ISO 27001:2005 – Sicherheitsrichtlinien für Informationen

Die richtige Dokumentation von IT-Sicherheitsrichtlinien im ISMS

16.07.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten

ISO/IEC 27001:2005 spezifiziert eine Reihe von Kontrollen und Ziele, um ein ISMS einzurichten und einzusetzen. Die Spezifikationen sind aus dem Anhang der Norm zu entnehmen und in elf Paragraphen unterteilt. Jeder dieser Paragraphen findet seinen Ursprung in der ISO/IEC Norm 17799:2005. Dieser Artikel beschäftigt sich mit dem ersten Kontrollziel, den Informationssicherheits-Richtlinien und deren Dokumentation.

Wie bei allen Zielen und Aufgaben beschreibt ISO 27001:2005 lediglich allgemeine Aspekte. Aufgabe späterer Zertifizierungsorgane ist es, diese allgemeinen Vorgaben aus den „Best Practices“ in lebende und nachvollziehbare Ziele umzumünzen.

Auch der BSI-Standard richtet sich nach diesen Vorgaben und interpretiert die Norm nach deutschen Gesichtspunkten.

Informationssicherheits-Richtlinien dienen dazu, die Geschäftsleitung hinsichtlich IT-Sicherheit in Abhängigkeit der jeweiligen Landesgesetze zu unterstützen. Die Norm erwähnt in dieser Hinsicht zwei Ziele:

1. Dokumentation der Informationssicherheits-Richtlinien

2. Überprüfung der Inhalte der Richtlinien

Informationssicherheits-Richtlinien richtig dokumentieren

Typischerweise klingt auch dieses Kapitel der ISO-Norm so banal, dass man gestandene IT-Fachleute, Administratoren und IT-Leiter zu einem Kopfschütteln provoziert: Die Best-Practices aus ISO 17799:2005 gehen davon aus, eine möglichst vollständige Liste der Aufgaben zu präsentieren. Die Informationssicherheits-Richtlinien sollten allen Mitarbeitern nicht nur zugänglich gemacht, sondern auch in verständlicher Weise kommuniziert werden.

Formulare helfen, die Norm zu erfüllen

Auch wenn es als preußisches Erbe scheint, Formulare zu produzieren – sie helfen dabei, eine Struktur in die Dokumentation zu bringen. Ein sinnvoller Ansatz ist es, elektronische Formulare in einer Datenbank zu speichern. Dies hätte den Vorteil, dass eine Textsuche und ein gemeinsames Bearbeiten des Datensatzes möglich sind.

Firmen, die bereits eine Microsoft-Infrastruktur mit Windows Server 2003 R2 haben, können beispielsweise mit den aktuellen SharePoint Services 3 ohne zusätzliche Lizenzkosten eine Datenbank aufbauen. Die Microsoft SharePoint Services verwenden eine SQL Server Express Edition, die auch über das SQL Server Management Studio zu verwalten ist.

Wird zusätzlich noch Office 2007 eingesetzt, können über InfoPath eigene Formulare entworfen werden. Formulare, Textdateien und Diagramme können anschließend im Intranet von den Mitarbeitern bearbeitet bzw. gelesen werden.

Sechs Punkte, die in die Dokumentation gehören

Die ISO-Norm schreibt für die Dokumentation folgende Punkte vor:

1. Die Definition der IT-Sicherheit. Darunter fallen allgemeine und besondere Sicherheitsziele, die den Sinn von IT-Sicherheit untermauern.

2. Intentionen der Geschäftsleitung, damit alle Beteiligten von dem Sinn und Zweck der IT-Sicherheit oder einem speziellen Sicherheitsgrad [laut BSI Standard 100-2 auch „Sicherheitsniveau“] überzeugt werden können.

3. Ein Rahmenwerk für den Einsatz der Ziele und Kontrollen, was auch die Struktur der Risikoabschätzung und des Risikomanagements betrifft.

4. Eine knappe Erklärung der Sicherheitsrichtlinien, Prinzipien, Standards und betrieblichen oder dienstlichen Vereinbarungen, die Folgendes beinhalten:

  • Vereinbarungen, die den gesetzlichen Bestimmungen des jeweiligen Landes oder der Branche (Montanindustrie, Industrie, Behörden, Militär, etc.) entsprechen
  • Sicherheitsschulungen, die nicht nur Fakten vermitteln, sondern auch das Sicherheitsbewusstsein aufbauen und stärken
  • Das Fortführen der Geschäftsabläufe bei Auftreten von Sicherheitsvorfällen
  • Konsequenzen, die eine Verletzung der IT-Sicherheitsrichtlinie mit sich ziehen

5. Eine Definition des Tätigkeitsfeldes des IT-Sicherheitsmanagements. Im Tätigkeitsfeld sollten die allgemeinen und speziellen Verantwortlichkeiten der Personen beschrieben sein. Mitglied des IT-Sicherheitsmanagements ist in Deutschland der Datenschutzbeauftragte (im BSI als „Sicherheitsbeauftragter“ definiert), der vom Unternehmen oder Organisation benannt werden muss.

6. Verweise zu weiteren externen Quellen, die die Dokumentation unterstützen, wie beispielsweise zu einer besonders detaillierten Sicherheitsrichtlinie.

Informationssicherheits-Richtlinien überarbeiten

Laut Richtline ist die Dokumentation in geplanten Intervallen oder zu signifikanten Änderungen zu überarbeiten. Genauere Angaben über das Intervall oder eine Beschreibung, was eine „signifikante Änderung“ genau ist, werden nicht gegeben.

Offensichtlich wollte man sich – wegen der Komplexität der verschiedenen zu zertifizierenden Organisationen – nicht hundertprozentig festlegen. Je nach Sicherheitsbedürfnis kann dieses Intervall in der Praxis von täglich bis monatlich variieren. Ausdrückliches Ziel der Überarbeitungen ist die Verbesserung des ISMS.

Die Aufsicht der Überarbeitung und Überwachung sollte sinnvollerweise der IT-Datenschutzbeauftragte übernehmen, der – ganz im Sinne des ISO 17799:2005 – eine „Besitzerfunktion“ der Informationssicherheits-Richtlinien übernimmt.

Neun Themen, die zur Überarbeitung gehören

Die Überarbeitung sieht folgende Themen vor:

1. Feedback aller Beteiligten

2. Ergebnisse und Informationen unabhängiger Audits, da manchmal den Aussagen Dritter mehr Gewicht bemessen wird, als den der eigenen Mitarbeiter

3. Status der vorbeugenden Maßnahmen und Aktionen, die im Schadensfall greifen

4. Resultate der vorhergehenden Überarbeitungen

5. Prozessgeschwindigkeit und der Erfüllung der IT-Sicherheitsrichtlinien

6. Änderungen, die einen Einfluss auf das Sicherheitsempfinden der Organisation/Firma haben, wie zum Beispiel eine Änderung der Geschäftstätigkeit

7. Tendenzen hinsichtlich der Bedrohung und der eigenen daraus resultierenden Verwundbarkeit

8. Berichte über bereits vorgefallene Sicherheitsverletzungen

9. Empfehlungen von Dritten, die keine Audits darstellen, wie zum Beispiel Internetprovidern, Kunden, etc.

Fazit

Informationssicherheits-Richtlinien richten sich in ISO 27001:2005 nach den Best-Practices aus ISO 17799:2005. Die Inhalte der Richtlinien müssen dokumentiert sein und allen Mitarbeitern zur Verfügung stehen.

Um den Sicherheitsstandard zu wahren, müssen die Inhalte regelmäßig kontrolliert und gegebenenfalls verbessert werden. Die Norm bietet hierfür eine Reihe von Kontrollen und Zielen an, die einen Aufbau einer Informationsdatenbank ermöglichen.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2006121 / Software)