Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Best-Practice Dokumente und Standards für die Informationssicherheit

 

Überblick

Für jemanden, der nach dem Stand der Technik bei der IT- und der Informationssicherheit sucht, gibt es reichlich Vorlagen. Das ist gut, aber es verwirrt auch sehr leicht. Woran soll ich mich eigentlich halten? Die gute Nachricht dazu ist, dass sich die Texte eigentlich nicht widersprechen und dass ein Unternehmen mit jedem der Standards zu einem vernünftigen Sicherheitsstand kommen kann.

Die deutsche BITKOM Organisation hat einen ultimativen Überblick erarbeitet und gibt auf 84 Seiten einen systematischen Überblick über das schon etwas verwirrende Gebiet der Informationssicherheitsstandards. Der Text nennt sich Kompass der IT-Sicherheitsstandards Leitfaden und Nachschlagewerk (neue Version 2008).

Die BITKOM teilt in Anlehnung an den bundesdeutschen Normenausschuss Informationstechnik NI-27 die Standards in 5 Gruppen ein:

  • 1. Informationssicherheits-Managementsysteme (ISMS) mit dem heute grundlegenden Werk ISO27001. Nach wikipedia ist dies "ein System von Verfahren und Regeln eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu steuern und zu kontrollieren und speziell Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten." Die BITKOM zählt dazu auch die ISO 17799 und das Grundschutzhandbuch (siehe unten). Diese Standards sind eher nicht-technisch gehalten und beschreiben die Managementaspekte
  • 2. Sicherheitsmaßnahmen und Monitoring. Darunter versteht die BITKOM spezielle Sicherheitsverfahren, wie z.B. Netzwerksicherheit, Zugriffskontrolle und Intrusion Detection
  • 3. Evaluierung von IT-Sicherheit. Hierbei geht es um konkrete Bewertung und oft auch Zertifizierungen, zumeist auf Produkt- oder Systemebene. Beisipiel sind die sog. "Common Criteria".
  • 4. Kryptographische und IT-Sicherheitsverfahren, produkt-bezogene technische Verfahrensanweisungen und Normen
  • 5. Physische Sicherheit, detaillierte Vorschriften für Brandschutz, Einbruchsschutz, Elektrik

Die BITKOM listet dann noch 2 weitere Bereich auf:

  • IT-Standards mit Sicherheitsaspekten, dazu gehören der Auditorenstandard CobiT und ITIL
  • Vorschriften. Dies sind die relevanten Gesetze, z.B. KonTraG in Deutschland, Basel II und SOX für alle AGs, die an US-Börsen notieren

Im folgenden werden die Standards beschrieben, die derzeit am meisten Relevanz haben und in die rechte obere Ecke der Grafik fallen.

 

ISO 17799

Da wäre zuerst einmal der (mittlerweile historische, aber immer noch verfügbare) ISO Standard 17799 nformation technology -- Security techniques -- Code of practice for information security management zu erwähnen, ein Implementierungsleitfaden für Informationssicherheit. Dieser Text ist aus dem noch älteren British Standard 7799-1 hervorgegangen. Ein wichtiger Aspekt ist, dass in knapper Form eine umfassende Liste speziell der organisatorischen und prozeduralen Aspekte der Informationssicherheit gegeben werden. Seit 2005 ist eine neue, erheblich verbesserte Version des Standards verfügbar. Wichtigster Vorteil ist wohl, dass im Gegensatz zu den eher wagen Empfehlungen in der neuen Ausgabe zu jedem Punkt konkrete Maßnahmen und zusätzlich weiterführende Hinweise aufgenommen wurden. D.h. der Text ist viel besser als bisher als Checkliste geeignet. Hier gibt es einen sehr informativen Artikel zum neuen 17799-Standard (pdf, 260 KB) und ein 2. Artikel (pdf, 1 MB).

  • Organisation der Informationssicherheit
  • Einstufung und Kontrolle der Werte (Asset Management)
  • Personelle Sicherheit (HR Security)
  • Physische und Umgebungssicherheit
  • Management der Kommunikation und des Betriebs
  • Zugangskontrolle
  • Systembeschaffung, -entwicklung- und -wartung
  • Vorfallbehandlung (Information Security Incident Management)
  • Management des kontinuierlichen Geschäftsbetriebes
  • Kontrollen/Einhaltung der Verpflichtungen

Der Text ist leider nicht kostenlos verfügbar. Bestellung bei der ISO Organisation.

 

ISO 27000-Familie

Die ISO-Organisation arbeitet an einer Neu-Gruppierung der Dokumente zum Thema Informationssicherheit in Form der ISO 27000-Familie. Dazu gehören dann ISO 17799, ISO TR 13335 und das Nachfolgedokument zu BS 7799-2. Die BS 7799-2 behandelt die Implementierung und die Zertifizierungsanforderungen an ein ISMS (information security management system). Dabei handelt es sich nicht in erster Linie um ein Softwarepaket (was der Name andeuten könnte), sondern um die Management-Systematik zur Sicherstellung der Informationssicherheit (auch wenn eine Software-Unterstützung dabei sehr hilfreich sein kann).

Leider sind fast alle ISO-Standards kostenpflichtig. Das ist der Stand Ende 2009:

Der einzige nicht-kostenpflichtige Text in dieser Reihe ist das Rahmenwerk ISO 27000.

ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems -- Requirements.
ISO/IEC 27001:2005 specifies the requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a documented Information Security Management System. Mehr Informationen gibt es auch hier: ISO 27001-online

ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management.
ISO/IEC 27002:2005 establishes guidelines and general principles for initiating, implementing, maintaining, and improving information security management in an organization.Its technical content is identical to that of ISO/IEC 17799:2005.

ISO/IEC CD 27003 Information technology -- Information security management system implementation guidance (2009 under development)

ISO/IEC 27004:2009 Information technology -- Security techniques -- Information security management -- Measurement (verfügbar seit Dez.2009).
Secorvo schreibt:
Darin wird entlich verbindlich geregelt, was unter Messungen und Bewertungen im Rahmen eines Informationssicherheitsmanagements nach ISO 27001 zu vestehen ist. Neben den Erklärungen zu einem sinnvollen Vorgehen bei der Entwicklung von Messungen finden sich auch Hinweise zur Verantwortung des Managements sowie zur Durchführung und Dokumentation von Messen.

Seit 2008 verfügbar ist ISO/IEC 27005:2008 Information technology -- Security techniques -- Information security risk management.
Darin werden wesentliche Prozessschritte wie beispielsweise die Risiko-Identifikation, -Bewertung und -Akzeptanz beschrieben und konkrete Hilfestellung zur Anwendung gegeben.

ISO/IEC 27006:2007 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems.
Audit and certification of an information security management system (ISMS)

 

BSI Grundschutzhandbuch

Das bundesdeutsche BSI (Bundesamt für Sicherheit in der Informationstechnik) propagiert 2 Vorgehensweisen zum Erreichen von Informatinssicherheit:

1. Das analytische Vorgehen nach dem IT-Sicherheitshandbuch. Dieses Verfahren basiert auf einer formellen Risikoabschätzung (Risikoanalyse) und ist daher bei einer umfassenden Analyse mit einem erheblichen Aufwand verbunden, wenn es auf alle IT-Anwendungen angewandt wird.

2. Für IT-Anwender, deren zu schützende Systeme höchstens einen mittleren Schutzbedarf haben, empfielt das BSI ihren IT-Grundschutz. Das IT-Grundschutzhandbuch (IT-GSHB) enthält pauschalisierte Maßnahmenempfehlungen, die für einen mittleren Schutzbedarf hinreichend sind. Das Dokument enthält viele Bausteine, die nach Bedarf zusammengesetzt werden können.

Es ist vom inhalt her erheblich umfangreicher als die oben erwähnten Standards. Dieses Werk behandelt auf gut 2000 Seiten fast alle Aspekte der Informationstechnik mit einer großen Detailfreude, ein großer Teil sind Maßnahmenliste wie auf technischer Ebene die Sicherheit erhöht werden kann. Dieses Dokument ist vollständig im Internet verfügbar und eine gute Hilfestellung in Detailfragen.

Es steht seit 2006 eine überarbeitete Version zur Verfügung. Hinzugekommen sind die Themen IT-Sicherheitssensibilisierung und -schulung, Client unter Windows XP, mobiler Arbeitsplatz sowie Besprechungs-, Veranstaltungs- und Schulungsräume. Weitere Themen wurden überarbeitet und aktualisiert. Überdies hat das BSI sein Handbuch an den neuen ISO-Standard 27001 angepasst.

Es liegen jetzt auch 3 BSI-Standards vor. Die Standards liegen Aug. 2008 in Version 2.0 vor und haben folgende Gliederung:

  • BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
  • BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
  • BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
  • BSI-Standard 100-4: DRAFT: Notfallstandard (pdf) - Mehr Link auch bei Notfallplanung

Das deutsche Bundesamt für Informationssicherheit hat auch eine technische Richtlinie „Kryptographische Verfahren: Algorithmen und Schlüssellängen“ veröffentlicht. Sehr empfehlenswert wenn man sich um Dschungel der Algorithmen und Schlüssellängen nicht wirklich auskennt.

Interessant ist auch ein Vergleich zwischen den BSI-Texten und 27001 (pdf)

Und sehr interessant ist ein ganz neues (2008) kostenloses Open Source Grundschutz-Tool.

 

Österreichisches IT-Sicherheitshandbuch

Von diesem Dokument gibt es eine deutlich abgespeckte österreichische Variante, nämlich das Österreichische IT-Sicherheitshandbuch, herausgegeben vom Chief Information Office - Stabsstelle IKT-Strategie des Bundes. Es kommt in zwei Teilen mit 90, bzw. 271 Seiten und stellt praktisch den gleichen Inhalt in komprimierter Form dar. Auch das Österreichische IT-Sicherheitshandbuch ist kostenlos im Internet verfügbar.

 

ITIL

ITIL (Information Technology Infrastructure Library): Eine Sammlung von Best-Practise Methoden zum systematischen Organisieren aller Tätigkeiten im Bereich Service Management und Servicessupport für Informationssysteme, derzeit (noch) kein Standard. ITIL definiert Prozesse und die Interaktionen. ITIL- Prozesse sind

  • Incident Management
  • Problem Management
  • Configuration Management
  • Change Management
  • Release Management
  • Service Level Management (SLA)
  • Finance Management for IT Services
  • Capacity Management
  • Continuity Management
  • Availability Management

ITIL ist die Grundlage des ISO Standards 20 000. Sehr interessant ist übrigens Metrics for IT Service Management. Dies ist von der itSMF (einer Organisation zur Förderung von ITIL), die auch viele andere Bücher zum Thema ITIL vertreibt. Nicht offiziell mit ITIL zu tun hat ITIL.org, wo aber auch interessante Sachen angeboten werden.

 

CobiT

Die „Control Objectives for Information and related Technology“ sind eine Zusammenführung von insgesamt 41 nationalen und internationalen Standards aus den Bereichen Sicherheit, Qualitätssicherung und IT, sehr prozess-orientiert. Herausgegeben von der ISACA, der internationalen Organisation der IT-Auditoren und daher eher revisions-orientiert.

Die Anwendung von Controls aus CobiT auf die IT-Systeme, die bei der Erstellung der Finanzberichte verwendet werden, wird, da Grundlage des COSO-Frameworks, als einen der Kernpunkte von SOX-Compliance bezeichnet. (mehr dazu auch im Glossar pdf, > 700 KB).

Mehr zu CobiT auf isaca.ch. Dort gibt es jetzt die CobiT 4.0 Version kostenlos.

 

NIST

Das US-amerikanische National Institute of Standards and Technology veröffentlicht auf seiner Website eine ganze Reihe von hochinteressanten Dokumenten zur Informationssicherheit, z.B. die sog. NIST 800 Serie, mit so hilfreichen Dokumenten wie

  • NIST 800-30 - Risk Management Guide for Information Technology Systems
  • NIST 800-40 - Creating a Patch und Vulnerability Management Program
  • NIST 800-61 - Computer Security Incident Handling Guide
  • NIST 800-64 - Security Considerations in the Information System Development Life Cycle
  • NIST 800-81 - Secure Domain Name System (DNS) Deployment Guide
  • NIST 800-83 - Guide to Malware Incident Prevention and Handling
  • NIST SP800-86 Integrating Forensic Techniques into Incident Response
  • NIST 800-92 - Guide to Computer Security Log Management

Alle NIST-Dokumente sind kostenlos im PDF-Format verfügbar.

 

Weiterführende Hinweise

Ein (etwas älterer) Vergleich verschiedener Best-Practise Dokumente befindet sich auf initiatived21.de (pdf, deutsch). Wie oben bereits erwähnt, der ultimative Überblick nennt sich Kompass der IT-Sicherheitsstandards Leitfaden und Nachschlagewerk (pdf, 1 MB, deutsch) und kommt von der Bitkom.

Bei der ISACA, der Organisation, die hinter COBIT steht, gibt es ein interessantes Dokument: Aligning COBIT, ITIL and ISO 17799 (PDF, 255KB).

Zum Thema "Worst-Practise" (und daher letztendlich zum gleichen Thema), hier ein Artikel zu den dümmsten Ideen der Computer-Sicherheit.

 



Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.