Management der Kommunikation und des Betriebs im Rahmen des Sicherheitsstandards BS 7799-1:2000

Inhaltsverzeichnis

1 Einleitung

2 British Standard 7799-1:2000

3 Verfahren und Verantwortlichkeiten
3.1 Dokumentation der Verfahren
3.2 Festlegen der Verantwortlichkeiten
3.3 Pflichtentrennung
3.4 Umgebungstrennung
3.5 Sicherheit der Systemdokumentation

4 Schutz vor bösartiger Software
4.1 Motivation und Zielsetzung
4.2 Schutzmaßnahmen

5 Datensicherung und -beseitigung
5.1 Datensicherungsstrategie
5.2 Datensicherungsplan
5.3 Umgang mit Informationen
5.4 Beseitigung von Datenträgern

6 System- und Notfallplanung
6.1 Kapazitätsplanung
6.2 Notfallvorsorge

7 Kommunikation und Informationstransport
7.1 Netzwerksicherheit
7.2 Austausch von Informationen

8 Zusammenfassung

Literaturverzeichnis

Onlinequellen

1 Einleitung

Heutzutage gibt es kaum noch Unternehmen, die ganz auf die unterstützenden Funktionen von Informationstechnologie verzichten. Vielmehr bauen die meisten Organisationen auf der verwalteten Steuerung der ihnen zur Verfügung stehenden Informationen auf und sind weitestgehend von ihr abhängig. Somit ergibt sich zwangsläufig die Notwendigkeit diese Existenzgrundlagen zu erhalten und zu schützen. Eine Verletzung durch Missbrauch, Manipulation, Zerstörung oder Verlust der Unternehmensinformationen und -datenbasis kann schnell zu materiellen sowie immateriellen Schäden führen, die nur schwer wieder zu beheben sind.

Unter diesen Gegebenheiten stellt die Aufgabe der Informationssicherheit eine strategische Pflichterfüllung für die Unternehmensführung dar. Die Informationssicherheit ist also eine Managementaufgabe, die geplant, durchgeführt und überprüft werden muss.^[1]

Um das Handling der Informationssicherheit zu vereinfachen, ist es möglich auf bereits formulierte Sicherheitsstandards oder -normen zurückzugreifen.^[2] Methodisches Vorgehen nach einer erprobten Systematik senkt die Kosten durch die Nutzung vorhandener und praxisorientierter Vorgehensmodelle, gewährleistet Aktualität durch die Orientierung am Stand der Technik und der Wissenschaft und erzeugt u. a. auch neuartige Wettbewerbsvorteile, die sich z.B. aus einer Reputationssteigerung nach einer erfolgreichen Zertifizierung ergeben können.^[3]

Im äußerst begrenzten Rahmen dieser Arbeit werden die Elemente des Managements der Kommunikation und des Betriebs mit dem höchsten Bedeutungsgrad anhand der Standards BS 7799-1:2000 des British Standard Institute erläutert und die damit verbundenen Aspekte der Handhabung bestimmter Maßnahmen in der Implementierung der Informationssicherheit aus der Fachliteratur beschrieben.

2 British Standard 7799-1:2000

Mitte der 90er Jahre wurde der British Standard 7799 von dem British Standard Institute etabliert, der Vorgehensweisen für die Definition von Sicherheitspolitiken beinhaltete. Nach einer weiteren Revision und durch breite internationale Aufmerksamkeit wurde der erste Teil des BS 7799 im Jahr 2000 zu einem weltweit gültigem ISO-Standard (ISO 17799:2000 – Code of Practice for Information Security Management) übernommen und enthält den genauen Wortlaut der britischen Norm BS 7799-1:2000.^[4] 2002 folgte auch der zweite Teil des Standards mit dem Titel „Spezifikation für Managementsysteme für Informationssicherheit“, der mit anderen Managementsystemstandards harmonisiert und im Jahr 2005 als ISO 27001 international genormt wurde.^[5]

Die Norm bietet eine weit gefasste Sammlung von Maßnahmen und Empfehlungen, die nach dem „Best-Practice-Ansatz“ der Informationssicherheit genügen sollen. Es werden dazu folgende Elemente betrachtet:^[6]

- Sicherheitspolitik und Organisation der Sicherheit
- Einstufung
- Kontrolle und Werte
- Personelle Sicherheit
- Physische und umgebungsbezogene Sicherheit
- Management der Kommunikation und des Betriebs
- Zugangskontrollen
- Systementwicklung und Wartung
- Management des kontinuierlichen Geschäftsbetriebes
- Einhaltung von Verpflichtungen

Die Umsetzung all dieser Maßnahmen sieht die Durchsetzung und Sicherung von bestimmten Merkmalen der Informationssicherheit vor, die zu jedem Zeitpunkt gewährleistet sein müssen:

Vertraulichkeit: Hierbei muss sichergestellt werden, dass nur berechtigte Personen Zugriff auf vertrauliche Informationen, wie statistische Daten, persönliche Inhalte oder Kommunikationsarchive haben.^[7]

Verfügbarkeit: Die Verfügbarkeit kann an den Systemantwortzeiten zu einer Anforderung oder an der Verarbeitungsgeschwindigkeit der Daten gemessen werden und muss immer ein angemessenes Niveau aufweisen.^[8]

Integrität: Diese Position identifiziert die Sicherstellung der Vollständigkeit, Unverfälschtheit, und der Korrektheit von Daten. Es muss also garantiert werden, dass man der Information trauen darf, weil alle Manipulationen an ihr autorisierst waren und nachvollziehbar belegt werden können.^[9]

Verbindlichkeit: Die Gewissheit, dass die gesendeten Daten auch zuverlässig von dem tatsächlichen Empfänger empfangen wurden und der Absender eindeutig identifiziert werden kann, bildet die Grundlage für die juristische Akzeptanz von Rechtsgeschäften, die mittels IT-Systemen entstanden sind (E-Commerce, Datenübertragung per EDI usw.).^[10]

Während ISO 17799 bzw. die entsprechende Nationale Norm BS 7799-1 den verantwortlichen Personen Empfehlungen in Form eines Leitfadens zur Implementierung eines Informationssicherheitsmanagements anbietet und das Fundament für die Entwicklung organisationsweiter Sicherheitsstandards bildet, beschreibt BS 7799-2 die Anforderungen an die Realisierung und Dokumentation und gibt damit auch die Möglichkeit die Implementierung zu überprüfen. Dazu werden konkrete Maßnahmen, so genannte Controls, vorgegeben.

Nachfolgend wird nur auf die wichtigsten Komponenten des Managements der Kommunikation und der Betriebsaufrechterhaltung aus der ISO 17799:2000 bzw. aus dem BS 7799-1:2000 näher eingegangen. Im Wesentlichen werden dabei Empfehlungen für Maßnahmen zur Absicherung der permanenten Funktionstätigkeit von IT-Systemen und zum Schutz der Kommunikationsinfrastruktur und -inhalte angeboten.

3 Verfahren und Verantwortlichkeiten

Bei diesem Punkt wird auf die permanente Sicherstellung des sicheren Betriebs von Geräten in der Informationsverarbeitung abgezielt.

Die Gewährleistung der Zielerfüllung soll hierbei durch die Einführung von dokumentierten Verantwortlichkeiten und Verfahrensanleitungen für den Betrieb aller Geräte zur Verarbeitung von Informationen eines Unternehmens bzw. einer Organisation erreicht werden. Insbesondere sollen entsprechende Betriebsanweisungen und Meldevorschriften für mögliche Vorfälle formuliert werden.^[11]

3.1 Dokumentation der Verfahren

Von der Sicherheitspolitik tangierte Betriebsverfahren sollten explizit formuliert, dokumentiert und den entsprechenden Beteiligten zur Verfügung gestellt werden. Solche Betriebsverfahren sind formale Dokumente, die nur nach einer eindeutigen Genehmigung durch das Management geändert werden können. Sie enthalten detaillierte Anweisungen für die Ausführung der beschrieben Tätigkeiten.^[12]

Es kann u. a. festgelegt werden wie die Verarbeitung und die Weiterleitung von Informationen zu handhaben ist; welche Systeme in gegenseitiger Abhängigkeit betrieben werden und somit eine Anforderungsplanung erfordern; wie bei potentiellen Fehlermeldungen oder sonstigen Ausnahmemeldungen zu verfahren ist oder welche Dienste bzw. Systemdienstprogramme vom Benutzergebrauch ausgeschlossen sind.

Von besonderer Bedeutung ist hierbei die Kontrolle von Veränderungen bei Geräten und Systemen. Durchgeführte Änderungen an kritischen Komponenten sollten in einem Auditprotokoll festgelegt und aufbewahrt werden. In diesem Protokoll können zusätzliche Informationen über die Beurteilung von potentiellen Auswirkungen der Veränderungen auf die Funktionalität abgelegt oder Verfahren zur Ermittlung der Verantwortlichen für die Widerherstellung nach einem misslungenen Veränderungsversuch beschrieben werden.^[13]

Unwissenheit und Fahrlässigkeit sind beim Faktor Mensch die häufigste Ursache für Sicherheitslücken und daraus entstehende Schäden. Die Versorgung aller Mitglieder der Organisation mit Informationen, Weisungen, Schulungen oder Einweisungsmaßnahmen fördert das Verständnis für das Sicherheitsbewusstsein und stellt somit einen wichtigen Kernpunkt der Sicherheitspolitik dar.^[14]

Zusätzlich kann der Mitarbeiter aufgefordert werden die Regelungen und deren Kenntnisnahmen schriftlich zu bestätigen. So wird jedes einzelnes Mitglied an seine Sorgfaltspflicht erinnert und zur Einhaltung gebunden.^[15]

3.2 Festlegen der Verantwortlichkeiten

Weiterhin empfiehlt es sich die Verantwortlichen zu definieren, die gleichzeitig als Anlaufstelle zur technischen Unterstützung oder Fehlerbehebung fungieren.

Als Praxisbeispiel kann man die Nominierung eines „Problem-Owners“ bei der Krankenkasse „Swissana“ aufführen. Im Rahmen eines Audits wurde dabei vom Management festgestellt, dass die Sicherheitsmaßnahmen zum Schutz der persönlichen Kundendaten unzureichend waren. Zur Behebung des Missstands wurde ein Sicherheitsbeauftragter bestimmt, der sich der Thematik annahm, ein Projektteam zusammenstellte und sich bis zur Lösungsimplementierung persönlich darum kümmerte.^[16]

Derartige Maßnahmen zur klaren Definition des Verantwortungsbereichs minimieren Kompetenzstreitigkeiten, Zuständigkeitskonflikte oder Verantwortungsflucht.

[...]

^[1] Vgl. Cole/Matzer: Managementaufgabe Sicherheit. 1999, S. 13-16

^[2] Vgl. Stubbings: Die 7 größten Irrtümer der Informationssicherheit. 2002, S. 86

^[3] Vgl. Jüptner et al.: IT-Sicherheit für den Mittelstand. 2002, S. 22

^[4] Vgl. Jüptner et al.: IT-Sicherheit für den Mittelstand. 2002, S. 22

^[5] Vgl. Tenhagen: Zertifizierung von Informationssicherheit. 2005, S. 3f. in http://www.qm-trends.de/pdf/19860101.pdf, Abruf am 01.12.2005; Vgl. BS7799. In http://de.wikipedia.org/wiki/BS7799, Abruf am 01.12.2005

^[6] Vgl. Romagna: IT-Grundschutz modellieren. 2002, S. 13; Vgl. Stubbings: Die 7 größten Irrtümer der Informationssicherheit. 2002, S. 87

^[7] Vgl. Romagna: IT-Grundschutz modellieren. 2002, S. 14 ;Vgl. Cole/Matzer: Managementaufgabe Sicherheit. 1999, S. 19

^[8] Vgl. Eckert: IT-Sicherheit. 2003, S. 73f.

^[9] Vgl. Jüptner et al.: IT-Sicherheit für den Mittelstand. 2002, S. 18; Vgl. Romagna: IT-Grundschutz modellieren. 2002, S. 14f

^[10] Vgl. Eckert: IT-Sicherheit. 2003, S. 73; Vgl. Romagna: IT-Grundschutz modellieren. 2002, S. 15

^[11] Vgl. BSI Technical Information Group: BS ISO/IEC 17799:2000 – BS 7799-1:2000 2001, S. 25

^[12] Vgl. BSI Technical Information Group: BS ISO/IEC 17799:2000 – BS 7799-1:2000 2001, S. 26

^[13] Vgl. BSI Technical Information Group: BS ISO/IEC 17799:2000 – BS 7799-1:2000 2001, S. 26f.

^[14] Vgl. Romagna: IT-Grundschutz modellieren. 2002, S. 40

^[15] Vgl. Stiefenhofer et al.: Praxisleitfaden Netzwerksicherheit. 2002, S. 66

^[16] Vgl. Romagna: IT-Grundschutz modellieren. 2002, S. 53f