ISO 2700X

Der vorliegende Beitrag soll eine Einführung in die landläufig eher unbekannte ISO 2700X-Reihe und die Vorteile bieten, welche sich durch eine Zertifizierung nach diesem Standard ergeben.

ISO-Normen

Die International Organization for Standardization, kurz ISO, ist eine internationale Vereinigung von Normungsorganisationen. Sie erarbeitet internationale Normen in nahezu sämtlichen Bereichen des denkbaren Lebens. Eine Ausnahme bildet der Bereich der Elektrik und der Elektronik, da für diesen Bereich die Internationale elektrotechnische Kommission (IEC) zuständig ist. Ebenfalls ausgenommen ist der Bereich der Telekommunikation, welcher von der Internationale Fernmeldeunion (ITU) genormt wird. Das ISO, die IEC und die ITU bilden zusammen die World Standards Cooperation (WSC).

ISO-Normen sind daher nicht anderes als internationale Vorgaben, welche von der ISO ausgegeben werden. Sie geben einen Standard-Wert für ein bestimmtes Verfahren oder Szenario vor. Auf deutscher Ebene sind DIN-Normen ebenfalls bekannt; diese haben aber nur nationale Geltung. Teilweise überschneiden sich internationale, europäische und deutsche Normen auch, beispielsweise im Bereich des Papierformats (national muss nach der DIN 476 das Verhältnis zwischen Breite und Höhe bei allen Formaten 1 : √2 betragen, seit 2002 wird die DIN 476 teilweise durch DIN EN ISO 216 ersetzt, wobei die EN die europäische Normung darstellt.)

Überblick

Die ISO/IEC 27000-Reihe ist eine Reihe von Standards der IT-Sicherheit, welche in Zusammenarbeit von der ISO und der IEC herausgegeben werden und die Informationssicherheit aufwerten sollen. Die ISO-Zertifikate weisen eine hohe Akzeptanz auf, welche das Vertrauen in die Sicherheit verschiedener IT-Systeme verstärken sollen. Dabei fließen in die Normen der ISO 2700x-Reihe alle sicherheitsrelevanten Aspekte ein, welche die IT-Sicherheit spezifizieren und beeinflussen. Ergänzt wird die ISO 2700x-Reihe mit den ISO-Qualitäts- und Umweltstandards ISO 9000 und ISO 14000, sodass ein umfassender Standard zur Informationssicherheit mit der ISO 2700x-Reihe zur „Information technology – Security techniques“ entstanden ist. Die Evaluierung und Zertifizierung von IT-Produkten und -systemen kann weiterhin über den Standard ISO/IEC 15408 vollzogen werden. Die national anfallende Normungsarbeit wird in Deutschland vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Einzelne Normen der ISO 2700X-Reihe

Die ISO 2700X-Reihe besteht aus mehreren Normen, die überblicksartig vorgestellt werden sollen:

 ISO/IEC 27000 – Information security management systems – Overview and vocabulary

Die Norm enthält Begriffe und Definitionen, welche in der ISO 2700X-Reihe verwendet werden.

ISO/IEC 27001 – Information security management systems – Requirements

Die Norm ist hervorgegangen aus Teil 2 des British Standard BS 7799 und enthält die Anforderungen an ein Information Security Management System (ISMS), also an die Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche der dauerhaften Informationssicherheit dienen und diese steuern, kontrollieren, aufrechterhalten und fortlaufend verbessern. Innerhalb der ISO/IEC 2700x-Familie kann man mit Hilfe der ISO/IEC 27001 den Erfüllungsgrad der Konformität nachvollziehen. Firmen und Behörden können anhand der ISO/IEC 27001 ihre ISMS beurteilen und zertifizieren lassen. Für Personen existieren verschiedene Schemata zur Ausbildung und Zertifizierung. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet.

ISO/IEC 27002 – Code of practice for information security management

Die Norm ist hervorgegangen aus Teil 1 des British Standard BS 7799 und der ISO/IEC 17799 und enthält Empfehlungen für diverse Kontrollmechanismen für die Informationssicherheit. In zwölf Aufgabenfelder sind Vorgaben für Risikoanalyse und -bewältigung und 123 Kontrollpunkte aufgeführt, die zum Teil sehr konkrete Handlungsanweisungen enthalten. Da die Norm technikneutral ist, sind diese jedoch auf der konzeptionellen Ebene und müssen für den konkreten Anwendungsfall auf organisatorische, betriebliche und technische Maßnahmen heruntergebrochen werden. Im Bereich der technischen Sicherheitsmaßnahmen wird die Norm durch die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik ergänzen.

ISO/IEC 27003 – Information security management systems – Implementation Guidelines Die Norm enthält einen Leitfaden zur Umsetzung der ISO/IEC 27001.

ISO/IEC 27004 – Information security management measurements

Die Norm enthält einzelne Maßnahmen für das Sicherheitsmanagement.

ISO/IEC 27005 – Information security risk management

Die Norm behandelt das Thema des Risikomanagements bei Informationssystemen

ISO/IEC 27006 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

Die Norm regelt die Kriterien, nach denen Stellen arbeiten müssen, die Informationssicherheits- und Managementsysteme nach ISO/IEC 27001 auditieren und zertifizieren wollen.

Viele Standards haben sich ursprünglich aus sprachlichen, geographischen und institutionellen Gründen unabhängig voneinander entwickelt. In letzter Zeit nähern sich die Normen jedoch immer mehr einander an. So wird seit dem Jahr 2000 mit dem Erscheinen der ISO/IEC 17799-Norm grade aufgrund des wachsenden Bedürfnisses nach Kompatibilität der Standards untereinander die Entwicklung und Angleichung vorangetrieben. Nicht zuletzt deshalb werden seit 2012 alle ISO-Normen einer neuen Struktur für Managementstandards mit dem Namen Annex SL angepasst, damit die Standards untereinander eine bessere Verbindung eingehen und die Einführung und Verwendung mehrerer ISO-Standards nebeneinander in einfacher Weise möglich ist. Die ISO und IEC planen, die Standards zur Informationssicherheit etappenweise zu erweitern, wobei insgesamt mindestens 31 Normen geplant sind.

Die nationale Zertifizierung aufgrund des IT-Grundschutzes

Von vielen deutschen Institutionen wurde der Wunsch geäußert, die Umsetzung von Maßnahmen zur IT-Sicherheit und das damit gerechtfertigte Vertrauen in die IT-Sicherheit des gesamten Unternehmens durch ein Zertifikat bestätigt zu bekommen. Hierfür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Zertifizierungsschema für den IT-Grundschutz erarbeitet. Die vorzufindende IT-Grundschutz-Vorgehensweise stellt dabei zusammen mit den IT-Grundschutz-Katalogen und den darin befindlichen Empfehlungen für Standard-Sicherheitsmaßnahmen inzwischen einen de facto-Standard für die nationale IT-Sicherheit dar.

Die internationale Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes

Das IT-Grundschutz-Zertifikat des BSI ist jedoch grundsätzlich ein rein nationales Zertifikat. In der globalisierten Welt wollen Unternehmen jedoch nicht nur für den nationalen Markt, sondern zumindest europaweit, oder noch besser, international ihre gute IT-Sicherheit vorweisen. Damit dies möglich ist, wurden die IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge an die internationale Zertifizierungsnorm ISO 27001 angeglichen und auch das Zertifizierungsschema steht mit der internationalen Norm im Einklang. Seit 2006 können somit ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI beantragt werden. Grade für international tätige Institutionen ist dies deutlich interessanter als rein nationale Zertifikate.

Vorstufen zum internationalen Zertifikat

Sehr oft ist die komplette Umsetzung von IT-Grundschutz mit allen relevanten IT-Grundschutz-Maßnahmen mit hohen finanziellen, personellen und zeitlichen Ressourcen verbunden. Das BSI bietet daher zwei Vorstufen zum ISO 27001-Zertifikats auf der Basis von IT-Grundschutz an, welche die Bemühungen eines Unternehmens oder einer Behörde um die eigene IT-Sicherheit verdeutlichen können. Bei den Vorstufen handelt es sich um das Auditor-Testat “IT-Grundschutz Einstiegsstufe” und das Auditor-Testat “IT-Grundschutz Aufbaustufe”. Die Testate können nur von beim BSI zertifizierten Auditoren vergeben werden.

Das Auditor-Testat “Einstiegsstufe” wird nach Umsetzung der unabdingbaren Standard-Sicherheitsmaßnahmen des IT-Grundschutzes erteilt werden, den Voraussetzungen der sog. „Stufe A“. Das Auditor-Testat “Aufbaustufe” wird erst nach zusätzlicher Umsetzung der wichtigsten Standard-Sicherheitsmaßnahmen erteilt, den Voraussetzungen der sog. Stufe B. Die Testate sind allerdings jeweils nur zwei Jahre gültig und können nicht verlängert werden. Es ist zwar möglich, nach 2 Jahren auf der Einstiegsstufe auf die Aufbaustufe aufzusteigen. Nach 2 Jahren auf der Aufbaustufe ist jedoch nur ein erneuter Aufstieg zum vollen Zertifikat möglich.

Vorgehensweise der internationalen Zertifizierung beim BSI

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz oder eines Auditor-Testats ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Zu dessen Aufgaben gehört es, die von der Institution erstellten Referenzdokumente zu überprüfen, einer Vor-Ort-Überprüfung vorzunehmen und letzten Endes den Audit-Report zu erstellen. Als Prüfgrundlage für die Auditierung müssen die im Dokument “Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz” aufgeführten Dokumente in der dort genannten Version verwendet werden. Für die Vergabe des internationalen ISO 27001-Zertifikats muss dieser Audit-Report beim BSI vorgelegt werden, wo er auf Richtigkeit überprüft wird. Das BSI entscheidet danach auf Grundlage des Auditreports, ob ein Zertifikat ausgestellt werden kann oder nicht.

Vorteile und Stellenwert der Zertifizierung

Ein vom BSI ausgestelltes Zertifikat hat auf dem Markt einen sehr hohen Stellenwert, da an die zertifizierten Auditoren sehr hohe Anforderungen vom BSI gestellt werden. Nur so kann eine konstant hohe Qualität der Audits garantiert werden, welche für die Anerkennung des Zertifikates in der Praxis unerlässlich ist.

Mit dem Nachweis durch das Zertifikat, dass in einem IT-Verbund die Standardsicherheitsmaßnahmen nach dem IT-Grundschutz umgesetzt wurden gehen verschiedene Vorteile in mehreren Bereichen einher. IT-Dienstleister können durch das Erlangen des besagten Zertifikats einen vertrauenswürdigen Nachweis erbringen, dass sie die Maßnahmen nach der IT-Grundschutz-Vorgehensweise realisiert haben und die IT-Sicherheit im Unternehmen auf einem hohen Standard ist. Potenzielle Geschäftspartner können sich spiegelbildlich darüber informieren, welchen Standard von IT-Sicherheit ein Unternehmen als Geschäftspartner zusichern kann. Institutionen, die neu an ein Netz angeschlossen werden, müssen sogar nachweisen, dass sie eine ausreichende IT-Sicherheit besitzen. Hierdurch sollen untragbare Risiken für die Allgemeinheit vermieden werden. Für den Nachweis der ausreichenden IT-Sicherheit ist das Zertifikat prädestiniert. Doch nicht nur im geschäftlichen Verkehr sind die Zertifikate für den Nachweis der IT-Sicherheit nutzbar: Sowohl Unternehmen als auch Behörden können Kunden bzw. Bürgern darstellen, dass sich die jeweilige IT-Sicherheit auf einem hohen Standard bewegt und somit Vertrauen gewinnen.

Formelle Voraussetzungen für die Beantragung eines ISO 27001-Zertifikats

Um ein ISO 27001-Zertifikat oder eine entsprechende Vorstufe (“IT-Grundschutz Einstiegsstufe” oder “IT-Grundschutz Aufbaustufe”) zu beantragen, muss ein Antrag ausgefüllt und beim BSI vorgelegt werden. Hierfür stellt das BSI verbindliche Antragsformulare zur Verfügung, nicht verändert werden dürfen. Insgesamt sind drei Formulare einzureichen, der „Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz“, der „Antrag auf Erteilung eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz für einen De-Mail-Informationsverbund“ und die „Zertifizierungsantrag – Unabhängigkeitserklärung“.

Erteilte Zertifikate

Bereits erteilte Zertifikate können online auf der Homepage des BSI eingesehen werden. Sie sind unter dem folgenden Link tabellarisch aufgeführt:

Zertifizierte ISO 27001-Auditoren für Audits auf der Basis von IT-Grundschutz

Auch die einzelnen, zertifizierten ISO 27001-Auditoren für die notwendigen Audits auf der Basis des IT-Grundschutzes sind auf der Website des BSI aufgeführt und können unter folgendem Link aufgerufen werden:

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*