10.07.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten
ISO/IEC 27001:2005 beschreibt ein Management-System für Informationssicherheit (ISMS) und legt die theoretischen Grundlagen für dessen Prozesse. Das ISMS verwendet das Plan-Do-Check-Act-Modell, um IT-Sicherheit als fortlaufenden Prozess darzustellen. Dieser Artikel stellt die Aufgaben des Managements vor und zieht Parallelen zur BSI-Norm und der Praxis.
Das Plan-Do-Check-Act-Prozessmodell (PDCA-Lebenszyklusmodell) ist mit dem Standard ISO/IEC 27001:2005 an die Belange eines Managementsystems für Informationssicherheit (ISMS) angepasst worden. Die Abbildung in der Bildergalerie zeigt dieses Modell und verdeutlicht, dass ein Kernpunkt die kontinuierliche Dokumentation ist. Letztendlich hat dies eine umfangreiche Datenbank zum Ziel.
Um die IT-Sicherheit immer Up-to-date zu halten, ist eine laufende Ausführung des Lebenszyklusmodells notwendig. Nur so ist eine kontinuierliche Optimierung gewährleistet.
Das PDCA-Modell umfasst folgende vier Zyklen, die im verlinkten Grundlagenartikel dieser Reihe näher erläutert werden:
1. Plan (z.B. Einrichten eines ISMS)
2. Do (z. B. Implementieren und Verwalten von Ressourcen)
3. Check (Laufende Überwachung des ISMS und Erfolgskontrolle)
4. Act (Verbesserungen fließen ein)
Damit nicht gleich ein Missverständnis auftritt: „Management“ ist mittlerweile ein aus dem Englischen in die deutsche Geschäftswelt importierter Begriff für die Leitungsebene einer Organisation geworden. Geht man von der exakten Übersetzung aus dem Englischen aus, gehört zu der Geschäftsleitung nach Cassells German Dictionary auch noch die „Verwaltung“.
Als Deutsche müssen wir daher bei Durchsicht der englischen ISO-Norm immer im Blick haben, dass Bedeutungen leicht missverstanden werden können. ISO 27001:2005 handelt vom „Management“ und meint damit alle führenden, leitenden sowie verwalteten Personen, manchmal aber auch einen Prozess (beispielsweise das Risk Management).
Das Bundesamt für Sicherheit in der Informationstechnik verdeutlicht in seiner BSI-Norm das Management als „Leitungsebene“, um eine Abgrenzung zum Prozess „Leiten, Lenken und Planen“ [Quelle: BSI-Standard 100-1] zu setzen.
Viele der hier aufgelisteten Aufgaben und Pflichten erscheinen selbstverständlich, so dass man sich fragen muss, ob hier nur Papier verschwendet wird. Die Norm hat seine Wurzeln aus einem gesammelten Best-Practice-Katalog, der über Jahre aufgebaut und laufend ergänzt wurde. Die jeweiligen Aspekte klingen demnach nicht gerade spektakulär.
Die Aufgabensammlung hat aber seine Berechtigung darin, dass nichts ausgelassen wird. Wie letztendlich eine Organisation geprüft wird, hängt wesentlich von den Randbedingungen des Betriebs und den Präferenzen des Auditors ab (z.B. durch das BSI, die auch ISO 27001 zertifizieren).
Die Management-Ebene bzw. die Geschäftsleitung hat die Verpflichtung, eine ISMS-Richtline in der Organisation einzuführen. Anschließend ist sie für das ordnungsgemäße kontinuierliche Funktionieren des Managementsystems verantwortlich.
Da die IT mittlerweile in fast alle Ebenen eines Betriebs/einer Organisation Fuß gefasst hat, muss dort auch die IT-Sicherheit konsequent angewendet werden. Das klingt banal, doch bei großen Konzernen gibt es eine gewachsene IT-Infrastruktur, die wegen der Unübersichtlichkeit durchaus Schwachstellen haben kann.
Eine weitere wichtige Aufgabe der Firmenführung ist die Delegierung entsprechender Aufgaben an Mitarbeiter und IT-Stab. In Deutschland muss auch der Betriebsrat mit ins Boot geholt werden. Die Delegierung erfolgt bei Behörden in Form von Dienstanweisungen, die Abteilungsleiter und Datenschutzbeauftragte mit in das Management von IT-Sicherheit einbeziehen.
Die Industrie handhabt solche Delegierung mitunter in Betriebsvereinbarungen oder in ganz normalen betrieblichen Anweisungen. Gemäß der ISO-Norm darf bei aller Delegierung nicht eine ordnungsgemäße Dokumentation vergessen werden.
Der Kürze halber kann die Management-Verantwortung in folgende Bereiche zusammengefasst werden:
Oft stehen Vorständen in hoher und mittlerer Firmenhierarchie Laptops zur Verfügung, die sie auch auf Reisen mitnehmen. Manchmal sind diese Personen recht eigen, was die Verwaltung der Computer durch den IT-Stab betrifft. Da auf diesen Computer in der Regel auch vertrauliche Informationen gespeichert sind, muss eine sinnvolle Sicherheitsrichtlinie für diese Computer ausgearbeitet werden.
Der Findungsprozess der Richtlinie durchläuft das PDCA-Modell und wird laufend optimiert. Am Anfang steht jedoch eine Abschätzung aller Risiken, auch Risikobewertung genannt. Das können je nach Anforderungen ein Gerätediebstahl, Spionage oder Fehlbedienungen sein.
Potentielle Schwachstellen sind Betriebssystem, Anwendungen und Verschlüsselungstechniken. Aber auch hardwareabhängige Komponenten wie USB-Ports, CD/DVD-Brenner, WLAN-Sender oder Netzwerkanschlüsse können unsicher sein.
ISO 27001:2005 beschreibt als zentrales Thema die Rolle der Dokumentation, die folgende Inhalte umfassen sollte:
Neben der Verfassung der Dokumentation sollte diese auch laufend kontrolliert und optimiert werden. Hier ist wieder der Hinweis zu geben, dass Dokumentation auch eine Aufgabe darstellt, die mit dem PDCA-Lebenszyklusmodell abgearbeitet werden kann.
Das Ergebnis kann nur eine Momentaufnahme des ISMS sein. Sinnvollerweise kann die Kontrolle auch einer externen Partei (externer Audit) übergeben werden, da diese unvoreingenommen arbeiten kann.
ISO 27001:2005 verlangt von einer Unternehmensführung nicht nur Vorbildfunktion, sondern die konsequente Umsetzung und Verantwortlichkeit hinsichtlich des Managementsystems für Informationssicherheit. Wie bei allen Aspekten des Aufgabenkatalogs verlangt die Norm die laufende Ausführung des PDCA-Modells in jeder Phase. Das betrifft genauso Risikobewertung oder Sicherheitsmaßnahmen einer Firma, wie die auch Dokumentation des ISMS.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2005967)
