Boorberg Verlag

Internationaler Standard für Informationssicherheit BS7799 und ISO/IEC 17799

11.08.2005

British Standard 7799 und ISO/IEC 17799

Im Gegensatz zu anderen Wertungssystemen hat British Standard (BS7799) das Ziel, einen Prüfstandard für das Management der Informationssicherheit zu liefern. Dies erfordert nicht, dass jede einzelne Anwendung, jedes einzelne Subsystem oder jede Datei auf das spezifische Risiko analysiert wird, sondern untersucht vielmehr, welche Anforderungen an das Management von Sicherheitsprozessen in den jeweiligen Unternehmensbereichen gestellt werden und wie diese umgesetzt sind. Generell bleibt jeder Bereich weiterhin selbst für die Sicherheit seiner Informationen oder Systeme verantwortlich. Das Sicherheitsmanagement schafft lediglich den Überbau, also die Planung, Dokumentation, Kommunikation, Durchführung, Einhaltung und Prüfung der Sicherheitsstandards.
BS7799 ist aus der Zusammenführung praxisorientierter Grundschutzmaßnahmen internationaler Großunternehmen wie Shell, British Telecom, Marks & Spencer etc. entstanden. Diese Praxisnähe ist auch der Grund dafür, dass immer mehr Unternehmen in Deutschland sich dieses Standards annehmen und ihre Prozesse daran ausrichten, um sich in einigen Fällen anschließend sogar um ein Zertifikat zu bewerben.

BS7799 - Teil 1 und 2

Teil 1 ist erheblich bekannter als Teil 2, da er 2000 zum ISO/IEC 17799 ratifiziert wurde. Dieser Leitfaden beschreibt auf mehr als 100 Seiten, wie die heutigen Anforderungen an die Sicherung von Informationen umgesetzt werden können. Es handelt sich dabei um einen Ratgeber, der aufgrund seiner generischen Beschreibungen auf viele Unternehmen angepasst werden kann. Weiterhin eignet sich die bestehende Struktur gut, den Leitfaden um eigene Maßnahmen zu erweitern.

Teil 2 des Standards beschreibt die Anforderungen an die Gestaltung eines Managementsystems für Informationssicherheit, das sich von innen heraus stetig weiterentwickeln kann und eine kontinuierliche Verbesserung des Sicherheitsniveaus ermöglicht. Zentraler Dreh- und Angelpunkt ist die Risikoanalyse zur Ermittlung angemessener Maßnahmen. Bei der Implementierung der Sicherheitsmaßnahmen wird auf Teil 1 des Standards verwiesen. Eine Zertifizierung des Unternehmens ist zurzeit lediglich nach BS7799-2 möglich, ähnlich einem Qualitäts- oder Umweltmanagementsystem.

Aufbau und Struktur von ISO/IEC 17799

Der Standard umfasst:
  • 10 Control Clauses (Kapitel)
  • 36 Control Objectives (generische Kontrollziele)
  • 127 Controls (generische Anforderungen und Maßnahmen)
Folgende Themen werden in den zehn Kapiteln dargestellt:
  • Sicherheitspolitik: Es wird ein deutlicher Nachweis verlangt, dass das Management der Sicherung von Informationen die notwendige Bedeutung zuordnet und welche Ziele verfolgt werden. Diese Darstellung stellt den wichtigsten Grundstein des Sicherheitsmanagements dar.
  • Organisation der Sicherheit: Betrachtet werden die Sicherheitsorganisation und die zugehörigen Prozesse, insbesondere die Sicherheitsaspekte bei Fremdunternehmen und IT-Dienstleistern (Outsourcer).
  • Einstufung und Kontrolle der Werte: Das Unternehmen muss sich Klarheit über seine Informationswerte verschaffen und diese einem Eigentümer zuordnen, der für ihren Schutz verantwortlich ist. Auf breiter Basis wird die Sicherheit gefördert durch die Festlegung des Schutzbedarfs aller Werte und mit Hilfe allgemeiner Richtlinien.
  • Personelle Sicherheit: Anforderungen mit rechtlicher Relevanz werden beschrieben. Die besondere Verantwortung der Mitarbeiter wird durch Schulungen und Bewusstseinsbildung (Awareness) beworben.
  • Physische und umgebungsbezogene Sicherheit: Die Gestaltung der Sicherheitszonen und die Absicherung von Geräten gegen verschiedenste Gefährdungen sowie allgemeine Schutzmaßnahmen für den eigenen Arbeitsplatz werden erläutert.
  • Management der Kommunikation und des Betriebs: Anforderungen zum sicheren Betrieb von Informations- und Kommunikations-Infrastrukturen werden festgelegt.
  • Zugangskontrolle: Neben der Benutzerverantwortung und den Geschäftsanforderungen an die Zugangskontrolle für Netzwerke, Betriebssysteme und Anwendungen werden die Anforderungen an Mobile-Computing und die Überwachung der Systembenutzung beschrieben.
  • Systementwicklung und -wartung: Die Anforderungen für eine sichere Anwendungsentwicklung und den Einsatz kryptographischer Mechanismen werden erläutert.
  • Management des kontinuierlichen Geschäftsbetriebs: Die elementaren Bedürfnisse eines Unternehmens, sich auf Notfälle und Katastrophen vorzubereiten, werden mit der Planung, der Erstellung und dem Test von Notfallplänen abgedeckt. Darüber hinaus sind diese Aktivitäten in Betriebs- und Managementprozesse zu intergrieren.
  • Einhaltung der Verpflichtungen: Die Konformität im Verhalten des Unternehmens zum Gesetzgeber, zu Aufsichtsbehörden, Aktionären, Kunden sowie weiteren fremden und eigenen Interessengruppen werden dargestellt.

Zertifizierung

Die Zertifizierung ist nur nach BS7799 Teil 2 möglich. Die Norm legt die Anforderungen fest, um ein dokumentiertes Informationssicherheitsmanagementsystem (ISMS) im Kontext der geschäftlichen Gesamtrisiken einer Organisation zur Verfügung zu stellen. Das ISMS soll sicherstellen, dass adäquate und im richtigen Verhältnis stehende Sicherheitsmaßnahmen ergriffen werden, die die Informationswerte angemessen schützen. Zur wirksamen Funktion muss eine Organisation viele Aktivitäten identifizieren und verwalten. Alle Aktivitäten werden als Teile eines großen Prozesses verstanden, der nach dem sog. PDCA-Modell (Plan-Do-Check-Act - "Planen - Durchführen - Prüfen - Handeln") organisiert ist. Die Aktivitäten sind im Wesentlichen Risikoanalyse, Training- und Awareness-Programme, Dokumentenmanagement, Vorfallsmanagement, Überwachung, Überprüfung und Verbesserungen sowie weitere Aktivitäten, die aus der Verpflichtung des Managements hervorgehen.
Die in der Norm festgelegten Anforderungen sind allgemeiner Natur und auf alle Organisationen anwendbar, unabhängig von Art, Größe oder Charakter ihres Geschäfts. Sollten sich eine oder mehrere Anforderungen nicht anwenden lassen, so muss dies mit einer Begründung gerechtfertigt und dokumentiert werden. Außerdem muss der Nachweis erbracht werden, dass die damit verbundenen Risiken ordnungsgemäß von der verantwortlichen Personen akzeptiert wurden.

Weiterentwicklung von ISO/IEC17799/BS7799

2005 wurde der Standard ISO/IEC 17799:2000 umstrukturiert und erweitert. Die neue Gliederung des ISO17799:2005 enthält nun folgende Kapitel:
  • Sicherheitspolitik
  • Organisation der Informationssicherheit
  • Asset Management
  • Sicherheit im Personalwesen
  • Physische und umgebungsbezogene Sicherheit
  • Management der Kommunikation und des Betriebs
  • Zugangskontrolle
  • Anschaffung, Entwicklung und Instandhaltung von Informationssystemen
  • Management von Sicherheitsvorfällen (Security Incident Management)
  • Management des kontinuierlichen Geschäftsbetriebes (Business Continuity Management)
  • Einhaltung der Verpflichtungen (Compliance)
Um das Managementsystem nach BS7799-2 an die Umsetzungsanforderungen nach ISO17799:2005 anzupassen, ist in weiteren Schritten die Vereinheitlichung aller BS7799-Standards als ISO-Standards geplant. Dazu gibt es die neue ISO27000-Klasse, die dann neben ISO9000 (Qualitätsmanagement) und ISO14000 (Umweltmanagement) steht. Folgende Standards sind dazu in Arbeit:
ISO/IEC 27001 - Informationssicherheitsmanagementsystem, vormals BS7799-2
ISO/IEC 27002 - Leitfaden Informationssicherheitsmanagement, vormals BS7799-1 bzw. ISO/IEC 17799
ISO/IEC 27004 - Metrik und Messungen der Sicherheit.

Autor: Guido Gluschke

Anlass: British Standard 7799

British Standard 7799  (BS7799) ist eine Norm für die Gestaltung, die Auditierung und Zertifizierung von Informationssicherheitsmanagementsystemen. In diesem Jahr wurde der davon abgeleitete ISO-Standard zum ISO/IEC 17799:2005 umstrukturiert und erweitert.

Sachbereich: D3 Fachspezifische Themen - IT-Sicherheit

Schlagwörter: British Standard 7799, ISO/IEC 17799, Informationssicherheitsmanagementsystem, Awareness


-