Kompass Der IT Sicherheitstandards Final 12-11-2007

7/31/2019 Kompass Der IT Sicherheitstandards Final 12-11-2007

1/84

Kompass der IT-Sicherheitsstandards

Leitaden und Nachschlagewerk


2/84

Impressum

Herausgeber:BITKOMBundesverband Inormationswirtschat,Telekommunikation und neue Medien e.V.

Albrechtstrae 1010117 Berlin-Mitte

Teleon 030/27576-0

Teleax 030/27576-400

[email protected]

Redaktion:Dr. Walter Fumy, Lutz Neugebauer

Verantwortliches Gremium:AK Sicherheitsmanagement

DINDeutsches Institut der Normung e.V.Normenausschuss Inormationstechnik und Anwendung (NIA)

Burggraenstrae 610787 Berlin

Teleon 030/2601-0

Teleax 030/2601-1231

[email protected]

Hans von Sommereld, Dr. Stean Weisgerber

Normenausschuss Inormationstechnik (NIA) im DIN,Arbeitsausschuss NIA-27,IT-Sicherheitsverahren


3/84

3

Stand: Oktober 2007, Version 3.0

Die Inhalte dieses Leitadens sind sorgltig recherchiert. Sie wurden unter aktiver Mitwirkung derMitglieder der o. g. BITKOM und DIN-Gremien erarbeitet. Sie spiegeln die Auassung im BITKOM undDIN bzw. den Arbeitsstand in den Normungsgremien zum Zeitpunkt der Verentlichung wider. Dievorliegende Publikation erhebt jedoch keinen Anspruch au Vollstndigkeit. Wir bernehmen trotzgrtmglicher Sorgalt keine Hatung r den Inhalt.

Der jeweils aktuelle Leitaden kann unter www.bitkom.org/publikationen bzw. unter www.beuth.dekostenlos bezogen werden. Alle Rechte, auch der auszugsweisen Vervielltigung, liegen beim BITKOMund DIN.

Ansprechpartner:

Lutz Neugebauer Dr. Stean WeisgerberTel: 030/27576242 Tel: 030/2601-2411E-Mail: [email protected] E-Mail: [email protected]


4/84

4

Inhalt

1 Einleitung........................................................................................................................................................7

2 Nutzen von Standards ...................... ...................... ..................... ...................... ...................... .................... 8

3 Arten von Standards, ihre Entwicklung und Mitwirkungsmglichkeiten .................... ................... 9

4 Kompass der IT-Sicherheitsstandards ..................... ..................... ...................... ...................... ................ 144.1 Tabelle mit Kompass der IT-Sicherheitsstandards ................... ...................... ...................... ................ 144.2 Beschreibung der IT-Sicherheitsstandards ..................... ...................... ...................... ...................... ..... 17

5 Einhrung von IT-Sicherheitsstandards im Unternehmen ................... ...................... ...................... . 18

6 Grundlegende Standards zum IT-Sicherheits- und Risikomanagement ................... ...................... .206.1 Inormationssicherheits-Managementsysteme (ISMS) ................... ...................... ...................... ..... 206.1.1 ISO/IEC 13335 ..................... ...................... ...................... ..................... ...................... ...................... ................ 206.1.2 ISO/IEC 27001 ...................... ...................... ...................... ...................... ...................... ...................... ............ 226.1.3 ISO/IEC 27002 (zuvor 17799) ...................... ...................... ...................... ...................... ...................... ........ 236.1.4 IT-Grundschutz .................... ...................... ...................... ...................... ...................... ...................... ............ 246.2 Sicherheitsmanahmen und Monitoring .................... ...................... ...................... ...................... ........ 266.2.1 ISO/IEC 18028 ...................... ...................... ...................... ...................... ...................... ...................... ............ 266.2.2 ISO/IEC TR 18044 ..................... ...................... ...................... ...................... ...................... ...................... ........ 276.2.3 ISO/IEC 18043 ...................... ...................... ...................... ...................... ...................... ...................... ............ 28

6.2.4 ISO/IEC TR 15947 ...................... ...................... ...................... ...................... ...................... ...................... ........ 296.2.5 ISO/IEC 15816 ...................... ...................... ...................... ...................... ...................... ...................... ............ 29

7 Standards mit IT-Sicherheitsaspekten .................... ..................... ...................... ...................... ................ 317.1 Cobit .................... ...................... ...................... ...................... ...................... ..................... ...................... ......... 317.2 ITIL .................... ...................... ...................... ...................... ...................... ...................... ...................... ............ 327.3 IDW PS 330 .................... ...................... ...................... ...................... ...................... ...................... ................... 34

8 Vorschriten ..................... ...................... ...................... ...................... ...................... ...................... ................ 368.1 KonTraG ...................... ...................... ...................... ...................... ...................... ...................... ...................... .368.2 Basel II ..................... ...................... ...................... ..................... ...................... ...................... ...................... ..... 37

8.3 SOX ................... ...................... ...................... ...................... ...................... ...................... ...................... ............ 388.4 EURO-SOX ...................... ...................... ...................... ...................... ...................... ...................... ................... 398.5 BDSG .................... ...................... ...................... ...................... ...................... ...................... ...................... ........ 39

9 Evaluierung von IT-Sicherheit .................... ...................... ...................... ...................... ...................... ........ 419.1 Common Criteria .................... ...................... ...................... ...................... ...................... ..................... ......... 419.1.1 ISO/IEC 15408 (CC) ...................... ...................... ..................... ...................... ...................... ...................... ..... 419.1.2 ISO/IEC TR 15443 ...................... ...................... ...................... ...................... ...................... ...................... ........ 439.1.3 ISO/IEC 18045 ...................... ...................... ...................... ...................... ...................... ...................... ............ 449.1.4 ISO/IEC TR 19791 ...................... ...................... ...................... ...................... ...................... ...................... ........ 459.1.5 ISO/IEC 19790 (FIPS 140-2) ...................... ...................... ...................... ...................... ...................... ............ 459.1.6 ISO/IEC 19792 .................... ...................... ...................... ..................... ...................... ...................... ................ 469.1.7 ISO/IEC 21827 (SSE-CMM) ...................... ...................... ...................... ...................... ...................... ............ 47


5/84

5

9.2 Schutzprole ...................... ..................... ...................... ...................... ...................... ...................... ............... 489.2.1 ISO/IEC TR 15446 ...................... ...................... ...................... ...................... ..................... ...................... ........ 48

10 Spezielle Sicherheitsunktionen 1: Normen zu kryptographischen undIT-Sicherheitsverahren ...............................................................................................................................50

10.1 Verschlsselung ................... ...................... ...................... ...................... ...................... ...................... ........... 5010.1.1 ISO/IEC 7064 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5010.1.2 ISO/IEC 18033 .................... ..................... ...................... ...................... ...................... ...................... ............... 5110.1.3 ISO/IEC 10116 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5210.1.4 ISO/IEC 19772 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5310.2 Digitale Signaturen ..................... ..................... ...................... ...................... ...................... ...................... .... 5310.2.1 ISO/IEC 9796 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5410.2.2 ISO/IEC 14888 .................... ..................... ...................... ...................... ...................... ...................... ............... 5510.2.3 ISO/IEC 15946 .................... ..................... ...................... ...................... ...................... ...................... ............... 56

10.3 Hash-Funktionen und andere Hilsunktionen ...................... ...................... ..................... ................... 5710.3.1 ISO/IEC 10118 ...................... ..................... ...................... ...................... ...................... ...................... ............... 5710.3.2 ISO/IEC 18031 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5810.3.3 ISO/IEC 18032 ..................... ..................... ...................... ...................... ...................... ...................... ............... 5910.4 Authentizierung .................... ...................... ...................... ...................... ..................... ...................... ........ 6010.4.1 ISO/IEC 9798 ...................... ..................... ...................... ...................... ...................... ...................... ............... 6010.4.2 ISO/IEC 9797 ...................... ..................... ...................... ...................... ...................... ...................... ............... 6210.5 PKI-Dienste ..................... ...................... ...................... ...................... ...................... ..................... ................... 6210.5.1 ISO/IEC 15945 ..................... ..................... ...................... ...................... ...................... ...................... ............... 6310.5.2 ISO/IEC TR 14516 ................... ...................... ...................... ...................... ...................... ...................... ........... 6410.6 Schlsselmanagement ..................... ...................... ...................... ...................... ..................... ................... 6410.6.1 ISO/IEC 11770 ...................... ..................... ...................... ...................... ...................... ...................... ............... 65

10.7 Kommunikationsnachweise ................... ...................... ...................... ...................... ...................... ........... 6610.7.1 ISO/IEC 13888 .................... ..................... ...................... ...................... ...................... ...................... ............... 6610.8 Zeitstempeldienste ..................... ..................... ...................... ...................... ...................... ...................... .... 6710.8.1 ISO/IEC 18014 ..................... ..................... ...................... ...................... ...................... ...................... ............... 68

11 Spezielle Sicherheitsunktionen 2: Physische Sicherheit ..................... ...................... ...................... .... 6911.1 Technische Leitlinie 7500 ..................... ..................... ...................... ...................... ...................... ............... 6911.2 Brandschutz ................... ...................... ...................... ...................... ...................... ..................... ................... 7011.2.1 DIN 4102 ...................... ...................... ...................... ...................... ...................... ...................... ...................... 7011.2.2 DIN 18095 ................... ...................... ...................... ...................... ...................... ...................... ...................... 7111.2.3 DIN EN 1047 .................... ...................... ...................... ...................... ...................... ..................... ................... 72

11.3 Einbruchshemmung ...................... ...................... ...................... ...................... ...................... ...................... 7311.3.1 DIN EN 1143-1 ...................... ..................... ...................... ...................... ...................... ...................... ............... 7311.3.2 DIN V ENV 1627 ..................... ...................... ...................... ...................... ...................... ...................... ........... 7411.4 Gehuse ...................... ...................... ...................... ...................... ...................... ...................... ...................... 7411.4.1 DIN EN 60529 .................... ..................... ...................... ...................... ...................... ...................... ............... 74

12 Anhang .................... ...................... ...................... ...................... ...................... ...................... ...................... .... 7612.1 Bezug zu anderen Standards ...................... ...................... ..................... ...................... ...................... ........ 7612.2 Links ...................... ...................... ...................... ...................... ...................... ..................... ...................... ........ 80

13 Danksagung ................... ...................... ...................... ...................... ...................... ..................... ................... 82

14 Fragebogen .................... ...................... ...................... ..................... ...................... ...................... ................... 83


6/84

6


7/84

7

1 Einleitung

Viele Organisationen (Unternehmen oder Behrden) sind heute von modernen Inormations- undKommunikationstechniken (IuK) abhngig. Die Inormationstechnik (IT) dient als Basis r zahlreicheGeschtsprozesse: Vom Einkau ber die Produktion bis zum Verkau sowie die komplette Verwaltung.Dank Handys, PDAs und Notebooks knnen immer mehr Mitarbeiter eines Unternehmens mobil au dasirmeninterne Netz zugreien. Immer mehr Unternehmen, auch im Mittelstand, sind in immer hheremMae au eine unktionierende IT angewiesen.

Nach Angaben des Statistischen Bundesamtes r das Jahr 2006 nutzen 96% aller Unternehmenmit mehr als 10 Mitarbeitern einen Computer. Rund 73% aller Unternehmen, also inklusive Kleinstunter-nehmen, hatten 2006 ein eigenes Angebot im Internet, 95% nutzten das Internet. Mit der zunehmenden(auch entlich gerderten) Anwendung von E-Commerce, E-Business und E-Government wird die

IT-Anwendung in den Unternehmen bis zur Ausschpung aller Rationalisierungspotentiale weiterzunehmen. Diese Entwicklung hrt zu einer zunehmenden Abhngigkeit der Organisationen von derVergbarkeit der IT, der Integritt (Unversehrtheit) von Daten und Systemen sowie dem Schutz vorunberechtigtem Zugri au Daten.

Die Risiken gilt es au ein mglichst geringes Niveau zu bringen, das wirtschatlich vertretbar ist unddauerhat gehalten werden kann. Ein IT-Risikomanagement ist daher r ein Unternehmen notwendig.Standards spielen im Rahmen eines IT-Risikomanagements eine wichtige Rolle. Der Einsatz von IT-Sicherheitsstandards im Unternehmen oder in einzelnen Bereichen verbessert die sicherheitsrelevantenIT-Prozesse zum Vorteil des Unternehmers, seiner Kunden sowie seiner Mitarbeiter und reduziert damitdas Gesamtrisiko.

Grounternehmen haben dies schon lange erkannt und setzen Standards in wachsendem Mae ein. Aberauch mittelstndische Unternehmen proitieren von der Anwendung geeigneter IT-Sicherheitsstandards.Um interessierten Geschtshrern oder IT-Leitern aus dem Mittelstand einen berblick zu geben,welche Standards r ihr Unternehmen bzw. ihre Unternehmensbereiche relevant sein knnten, wurde dervorliegende Leitaden entwickelt.

Das Herzstck des Leitadens, der Kompass der IT-Sicherheitsstandards, klassiiziert bekannte Standardssowie Standards r spezielle Sicherheitsunktionen, so dass der Leser diese r sein Unternehmenbewerten und gg. als relevant einschtzen kann. Im Kompass sind auch ausgewhlte Vorschritenaugehrt, die im Zusammenhang mit IT-Sicherheit in Medien und Publikationen immer wiedererwhnt werden. Auch diese sind klassiiziert und knnen so au ihre Relevanz berprt werden. Nicht

jeder Standard ist r jedes Unternehmen sinnvoll. Nhere Erluterungen und Inormationen zu denaugehrten Standards und Vorschriten sind in den darau olgenden Kapiteln zu inden.

Im Anhang sind die Bezge der behandelten Standards untereinander augehrt, dort beinden sich auchLinks zu weiteren Inormationen.

Noch eine Anmerkung in eigener Sache: Da BITKOM und DIN den Leitaden weiterentwickeln wollen, sindwir am Feedback des Leser interessiert. Wir wrden uns daher reuen, wenn Sie uns den Fragebogen imAnhang zuaxen, damit wir bei der nchsten Version Ihre Anregungen bercksichtigen knnen.


8/84

8

2 Nutzen von Standards

Der Einsatz von IT in Unternehmen birgt Risiken, die im Rahmen eines IT-Risikomanagements auein angemessenes Niveau, das wirtschatlich vertretbar ist und dauerhat gehalten werden kann,reduziert werden sollten. Dabei kommt es insbesondere darau an, die Risiken umassend zu ermittelnund die Schutzmechanismen nicht auwendiger zu gestalten, als es das zulssige Risiko verlangt, aberauch keine Geahren unbercksichtigt zu lassen. Die Auswahl und die Anwendung angemessener IT-Sicherheitsstandards ist ein Teil des IT-Sicherheitsmanagements.

Die Etablierung eines umassenden IT-Sicherheitsmanagements ist eine anspruchsvolle Augabe,da Planungsehler und unpraktikable Umsetzung vermieden werden mssen. Selbst entwickelteVorgehensweisen sind teuer und knnen erahrungsgem nicht umassend dem Stand der Technikentsprechen. Hier ist es sinnvoll, au bewhrte Vorgehensweisen, die in Standards estgehalten sind,

zurck zugreien.

Standards verbessern die sicherheitsrelevanten IT-Prozesse zum Vorteil des Unternehmens, der Kunden,der eigenen Produkte sowie der Mitarbeiter. Sie bieten Hilestellung von generischen Manahmen auManagement-Ebene bis zu detaillierten technischen Implementierungen an,z. B. lieern sie Methoden r ein leistungshiges IT-Sicherheitsmanagement oder deinieren die IT-Sicherheit von ausgewiesenen Produkten. Sie knnen sowohl eigenstndig als auch methodischeingebettet in ein anderes System ortlauend betrieben werden.

Wesentliche Ziele beim Einsatz von Standards sind in Tabelle 1 zusammengeasst:

Kostensenkung Nutzung vorhandener und praxiserprobter VorgehensmodelleMethodische Vereinheitlichung und NachvollziehbarkeitRessourceneinsparung durch Kontinuitt und einheitliche QualikationInteroperabilitt

Einhrung einesangemessenenSicherheitsniveau

Orientierung am Stand der Technik und WissenschatGewhrleistung der AktualittVerbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischenBewertung

Wettbewerbsvorteile Zertizierung des Unternehmens sowie von Produkten

Nachweishigkeit bei entlichen und privatwirtschatlichenVergabeverahrenVerbesserung des UnternehmensimageStrkung der Rechtssicherheit

Tabelle 1: Ziele beim Einsatz von Standards


9/84

9

3 Arten von Standards, ihre Entwicklung undMitwirkungsmglichkeiten

Weltweit gibt es zahlreiche Gremien, die sich mit der Entwicklung von Sicherheitsstandards bzw. Normenbeschtigen.

Die in diesem Leitaden augehrten und beschriebenen Standards wurden von verschiedenen Gremiennach unterschiedlichen Verahren entwickelt. In der Regel kann man das verantwortliche Gremium an derZeichenkette zu Beginn der Kurzbezeichnung des Standards erkennen:

ISO/IEC-Standards

Bei der Mehrzahl handelt es sich um internationale Normen, die unter deutscher Mitwirkung imSubkomitee 27 IT-Security Techniques des Technischen Gemeinschatskomitees InormationTechnology der Internationalen Normenorganisationen ISO und IEC, ISO/IEC JTC 1/SC 27 (http://www.jtc1sc27.din.de), nach einem Konsensverahren entwickelt und in einer entlichen Umrage besttigtwurden. Diese Standards sind an der Zeichenkette ISO/IEC geolgt von der Normennummer zu erkennen(Beispiel: ISO/IEC 27001).

DIN EN-Standards

Bei Standards, die mit der Zeichenkette EN beginnen, handelt es sich um Europische Normen,die von einer der Europischen Normenorganisationen CEN, CENELEC oder ETS, ebenalls nach einemKonsensverahren mit entlicher Umrage, entwickelt wurden. Beginnt die Zeichenkette mit DIN, so

handelt es sich um eine deutsche Norm. DIN EN bezeichnet eine Europische Norm, die in das deutscheNormenwerk bernommen wurde.

Andere Standards

Andere Bezeichnungen (wie z. B. IT-GSHB) deuten au Standards, die von Konsortien, Interessen-gruppenoder Behrden nach deren jeweiligen Regeln erarbeitet wurden. Diese Regeln sehen einen gegenber denNormungsorganisationen eingeschrnkten Konsensrahmen vor und legen die Mitwirkungsmglichkeitenest.

Die Erarbeitung deutscher Beitrge und Stellungnahmen zu internationalen Normen erolgt durch das

DIN, insbesondere durch den Arbeitsausschuss IT-Sicherheitsverahren des Normenaus-schussesInormationstechnik NIA-27 (www.nia.din.de/ni27). Die Mitarbeit1 in den Gremien des DIN ist, beiangemessener Beteiligung an den Kosten der Normungsarbeit, oen r alle interessierten Kreise -unabhngig von der Mitgliedschat im DIN.

Die internationalen bzw. nationalen Standards werden im zeitlichen Abstand von maximal n Jahreneiner Revision unterzogen und bei Bedar berarbeitet. Das Verentlichungsdatum gibt jeweils denAbschluss der letzten berarbeitung an. Bei der Anwendung der Standards ist es sinnvoll, bei eineraktuellen Datenbank (z. B. www.beuth.de, Verlag des DIN) die aktuelle Ausgabe anzuragen. Hier knnendie Standards auch bezogen werden.

1 Anragen zur Mitarbeit sowie zu den Projekten und Normen knnen gern an den Ausschuss (siehe Impressum)gestellt werden.


10/84

10

Alle in dieser Leitlinie behandelten internationalen Standards werden vom NIA-27 r die Anwendung inDeutschland empohlen.

Angelehnt an die Arbeitsgruppen des NIA-27 erolgt die Einteilung der Standards in diesem Leitaden inn Bereiche:1. Inormationssicherheits-Managementsysteme (siehe Kapitel 6.1)2. Sicherheitsmanahmen und Monitoring (siehe Kapitel 6.2)3. Evaluierung von IT-Sicherheit (siehe Kapitel 9)4. Kryptographische und IT-Sicherheitsverahren (siehe Kapitel 10)5. Physische Sicherheit (siehe Kapitel 11)

Die Einteilung ergibt sich augrund der Architekturebene und der Ausrichtung der Standards (sieheAbbildung 1). Hierdurch ist eine gewisse Klassiizierung gegeben.

In der olgenden Tabelle sind die behandelten Standards r die n Bereiche augehrt. Um diebekanntesten Vorschriten und Standards von anderen Konsortien, Interessengruppen, Behrden mitauzuhren, sind zwei zustzliche Bereiche IT-Standards mit Sicherheitsaspekten (siehe Kapitel 7) undVorschriten (siehe Kapitel 8) eingegt.

In der linken Tabellenspalte beindet sich die Abkrzung bzw. Zeichenkette, in der rechten Spalte derNamen (Englisch und/oder Deutsch). Die Reihenolge ist identisch mit dem Inhaltsverzeichnis, sodass berdiese Tabelle anhand von Begrien oder Namen, Standards bzw. Vorschriten gesucht werden knnen.

)NFORMATIONSSICHERHEITS-ANAGEMENTSYSTEME

0HYSISCHE3ICHERHEIT

0RODUKT

4ECHNIK

2ICHTLINIE

"EWERTUNG

!USRICHTUNG

3YSTEM 0ROZESS 5MGEBUNG

!RCHITEKTUREBENE

3ICHERHEITSMANAHMENUND-ONITORING

%VALUIERUNGVON)43ICHERHEIT

+RYPTOGRAPHISCHEUND)43ICHERHEITSVERFAHREN

)NFORMATIONSSICHERHEITS-ANAGEMENTSYSTEME

0HYSISCHE3ICHERHEIT

0RODUKT

4ECHNIK

2ICHTLINIE

"EWERTUNG

!USRICHTUNG

3YSTEM 0ROZESS 5MGEBUNG

!RCHITEKTUREBENE

3ICHERHEITSMANAHMENUND-ONITORING


+RYPTOGRAPHISCHEUND)43ICHERHEITSVERFAHREN

Abbildung 1: Einteilung von Standards in Bereich (angelehnt an Dr. Walter Fumy, Chairman ISO/IEC JTC 1/SC 27)


11/84

11

Grundlegende Standards zum IT-Sicherheits- und Risikomanagement

Inormationssicherheits-Managementsysteme (ISMS)

ISO/IEC 13335 Management o inormation and communications technology securityManagement von Sicherheit der Inormations- und Kommunikationstechnik (IuK)

ISO/IEC 27001 Inormation security management systems RequirementsInormationssicherheits-Managementsysteme - Anorderungen

ISO/IEC 27002 Code o practice or inormation security managementLeitaden zum Inormationssicherheitsmanagement

IT-GS IT-Grundschutz

Sicherheitsmanahmen und Monitoring

ISO/IEC 18028

IT network securityIT NetzwerksicherheitISO/IEC TR 18044 Inormation security incident management

Management von Sicherheitsvorllen in der InormationssicherheitISO/IEC 18043 Selection, deployment and operation o intrusion detection systems (IDS)

Auswahl, Einsatz und Betrieb von Systemen zur Erkennung des Eindringens inNetze und Systeme (IDS)

ISO/IEC TR 15947 IT intrusion detection systems (IDS)Leitaden r Systeme zur Erkennung des Eindringens in Netze und Systeme (IDS)

ISO/IEC 15816 Security inormation objects or access controlSicherheitsobjekte r Zugriskontrolle

Standards mit IT-Sicherheitsaspekten

Cobit Control Objectives or Inormation and Related TechnologyKontrollziele r Inormations- und verwandete Technologie

ITIL IT Inrastructure LibraryIT Inrastruktur Verahrensbibliothek

IDW PS 330 Abschlussprung bei Einsatz von Inormationstechnologie

Vorschriften

KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Basel II -SOX Sarbanes-Oxley ActBDSG Bundesdatenschutzgesetz

Evaluierung von IT-Sicherheit

Common Criteria

ISO/IEC 15408 (CC) Evaluation criteria or IT security (Common Criteria)Evaluationskriterien r IT-Sicherheit

ISO/IEC TR 15443 A ramework or IT security assuranceRahmenrichtlinien r Sicherung von IT-Sicherheit

ISO/IEC 18045 Methodology or IT security evaluationMethodik zur Evaluation von IT-Sicherheit


12/84

12

ISO/IEC TR 19791 Security assessment or operational systemsBewertung der Sicherheit von Systemen im Betrieb

ISO/IEC 19790

(FIPS 140-2)

Security Requirements or Cryptographic Modules

Anorderungen an kryptographische ModuleISO/IEC 19792 Security evaluation o biometrics

Evaluierung der IT-Sicherheit biometrischer TechnologienISO/IEC 21827(SSE-CMM)

System Security Engineering Capability Maturity ModelModell der Ablaustauglichkeit (auch ISO 21827)

Schutzproile

ISO/IEC TR 15446 Guide on the production o protection proles and security targetsLeitaden zum Erstellen von Schutzprolen und Sicherheitsvorgaben

Spezielle Sicherheitsfunktionen 1: Normen zu kryptographischen und IT-Sicherheitsverfahren

Verschlsselung

ISO/IEC 7064 Check character systemsPrsummensysteme

ISO/IEC 18033 Encryption algorithmsVerschlsselungsalgorithmen

ISO/IEC 10116 Modes o operation or an n-bit block cipherBetriebsarten r einen n-bit-Blockschlssel-Algorithmus

ISO/IEC 19772 Data encapsulation mechanismsDaten verkapselnde Mechanismen

Digitale Signaturen

ISO/IEC 9796 Digital signature schemes giving message recoveryDigitaler Unterschritsmechanismus mit Rckgewinnung der Nachricht

ISO/IEC 14888 Digital signatures with appendixDigitale Signaturen mit Anhang

ISO/IEC 15946 Cryptographic techniques based on elliptic curvesAu elliptischen Kurven aubauende kryptographische Techniken

Hash-Funktionen und andere Hilsunktionen

ISO/IEC 10118 Hash unctionsHash-Funktionen

ISO/IEC 18031 Random bit generationErzeugung von Zuallszahlen

ISO/IEC 18032 Prime number generationPrimzahlerzeugung

Authentiizierung

ISO/IEC 9798 Entity authenticationAuthentisierung von Instanzen

ISO/IEC 9797 Message Authentication Codes (MACs)Nachrichten-Authentisierungscodes (MACs)


13/84

13

PKI-Dienste

ISO/IEC 15945 Specication o TTP services to support the application o digital signatures

Spezizierung der Dienste eines vertrauenswrdigen Drittens zur Untersttzungder Anwendung von digitalen Signaturen

ISO/IEC TR 14516 Guidelines or the use and management o Trusted Third Party ServicesRichtlinien r die Nutzung und das Management eines vertrauenswrdigenDritten

Schlsselmanagement

ISO/IEC 11770 Key managementSchlsselmanagement

Kommunikationsnachweise

ISO/IEC 13888 Non-repudiationNicht-Abstreitbarkeit

Zeitstempeldienste

ISO/IEC 18014 Time-stamping servicesZeitstempeldienste

Spezielle Sicherheitsfunktionen 2: Physische Sicherheit

TechnischeLeitlinie 7500

Produkte r die materielle Sicherheit

Brandschutz

DIN 4102 Brandverhalten von Baustoen und BauteilenDIN 18095 RauchschutztrenDIN EN 1047 Wertbehltnisse - Klassizierung und Methoden zur Prung des Widerstandes

gegen Brand

Einbruchshemmung

DIN EN 1143-1 WiderstandsgradDIN V ENV 1627 Fenster, Tren, Abschlsse - Einbruchhemmung

Gehuse

DIN EN 60529 Schutzart durch Gehuse

Sichere Lschung von Datentrgern

DIN 32757 Vernichtung von Inormationstrgern


14/84

14

4 Kompass der IT-Sicherheitsstandards

4.1 Tabelle mit Kompass der IT-Sicherheitsstandards

In der Tabelle 2 ist der Kompass der IT-Sicherheitsstandards (Version 3) dargestellt. Er beinhaltetbesonders relevante Standards und Vorschriten der IT-Sicherheit r Unternehmen bzw.Unternehmensbereiche.

Um die Relevanz eines Standards/einer Vorschrit r das eigene Unternehmen einschtzen zu knnen,wurden vier Klassizierungsbereiche eingehrt:

Art des Unternehmens

Rolle innerhalb des UnternehmensMerkmal des Standards/der VorschritQuelle des Standards.

Diese vier Klassiizierungsbereiche sind in Eigenschaten weiter unterteilt, deren Relevanz bewertet ist.Bei Art des Unternehmens und Rolle innerhalb des Unternehmens werden die mglichen Zielgruppenals Eigenschaten augehrt; bei Merkmal des Standards/der Vorschrit sind die Schwerpunkte alsEigenschat dargelegt.

Legende r die Tabelle 2:

Relevanz

Hoch Partiell NiedrigKosten Kostenpfichtig KostenlosSonstiges Zertizierung (Gtesiegel, Zertikat, Akkreditierhiges Verahren) ist mglich Relevant, wenn Unternehmen an der US Brse notiert ist Angabe woher der Standard kommt

* rzte, Apotheken, Krankenhuser** Rechtsanwlte, Steuerberater


15/84

Schutzprofile

ISO/IEC13335

ISO/IEC27001

ISO/IEC17799

ISO/IEC27004

IT-GS

HB

ISO/IEC18028

ISO/IECTR18044

ISO/IEC18043

ISO/IECTR15947

ISO/IEC15816

Cobit

ITILIDW

PS330

KonT

raG

Base

lII

SOXBDSG

ISO/IEC15408(CC)

ISO/IECTR15443

ISO/IEC18045

ISO/IECTR19791

ISO/IEC19790(FIPS140-2)

ISO/IEC19792

ISO/IEC21827(SSE-CMM)

ISO/IECTR15446

!RTDES5NTERNEHMENS

"ANKEN6ERSICHERUNGEN

"EHyRDEN6ERWALTUNGEN

"ERATUNG

(737(ERSTELLER

)4$IENSTLEISTER

'ESUNDHEITSWESEN

+ANZLEIEN

(ANDWERKUND)NDUSTRIE

$IENSTLEISTER INTERNAT!USRICHTUNG

2OLLEINNERHALBDES5NTERNEHMENS

-ANAGEMENT

2EVISOREN

)43ICHERHEITSBEAUFTRAGTER

)4,EITUNG

!DMINISTRATOREN

0ROJEKTMANAGEMENT

%NTWICKLUNG

-ERKMALEDES3TANDARDSDER6ORSCHRIFTPRODUKTORIENTIERT

SYSTEMORIENTIERT

TECHNISCH

ORGANISATORISCH

STRATEGISCH

KONZEPTIONELL

OPERATIONELL

:ERTIFIZIERUNG U

5MFANG3EITEN K +

+OSTEN

1UELLEDES3TANDARDS

.ATIONALE.ORMUNGSORG

%UROPiISCH.ORMUNGSORG

INTERNAT.ORMUNGSORG

!NDERENAT2EGELWERKE


Informationssicherheits-

Managementsy

steme

(ISMS)

Sicherheitmanahmen

undMonitoring

CommonCriteriaund

andere

Evaluationskriterien

4ABELLE+OMPASSDER)43ICHERHEITSSTANDARDS6 'RUNDLEGENDE3TANDARDSZUM

)43ICHERHEITSUND2ISIKOMANAGEMENT

3TANDARDSMIT)4

3ICHERHEITSASPEKTEN

6ORSCHRIFTEN


16/84

3CHL~SSELMANAGEMENT

+OMMUNIKATIONSNACHW

:EITSTEMPELDIENSTE

4,

'EHiUSE

)3/)%#

)3/)%#

)3/)%#

)3/)%#

)3/)%#

)3/)%#

)3/)%#

)3/)%#

)3/)%#

)3/)%#

)3/)%#

)3/)%#

)3/)%#

)3/)%#42

)3/)%#

)3/)%#

)3/)%#

$).

$).

$).%

.

$).%

.

$).6

%.6

$).%

.

!RTDES5NTERNEHMENS

"ANKEN6ERSICHERUNGEN

"EHyRDEN6ERWALTUNGEN

"ERATUNG

(737(ERSTELLER

)4$IENSTLEISTER

'ESUNDHEITSWESEN

+ANZLEIEN

(ANDWERKUND)NDUSTRIE

$IENSTLEISTER INTERNAT!USRICHTUNG

2OLLEINNERHALBDES5NTERNEHMENS

-ANAGEMENT

2EVISOREN

)43ICHERHEITSBEAUFTRAGTER

)4,EITUNG

!DMINISTRATOREN

0ROJEKTMANAGEMENT

%NTWICKLUNG

-ERKMALEDES3TANDARDSDER6ORSCHRIFTPRODUKTORIENTIERT

SYSTEMORIENTIERT

TECHNISCH

ORGANISATORISCH

STRATEGISCH

KONZEPTIONELL

OPERATIONELL

:ERTIFIZIERUNG

5MFANG3EITEN

+OSTEN

1UELLEDES3TANDARDS

.ATIONALE.ORMUNGSORG

%UROPiISCH.ORMUNGSORG

INTERNAT.ORMUNGSORG

!NDERENAT2EGELWERKE

!UTHENTIFIZIERUN

G

0+)$IENSTE

"RANDSCHUTZ

%INBRUCHSHEMM

UNG

.ORMENZU+RYPTOGRAPHIEUND)43ICHERHEITSTECHNIKEN 0HYSISCHE3ICHERHEIT

6ERSCH~SSELUNG

$IGITALE3IGNATU

REN

(ASH&UNKTIONEN


17/84

17

4.2 Beschreibung der IT-Sicherheitsstandards

Jeder augehrte Standard bzw. Norm und jede augehrte Vorschrit wird in den olgenden Kapiteln

kurz beschrieben:

Die Beschreibung r jeden Standard, jede Vorschrit ist nach einem einheitlichen Schema strukturiert:

Inhalt und AnwendungsbereichMethodik (wo sinnvoll)Zertizierung (wo sinnvoll)Weitere AnmerkungenBisherige AusgabenFalls ein Abschnitt ohne Inhalte wre, ist dieser in der Beschreibung nicht augehrt, z. B. knnenVorschriten nicht zertiziert werden, so entllt bei der Vorschrit Basel II der Abschnitt

Zertizierung.

Soern es sich um internationale oder europische Standards handelt, sind der Titel, das Arbeits-gebietund der Name des Standards (englisch) augehrt. Englische Titel wurden verstndnis-halber umeine inozielle deutsche bersetzung ergnzt; nur die in das deutsche Normenwerk bernommenenDokumente tragen einen oziellen deutschen Titel. Bei mehrteiligen Standards bzw. einerNormenreihe wird die Nummer des jeweiligen Teils mit einem Bindestrich nach der Normennummerangegt.

Internationale und europische Standards wurden ormal meist nicht in das deutsche Normen-werkbernommen, weil die auwndige bersetzung in der Regel keinen entsprechenden Mehrwert r dieAnwender schat. Ist die bernahme einer internationalen Norm ins deutsche Normenwerk erolgt

oder geplant, so wird dies bei den Erluterungen im Abschnitt "Weitere Anmerkungen" ausgewiesen.

Standards sind von anderen Standards abhngig oder beeinfussen diese. Der Bezug von Standardszu anderen Standards ist im Anhang ab Seite 85 erlutert. Diese Bezge sind mglichst umassendangegeben, eine Vollstndigkeit kann nicht garantiert werden.


18/84

18

5 Einhrung von IT-Sicherheitsstandards im

Unternehmen

Die Einhrung von Standards im Unternehmen erolgt in drei generischen Schritten:

Auswahl des Standards

In der Regel entscheidet die Geschtshrung mit Untersttzung des - alls vorhanden -IT-Sicherheitsbeautragten, IT-Risikobeautragten und IT-Verantwortlichen den IT-Betrieb vomUnternehmen an einem IT-Sicherheitsstandard auszurichten. Welcher Standard der richtige r einUnternehmen ist, hngt von einigen Faktoren (siehe Kompass) ab:

Art des UnternehmensRelevanter Unternehmensbereich r die StandardisierungRelevante Charakteristika des Standards

Einhrung

Die Einhrung von IT-Sicherheits-standardsim Unternehmen erolgt nach dem jeweiligenVorgehensmodell des ausgewhlten Standards.Als Beispiel sei hier das Vorgehensmodell nachBSI IT-Grundschutz augehrt:Die Notwendigkeit der einzelnen Schritte

des jeweiligen Vorgehensmodell sollten vorder Einhrung au Relevanz geprt werden.Anschlieend sind die ausgewhlten Schrittedurchzuhren und die Manahmen zurUmsetzung des Standards estzulegen. Hierbeiist zu beachten, dass r die Umsetzung desModells externes Know-how zugezogen bzw.Mitarbeiter entsprechend geschult werdensollten. Die Einhrung eines Standards ohneexternes oder internes Know-how hrt in derRegel zu einem hheren Auwand bei eventuell

schlechterem Ergebnis.

Betrieb

Nach der Einhrung des Standards mssendie getroenen Manahmen (personell,organisato-risch, technisch) in den regulrenBetrieb bergehen. Hierr sind Mitarbeiterschulungen, -inormation sowie gg. Prozessanpassungennotwendig. Im Rahmen des regulren IT-Betriebs kann die Einhaltung des Standards durch zweiaueinander aubauende Verahren berprt und gewhrleistet werden:

AuditierungEin wichtiges Element des Vorgehensmodells ist, die Einhaltung und Aktualitt derSicherheitsmanahmen in regelmigen Audits von internen oder externen Partnern zu

)NITIIERUNGDES)43ICHERHEITSPROZESSES%RSTELLUNGEINER)43ICHERHEITSLEITLINIE%INRICHTUNGDES)43ICHERHEITSMANAGEMENT

%RSTELLUNGEINES)43ICHERHEITSKONZEPTES

!UFRECHTERHALTUNGIMLAUFENDEN"ETRIEB

5MSETZUNG2EALISIERUNGFEHLENDER-ANAHMENINDEN"EREICHEN)NFRASTRUKTUR/RGANISATION0ERSONAL4ECHNIK+OMMUNIKATIONUND.OTFALLVORSORGEINSBESONDERE

3ENSIBILISIERUNGF~R)43ICHERHEIT3CHULUNGZUR)43ICHERHEIT

)NITIIERUNGDES)43ICHERHEITSPROZESSES%RSTELLUNGEINER)43ICHERHEITSLEITLINIE%INRICHTUNGDES)43ICHERHEITSMANAGEMENT

%RSTELLUNGEINES)43ICHERHEITSKONZEPTES

!UFRECHTERHALTUNGIMLAUFENDEN"ETRIEB

5MSETZUNG2EALISIERUNGFEHLENDER-ANAHMENINDEN"EREICHEN)NFRASTRUKTUR/RGANISATION0ERSONAL4ECHNIK+OMMUNIKATIONUND.OTFALLVORSORGEINSBESONDERE

3ENSIBILISIERUNGF~R)43ICHERHEIT3CHULUNGZUR)43ICHERHEIT

Abbildung 2: Vorgehensmodell nach BSI IT-Grundschutz.


19/84

19

berpren. Mit diesem Vorgehen knnen Unternehmen ihre IT-Sicherheit immer weiter verbessernund sukzessive Sicherheitslcken schlieen.Im Rahmen eines Audits kommt ein externer (zertizierter) Auditor r einige Tage ins

Unternehmen. Anhand der Vorgaben des Standards bzw. der Dokumentation des IT-Betriebs wirdder Ist-Stand mit dem Soll-Konzept verglichen. Empehlungen r die Verbesserung der IT-Sicherheitwerden ausgesprochen. Diese sollten vom Unternehmen im Nachgang umgesetzt werden.Eine Auditierung kann den gesamten IT-Betrieb umassen, kann sich aber auch nur aubeispielsweise neu eingesetzte Sicherheitskomponenten beschrnken (z. B. neue Firewall).

ZertizierungEinige IT-Sicherheitsstandards knnen als Grundlage r eine Zertizierung herangezogenwerden. Ein Zertikat ist eine unabhngige Besttigung dar, dass alle (soweit anwendbare) imStandard georderten Sicherheitsmanahmen zum Zeitpunkt der Zertizierung doku-mentiert undtatschlich umgesetzt sind. Durch die Ausstellung eines Zertikates, mit dem die Umsetzung des

Standards besttigt wird, kann dies Dritten transparent gemacht werden. Dritte knnen hierbeiKunden, Banken, Versicherungen oder auch die entlichkeit sein.Der Auwand r die Zertizierung ist abhngig vom Unternehmen und dem Zertizierungsziel.Hierbei kann jedoch von einem externen Auwand von einigen Tagen bis einigen Wochenausgegangen werden. Der interne Auwand kann deutlich hher sein, je nach Vorbereitungsstanddes Unternehmens. Eine generelle Aussage kann nicht getroen werden.Bei der Auswahl des Zertizierers ist zu beachten, dass einige Standards einen akkreditiertenZertizierer ordern.


20/84

20

6 Grundlegende Standards zum IT-Sicherheits- und

Risikomanagement

Die olgenden Standards bieten Richtlinien r einzelne Aspektedes IT-Sicherheits- und Risikomanagements an. Hierzu gehrt:Sicherheitsstrategien und Sicherheitsleitlinien von Organisa-tionen estzulegen, Risiken der IT-Sicherheit zu bewerten,Sicherheitsziele zu ermitteln und Sicherheitsanorderungenabzuleiten, geeignete Gegenmanahmen (u. a. auch Grund-schutzmanahmen) auszuwhlen und deren dauerhateUmsetzung sicherzustellen. Dies alles erolgt in der Regel im

Rahmen des IT-Sicherheits- bzw. IT-Risikomanage-ments2,welches das systematische Erkennen, Bewerten, Steuern undberwachen von IT-Sicherheitsrisiken umasst. DieseAktivitten werden im Allgemeinen auch als Regelkreislaudargestellt und setzen sich aus den Elementen Plan, Do, Check,Act (Englisch r Planen, Durchhren, berpren undVerbessern) zusammen, dem sog. PDCA-Modell, das dieGrundlage eines Inormationssicherheits-Managementsystemes (ISMS) bildet.

6.1 Inormationssicherheits-Managementsysteme (ISMS)

Der grundlegende Standard r ein ISMS ist die ISO/IEC 27001. Sie beschreibt die Anorderungen an dasInormationssicherheits-Managementsystem in einer Organisation (Unternehmen oder Behrde).

Weitere Standards aus diesem Kapitel ergnzen die ISO/IEC 27001. So wird in der ISO/IEC 13335 dieTerminologie und die Methodik, in der ISO/IEC 27002 (zuvor 17799) die Manahmen erlutert. Darberhinaus werden in der ISO/IEC 27006 die Anorderungen an Stellen beschrieben, die ISMS auditieren undzertiizieren; augrund des Zielpublikums dieses Kompasses wird au eine Darstellung von ISO/IEC 27006verzichtet. Weitere Standards in der 27000er-Reihe beinden sich zurzeit in der Erstellung.

Das IT-GSHB erlutert auch die Anorderungen eines ISMS und ist mit dem ISO/IEC 27001 kompatibel.

6.1.1 ISO/IEC 13335

Titel: Inormationstechnik

Arbeitsgebiet: IT-Sicherheitsverahren

Name des Standards: Management o inormation and communications technology securityManagement von Sicherheit der Inormations- undKommunikationstechnik (IuK)

2 Siehe dazu auch BITKOM-Leitaden Leitaden IT-Risiko- und Chancenmanagement r kleine und mittlereUnternehmen, http://www.bitkom.org/de/publikationen/38337_39864.aspx

)3-3)3-3

Abbildung 3: Regelkreislau des ISMS


21/84

21

Inhalt und Anwendungsbereich

Ziel des Standards ist es, Inormations- und Kommunikationssicherheit als einen Prozess von Planen,

Umsetzen und Betreiben darzustellen. Er dient damit dem Managen von Sicherheit in einerOrganisation, indem er die einzelnen Aktivitten also das wie beschreibt. Dieses Dokument richtetsich an IT-Sicherheitsbeautragte.

Dieser Standard besteht aus zwei Teilen. Der erste Teil Concepts and models or inormation andcommunications technology security management ist bereits verentlicht, der zweite Teil Inormationsecurity risk management beindet sich gerade in der berarbeitung.

Methodik

Im Teil 1 werden sicherheitsrelevante Begrie wie u. a. Werte, Bedrohungen, Schwachstellen, Schden,

Risiken, Sicherheitsmanahmen und deren Beziehung zueinander sowie Ziele, Strategien und Leitlinienvorgestellt. Neben organisatorischen Aspekten wie z. B. Rollen und Zustndigkeiten werden auchSicherheitsmanagement-Funktionen angerissen sowie die Notwendigkeit von Risikomanagement betont.

Im Teil 2 wird der Risikomanagement-Prozess (Rahmenbedingungen estlegen, Risiken bewerten undBehandlung von Risiken) dargestellt. Die Aktivitten der Risikobewertung (Risikoermittlung, -analyseund -abschtzung) werden detailliert beschrieben. Weitere Sicherheitsmanagement-Funktionen(Kommunikation von Risiken, deren berwachung und Nachverolgung) werden dem Risikomanagement-Prozess zugeordnet. Die inormativen Anhnge geben Hilestellungen bei der Bearbeitung der einzelnenProzessschritte.

Weitere Anmerkungen

Beide Teile von ISO/IEC 13335 werden in die ISO/IEC 27000er-Reihe berhrt. Teil 1 soll zum ISO/IEC 27000-Standard Inormation security management system - overview and vocabulary und Teil 2 zum ISO/IEC27005-Standard Inormation security risk management berarbeitet werden. Die Verentlichung vonISO/IEC 27005 wird r 2008 erwartet.

Im Vergleich zu ISO/IEC 27001 und ISO/IEC 27002 beschreibt die ISO/IEC 13335 den Sicherheits-prozessaushrlicher und zeigt insbesondere Anstze r die Durchhrung einer Risikobewer-tung au. Doch sindISO/IEC 13335 wie auch ISO/IEC 27001 und ISO/IEC 27002 als Leitden zumIT-Sicherheitsmanagement anzusehen und bieten keine konkreten Lsungen. ISO/IEC 13335 und derIT-Grundschutz des BSI sind untereinander kompatibel, wobei letzteres r den deutschen Bereich

detailliertere und konkretere Handreichung zum IT-Sicherheitsmanagement lieert.

Die ISO/IEC 13335-1:2004 wurde als DIN ISO/IEC 13335-1 ins Deutsche Normenwerk bernommen.

Bisherige Ausgaben

ISO/IEC 13335-1:2004ISO/IEC 27005 (voraussichtliche Verentlichung 2008)


22/84

22

6.1.2 ISO/IEC 27001



Name des Standards: Inormation security management systems - RequirementsInormationssicherheitsmanagementsysteme Anorderungen


Die ISO/IEC 27001 ist aus dem Teil 2 des britischen Standards BS 7799-2 hervorgegangen. Erklrtes Ziel desStandards ist es, die Anorderungen an ein ISMS im Rahmen eines Prozess-Ansatzes darzustellen.

Das Dokument beinhaltet Anorderungen an ein ISMS, das mittelbar zur Inormationssicherheitbeitrgt. Da das Dokument sehr generisch gehalten ist, um au alle Organisationen unabhngig von Typ,Gre und Geschtseld anwendbar zu sein, haben diese Anorderungen einen niedrigen technischenDetaillierungsgrad, wobei die Anorderungen an die Prozesse wohldeiniert sind. Aubauend au der Normknnen nationale Zertiizierungsschemata deiniert werden.

Methodik

Das Dokument basiert au dem PDCA-Modell, das im Kontext eines ISMS angewandt wird. EinISMS erlaubt es, ermittelte Risiken durch geeignete, in die Organisationsprozesse eingebetteteKontrollmechanismen zu reduzieren, zu verlagern oder anders zu kontrollieren. Hierbei sind dieGeschtsziele und die resultierenden Sicherheitsanorderungen als Input sowie gemanagte

Inormationssicherheit als Output anzusehen. Die transormierenden Systemprozesse sind das Aubauen,das Umsetzen und Betreiben, das berpren sowie das Aurechterhalten und Verbessern. Ergnzendtreten die Verantwortung des Managements und das Management-Review hinzu.

Als Managementstandard richtet sich das Dokument an die Geschtsleitung und den IT-Sicherheitsbeautragten weniger an die Umsetzungsverantwortlichen, Techniker oder Administratoren.

Zertizierung

Der Grad der Umsetzung des Inormationssicherheits-Managementsystems kann von internen oderexternen Parteien (Auditoren) kontrolliert werden.

Bis Mitte Juli 2006 konnte noch eine Zertiizierung nach BS 7799-2:2002 erolgen, die Zertiikate konntensowohl nach BS 7799-2 als auch nach ISO/IEC 27001 ausgestellt werden. Seit Mitte Juli 2006 kann nur nochnach ISO/IEC 27001 zertiiziert werden. Das Umschreiben der Zertiikate - ausgestellt nach BS7799-2:2002- lie im Juli 2007 ab. Alle anderen Zertiikate verlieren dann ihre Gltigkeit.

Es ist auch mglich, nur Teilbereiche eines Unternehmens zertiizieren zu lassen. Die Zertiizie-rung erolgtdurch akkreditierte Unternehmen, sog. Zertiizierungsstellen. Eine aktuelle Liste der akkreditierten Stellen,auch r andere Zertiizierungen, kann bei der TGA - Trgergemeinschat r Akkreditierung GmbH (www.tga-gmbh.de) abgeruen werden.


23/84

23

Weitere Anmerkungen

Wegen der engen methodischen Anlehnung an die ISO 9000 (Qualittsmanagement) und die ISO 14000

(Umweltmanagement) kann die ISO/IEC 27001 als ein Qualittsstandard r Management-systeme bzgl.Inormationssicherheit angesehen werden.

Die ISO/IEC 27001:2005 wurde als DIN ISO/IEC 27001 ins Deutsche Normenwerk bernommen.

Bisherige Ausgaben

ISO/IEC 27001:2005

6.1.3 ISO/IEC 27002 (zuvor 17799)



Name des Standards: Code o practice or inormation security managementLeitaden zum Inormationssicherheitsmanagement


Die ISO/IEC 27002 ist aus dem Teil 1 des britischen Standards BS 7799 hervorgegangen.Grundstzlich ist dieser Standard dort anzuwenden, wo ein Schutzbedar r Inormationen besteht.Ziel des Dokuments ist es, Inormationssicherheit als Gesamtaugabe darzustellen, da es guidelines and

general principles or [...] inormation security management in an organization enthlt. In den Prozessder Inormationssicherheit sind alle Bereiche der Organisation einzube-ziehen, da alle an der Erhebung,Verarbeitung, Speicherung, Lschung von Inormationen beteiligt sind. Der Anwendungsbereich ist somitohne einen konkreten Bezug zu den Anorderungen in einer Organisation nicht abgrenzbar. Das Dokumentrichtet sich an IT-Sicherheitsbeautragte.

Methodik

Der Standard legt Richtlinien und allgemeine Prinzipien r das Initiieren, Umsetzen, Aurecht-erhaltenund Verbessern des Inormationssicherheitsmanagements in einer Organisation est.

Das Sicherheitsmanagement wird thematisch angewendet au:

Risikoeinschtzung und behandlung (risk assessment and treatment)Sicherheitsleilinie (security policy)Organisation der Inormationssicherheit (organizing inormation security)Management von organisationseigenen Werten (asset managment )Personalsicherheit (human resources security)Physische und umgebungsbezogene Sicherheit (physical and environmental security)Betriebs- und Kommunikationsmanagement (communications and operations management)Zugangskontrolle (access control)Beschaung, Entwicklung und Wartung von Inormationssystemen (inormation systemsacquisition, development and maintenance)


24/84

24

Umgang mit Inormationssicherheitsvorllen (inormation security incident management)Sicherstellung des Geschtsbetriebs (business continuity management)Einhaltung von Vorgaben (compliance)

Augrund der Bestrebungen, alle Standards, die ISMS betreen, als ISO/IEC 27000er-Reihezusammenzuhren, wurde ISO/IEC 17799 im Jahr 2007 in ISO/IEC 27002:2005 umbenannt.

Die ISO/IEC 17799:2005 wurde als DIN ISO/IEC 17799 ins Deutsche Normenwerk bernommen.

Bisherige Ausgaben

ISO/IEC 17799:2000ISO/IEC 17799:2005 (2. Ausgabe)ISO/IEC 27002:2005

6.1.4 IT-Grundschutz

Das Bundesamt r Sicherheit in der Inormationstechnik (BSI) als nachgeordnete Behrde desBundesministeriums des Innern, bietet bereits seit 1994 das IT-Grundschutzhandbuch (GSHB) an,welches detailliert IT-Sicherheitsmanahmen aus verschiedenen Bereichen (Technik, Organisa-tion,Inrastruktur und Personal) sowie Anorderungen an das IT-Sicherheitsmanagement beschreibt. Damitauch der internationale Standard r Inormationssicherheits-Management-systeme abdeckt werdenkann, wurde das Vorgehen nach IT-Grundschutz im Jahr 2006 an die ISO/IEC 27001 angepasst. Es istvollstndig kompatibel zur ISO/IEC 27001 und bercksichtigt weiterhin die Empehlungen von 13335und 17799. Die empohlene Vorgehensweise bei der Umsetzung von IT-Grundschutz wird nun in so

genannten BSI-Standards beschrieben, wobei Bausteine, Gehrdungen und Sicherheitsmanahmen ausdem IT-Grundschutzhandbuch weiterhin in den IT-Grundschutz-Katalogen vergbar sind:

BSI-Standard 100-1: Managementsysteme r Inormationssicherheit [BSI1]BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise [BSI2]BSI-Standard 100-3: Risikoanalyse au der Basis von IT-Grundschutz [BSI3]IT-Grundschutz-Kataloge [GS-KAT]

Darber hinaus werden eine Schulung (Web-Kurs) r einen kompakten Einstieg in die Materie undein Leitaden mit einem allgemein verstndlichen berblick ber wichtige IT-Sicherheits-manahmenangeboten. Zur Untersttzung der Dokumentation eines IT- Sicherheitskonzeptes werden diverse Toolsangeboten, z. B. das GSTOOL3 des BSI, das die IT-Grundschutz-Methodik untersttzt.


In den Dokumenten wird beschrieben, mit welchen Methoden Inormationssicherheit ineinem Unternehmen generell initiiert und gesteuert werden kann. Dieses Rahmenwerk kannau die individuellen Belange eines Unternehmens angepasst werden, so dass ein eektivesInormationssicherheits-Managementsystem augebaut werden kann. Dies schliet Kataloge mitbewhrten Vorgehensweisen (best practices) und przisen Umsetzungshilen mit ein.

Der zentrale Anwendungsbereich des IT-Grundschutzes ist ein IT-Verbund. Hierunter ist das

3 GSTOOL - Das BSI Tool zum IT-Grundschutz: http://www.bsi.bund.de/gstool/index.htm


25/84

25

Zusammenspiel von organisatorischen, personellen, inrastrukturellen und technischen Komponenten zuverstehen, die zur Umsetzung von Geschtsprozessen erorderlich sind. Die Deinition eines IT-Verbundswird demnach durch einen konkreten Bezug zu den Anorderungen eines Unternehmens abgegrenzt und

erolgt au Basis einer Untersuchung und Bewertung der Risiken durch die verantwortliche Leitungsebene.

Methodik

Die Erstellung der IT-Sicherheitskonzeption ist eine der zentralen Augaben des IT-Sicherheits-managements. Es mssen die erorderlichen IT-Sicherheitsmanahmen identiziert und in einemKonzept dokumentiert werden. Um den unterschiedlichen Anwendungsszenarien in den Unternehmengerecht zu werden, erolgt eine strukturierte Vorgehensweise nach dem Baukastenprinzip.Zu bergeordneten Themen, wie u. a. dem Sicherheitsmanagement, Notall-vorsorge sowietypischen Bereichen des technischen IT-Einsatzes sind Bausteine vergbar, die Gehrdungen undManahmenempehlungen zusammenassen. Im Rahmen der Erstellung eines IT-Sicherheitskonzeptes

wird die Umsetzung der olgenden Schritte empohlen:IT-StrukturanalyseSchutzbedarseststellungModellierung des IT-Verbunds (Auswahl der Manahmen, Soll-Ist-Vergleich)Ergnzende SicherheitsanalyseKonsolidierung und Umsetzung der ManahmenAudit / Aurechterhaltung u. VerbesserungZertizierung

Seit Anang des Jahres 2006 knnen ISO/IEC 27001-Zertiikate au der Basis von IT-Grundschutz beim BSIbeantragt werden. Diese Zertiizierung umasst eine Prung des IT-Sicherheitsmana-gements sowie einedarber hinausgehende Bewertung konkreter IT-Sicherheitsmanahmen anhand von IT-Grundschutz und

bietet durch diese Kombination einen nachvollziehbareren berblick ber die eingesetzten Manahmenals eine reine ISO-Zertiizierung.

Um Unternehmen einen Migrationspad anzubieten und wichtige Meilensteine bei der schritt-weisenUmsetzung der Standard-Sicherheitsmanahmen transparent machen zu knnen, werden weiterhinzwei Vorstuen des eigentlichen IT-Grundschutz-Zertikats deniert:

das Auditor-Testat "IT-Grundschutz Einstiegsstue" unddas Auditor-Testat "IT-Grundschutz Aubaustue".

Damit bleibt das Qualiizierungsverahren ber Einstiegstue und Aubaustue weiterhin bestehen,allerdings dren die Testate nur von beim BSI lizenzierten Auditoren vergeben werden. Voraussetzung r

die Vergabe eines ISO 27001 Zertiikats ist eine berprung durch einen vom BSI lizenzierten ISO 27001-Grundschutz-Auditor. Die Augaben eines ISO 27001-Grundschutz-Auditors umassen eine Sichtung dervon der Organisation erstellten Reerenzdokumente, die Durchhrung einer Vor-Ort-Prung und dieErstellung eines Audit-Reports. Fr die Vergabe eines ISO 27001-Zertiikats muss dieser Audit-Report zurberprung dem BSI vorgelegt werden. Au Grundlage des Audit-Reports und des Zertiizierungsschemas[BSI-ZERT] wird entschieden, ob ein Zertiikat ausgestellt werden kann oder nicht.

Weitere Anmerkungen

Das rhere IT-Grundschutz-Zertiizierungsverahren ist inzwischen durch das Zertiizie-rungsverahrenr ISO-27001-Zertiikate au der Basis von IT-Grundschutz abgelst worden.


26/84

26

6.2 Sicherheitsmanahmen und Monitoring

In den olgenden Kapiteln werden ausgewiesene Standards zur Erhhung der IT-Netzwerk-sicherheit einer

Organisation augehrt. Die IT-Netzwerksicherheit beschrnkt sich nicht au das unternehmensinterneNetz sondern berhrt auch die Absicherung der Netzzugnge von auen.IT-Sicherheit kann nur gewhrleistet werden, wenn eine regelmige berwachung der durchgehrtenSicherheitsmanahmen im IT-Betrieb stattindet. Hierzu gehrt auch das systematische Erkennen von IT-Sicherheitsvorllen und deren Bewertung sowie Behandlung.

6.2.1 ISO/IEC 18028



Name des Standards: IT Network securityIT-Netzwerksicherheit


Ziel dieses Standards ist es, IT-Netzwerksicherheit mittels verschiedener Richtlinien detailliert runterschiedliche Zielgruppen in einer Organisation zu adressieren. Dabei werden Sicherheitsaspektebei Umgang, Wartung und Betrieb von IT-Netzwerken und deren Beziehung, auch Auenverbindungen,betrachtet. Unter Auenverbindung ist sowohl der Fernzugri von Nutzern, als auch die logischenVerbindungen zu verstehen. Fr diejenigen die innerhalb einer Organisation r die IT-Sicherheit im

Allgemeinen, und im speziellen r IT-Netzwerksicherheit, verantwortlich sind, knnen die Inormationendieses Standards in eigene speziische Anorderungen adaptiert werden.

Dieser Standard besteht aus n Teilen:

Part 1: Network security managementPart 2: Network security architecturePart 3 Securing communications between networks using Security GatewaysPart 4: Remote accessPart 5: Securing communications between networks using Virtual Private Networks (VPN)

Methodik

Das Dokument vermittelt zunchst in dem bergeordneten Teil (Teil 1) nach Einordnung bzw.Klassiizierung der Netzwerkverbindungstypen die generelle Vorgehensweise zur Erreichung einesgeeigneten Sicherheitsniveaus mittels Risikobewertung in Bezug zu den Organisationsprozessen.Damit indet eine enge Anlehnung an andere Standards statt. Im Teil 2 wird dann die Architektur zur IT-Netzwerksicherheit deiniert. In den verbleibenden Teilen (Teil 3, 4, 5) sind spezielle Netzwerktypen undderen Einbettung in die IT-Netzwerksicherheitsarchitektur adressiert.

Weitere Anmerkungen

Das Dokument olgt in seiner generellen Vorgehensweise der ISO/IEC 17799 zur Etablierung eines IT-Sicherheitsniveaus und einer IT-Sicherheitsleitlinie.


27/84

27

Bisherige Ausgaben

ISO/IEC 18028-1:2006

ISO/IEC 18028-2:2006ISO/IEC 18028-3:2005ISO/IEC 18028-4:2005ISO/IEC 18028-5:2006

6.2.2 ISO/IEC TR 18044



Name des Standards: Inormation security incident managementManagement von Vorllen in der Inormationssicherheit


Bei ISO/IEC TR 18044 handelt es sich um einen technischen Bericht, der Hinweise und Anleitungenzur systematischen Erkennung, Evaluierung, Behandlung, Dokumentation, Reporting und Bewertungvon IT-Sicherheitsvorllen im Unternehmen gibt. Zielgruppe des Standards ist hierbei das IT-Sicherheitsmanagement-Team. Der Standard gibt des Weiteren Richtlinien r die Identiizierung undImplementierung notwendiger technischer, organisatorischer Manahmen und Verahren zur Behebungbzw. zur Ausschlieung von IT-Strungen vor.

Als Sicherheitsvorlle werden beispielsweise genannt:Denial-o-Service Vorlle,Aussphung durch Dritte oderUnberechtigte Zugrie au Inormationen

Methodik

Es wird vorgeschlagen, die Aktivitten zum Management von Sicherheitsvorllen in vier Phasen zubetrachten, und zwar

Planung und VorbereitungIn dieser Phase werden Aktivitten durchgehrt, um au kntige Sicherheitsvorlle vorbereitet zusein.Erkennung und BehandlungDiese Phase umasst die Kernaktivitten, die durchgehrt werden, wenn ein Sicherheitsvorallgeschehen ist.Analyse der eigenen VorgehensweisenNachdem ein Sicherheitsvorall behandelt wurde, wird abschlieend analysiert, ob dieeigenen Vorkehrungen und Verahren vor und whrend der Erkennung und Behandlung desSicherheitsvoralls angemessen und wirksam genug waren.VerbesserungSchlielich werden Verbesserungen, die durch die vorangegangene Analysephase erkannt wurden,umgesetzt und die eigenen Vorkehrungen und Prozesse optimiert.


28/84

28

Bisherige Ausgaben

ISO/IEC TR 18044:2004

6.2.3 ISO/IEC 18043



Name des Standards: Selection, deployment and operation o Intrusion Detection Systems (IDS)Auswahl, Einsatz und Betrieb von Systemen zur Erkennung des Eindringensin Netze und Systeme (IDS)


Ziel des Standards ist es, die Auswahl, Entwicklung und den Betrieb eines IDS im Unternehmen zubeschreiben. Im aushrlichen Anhang werden grundlegende Konzepte der Erkennung von Angrien bzw.des Eindringens in Netze und Systeme dargestellt.

Methodik

Die Einhrung eines IDS gliedert sich in drei Phasen, in die auch der Standard eingeteilt ist:Phase 1: AuswahlDer Auswahl eines Systems zur Erkennung des Eindringens in Netze und Systeme (IDS) sollte eine

Risikoanalyse vorangehen, mit der estgestellt wird, ob ein IDS erorderlich ist und r welcheSysteme bzw. Netze. Fr die Auswahl eines Produktes mssen verschiedene Kriterien bercksichtigtwerden wie netzwerk- oder systembasiertes IDS, Perormanz, Sicherheit oder Kosten rAnschaung und Betrieb.Es werden insbesondere weiter technische und organisatorische Aspekte wieAlarmierungsstrategien, Zusatzwerkzeuge oder Korrelation mit anderen Inormationsquellendiskutiert, die r den ezienten und wirksamen Einsatz eines IDS berlegt werden mssen.Phase 2: EinsatzDer Einsatz eines IDS umasst Aktivitten, die der Inbetriebnahme des Systems dienen.Insbesondere werden die Unterschiede in der Inbetriebnahme bei netzwerk- und systembasiertenIDS augezeigt. Auch die verschiedenen Platzierungsmglichkeiten r ein netzwerkbasiertes IDS

sowie die Sicherheitsaspekte des IDS selbst werden erlutert.Phase 3: BetriebDer Standard nennt als wesentliche Aspekte beim Betrieb eines IDS die Etablierung derBetriebsprozesse, die Feineinstellung (Tuning) des IDS, die Behandlung von Schwachstellen undden Umgang mit Alarmen sowie deren Behandlung. Letztere knnen durch ein hauseigenesExpertenteam (CSIRT) oder aber auch durch externe Dienstleister ausgewertet werden. Schlielichwird au die Bedeutung des Rechtsrahmens bei der Erkennung und vor allem bei der Behandlungvon IT-Eingrien hingewiesen.

Weitere Anmerkungen

Der Standard weist darau hin, dass bestimmte Inhalte Patentansprchen unterliegen knnten. Bei derAnwendung des Standards sollte dies vom Anwender geprt werden.


29/84

29

Weiterhin wird mehrach darau hingewiesen, dass Planung, Auswahl und Einsatz von Systemen zurErkennung von Angrien in Netzen und Systemen durch entsprechend geschultes und erahrenesPersonal erolgen sollte.

Bisherige Ausgaben

ISO/IEC 18043:2006

6.2.4 ISO/IEC TR 15947



Name des Standards: IT intrusion detection rameworkRahmenangaben r die Erkennung des Eindringens in IT-Systeme


ISO/IEC TR 15947 deiniert allgemeine Rahmenvorgaben r ein IDS. Zielsetzung dieses techni-schenBerichts ist es, allgemeine Konzepte, Begrie und Deinitionen r ein IDS zu lieern sowie eine Methodikbereitzustellen, um die verschiedenen IDS miteinander vergleichen zu knnen.So lassen sich alle plausiblen Anordnungen von IDS-Funktionen verschiedener IDS-Architekturenkombinieren und deren Zusammenwirken auzeigen. Diese Vorgehensweise erlaubt es einerOrganisation, ein au die eigenen Bedrnisse zugeschnittenes IDS-Konzept zu erstellen.

Bisherige Ausgaben

ISO/IEC TR 15947: 2002

6.2.5 ISO/IEC 15816



Name des Standards: Security inormation objects or access controlSicherheitsobjekte r Zugriskontrolle


Das Dokument legt eine Leitlinie und weitere Methoden zur Kurzschreibweise von Sicherheits-inormationsobjekten (Security Inormation Objects (SIOs)) r die Zugriskontrolle est. Dazu werdendie allgemeinen und speziellen Anorderungen augestellt und eine Semantik r die verschiedenen SIO-Bausteine deiniert. Dadurch wird eine einheitliche Bezeichnung von Sicherheitsinormationsobjektenunter der Anwendung der s. g. ASN.1-Notation (Abstract Syntax Notation 1) gewhrleistet. Der Fokusdabei liegt au gleich bleibenden Komponenten der SIO und nicht au den vernderlichen. So wird eineeinheitliche Begrilichkeit r verschiedene Sicherheitsstandards geschaen.


30/84

30

Weitere Anmerkungen

ITU-T publiziert ISO/IEC 18516 textgleich als Recommendation ITU-T X.841.

Bisherige Ausgaben

ISO/IEC 15816:2002


31/84

31

7 Standards mit IT-Sicherheitsaspekten

In den olgenden Kapiteln sind generell akzeptierte, vielach angewendete Standards/Vorschritenaugehrt, die im Sinne einer best-practice von Verbnden, Interessenvereinigungen o.. rihre Mitglieder erstellt worden sind. Schwerpunkte dieser Standards sind die Erreichung vonUnternehmenszielen, z. B. durch die Verbesserung des Kontrollsystems (Cobit) bzw. durch die Einhrungvon Prozessen (ITIL) in Unternehmen. Darber hinaus tragen sie auch zur Erhhung der IT-Sicherheit bei,weshalb sie hier augehrt sind.

7.1 Cobit


Das Management eines Unternehmens ist u. a. r die Erreichung der Geschtsziele, die Kontrolleder dabei verwendeten Ressourcen hinsichtlich Eektivitt und Eizienz, die Einhaltung recht-licherRahmenbedingungen sowie die Handhabung der mit der Geschtsttigkeit und dem Ressourceneinsatzverbundenen Risiken (z. B. Sicherheitsrisiken) verantwortlich. Dies gilt insbesondere r den Einsatz der ITals Ressource zur Realisierung von Geschtsprozessen.

Zur Untersttzung des Managements und der damit beassten Fachabteilungen wie z. B. Interne Revisionbei der Wahrnehmung dieser Verantwortung wurde mit Cobit (Control Objectives or Inormationand Related Technology) von der ISACA (Inormation Systems Audit and Control Association VerbandInternationaler Auditoren der Inormatik) ein umassendes Kontrollsystem bzw. Rahmenwerk geschaen,

das alle Aspekte des IT-Einsatzes von der Planung bis zum Betrieb und der Entsorgung bercksichtigt undsomit eine ganzheitliche Sicht au die IT einnimmt.

Die Cobit umasst eine Sammlung international akzeptierter und allgemein einsetzbarer Kontroll-ziele.Diese reprsentieren drei Sichten au die IT und stellen die Interessen der jeweiligen Gruppe und derenZiele dar. Sie umassen olgende Aspekte:

Managementsicht: Untersttzung bei der Risikobehandlung in der sich stndig nderndenUmgebung und bei der Entscheidung ber Investitionen, die zur Gestaltung der Kontrolle ntig sindAnwendersicht: Kontrolle und Sicherheit der InormatikdienstleistungenRevisionssicht: Einheitliche Grundlage r die Wertung der inneren Kontrollen

Damit untersttzt Cobit die Ziele der IT-Governance4

im Unternehmen (als Teil der Corporate bzw.Enterprise Governance):Ausrichtung der IT au die Geschtsttigkeit: NutzenmaximierungWirtschatlicher Einsatz von IT-RessourcenAngemessenes Risikomanagement IT-bezogener Risiken

4 Der Begri IT-Governance bezeichnet die Organisation, Steuerung und Kontrolle der IT eines Unternehmensdurch die Unternehmenshrung zur konsequenten Ausrichtung der IT-Prozesse an der Unternehmensstrategie.Diese Steuerung (engl. Governance) durch die Unternehmenshrung ist notwendig, da die Inormations-unktion in vielen Unternehmen eine zunehmend wichtige Rolle spielen und somit deren reibungsloser Ablauund konsequente Verbesserung der IT-Prozesse ein wesentlicher Erolgsaktor r die Unternehmen darstellt.


32/84

32

Methodik

Cobit stellt sich als Sammlung von Inormationen, Werkzeugen und Richtlinien dar, die die Sichtweisen

der einzelnen durch IT-Governance angesprochenen Gruppen umassend und spezisch abbilden. DieElemente von Cobit (und die jeweilige Zielgruppe im Unternehmen) sind:

Executive Summary (Senior Executives wie CEO, CIO)Framework (Senior Operational Management)Implementation Toolset (Mittleres Management, Direktoren)Management Richtlinien (Mittleres Management, Direktoren)Kontrollziele (Mittleres Management)Audit-Richtlinien (Linien-Management und Revisoren)

Das Cobit-Framework enthlt Anorderungen an die Geschtsprozesse in den Kategorien Qualitt,Sicherheit und Ordnungsmigkeit und den sieben Zielkriterien Vertraulichkeit, Vergbarkeit, Integritt,

Eektivitt, Eizienz, Zuverlssigkeit und Einhaltung rechtlicher Erordernisse.

Diese werden mit den verwendeten IT-Ressourcen in den Kategorien Daten, Anwendungen,Technologien, Anlagen und Personal in Zusammenhang gestellt und in die Gesamtsicht des zyklischenProzesses Planung & Organisation, Beschaung & Implementierung, Betrieb & Untersttzung undberwachung eingegt, der den gesamten Lebenszyklus aller Ressourcen umasst. Dabei steht dasZiel im Vordergrund, dass IT-Ressourcen kontrolliert geplant, entwickelt, implementiert sowie betriebenund berwacht werden. Diese vier bergeordneten Prozesse sind in insgesamt 34 kritische IT-Prozesseunterteilt, die r ein angemessenes Management der IT ausschlaggebend sind.

Durch Bercksichtigung entsprechender Prozesse und Festlegung von Kontrollziele werden die Ziele derInormationssicherheit im Unternehmen systematisch bercksichtigt. Durch Audit-Richtlinien wird der

Stand der Implementierung berprbar und im Rahmen des zugehrigen Cobit-Reiegradmodelles mitsechs Reie-Stuen, z. B. nicht-existent, deinierter Prozess, optimiert, dierenziert bewertbar und derFortschritt in der Implementierung messbar.

Bisherige Ausgaben

Cobit 4.0: November 2005

7.2 ITIL


IT Inrastructure Library (ITIL) ist ein Best Practice Reerenzmodell r IT-Serviceprozesse und sieht alssolches, Sicherheitsaspekte als unverzichtbare Bestandteile eines ordnungsgemenIT-Betriebs an. ITIL bietet somit die Basis, Verbindungen bezglich der Sicherheitsanorderungen zwischenGeschts- und IT-Prozessen zu erkennen und Synergiepotenziale zu nutzen.

Die IT Inrastructure Library hat sich inzwischen als weltweit akzeptierter Deacto-Standard rGestaltung, Implementierung und Management wesentlicher Steuerungsprozesse in der IT etabliert.ITIL ist eine Verahrensbibliothek, die hierr Best Practices lieert also Erahrungen aus der Praxiszusammentrgt und vermittelt. Unternehmen haben an der Erstellung mitgewirkt. Im Sicherheitsumeldbesteht eine enge Verbindung zum BS 7799-Standard bzw. ISO/IEC 17799.


33/84

33

Das Ziel von ITIL besteht im Wesentlichen darin, die bislang technologiezentrierte IT-Organisationprozess-, service- und kundenorientiert auszurichten. Damit sind die ITIL-Empehlungen eineentscheidende Grundlage r zuverlssige, sichere und wirtschatliche IT-Services aus Sicht eines

IT-Dienstleisters.

Das gesammelte ITIL-Wissen ist entlich zugnglich. Es ist in einer Bibliothek von circa 40englischsprachigen Publikationen vergbar:

IT Service Provision and IT Inrastructure Management SetsManagers Set (inkl. ITIL Security Management)Sotware Support SetComputer Operations SetEnvironmental SetBusiness Perspective Set

Zwei wesentliche Bestandteile von ITIL die Managementprozesse zur Untersttzung und Lieerung vonIT-Services (IT-Service Support, IT-Service Delivery) wurden zudem bereits in einer deutschsprachigenAusgabe zusammengeasst und berarbeitet. Gerade zwischen den in diesen zwei Werken beschriebenenThemen und dem ITIL Security Management bestehen eine Vielzahl von Synergieeekten undAbhngigkeiten, die es ermglichen, ein Sicherheitsmanagement wirtschatlicher und hochwertiger zuetablieren.

Methodik

Die Sicherheitsanorderungen r die IT-Services werden au Grundlage der Geschtsprozesse bzw. -anorderungen deniert. Folgende Prozesse stehen dabei im Vordergrund:

Service Desk

Incident ManagementProblem ManagementChange ManagementRelease ManagementConguration ManagementService Level ManagementAvailability ManagementCapacity ManagementService Continuity ManagementFinancial Management

Mit dem IT-Dienstleister werden die Anorderungen in Service Level Agreement (SLA) augenommen,abgestimmt, umgesetzt, evaluiert und dokumentiert.

ITIL hat keine eigenen IT-Sicherheitsmanahmen deiniert. Hier bezieht sich der Standard auBS 7799 bzw. ISO/IEC 17799.

Zertizierung

Personen knnen ihr ITIL-Wissen zertiizieren lassen. Hierr gibt es verschiedene Zertiizierungs-stuensowohl au Managementebene als auch r Praktiker. Die Grundlagenschulung beginnt mit dem ITILFoundation Certiicate, au dem das ITIL Service Manager Certiicate aubaut. Praktiker knnen sich in deneinzelnen ITIL Prozessen zum ITIL Practicioner zertiizieren lassen.


34/84

34

Um auch Institutionen zertiizieren zu knnen, wurde der britische Standard BS 15000 geschaen.

Die BS 15000 gliedert sich in zwei Teile:

Part 1: Specication or Service-Management deniert die Anorderungen an dasManagement von IT-Dienstleistungen

Part 2: Code o Practice or Service-Management lieert Empehlungen zur Etablierung desService-Managements

Mittlerweile wurde die BS 15000 in den internationalen Standard ISO 20000 berhrt und ist als ISO/IEC20000:2005 verentlicht.

Weitere Anmerkungen

Der Standard ITIL ist Ende der 80iger Jahre von der britischen Behrde CCTA (Central Computer andTelecommunication Agency) als Sammlung von Best Practices r die Regierung entwickelt worden. Einestndige Erweiterung wird durch das Oice o Government Commerce gewhr-leistet. Dies erolgt durchdie Hinzuziehung von Anwendern, Herstellern und Beratern.

7.3 IDW PS 330


Das Institut der Wirtschatsprer in Deutschland e.V. (IDW) gibt den IDW Prungsstandard:Abschlussprung bei Einsatz von Inormationstechnologie (IDW PS 330) heraus. Dieser Standard dient

als Leitaden r Wirtschatsprer zur IT-Prung rechnungslegungsrelevanter IT-Systeme, wie zumJahresabschluss.

Methodik

Der Prer bewertet das interne Kontrollsystem au seine Angemessenheit und Wirksamkeit in Bezugau inhrente Risiken der rechnungslegungsrelevanten IT-Systeme. Dazu werden olgende Schrittedurchgehrt:

Aunahme des IT-Systems zur Einschtzung des IT-KontrollsystemsAubauprung des IT-KontrollsystemsFunktionsprung des IT-Kontrollsystems

Hierzu bewertet der Prer das eingesetzte IT-Risikomanagement und dessen Prozesse zurIdentizierung und Analyse von IT-Risiken. Bei dieser werden olgende IT-Risikoindikatorenherangezogen:

Abhngigkeit von der IT(Automatisierungsgrad, Systemkomplexitt und Sensitivitt der Daten)nderungsprozesse(Projektmanagement, Customizing, Prozess-Reengineering durch von neue IT)Know-How und Ressourcen(erorderliches Spezialistenwissen, Bewusstsein der Nutzer)Geschtliche Ausrichtung des Unternehmens bzw. seiner IT


35/84

35

Fr die Bewertung der Risikoindikatoren bietet der Standards eigene Tests an. Insbesondere wirddem Risiko des IT-Outsourcing ein eigenes Kapitel gewidmet. Abschlieend ist die Sicherheit des IT-Kontrollsystems selbst und die zur Prung untersttzende IT zu bewerten.

Zertizierung

Nach einer Prung dar ein Unternehmen angeben, dass seine Systeme gegen den Standard geprtwurden. Da das Ergebnis und die Qualitt jedoch individuell von der Erahrung und der Einschtzung desPrers abhngig sind, ist das Niveau der IT-Sicherheit in zwei geprten Unternehmen nicht unbedingtvergleichbar. Hinzu kommt, dass der Standard die Bewertung der Angemessenheit der Manahmenbetont und der Aspekt des IT-Grundschutzes in den Hintergrund rckt.

Bisherige Ausgaben

Die endgltige Version des IDW PS 330 ist im September 2002 erschienen und direkt ber das IDW gegeneine Schutzgebhr zu beziehen. Diese umasst ca. 30 Seiten.

Eine Vorabversion vom 3.7.2001 steht unter dem Titel Entwur IDW Prungsstandard: Abschlussprungbei Einsatz von Inormationstechnologie (IDW EPS 330) von der Webseite des IDW kostenlos zumDownload bereit. Die Struktur stimmt mit der endgltigen Fassung berein,inhaltlich wurden nurFeinheiten bis zur endgltigen Verabschiedung gendert.


36/84

36

8 Vorschriten

In den olgenden Kapiteln sind bekannte Vorschriten bzw. Gesetze, z. B. das Bundesdatenschutz-gesetz,erlutert, die ot im Zusammenhang mit IT-Sicherheit im Unternehmen genannt werden.

Zur Erllung der Anorderungen von KonTraG, Basel II sowie SOX ist ein IT-Risiko- und Chancenmanage-mentsystem5 (IT-RCM) sinnvoll, welches das allgemeine Risikomanagement (RCM) des Unternehmensuntersttzt.

Die Abbildung 4 verdeutlichtdie Abhngigkeiten zwischenUnter-nehmensstrategie,IT-Strategie, IT-

Risikomanagement sowie ITSicherheits-management.Die Unternehmens-strategieist die Leitlinie r allelang- und mittelristigenPlanungen der einzelnenagierenden Einheiten desUnternehmens, also auchder IT. Die IT-Strategieleitet sich somit aus derUnternehmens-strategie ab.Sie legt die zukntigen Ziele

der IT sowie die lang- undmittelristigen Manahmenest. Das IT-Risiko- undChancenmanagementsetzt sich mit den IT-Risiken,der IT-Sicherheit und derGewhrleistung eineskontinuierlichen IT-Betriebes auseinander.

8.1 KonTraG

Das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) ist zum1. Mai 1998 in Krat getreten. Ausschlaggebend waren zahlreiche Unternehmenskrisen, die zunehmendeInternationalisierung der Kapitalmrkte sowie eine steigende Globalisierung der Aktionrsstrukturen.

KonTraG ist kein eigenstndiges Gesetz, sondern ein sogenanntes Artikelgesetz, das Ergnzungen undnderungen in anderen Wirtschatsgesetzen wie z. B. Aktiengesetz, Handelsgesetzbuch oder dem Gesetzbetreend der Gesellschaten mit beschrnkter Hatung bewirkt. Das vorhandene Aktiengesetz sowiedas GmbH-Gesetz wurden entsprechend ergnzt (91 II AktG, 116 AktG) bzw. werden entsprechend

5 Siehe dazu auch BITKOM-Leitaden Leitaden IT-Risiko- und Chancenmanagement r kleine und mittlere

Unternehmen, http://www.bitkom.org/de/publikationen/38337_39864.aspx

5NTERNEHMENSSTRATEGIE

3TRATEGISCHE%

BENE

&INANZEN 6ERTRIEB )4

WIRKTAUF

WIRKTAUF

WIRKTAUF

4AKTISCHEUND

OP

ERATIVE%BENE

)43TRATEGIE

3TRATEGISCHE%BENE

4AKTISCHE%BENE

/PERATIVE%BENE

3TRATEGISCHE%BENE

4AKTISCHE%BENE

/PERATIVE%BENE

2ISIKOMANAGEMENT

)42ISIKOMANAGEMENT

)43ICHERHEITSMANAG

5NTERNEHMENSSTRATEGIE

3TRATEGISCHE%

BENE

&INANZEN 6ERTRIEB )4

WIRKTAUF

WIRKTAUF

WIRKTAUF

4AKTISCHEUND

OP

ERATIVE%BENE

)43TRATEGIE

3TRATEGISCHE%BENE

4AKTISCHE%BENE

/PERATIVE%BENE

3TRATEGISCHE%BENE

4AKTISCHE%BENE

/PERATIVE%BENE

2ISIKOMANAGEMENT

)42ISIKOMANAGEMENT

)43ICHERHEITSMANAG

Abbildung 4: Schematische Darstellung der Beziehungen zwischen

Unternehmensstrategie, IT-Strategie, IT-Risikomanagement und IT-

Sicherheitsmanagement (Quelle: Hanau (selbsterstellt)


37/84


38/84

38

Die Einrichtung von internen Kontrollen und (IT-)Sicherheitsmanahmen, die mageblich Risiken r dasUnternehmen mindern, werden sich nach den bisherigen Erwartungen augrund von Basel II positiv aumgliche Kreditkonditionen auswirken. Es kann davon ausgegangen werden, dass dies Insbesondere r

Unternehmen zutrit, deren Geschtseld stark von der IT abhngig ist.

8.3 SOX

Der Sarbanes-Oxley Act (SOA oder SOX) ist ein US-amerikanisches Gesetz, welches am 23. Januar 2002erlassen und am 20. Juli vom Prsidenten der Vereinigten Staaten unterzeichnet wurde. Mageblichgestaltet wurde es durch die beiden Senatoren Sarbanes und Oxley. Das Gesetz ist eine Reaktion audiverse Finanzskandale in den USA (z. B. Enron und Worldcom). Ziel ist es, Investoren zu schtzen undverlorengegangenes Vertrauen wiederzugewinnen, indem die Genauigkeit und Verlsslichkeit derRechnungslegung u. a. in bereinstimmung mit Sicherheits-Gesetzen verbessert wird.

Dabei werden die Verantwortlichkeiten der Unternehmenshrung und der Wirtschatsprergrundlegend neu geregelt und Regeln r die Zusammenarbeit zwischen Wirtschatsprern undUnternehmensleitung deiniert. Die Unternehmen mssen nachweisen, dass sie ein unktions-higesinternes Kontrollsystem haben, dies umasst z. B. die Verahren der Rechnungsprung und -zeichnungdurch die Vorstnde. Vorstnde haten mit Gltigkeit dieses Gesetzes persnlich r die Richtigkeit derJahresabschlsse.

Die Regelungen des Gesetzes betreen alle Unternehmen weltweit, die an einer amerikanischenWertpapierbrse notiert sind sowie unter bestimmten Voraussetzungen auch deren Tochterirmen.

Aus Sicht IT-Sicherheit wird die grte Relevanz aus Sektion 404 des Sarbanes-Oxley Act abgeleitet.

Der Sarbanes-Oxley Act will sichergestellt haben, dass die Ordnungsmigkeit der Verarbeitung unddie Integritt der verarbeiteten relevanten Finanzdaten jederzeit gewhrleistet ist. Weiterhin sollte derZugri au die Finanzdaten jederzeit, bzw. speziell zu Zeiten der Jahresabschlsse oder Quartalsberichtesichergestellt sein. Zustzlich soll eine Missbrauchs-erkennung ermglicht werden. Schwachpunkte imIKS sollten deshalb rechtzeitig entdeckt und ausgebessert werden. Sektion 404 schreibt daher olgendeProzess im Unternehmen vor:1. Auswahl und Beurteilung eines Regelwerks r ein internes Kontrollsystem2. Dokumentation des internen Kontrollsystem (IKS)3. berwachung des IKS.

ber die Funktionshigkeit dieses IKS muss in dem periodischen Unternehmensreports berichtet werden.

Hierbei wird au die Managementverantwortung zur Einrichtung und zum Betrieb vom IKS und zu denProzessen zum Finanz-Reporting hingewiesen. Die Einsetzung eines IT-Risiko-management spielt hierbeieine wichtige Rolle.

Der SOX ist zur Zeit nur r eine Minderheit der deutschen Unternehmen bindend. Eine rhzeitigeBetrachtung lohnt sich jedoch, da eine vergleichbare Regelung im deutschen resp. europischen Rahmennur eine Frage der Zeit zu sein scheint. Bezogen au die IT-Sicherheit ergeben sich hier sicherlich keinevollkommen neuen Anorderungen, der Ru nach ihr wird jedoch verstrkt.


39/84

39

8.4 EURO-SOX

Im Juli 2006 ist die auch als EURO-SOX bezeichnete 8. EU-Richtlinie in Krat getreten. Ziel ist die Schaung

einer international anerkannten Regelung r EU-Unternehmensabschlsse. Hierbei gibt es deutlichebereinstimmungen mit dem Vorbild SOX (siehe oben). So wird beispielsweise die Einrichtung einesinternen Kontrollsystems (IKS) geordert, das die Wirksamkeit von internen Kontrollen, Innenrevision undRisikomanagement berwachen soll.

EURO-SOX ist bis sptestens 29. Juni 2008 in nationales Gesetz umzusetzen. Im Gegensatz zu SOX werdenvon EURO-SOX alle Kapitalgesellschaten betroen sein, nicht nur brsennotierte Firmen. Damit werdenauch kleinere und mittelstndische Unternehmen gezwungen, sich mit den Themen Risikomanagement,IT-Security und Sicherheitsaudits intensiver auseinderzusetzen.

8.5 BDSG

Die Verarbeitung personenbezogener Daten unterliegt vor allem der Reglementierung desBundesdatenschutzgesetzes (BDSG). Zweck des Gesetzes ist es, den einzelnen davor zu schtzen, dass erdurch den Umgang mit seinen personenbezogenen Daten in seinem P

Date post:	05-Apr-2018
Category:	Documents
Upload:	logibookfree
View:	213 times
Download:	0 times

Kompass Der IT Sicherheitstandards Final 12-11-2007

Documents