störungen der Geschäftsprozesse zu minimieren.

Der Aufbau des Managementrahmens

Mit der Übernahme des British Standard BS7799 in die ISO17799 wurde nur der erste Teil des BS7799 "Leitfaden zum Management von Informationssicherheit" auf die internationale Ebene gehoben. Der BS7799 besitzt dagegen einen zweiten Teil "Spezifikation für Informationssicherheitsmanagementsysteme", der einige ergänzende Informationen enthält. Die bedeutendste ist sicherlich der Abschnitt zur Schaffung des Managementrahmens.

Grundsätzlich ist dabei anzumerken, daß dieser Managementrahmen nichts anderes ist als das Risikomanagementsystem, das jede Organisation besitzen sollte, um dem Phänomen der Unsicherheit zu begegnen. In Bezug auf das Management von Informationssicherheit werden im BS7799, Teil 2 sechs Stufen angeführt.

1. Definition der Sicherheitspolitik
Wie jedes Managementsystem benötigt auch der Managementrahmen des ISMS eine Sicherheitspolitik, um Ziele, Zwecksetzungen, Absichten und Hauptverantwortlichkeiten zu definieren.

2. Definition des Umfangs des ISMS
Dabei sind die Grenzen hinsichtlich der Merkmale der Organisation, ihres Standorts, ihrer Werte und ihrer Technologie festzulegen.

3. Risikoidentifikation und -analyse
In diesem Schritt werden die Bedrohungen der Werte, die Schwachstellen und Auswirkungen auf die Organisation identifizieren und das Ausmaß des Risikos bestimmt (typischerweise Wahrscheinlichkeit des Eintritts und Auswirkung im Fall des Eintritts).

4. Risikomanagement
Basierend auf dem notwendigen Bedarf an Sicherheit sind die Risikobereiche zu identifizieren.

5. Auswahl von Steuerungszielen und -maßnahmen
Für die unter 4. identifizierten Risikobereiche sind geeignete Zielvorgaben zu machen und entsprechende Maßnahmen zu treffen.

6. Erklärung der Anwendbarkeit
Die ausgewählten Sicherheitsziele und Maßnahmen sowie die Gründe für ihre Auswahl sind in der Erklärung zur Anwendbarkeit zu dokumentieren.

Zertifizierung nach BS7799 Teil 2 (3)

Analog dem Standard zum Qualitätsmanagement ISO9000 können sich Organisationen auch nach BS7799 Teil 2 (3) zertifizieren lassen. Der Nutzen einer Zertifizierung ist:

Vertrauensbildung
Kunden können darauf vertrauen, daß deren Informationen beim Lieferanten sicher und geschützt sind.

Kosteneinsparungen
Die Kosten bereits eines Sicherheitsvorfalls können beträchtlich sein. Die Zertifizierung reduziert durch das Audit externer Personen das Risiko eines solchen Sicherheitsvorfalls.

Rechtssicherheit
Mit der Zertifizierung demonstriert ein Unternehmen, daß die entsprechenden Gesetze und Verordnungen befolgt werden.

Engagement
Die Zertifizierung zeigt das Engagement auf allen Ebenen in einem Unternehmen.

Die kontinuierliche Verbesserung des ISMS

Managementsysteme sind keine einmalige Tätigkeit, sondern ein kontinuierlicher Prozeß, der darauf abzielt, das bestehende Niveau zu sichern und darüber hinaus zu verbessern. Das vom Qualitätsmanagement bekannte Prinzip der kontinuierlichen Verbesserung greift auch im ISMS. Im ISMS ist es das Ziel, den erreichten Sicherheitsstandard zu wahren, indem neuen Sicherheitsbedrohungen entgegnet wird. Schließlich gilt es, bestehende Sicherheitslücken zu schließen und dadurch das ISMS zu verbessern.

Der kritische Erfolgsfaktor beim Management von Informationssicherheit ist die Identifikation der Schwachstellen und damit der Risiken. Das Tool, welches zur Lückenanalyse benutzt wird, ist das Audit. Ein Audit ist ein Soll-Ist-Vergleich, bei dem das Soll im Fall der Informationssicherheit durch den Standard ISO17799 bzw. den organisationsspezifisch fortentwickelten Standard abgebildet wird.

Die identifizierten Risiken können dann den typischen Risikomanagementprozeß durchlaufen. Das heißt, sie werden an Hand von Wahrscheinlichkeit des Eintritts und Auswirkung im Fall des Eintritts bewertet. Der sich daraus ergebende Risikofaktor ist der Wert, der zur Prioritätensetzung dient, welche Risiken zuerst behandelt werden sollen.

Für diese Risiken werden alternative Maßnahmen zur Risikominimierung gesucht. Die Maßnahmen mit der höchsten Effektivität und Kosteneffizienz werden zwecks Durchführung ausgewählt.

Ein Folgeaudit kann den Fortschritt bestimmen, der durch die Umsetzung geeigneter Maßnahmen erzielt worden ist.

Mit Hilfe der Monte Carlo Analyse kann die Risikosituation bei der Informationssicherheit simuliert werden. Der Mittelwert der Gesamtrisikokosten, der sich aus der Monte Carlo-Analyse ergibt, ist zumeist beträchtlich und kann hervorragend als Motivation dienen, ein systematisches Management der Informationssicherheit zu betreiben.

Revision des BS7799 Teil 2

In Anbetracht des Erfolgs des Qualitätsstandards ISO9000 ist es verständlich, daß Elemente des einen Managementsystems sich auch in einem anderen finden sollten. Diese Anpassung wird mit der Revision des zweiten Teil der BS7799, also jenem für die Zertifizierung relevanten Teils, vorgenommen. Die Harmonisierung mit ISO9000 betrifft insbesondere:
- das Plan-Do-Check-Act-Modell
- die Prozeßorientierung
- Definitionen und Erläuterungen
- korrespondierende Abschnitt in den Standards ISO9000 und BS7799 Teil 2

Schlußfolgerungen

Informationen sind längst zu einem kritischen Erfolgsfaktor sowohl in Unternehmen als auch im öffentlichen Sektor geworden. Diese zu schützen ergibt sich damit von selbst. Technische Ansätze alleine greifen zu kurz. Ohne ein systematisches Management der Informationen gibt es keinen wirksamen Schutz. Mit der ISO17799 gibt es einen internationalen Standard, der als Basis für eine "best practice" dienen kann und global kommunizierbar ist. Die Zertifizierung nach BS7799 Teil 2 wird insbesondere Organisationen helfen, die Kunden und anderen Stakeholders darlegen möchten, daß Vertraulichkeit, Integrität und Verfügbarkeit von Informationen stets gewährleistet sind.

Literatur

(1) ISO17799: International Organisation of Standardization
(2) Standards of 2000: veröffentlicht auf der Website der International Organisation of Standardization
(3) BS7799, Teil 1 und 2: British Standards Institution

Veröffentlichung

© 2003 Northwest Controlling Corporation Ltd.
Internet: http://www.noweco.com/
Email: info@noweco.com.