ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz

Ordnungsmerkmale

erschienen in: <kes> 2006^#1, Seite 52

Zusammenfassung: Eine ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz umfasst sowohl eine Prüfung des IT-Sicherheitsmanagements als auch der konkreten IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz. Sie beinhaltet gleichzeitig eine ISO-Zertifizierung nach ISO 27001, ist aber aufgrund der zusätzlich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO-Zertifizierung.

Autor: Von Angelika Jaschob, BSI

ISO 17799:2005 und die neue Normenreihe ISO/IEC 27000ff haben einige Änderungen gebracht: Der überarbeitete "Code of Practice" ISO/IEC 17799:2005 wurde im Juni 2005 veröffentlicht. Änderungen wurden an Form und Inhalt vorgenommen. Eine der Neuerungen ist die Erweiterung von bisher 10 auf 11 Abschnitte; der neu hinzugekommene Abschnitt befasst sich mit dem Thema Information Security Incident Handling. Die Controls wurden um 17 neue ergänzt, neun alte Controls wurden gelöscht. Dabei wurde zum Beipiel der Themenbereich Personal um Sicherheitsmaßnahmen vor, während und bei Beendigung einer Anstellung ergänzt. Weitere Anpassungen wurden vorgenommen, beispielsweise Anforderungen aus dem Bereich des Outsourcing definiert.

Die ISO/IEC-27000er-Familie hat das Ziel, Anforderungen für Managementsysteme für Informationssicherheit zu definieren und zu konkretisieren. Am 15. Oktober 2005 wurde die Norm ISO/IEC 27001 "ISMS Requirements" als erste dieser Reihe veröffentlicht. Dieser neue Standard basiert auf der britischen Norm BS 7799-2 und dient als Grundlage für die Zertifizierung eines Informationssicherheits-Managementsystems (ISMS). Neben dem nur in ISO 27002 umbenannten Standard ISO 17799 durchlaufen bereits weitere Themen das Standardisierungsverfahren der ISO. Aktuell im Standardisierungsverfahren sind:

• ISO/IEC 27000: ISMS Principles and Vocabulary
• ISO/IEC 27001: ISMS Requirements (bereits verabschiedet)
• ISO/IEC 27002: Code of Practice for ISMS (bisher ISO 17799)
• ISO/IEC 27003: ISMS Implementation Guidance
• ISO/IEC 27004: ISMS Metrics and Measurement
• ISO/IEC 27005: ISMS Risk Standard

Mit der neuen Struktur in ISO/IEC 27000ff wird daran gearbeitet, ein methodisch und inhaltlich umfassendes Modell für das Management von Informationssicherheit zu entwickeln und Vorgaben für ISMS in dieser Reihe zur Verfügung zu stellen.

Um den internationalen Entwicklungen Rechnung zu tragen, hat das BSI bereits Anfang 2005 damit begonnen, das IT-Grundschutzhandbuch neu zu strukturieren und zu erweitern (vgl. <kes> 2005#6, S. 6). Mit den im Dezember 2005 veröffentlichten BSI-Standards für ISMS und den IT-Grundschutz-Katalogen wurden die Voraussetzungen für eine ISO-27001-Zertifizierung auf der Grundlage von IT-Grundschutz geschaffen.

BSI-Standards für ISMS

Seit 2002 ermöglicht das BSI die Zertifizierung von Geschäftsprozessen und IT-Verbünden auf Basis von IT-Grundschutz. Allen IT-Grundschutz-Anwendern soll es möglich sein, sich auch weiterhin die sorgfältige Umsetzung von IT-Grundschutz mit einem Zertifikat bestätigen zu lassen. Damit das IT-Grundschutz-Zertifikat aber auch die internationale Norm ISO 27001 abdeckt, wurde sowohl das Zertifizierungs- als auch das Lizenzierungsverfahren des BSI überarbeitet, so dass eine Normkonformität gegeben ist.

Eine ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz umfasst sowohl eine Prüfung des IT-Sicherheitsmanagements als auch der konkreten IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz. Sie beinhaltet gleichzeitig eine ISO-Zertifizierung nach ISO 27001, ist aber aufgrund der zusätzlich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO-Zertifizierung.

Das BSI hat damit begonnen, eine Schriftenreihe mit Standards zu verschiedenen Bereichen der Informationssicherheit aufzubauen. Hierzu gehören auch die folgenden BSI-Standards zum Thema IT-Sicherheitsmanagement:

BSI-Standard 100-1

Managementsysteme für Informationssicherheit (gibt einen Überblick über verschiedene Methoden zum IT-Sicherheitsmanagement)

BSI-Standard 100-2

IT-Grundschutz-Vorgehensweise (beschreibt die Methode wie ein ISMS eingeführt werden kann)

BSI-Standard 100-3

Risikoanalyse auf der Basis von IT-Grundschutz (beschreibt eine zur IT-Grundschutzphilosophie kompatible Risikobetrachtung)

Darüber hinaus wurde das Prüfungsschema und das Lizenzierungsschema für Auditoren neu überarbeitet und veröffentlicht:

• Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz -Prüfschema für ISO-27001-Audits
• Lizenzierungsschema für Auditoren für ISO-27001-Zertifikate auf der Basis von IT-Grundschutz.

ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz

Grundlage und Kriterienwerke für eine ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz sind ISO/IEC 27001:2005 "Information technology - Security techniques – Information security management systems – Requirements", der BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise und der BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz sowie die IT-Grundschutz-Kataloge des BSI. Die wesentlichen Anforderungen zur Prüfung des IT-Sicherheitsmanagements im Rahmen eines Audits ergeben sich aus den Maßnahmen des IT-Grundschutz-Bausteins B 1.0 IT-Sicherheitsmanagement. Die Maßnahmen dieses Bausteins sind so geschrieben, dass die wesentlichen Anforderungen des ISMS-Standards sofort identifiziert werden können.

Audit-Prozess im Überblick

Nachdem eine Institution die IT-Grundschutz-Methodik umgesetzt hat und alle relevanten Dokumente vorliegen, kann sie einen lizenzierten Auditor beauftragen. Er überprüft dann anhand des Prüfschemas in einer unabhängigen Prüfung die Umsetzung der Anforderungen eines ISO-27001-Zertifizierungsverfahrens auf der Basis von IT-Grundschutz. Der Auditor dokumentiert seine Prüfergebnisse in einem Audit-Report, der zusammen mit dem Zertifizierungsantrag der Zertifizierungsstelle als Grundlage für ein ISO-27001-Zertifikat dient.

Ziel des Audits ist die unabhängige Überprüfung der Einhaltung sowohl von ISO 27001 als auch von IT-Grundschutz durch einen vom BSI lizenzierten Auditor. Die Überprüfung umfasst sowohl eine Dokumentenprüfung als auch eine Umsetzungsprüfung der erforderlichen IT-Sicherheitsmaßnahmen vor Ort.

Was muss ein Antragsteller bereitstellen?

Die folgenden Referenzdokumente müssen vom Antragsteller dem Auditor und der Zertifizierungsstelle als Arbeitsgrundlage zur Verfügung gestellt werden:

• IT-Strukturanalyse,
• Schutzbedarfsfeststellung,
• Modellierung des IT-Verbunds,
• Ergebnis des Basis-Sicherheitschecks,
• Ergänzende Sicherheitsanalyse (neu),
• Risikoanalyse (neu).

Was hat sich geändert?

Der wesentliche Unterschied zur bisherigen IT-Grundschutz-Zertifizierung ist die Integration und Prüfung einer Risikoanalyse. Um hier effizient und kostengünstig vorzugehen, wurde vom BSI eine zweistufige Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet. Diese Vorgehensweise bietet sich an, wenn Unternehmen oder Behörden bereits IT-Grundschutz anwenden und möglichst nahtlos eine ergänzende Sicherheitsanalyse an die IT-Grundschutz-Analyse anschließen möchten.

Risikoanalyse

IT-Sicherheit ist nicht nur eine Frage der Technik, sondern hängt in erheblichem Maße von den organisatorischen und personellen Rahmenbedingungen der jeweiligen Institution ab. Daher müssen in einem IT-Sicherheitskonzept eine Vielzahl von Faktoren berücksichtigt werden und sowohl technische als auch nicht-technische IT-Sicherheitsmaßnahmen kombiniert werden. Die Identifikation aller Bedrohungen, ihre Bewertung und darauf aufbauend die Auswahl passender Sicherheitsmaßnahmen ist üblicherweise sehr aufwändig.

In den IT-Grundschutz-Katalogen werden Standard-Sicherheitsmaßnahmen für typische IT-Systeme empfohlen. Das Ziel dieser IT-Grundschutz-Empfehlungen ist es, durch geeignete Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist und als Basis für hochschutzbedürftige IT-Systeme und -Anwendungen dienen kann.

Um den sehr heterogenen Bereich der IT einschließlich der Einsatzumgebung besser strukturieren und aufbereiten zu können, verfolgen die IT-Grundschutz-Kataloge ein Baukastenprinzip. Die einzelnen Bausteine spiegeln typische Bereiche des IT-Einsatzes wider. In jedem Baustein wird zunächst die zu erwartende Gefährdungslage beschrieben, wobei sowohl die typischen Gefährdungen als auch die pauschalisierten Eintrittswahrscheinlichkeiten berücksichtigt werden.

Diese Gefährdungslage bildet die Grundlage, um ein spezifisches Maßnahmenbündel aus den Bereichen Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge zu generieren. Um das für einen normalen Schutzbedarf notwendige Sicherheitsniveau zu erreichen, brauchen Anwender die vorgenannten aufwändigen Analysen nicht durchzuführen. Es ist vielmehr ausreichend, die für das relevante IT-System oder den betrachteten IT-Verbund entsprechenden Bausteine zu identifizieren und die darin empfohlenen Maßnahmen konsequent und vollständig umzusetzen.

Dies bedeutet, dass für den normalen Schutzbedarf die erste Stufe einer Risikoanalyse durch die Anwendung der IT-Grundschutz-Kataloge schon vorgenommen wurde. Für die Komponenten mit höherem oder sehr hohen Schutzbedarf ist darüber hinaus in einem zweiten Schritt eine weitere Analyse erforderlich. Diese ergänzende Sicherheits- beziehungsweise Risikoanalyse muss von der Institution individuell durchgeführt werden. Auch wenn spezielle Komponenten betrieben werden, für die in den IT-Grundschutz-Katalogen noch keine Empfehlungen enthalten sind, oder wenn besondere Einsatzbedingungen vorliegen, ist unter Umständen eine ergänzende Analyse erforderlich. Das BSI stellt im BSI-Standard 100-3 eine Vorgehensweise hierfür vor.

Erweiterte Risikoanalyse basierend auf IT-Grundschutz

Das BSI hat mit der Risikoanalyse auf der Basis von IT-Grundschutz eine Vorgehensweise entwickelt, bei der Eintrittswahrscheinlichkeiten nicht explizit, sondern lediglich implizit im Rahmen der Ermittlung und Bewertung von Gefährdungen betrachtet werden. Diese Vorgehensweise in zwei Stufen bietet sich vor allem dann an, wenn Unternehmen oder Behörden bereits erfolgreich mit dem IT-Grundschutz arbeiten und möglichst nahtlos eine ergänzende Sicherheitsanalyse an die IT-Grundschutz-Analyse anschließen möchten.

Da Risikoanalysen einen höheren Aufwand verursachen, ist es sinnvoll, damit nicht den gesamten IT-Verbund zu analysieren, sondern sich auf die sicherheitskritischen Bereiche zu konzentrieren. Um diese kritischen Bereiche des IT-Verbundes zu identifizieren, wird der eigentlichen Risikobetrachtung eine Sicherheitsanalyse vorangestellt, in der der Analysebedarf der Komponenten mit hohem und sehr hohem Schutzbedarf untersucht und bewertet wird. Ähnlich wird bei speziellen Komponenten oder besonderen Einsatzbedingungen verfahren.

Für alle als kritisch identifizierten Komponenten müssen dann ausgehend von den Gefährdungen der IT-Grundschutz-Kataloge zusätzliche Gefährdungen identifiziert werden. Anschließend erfolgt eine Abschätzung und Bewertung der Gefährdungen. Um den IT-Verbund gegen alle relevanten Gefährdungen zu schützen, müssen eventuell zusätzliche Maßnahmen festgelegt werden. Anschließend müssen dann die identifizierten Maßnahmen wieder in den IT-Sicherheitsprozess eingebracht und konsolidiert werden. Nur so ist es möglich, zu einer ganzheitlichen IT-Sicherheit zu kommen.

Ablauf der ISO-27001-Zertifizierung

Nach der Einreichung eines vollständigen Zertifizierungsantrags inklusive Meilensteinplan, einer Beschreibung des Untersuchungsgegenstandes, des bereinigten Netzplans und einer Unabhängigkeitserklärung des Auditors oder des Audit-Teams beim BSI kann das Audit von einem lizenzierten Auditor durchgeführt werden. Die lizenzierten Auditoren für ISO-27001-Audits auf der Basis von IT-Grundschutz sind auf den BSI-Webseiten veröffentlicht [4].

Nach positivem Abschluss des Prüfprozesses erteilt das BSI auf der Grundlage des Audit-Reports ein ISO-27001-Zertifikat auf der Basis von IT-Grundschutz. Die Zertifizierungsstelle stellt das Zertifikat aus und fertigt einen Anhang mit zusätzlichen Informationen an. Sofern der Antragsteller eine Veröffentlichung des Zertifikates wünscht, werden Zertifizierungsurkunde und Anhang auf den Internetseiten des BSI veröffentlicht.

Die zertifizierte Institution darf die Urkunde sowie ein vom BSI zur Verfügung gestelltes Logo unter der Bedingung verwenden, dass der Zertifizierungsanhang jederzeit zur Verfügung gestellt wird. Ein Zertifikat ist zwei Jahre gültig und kann dann durch eine erneute Antragstellung und Erstellung eines aktuellen Audit-Reports mit positivem Votum durch einen lizenzierten Auditor vom Antragsteller beim BSI erneuert werden.

Stufenkonzept

Wenn der IT-Grundschutz-Auditor im Report festgestellt hat, dass der betrachtete Untersuchungsgegenstand den Anforderungen eines Auditor-Testats (Einstiegsstufe oder Aufbaustufe) genügt, kann die Institution ein entsprechendes Auditor-Testat beantragen.

Auditor-Testate können nach Ablauf der maximal zweijährigen Gültigkeitsdauer nicht verlängert werden. Um die Qualifizierung fortzusetzen, muss stattdessen eine höhere Stufe im Qualifizierungsschema erreicht werden. Beim Auditor-Testat "Einstiegsstufe" bedeutet dies, dass nach Ablauf der Gültigkeit ein Auditor-Testat "Aufbaustufe" oder das ISO-27001-Zertifikat erreicht werden muss. Nach Ablauf der Gültigkeit des Auditor-Testats "Aufbaustufe" muss das ISO-27001-Zertifikat erreicht werden. Anderenfalls endet die Qualifizierung nach IT-Grundschutz.

Die Auditor-Testate sind dafür gedacht, die schrittweise Steigerung des IT-Sicherheitsniveaus bis hin zum IT-Grundschutz-Zertifikat bereits im Vorfeld aufzeigen zu können. Die Erfahrungen haben gezeigt, dass sie auch genau dafür genutzt werden, aber längst nicht alle Institutionen ihren Weg zum Zertifikat öffentlich dokumentieren wollen.

Kompetenz durch normkonforme Auditoren

Eine seriöse Zertifizierung setzt immer eine vorhergehende Prüfung des jeweiligen Untersuchungsgegenstands voraus. So wurde auch für das IT-Grundschutz-Zertifikat ein detailliertes Prüfschema erarbeitet, das den Prüf- und Audit-Prozess ausführlich beschreibt. Auf der Grundlage eines solchen IT-Grundschutz-Audits entscheidet sich, ob ein IT-Grundschutz-Zertifikat für einen IT-Verbund vergeben werden kann.

Die Qualität eines IT-Grundschutz-Audits hängt aber nicht nur vom Prüfschema, sondern auch wesentlich von den Fachkenntnissen und Erfahrungen des Auditors ab. Das Lizenzierungsschema zu IT-Grundschutz wurde vom BSI auf die Anforderungen der EA 7/03 umgestellt und ist in der neuen Fassung seit Oktober auf dem BSI-Webserver veröffentlicht [3] (die Richtlinie EA 7/03 der European Cooperation for Accreditation – EA – definiert Akkreditierungs und Zertifizierungsanforderungen für ISMS-Audits).

Ein Auditor muss neben Berufs- auch Audit-Erfahrungen nachweisen. Bei einer fünftägigen Schulung wird neben der Normenlage vermehrt Wert auf Praxisbeispiele und Audit-Technik gelegt. Das erworbene Wissen muss der Auditor in Form von Aufgaben, Workshops und einer schriftlichen Prüfung nachweisen.

In der Übergangsphase werden zurzeit die IT-Grundschutz-Auditoren für die neuen Anforderungen vorbereitet, sodass unter den insgesamt 182 bereits 50 Auditoren für die Durchführung von ISO-27001-Audits berechtigt sind. Neuanträge für die Zulassung als ISO-27001-IT-Grundschutz-Auditor sind seit Januar 2006 möglich, die ersten Schulungen sind für März 2006 vorgesehen.

Ausblick

Erste Referenzkunden streben bereits eine ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz an. In einem laufenden Verfahren wird das Audit im Januar abgeschlossen sein, sodass das erste Zertifikat nach ISO 27001 auf der Basis von IT-Grundschutz auf der CeBIT 2006 übergeben werden kann.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006^#1, Seite 52