Auditierungs- und Zertifizierungskonzept (AZ-Konzept)

Transkript

1 Auditierungs- und Zertifizierungskonzept (AZ-Konzept) Inhalt 1. Grundlage Versionsverwaltung Zertifizierungsstelle Auditor Ethik und Unabhängigkeit der Auditoren Gültigkeit des Zertifikats Zertifizierungsablauf Nachweisforderungen und Nachforderungen Bekanntmachung der erfolgreichen Zertifizierung Entzug des Zertifikats Kontakt Referenzierte Dokumente... 5 Anhang Zulassungsregelungen Auditoren... 6 Anhang Zertifizierbarer Bereich Rechenzentrum... 7 Zertifizierbarer Bereich Cloud-Sicherheit... 8 Zertifizierbarer Bereich LAN-Sicherheit... 9 Zertifizierbarer Bereich Software Entwicklung Zertifizierbarer Bereich Datenschutz Maßnahme M ovvi.1 Datentrennung Zertifizierbarer Bereich Vorfall- und Notfall Management Zertifizierbarer Bereich ISMS Anhang Auditor - Unabhängigkeitserklärung Anhang Auditierungs- und Zertifizierungsgebühren Anhang Akkreditierungsgebühren... 23

2 1. Grundlage Ein Zertifikat der ovvi basiert auf die vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) veröffentlichte Baustein-Maßnahmen und ist für 2 Jahre gültig. Relevant sind die zum Zeitpunkt des Auditierungsauftrages gültigen IT-Grundschutz-Bausteine (aktuelle Ergänzungslieferung) sowie innerhalb des ersten Gültigkeitsjahres eine Version der Ergänzungslieferung zuvor und die aktuelle ovvi-vollversion (siehe Absatz Versionsverwaltung ). Das Zertifizierungsaudit wird von einem akkreditierten ovvi-auditor durchgeführt und von der ovvi- Zertifizierungsstelle mit einem Zertifikat auf Angemessenheit der Ordnungsmäßig, Vertraulichkeit, Verfügbarkeit und Integrität nach ovvi bestätigt. Nach Ablauf eines Jahres wird ein Überwachungsaudit fällig. 2. Versionsverwaltung Gültig zur Zertifizierung ist, neben der gültigen IT-Grundschutz Ergänzungslieferung (siehe Absatz Grundlage ), die aktuelle ovvi-vollversion (kurz: ovvi-version). Die jeweils gültige aktuelle ovvi-version kennzeichnet sich an der Hauptversionsnummer. Geringfügige Änderungen werden in der Nebenversionsnummer gekennzeichnet. Reviews oder ähnliches, die keine inhaltliche Änderung des Dokuments zur Folge haben, erhöhen die Review-Nummer. Die Versionsnummern sind folgendermaßen aufgebaut: <Hautpversionsnummer>.<Nebenversionsnummer>.<Review-Versionsnummer> 3. Zertifizierungsstelle Die Zertifizierungsstelle ist für die Lieferung und im Zertifizierungsprozess der Einhaltung des Auditierungs- und Zertifizierungskonzeptes (kurz: AZ-Konzept) zuständig. Die Zertifizierungsstelle bestätigt den Zertfizierungsantrag und überprüft den Auditbericht des Auditors des Zertifizierungs- oder Überwachungsaudit auf Angemessenheit. Bei erfolgreichem Auditergebnis sendet die Zertifizierungsstelle ein ovvi-zertifikat. Der Zertifizierungsstelle ist ferner für die Ausbildungsgänge und Akkreditierung der ovvi-auditoren zuständig. Mit dem Betrieb der Zertifizerungsstelle ist folgendes Unternehmen beauftragt: abakus-it Weserstieg 46, Hamburg info@ovvi.de Die Zertifizierungsstelle kann keine Zertifizierungsaudits durchführen. Zu Überwachungsaudits oder zur Überprüfung von Nachweis- oder Nachforderungen ist sie im Bedarfsfall berechtigt. Vorrangig sind die akkreditierten Auditoren zur Durchführung zu beauftragen. ovvi AZ-Konzept - Version

3 4. Auditor Als Auditor kann grundsätzlich jeder vom BSI nach ISO auf Basis IT-Grundschutz (IT-GS) akkreditierter Auditor zugelassen werden. Die Zulassung durch das BSI ist Grundlage für die Akkreditierung zum Auditor nach ovvi. Abweichend von dieser Regelung kann der Auditor eine Zulassung durch eine Schulung und abschließende Prüfung durch die Zertifizierungsstelle erhalten. Maßgeblich sind dazu die Zulassungsregelungen der Zertifizierungsstelle. Die aktuelle Fassung findet sich im Anhang dieses AZ- Konzeptes. 5. Ethik und Unabhängigkeit der Auditoren Der Auditor ist angehalten, aber nicht verpflichtet, mit seinem Auditbericht gleichzeitig Empfehlungen auszusprechen und damit beratend zu agieren. Der Auditor darf jedoch vor dem Zertifizierungs- oder Überwachungsaudit nicht in einer Berater- Funktion für den zu zertifizierenden Bereich des Unternehmens tätig gewesen sein. Für andere Bereiche, als den mit dem Audit beauftragten, zertifizierbaren Bereich, darf der Auditor zuvor tätig gewesen sein, ohne die Zulassung zum Zertifizierungsaudit zu verlieren. Darauf aufbauend gelten die jeweils gültigen Ethik Richtlinien des BSI. Der Auditor unterschreibt mit der Unabhängigkeitserklärung eine entsprechende Erklärung bei Beauftragung durch die zu zertifizerende Organisation. Eine Vorlage zur Unabhängigkeitserklärung findet sich im Anhang. 6. Gültigkeit des Zertifikats Das Zertifikat ist für den jeweils auditierten Bereich der Informationssicherheit für 2 Jahre gültig. Die zertifizierbaren Bereiche basieren entweder auf die Maßnahmen des IT-Grundschutzes beziehungsweise entsprechende Richtlinien oder Gesetze und können durch ovvi-eigene Maßnahmen ergänzt werden. Die jeweils zertifizierbaren Bereiche der Informationssicherheit und ihre jeweiligen Anforderungen werden in der gültigen Fassung im Internet veröffentlicht. Nach Ablauf eines Jahres ist zur Aufrechterhaltung des Zertifikats ein Überwachungsaudit durch einen durch ovvi akkreditierten Auditor erforderlich. Bei fehlendem Nachweis der Einhaltung des Zertifizierungs-Umfanges, kann es zum Entzug des Zertifikats führen. Zur Neuerstellung des Zertifikats wäre ein erneuter Zertifizierungsprozess erforderlich. 7. Zertifizierungsablauf Die zu zertifizierende Organisation beauftragt einen von der Zertifizierungsstelle akkreditierten Auditor mit der Auditierung des gewünschten zertifizierbaren Bereichs (Zertifizierungsziel). Eine Umgestaltung des zertifizierbaren Bereichs ist nur in dem Rahmen möglich, wie es gegebenenfalls in dem zertifizierbaren Bereich definiert ist. Eine Liste akkreditierter Auditoren ist auf der Internetseite der Zertifizierungsstelle oder bei der ovvi AZ-Konzept - Version

4 Zertifizierungsstelle direkt erhältlich. Der Auditor reicht eine Kopie des Auftrages mit der Auditor-Unabhängigkeitserklärung bei der Zertifizierungsstelle ein. Die Zertifizierungsstelle bestätigt dem Auditor und der zu beauftragenden Organisation innerhalb von 4 Wochen das Zertifizierungsziel und den Auditor selbst. Die Geschäftsbeziehung zwischen der beauftragenden Organisation und dem Auditor sollte so gestaltet sein, dass frühestens mit der Bestätigung durch die Zertifizierungsstelle ein gültiger Vertrag zustande kommt. Die Zertifizierungsstelle stellt sich von allen Leistungen außer der Auditberichtsprüfung und der Zertifikatserteilung sowie weiteren in diesem AZ-Konzept definierten Aufgaben frei. Nach Ablauf des Zertifizierungsaudits, inklusive etwaiger Nachweis- und Nachforderungen sendet der Auditor innerhalb von 4 Wochen den Auditbericht an die Zertifizierungsstelle. Die Zertifizierungsstelle überprüft den Auditbericht und das Auditergebnis auf Angemessenheit der Ordnungsmäßigkeit, Vertraulichkeit, Verfügbarkeit und Integrität nach ovvi. Die jeweils aktuellen Auditierungs- und Zertifizierungsaufwände finden sich im Anhang dieses Dokuments. Wird der Auditor und / oder das Zertifizierungsziel nicht bestätigt, wird keine Auditierungs- und Zertifizierungsgebühr fällig. Eine Weiterbearbeitung weiterer Anträge der beauftragenden Organisation liegt im Ermessen der Zertifizierungsstelle. 8. Nachweisforderungen und Nachforderungen Sollten sich bei dem Zertifizierungs- oder Überwachungsaudit Missstände im Nachweis der Einhaltung des Zertifizierungs-Umfanges ergeben, kann es zu Nachweis- oder Nachforderungen kommen. Die Nachweisforderungen sind in der Regel schriftlich einzureichen. Bei Nachforderungen werden vor Ort Prüfungen durch einen akkreditierten Auditor durchgeführt. Für die Anzahl der möglichen Nachprüfungen gibt es keine Beschränkungen. Das Recht, das Zertifikat zu führen, entfällt jedoch während dieser Zeit. Die Fristen für etwaige Rezertifizierungen bleiben davon unberührt. 9. Bekanntmachung der erfolgreichen Zertifizierung Bei erfolgreicher Zertifizierung erhält die zertifizierte Organisation ein Nachweis in Form einer papierbasierten und einer elektronischen Urkunde, sowie den Auditbericht in elektronischer Form. Zertifikatsangelegenheiten werden automatisch auf der Internetseite der Zertifizierungsstelle veröffentlicht. Ist die zertifizierte Organisation nicht mit der Veröffentlichung der Zertifizierungsangelegenheiten einverstanden, muss Sie dies schriftlich und rechtzeitig bei der Zertifizierungsstelle anzeigen. ovvi AZ-Konzept - Version

5 10. Entzug des Zertifikats Die Zertifizierungsstelle behält sich vor, die Berechtigung ein Zertifikat zu führen, auch vor Ablauf der Gültigkeit zurück zu ziehen. Grund dazu kann ein nicht erfolgreiches Überwachungsaudit und etwaige Nachprüfungen sein, aber auch wenn bekannt wird, dass falsche Angaben zur Zuteilung oder Aufrechterhaltung des Zertifikats geführt haben oder die Gültigkeitsfrist abgelaufen ist. 11. Kontakt Für weitere Anfragen, Anregungen, Hilfestellungen oder Beschwerden ist die Zertifizierungsstelle zuständig. Zu erreichen über folgende Adressierung: abakus-it Weserstieg 46, Hamburg Referenzierte Dokumente Umsetzungsverfahren ovvi AZ-Konzept - Version

6 Anhang 1 Zulassungsregelungen Auditoren Als Auditor kann grundsätzlich jeder vom BSI nach ISO auf Basis IT-Grundschutz (IT-GS) akkreditierter Auditor zugelassen werden. Die Akkreditierung durch das BSI ist Grundlage für die Zulassung zum Auditor nach ovvi. Zur Zulassung und Akkreditierung für die Zertifizierung nach ovvi, ist für akkreditierte IT-Grundschutz-Auditoren die Anerkennung und Verpflichtung zur Einhaltung dieses Auditierungsund Zertifizierungskonzeptes erforderlich. Die Anerkennung erfolgt durch die Rücksendung eines vom Auditor persönlich unterschriebenen Auditierungs- und Zertifizierungskonzeptes, inklusive des Anhanges 1 Zulassungsregelungen Auditoren. Abweichend von dieser Regelung kann der Auditor eine Zulassung durch eine Schulung und abschließende Prüfung durch die Zertifizierungsstelle erhalten. Entsprechende Schulungsveranstaltungen werden mindestens einmal jährlich sowie bei entsprechendem Bedarf durchgeführt. Die Termine sind vom, über den ovvi-kontakt zu ermittelnden Veranstalter zu erfragen. Der Inhalt der Schulung wird regelmäßig angepasst. Grundsätzlich wird das IT-Grundschutzverfahren und speziell die für die ovvi-zertifizierung relevante IT-Grundschutz Vorgehensweise näher gebracht und das ovvi-umsetzungsverfahren vorgeführt. Dies wird am Ende mit einem Erfolgsnachweis abgeschlossen, so dass die erfolgreichen Teilnehmer akkreditiert werden können und in der Lage sind, ein Audit nach ovvi durchzuführen. Die Akkreditierung ist derzeit für fünf Jahre gültig. Maßgeblich ist die Angabe auf der Akkreditierungsund Zertifizierungsurkunde. Zur Reakkreditierung sind mindestens fünf durchgeführte Zertifizierungsaudits nach ovvi oder nach IT-Grundschutz erforderlich und die jeweils gültigen Akkreditierungsgebühren. Alternativ gelten die jeweils gültigen Akkreditierungsbestimmungen. Die Zulassungsregelungen Auditoren werden für die Zulassung als ovvi-auditor anerkannt. Name Auditor: Ort, Datum, Unterschrift Auditor ovvi AZ-Konzept - Version

7 Anhang 2 Zertifizierbarer Bereich Rechenzentrum Für den Bereich des Rechenzentrums sind sowohl die Maßnahmen zur Aufrechterhaltung des Betriebes der IT-Systeme von Bedeutung, wie zum Beispiel Brandschutzmaßnahmen, Klimatisierung und die Maßnahmen der Stromersatzversorgung, als auch die Maßnahmen zum Schutz gegen unberechtigten Zugang zu den Informationseinheiten im Rechenzentrum oder damit verbundenen Komponenten. Darüber hinaus macht ein gut geführtes Rechenzentrum nur Sinn, wenn auch die darin betriebenen IT-Systeme ähnlich sicher betrachtet werden. Der Baustein B 1.9 "Hard- und Software-Management" liefert hier ein hervorragendes Paket an Sicherheitsmaßnahmen für die IT-Systeme. Selbstverständlich, dass die Maßnahmen dieses Bausteins nur für die Komponenten des zu zertifizierenden Bereiches gelten! Für diesen zertifizierbaren Bereich gibt es einen festen Satz an Maßnahmen. Um diesen zertifizierbaren Bereich auch für Unternehmen zugänglich zu machen, die nicht ganz die Anforderungen an ein Rechenzentrum erfüllen und dennoch über einen Rechenzentrumsähnlichen Betrieb verfügen kann in Absprache mit der Zertifizierungsstelle für den Baustein B 2.9 "Rechenzentrum", der Baustein B 2.4 "Serverraum" gewählt werden. Die alternative Auswahl ist im Zertifizierungsauftrag (-antrag) angemessen zu begründen. Die Zertifizierungsstelle behält sich eine Ablehnung der Änderung des zertifizierbaren Bereiches vor. Der Baustein B 2.7 Schutzschränke kann nicht alternativ gewählt werden, da dies dem Betrieb eines Rechenzentrums nicht mehr nahe kommt. Die Maßnahmen des Bausteins B 2.7 Schutzschränke werden dann entweder durch die Maßnahmen des Bausteines B 2.9 "Rechenzentrum" abgedeckt oder sind in einem Rechenzentrum nicht mehr relevant. Folgende Bausteine sind zur Umsetzung des zertifizierbaren Bereiches Rechenzentrum zu erfüllen, sofern sie umsetzbar sind: Baustein B 2.1 Gebäude Baustein B 2.9 Rechenzentrum (alternativ: Baustein B 2.4 Serverraum) Baustein B 2.2 Elekrotechnische Verkabelung Baustein B 2.12 IT-Verkabelung Baustein B 2.6 Raum für technische Infrastruktur Baustein B 1.9 Hard- und Software-Management ovvi AZ-Konzept - Version

8 Zertifizierbarer Bereich Cloud-Sicherheit Bei der Internet-Sicherheit werden die technischen Grundlagen zur Bereitstellung der Internetdienste und ihre Middleware betrachtet. Darüber hinaus werden besondere Maßnahmen zum Schutz gegen Schadcode und Schadangriffe ergriffen. Hier wird der exponierten Stellung dieser beteiligten Systeme in einem öffentlich zugänglichen Bereich Rechnung getragen und die Sicherstellung vordringlichsten Angriffsziele überprüft. Virtualisierungen werden in diesem zertifizierbaren Bereich nicht betrachtet, da sie erst über ein kompromittiertes System gefährdet sind. Die Sicherheit im zertifizierbaren Bereich "Internet- Sicherheit" setzt bereits vorher an! Weitere Bausteine sind in typischen DMZ-Umgebungen unumgänglich für eine angemessene Sicherheit. Folgende Bausteine sind daher für eine ovvi-kompatible Zertifizierung zu erfüllen: Baustein B Allgemeiner Server Baustein B Firewallsysteme Baustein B 5.4 Webserver Baustein B 5.7 Datenbanken Baustein B 1.14 Patch- und Änderungsmanagement Baustein B 1.6 Schutz vor Schadprogrammen ovvi AZ-Konzept - Version

9 Zertifizierbarer Bereich LAN-Sicherheit Der zertifizierbare Bereich LAN-Sicherheit betrachtet die Sicherheitsmaßnahmen des lokalen IT- Netzes. Hier wird der sichere Umgang mit den IT-Systemen des lokalen Computernetzes und den relevanten Mindestanforderungen zur System-Sicherheit nachgewiesen. Für diesen zertifizierbaren Bereich gibt es einen ausschließlich festen Satz an Maßnahmen, die eine auf Informationssicherheit bedachte Organisation umzusetzen hat, wenn sie die Anforderungen nach ovvi einhalten will. Folgende Bausteine sind zur Umsetzung des zertifizierbaren Bereiches LAN-Sicherheit immer zu erfüllen: Baustein B Allgemeiner Server Baustein B Allgemeiner Client Baustein B 5.3 Groupware ( system) Baustein B 1.4 Datensicherungskonzept Baustein B 1.6 Schutz vor Schadprogrammen Baustein B 1.9 Hard- und Software-Management ovvi AZ-Konzept - Version

10 Zertifizierbarer Bereich Software Entwicklung Bei der Software-Entwicklung ist die sicherheitsrelevante und ordnungsgemäße Einhaltung der Phasen des Software Development Life Cycles von Bedeutung. Die Phasen werden durch den individuellen Baustein B ovvi.1 "Software Entwicklung" ordnungsgemäß aufgebaut, ohne sich dabei auf ein Vorgehensmodell fest zu legen. Die gewählten IT-Grundschutz Bausteine ergänzen dann die Anforderungen der Sicherheitsmaßnahmen. Baustein B ovvi.1 Software Entwicklung Baustein B 1.6 Schutz vor Schadprogrammen Baustein B 1.9 Hard- und Software Management Baustein B 1.16 Anforderungsmanagement Baustein B 2.10 Mobiler Arbeitsplatz ovvi AZ-Konzept - Version

11 Zertifizierbarer Bereich Datenschutz Mit dem zertifizierbaren Bereich Datenschutz wird die Einhaltung des Bundesdatenschutzgesetzes für die jeweilig zu betrachtenden Datenbereiche nachgewiesen. In der Regel werden dazu die personenbezogenen Datenbereiche der Kunden betrachtet, können bei explizitem Auditauftrag jedoch auf die personenbezogenen Daten der Organisation und Beteiligte oder Betroffene der Organisation fokussiert werden oder jegliche personenbezogenen Datenbereiche im Verantwortungsbereich der zu auditierenden Organisation umfassen. Basis dieses zertifizierbaren Bereiches ist der IT-Grundschutz Baustein B 1.5 Datenschutz. Da in diesem Baustein die Anforderungen des 9 Technische und organisatorische Maßnahmen des Bundesdatenschutzgesetzes nicht angemessen berücksichtigt werden, wird für diesen zertifzierbaren Bereich ein Satz an IT-Grundschutz- und individuellen Maßnahmen sowie Bausteinen zur Einhaltung der Kompatibilität nach ovvi erforderlich. Baustein B 1.5 Datenschutz, sowie zusätzliche Maßnahmen zu den Anforderungen der Anlage 9 Bundesdatenschutzgesetz: Zutrittskontrolle: Maßnahme M 2.17 Zutrittsregelung und -kontrolle Zugangskontrolle: Maßnahme M Geeignete Auswahl von Authentifikationsmechanismen Zugriffskontrolle: Maßnahme M 5.10 Restriktive Rechtevergabe Weitergabekontrolle: Maßnahme M 5.68 Auswahl von Verschlüsselungsverfahren zur Netzkommunikation Maßnahme M 5.88 Vereinbarung über Datenaustausch mit Dritten Maßnahme M 4.64 Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen Eingabekontrolle: Maßnahme M Datenschutzaspekte bei der Protokollierung (der Verarbeitung von personenbezogenen Daten) Der Teil der Maßnahme, der die Protokollierung bei der Verarbeitung von personenbezogenen Daten beschreibt. Auftragskontrolle: Baustein B 1.11 Outsourcing Verfügbarkeitskontrolle: Maßnahme M 6.32 Regelmäßige Datensicherung ovvi AZ-Konzept - Version

12 Maßnahme M 6.50 Archivierung von Datenbeständen Datentrennung: Für die Datenschutzforderung Datentrennung ist eine eigene Maßnahme M ovvi.1 erstellt worden, die in diesem Anhang zu finden und für eine ovvi-kompatibilität umzusetzen ist. Maßnahme M ovvi.1 Datentrennung ovvi AZ-Konzept - Version

13 Maßnahme M ovvi.1 Datentrennung Verantwortlich für die Initiierung: Behörden- / Organisationsleitung, Datenschutzbeauftragter Verantwortlich für die Umsetzung: Leiter IT, IT-Administration Ein Grundsatz des Datenschutzes lautet Datensparsamkeit. Das gilt für die Sammlung von Daten, genauso wie für den Zugriff auf Daten. Allein aus diesem Grund ergibt sich, den Zugriff zu personenbezogenen Daten nur authorisierten Personen zu gestatten. Um dies zu gewährleisten, sollten die Datenzugriffe strikt getrennt werden und die Berechtigungen je nach Datenbereich trennbar sein. Da bereits der Zugang zu einem der angebotenen Datenbereiche ein gewisses Risiko darstellt, sind geeignete Methoden und Mechanismen zu wählen, die die Datenbereiche effektiv voneinander trennen und keinen ungewollten, übergreifenden Zugriff ermöglichen. Zuvor ist jedoch zu klären, welche Aufgabenbereiche auf welche Datenbereiche zugreifen dürfen und müssen. Bereits innerhalb einer Organisation, wie einem Unternehmen, einer Behörde oder sonstigen Vereinigung entstehen personenbezogene Daten unterschiedlicher Datenart: persönliche Informationen Finanzdaten Leistungsdaten Urlaubsdaten und weitere In Organisationen, in denen es dazu unterschiedliche Funktionsbereiche gibt, sollte der Datenzugriff zweckbestimmt erfolgen. Das heißt, der Zugriff erfolgt nur auf die Daten, die für den Funktionszweck erforderlich sind. Allerdings können auch unterschiedliche Kundendaten bereits verschiedene Aufgabenbereiche und Funktionen begründen und eine Datentrennung erforderlich machen. Im ersten Schritt ist dazu eine Datenübersicht zu erstellen, in der personenbezogene Daten bezogen auf ihre Datenart (persönliche Informationen, Finanzdaten, Leistungsdaten, Urlaubsdaten, personenbezogene Daten besonderer Art, u.ä.) abgelegt sind. Jedoch ist dies eventuell bereits durch eine andere Maßnahme erfüllt. Anschließend sind diese den Aufgaben- und Funktionsbereichen zuzuordnen. Dazu ist die Maßnahme M 2.5 Aufgabenteilung und Funktionstrennung zu beachten. Für alle Arten von personenbezogenen Daten könnte der Schutzbedarf hoch oder sehr hoch erkannt werden. Die Daten sind entsprechend ihrem Schutzbedarf von anderen Daten zu trennen. Dies kann

14 durch angemessene Zuteilung von Zugriffsrechten nach Maßnahme M 2.8 Vergabe von Zugriffsrechten erfolgen, über eine IP-basierte Trennung gemäß Maßnahmen M 5.61 Geeignete physikalische Segmentierung und M 5.62 Geeignete logische Segmentierung oder durch Verschlüsselungstechnologien nach Maßnahme M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen erfolgen. Diese Methoden lassen sich durch weitere logische und physikalische Trennungen noch verschärfen. Daten werden überwiegend in Datenbanken gehalten. Diese Datensammlung erreicht eine höhere Qualität und erfordert noch größere Aufmerksamkeit bei gleicher Sorgfalt in der Datentrennung. Dies kann z.b. durch die Vergabe von Zugriffsberechtigungen auf Tabellen gemäß M "Zugriffskontrolle einer Datenbank" erfolgen. Die Rechtevergabe auf Datenbanktabellen dürfte dem Schutzbedarf von personenbezogenen Daten in der Regel jedoch nicht genügen und sollte vorzugsweise durch weitere Maßnahmen, wie Verschlüsselung (nach Maßnahme M 4.72 Datenbank Verschlüsselung ), unterschiedliche Datenbank-Instanzen oder unterschiedliche Datenbanken ergänzt oder ersetzt werden. Ein Verzicht auf die letztgenannten Maßnahmen sollte ausreichend begründet werden. Insbesondere für den höheren Schutzbedarf sollte die Datenhaltung auf Datenbanken in dedizierten IT-Systemen in Erwägung gezogen werden. Für die sehr hohen Schutzbedarfe bleibt diese Maßnahme unerlässlich. Die gewählten Lösungen für die Trennungen der Datenbereiche sind mit dem Datenschutzbeauftragten und/oder der Organisationsleitung zu vereinbaren und gemäß Maßnahme M 7.8 Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten bei der Verarbeitung personenbezogener Daten in das interne Verfahrensverzeichnis aufzunehmen. Prüffragen: - Ist eine Datenübersicht der personenbezogenen Daten vorhanden? - Sind die Methoden zur Datentrennung ihrem Schutzbedarf entsprechend gewählt worden? - Wurden die ermittelten Datenbereiche in das Verfahrensverzeichnis aufgenommen?

15 Zertifizierbarer Bereich Vorfall- und Notfall Management Da dem Notfall Management keine verbreitete und anerkannte Möglichkeit zur Zertifizierung zur Verfügung steht, richtet sich ovvi nach den Bausteinen des IT-Grundschutzes. Der anerkannte BSI-Standard BSI ist in dem IT-Grundschutz Baustein B 1.3 Notfall Management weitestgehend umgesetzt. Damit steht dem Notfall Management ein umfassender Standard prüfungsfähig zur Verfügung. Dieser Baustein wird ergänzt, durch das stets in diesem Zusammenhang erforderlichen Incident Management, das durch den Baustein B 1.8 Behandlung von Sicherheitsvorfällen abgedeckt wird. So dass für den zertifizierbaren Bereich Vorfall- und Notfall Management folgende zwei Bausteine erfüllt werden müssen: Baustein B 1.3 Notfall Management Baustein B 1.8 Behandlung von Sicherheitsvorfällen

16 Zertifizierbarer Bereich ISMS Dieser zertifizierbare Bereich schafft den Schritt zwischen der generischen ISO nach IRCA/BSi und der ISO auf der Basis von IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Mit ausgewählten Maßnahmen des IT-Grundschutzes bedienen Sie die Anforderungen der Controls aus dem Anhang der ISO und erfüllen ein vom IT-Grundschutz definiertes Sicherheitsniveau. Sie zeigen Ihren Kunden Ihre umfassenden Anstrengungen im Bereich der Informationssicherheit, ohne die umfangreichen, organisatorischen Aufwände der Zertifikate nach ISO und ISO auf Basis IT-Grundschutz erfüllen zu müssen! Hervorragend für kleinere Unternehmen, die die Sicherheitsleistungen in ihrem kompletten IT- Verbund nachweisen wollen, optimal für Unternehmen, die sich auf eine Zertifizierung der Informationssicherheit nach ISO oder ISO auf Basis IT-Grundschutz vorbereiten wollen und noch unschlüssig über die Zielrichtung sind. Sie erreichen so eine Symbiose beider verbreiteten Zertifikate der Informationssicherheit, indem Sie die Vorteile dieser Rahmenwerke nutzen und sich die Leistung zertifizieren lassen. Zunächst finden Sie die organisatorischen Maßnahmen der ISO 27001, denen selbstverständlich keine Maßnahmen zum Risiko Management aus dem IT-Grundschutz gegenüberstehen. Dies ist im IT-Grundschutz in dem nachgelagerten Prozess der ergänzenden Sicherheitsanalyse verankert und in dem Standard BSI beschrieben. Da ovvi grundsätzlich dem Vorgehen des IT-Grundschutzes folgt und davon ausgeht, dass für die Anforderungen zertifizierbaren Bereiches der Schutzbedarf "normal" erfüllt wird, wird für ovvi keine ergänzende Sicherheitsheitsanalyse und keine Risikoanalyse erforderlich. Im Anschluss finden Sie die IT-Grundschutz Maßnahmen, entsprechend den Kapiteln des Anhanges der ISO zugeordnet. Weitere Informationen liefern im Bedarfsfall die nach ovvi akkreditierten Auditoren. Maßnahmen der ISO nach ovvi: Maßnahme M 2.1 "Festlegung von Verantwortlichkeiten und Regelungen" Maßnahme M 2.192" Erstellung einer Leitlinie zur Informationssicherheit" Maßnahme M "Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit" Maßnahme M "Erstellung eines Sicherheitskonzepts" Maßnahme M "Sensibilisierung der Mitarbeiter für Informationssicherheit" Maßnahme M "Aufrechterhaltung der Informationssicherheit" Maßnahme M "Management-Berichte zur Informationssicherheit" Maßnahme M "Dokumentation des Sicherheitsprozesses" Maßnahme M "Festlegung der Sicherheitsziele und -strategie" Maßnahme M "Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene" Maßnahme M "Regelung des Informationsaustausches" Maßnahme M 3.11 "Schulung des Wartungs- und Administrationspersonals" Maßnahme M 3.45 "Planung von Schulungsinhalten zur Informationssicherheit"

17 Maßnahmen des Anhanges der ISO nach ovvi: ISO A.5: Maßnahme M 2.1 "Festlegung von Verantwortlichkeiten und Regelungen" Maßnahme M "Erstellung einer Leitlinie zur Informationssicherheit" Maßnahme M "Festlegung der Sicherheitsziele und -strategie" Maßnahme M "Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene" ISO A.6: Maßnahme M 2.1 "Festlegung von Verantwortlichkeiten und Regelungen" Maßnahme M "Regelungen für Telearbeit" Maßnahme M "Geregelte Nutzung der Kommunikationsmöglichkeiten bei Telearbeit" Maßnahme M "Erstellung eines Sicherheitskonzeptes für Telearbeit" Maßnahme M "Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit" Maßnahme M "Regelung der Mitnahme von Datenträgern und IT-Komponenten" Maßnahme M "Zuweisung der Verantwortung für Informationen, Anwendungen und IT- Komponenten" Maßnahme M "Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung" Maßnahme M "Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse" Maßnahme M 2.35 "Informationsbeschaffung über Sicherheitslücken des Systems" Maßnahme M "Sicherheitsrichtlinien und Regelungen für den Informationsschutz unterwegs" Maßnahme M 2.5 "Aufgabenverteilung und Funktionstrennung" Maßnahme M 4.63 "Sicherheitstechnische Anforderungen an den Telearbeitsrechner" Maßnahme M "Sichere Kommunikation von unterwegs" Maßnahme M 5.51 "Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner - Institution" Maßnahme M 5.80 "Schutz vor Abhören der Raumgespräche über Mobiltelefone" Maßnahme M 6.65 "Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen" ISO A.7: Maßnahme M "Sensibilisierung der Mitarbeiter für Informationssicherheit" Maßnahme M "Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit" Maßnahme M 2.39 "Reaktion auf Verletzungen der Sicherheitsvorgaben" Maßnahme M 3.2 "Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen" Maßnahme M 3.26 "Einweisung des Personals in den sicheren Umgang mit IT" Maßnahme M 3.33 "Sicherheitsüberprüfung von Mitarbeitern" Maßnahme M 3.51 "Geeignetes Konzept für Personaleinsatz und -qualifizierung" Maßnahme M 3.6 "Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern" ISO A.8: Maßnahme M "Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten" Maßnahme M 2.2 "Betriebsmittelverwaltung" Maßnahme M "Dokumentation des Sicherheitsprozesses" Maßnahme M "Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen" Maßnahme M "Zuweisung der Verantwortung für Informationen, Anwendungen und IT- Komponenten"

18 Maßnahme M 2.3 "Datenträgerverwaltung" Maßnahme M 2.43 "Ausreichende Kennzeichnung der Datenträger beim Versand" Maßnahme M "Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen" Maßnahme M 2.44 "Sichere Verpackung der Datenträger" Maßnahme M 7.15 "Datenschutzgerechte Löschung/Vernichtung" ISO A.9: Maßnahme M "Aufrechterhaltung der Informationssicherheit" Maßnahme M "Richtlinien für die Zugriffs- bzw. Zugangskontrolle" Maßnahme M "Zuweisung der Verantwortung für Informationen, Anwendungen und IT- Komponenten" Maßnahme M 2.30 "Regelung für die Einrichtung von Benutzern / Benutzergruppen" Maßnahme M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile Maßnahme M 2.7 "Vergabe von Zugangsberechtigungen" Maßnahme M 2.8 "Vergabe von Zugriffsrechten" Maßnahme M 3.6 "Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern" Maßnahme M 4.13 "Sorgfältige Vergabe von IDs" Maßnahme M "Geeignete Auswahl von Authentikationsmechanismen" Maßnahme M "Umgang mit Passwort-Speicher-Tools" ISO A.10: Maßnahme M "Regelung des Einsatzes von Kryptomodulen" Maßnahme M 2.46 "Geeignetes Schlüsselmanagement" ISO A.11: Maßnahme M 1.13 "Anordnung schützenswerter Gebäudeteile" Maßnahme M 1.20 "Auswahl geeigneter Kabeltypen unter physikalisch-mechanischer Sicht" Maßnahme M 1.22 "Materielle Sicherung von Leitungen und Verteilern" Maßnahme M 1.33 "Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz" Maßnahme M 1.34 "Geeignete Aufbewahrung tragbarer IT-Systeme im stationären Einsatz" Maßnahme M 1.35 "Sammelaufbewahrung tragbarer IT-Systeme" Maßnahme M 1.39 "Verhinderung von Ausgleichsströmen auf Schirmungen" Maßnahme M 1.45 "Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger" Maßnahme M 1.55 "Perimeterschutz" Maßnahme M 1.69 "Verkabelung in Serverräumen" Maßnahme M 1.71 "Funktionstests der technischen Infrastruktur" Maßnahme M 1.73 "Schutz eines Rechenzentrums gegen unbefugten Zutritt" Maßnahme M 1.78 " Sicherheitskonzept für die Gebäudenutzung" Maßnahme M 2.17 "Zutrittsregelung und -kontrolle" Maßnahme M 2.18 "Kontrollgänge" Maßnahme M "Inspektion und Wartung der technischen Infrastruktur" Maßnahme M "Regelung der Mitnahme von Datenträgern und IT-Komponenten" Maßnahme M 2.37 "Der aufgeräumte Arbeitsplatz" Maßnahme M "Vorgaben zur Dokumentation und Kennzeichnung der IT-Verkabelung" Maßnahme M 2.4 "Regelungen für Wartungs- und Reparaturarbeiten" Maßnahme M "Richtlinie für die Löschung und Vernichtung von Informationen" Maßnahme M 4.2 "Bildschirmsperre" Maßnahme M 5.3 "Auswahl geeigneter Kabeltypen unter kommunikationstechnischer Sicht" Maßnahme M 5.4 "Dokumentation und Kennzeichnung der Verkabelung" Maßnahme M 5.5 "Schadensmindernde Kabelführung"

19 ISO A.12: Maßnahme M "Datenschutzaspekte bei der Protokollierung" Maßnahme M "Erstellung eines Sicherheitskonzeptes gegen Schadprogramme" Maßnahme M "Sensibilisierung der Mitarbeiter für Informationssicherheit" Maßnahme M "Dokumentation des Sicherheitsprozesses" Maßnahme M "Änderungsmanagement" Maßnahme M "Vorbeugung gegen Schadprogramme" Maßnahme M 2.34 "Dokumentation der Veränderungen an einem bestehenden System" Maßnahme M 2.35 "Informationsbeschaffung über Sicherheitslücken des Systems" Maßnahme M "Umgang mit Änderungsanforderungen" Maßnahme M "Erstellung eines Sicherheitskonzepts für die Protokollierung " Maßnahme M 2.64 "Kontrolle der Protokolldateien" Maßnahme M 2.84 "Entscheidung und Entwicklung der Installationsanweisung für Standardsoftware" Maßnahme M 2.87 "Installation und Konfiguration von Standardsoftware" Maßnahme M 2.9 "Nutzungsverbot nicht freigegebener Hard- und Software" Maßnahme M 3.69 "Einführung in die Bedrohung durch Schadprogramme" Maßnahme M "Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation" Maßnahme M 4.3 "Einsatz von Viren-Schutzprogrammen" Maßnahme M "Analyse von Protokolldaten" Maßnahme M "Auswahl und Verarbeitung relevanter Informationen für die Protokollierung" Maßnahme M 4.65 "Test neuer Hard- und Software" Maßnahme M 4.81 "Audit und Protokollierung der Aktivitäten im Netz" Maßnahme M 5.8 "Regelmäßiger Sicherheitscheck des Netzes" Maßnahme M 6.32 "Regelmäßige Datensicherung" Maßnahme M 6.33 "Entwicklung eines Datensicherungskonzepts " Maßnahme M 6.35 "Festlegung der Verfahrensweise für die Datensicherung" Maßnahme M 6.41 "Übungen zur Datenrekonstruktion" ISO A.13: Maßnahme M "Entwicklung eines Netzmanagementkonzeptes" Maßnahme M "Vorbeugung gegen Schadprogramme" Maßnahme M 2.42 "Festlegung der möglichen Kommunikationspartner" Maßnahme M 2.45 "Regelung des Datenträgeraustausches" Maßnahme M "Überblick über Internet-Dienste" Maßnahme M 3.55 "Vertraulichkeitsvereinbarungen" Maßnahme M 4.34 "Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen" Maßnahme M "Einsatz eines -Scanners auf dem Mailserver" Maßnahme M 5.39 "Sicherer Einsatz der Protokolle und Dienste" Maßnahme M 5.77 "Bildung von Teilnetzen" Maßnahme M 5.87 "Vereinbarung über die Anbindung an Netze Dritter" Maßnahme M 5.88 "Vereinbarung über Datenaustausch mit Dritten" ISO A.14: Maßnahme M "Änderungsmanagement" Maßnahme M "Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben" Maßnahme M "System-Entwicklung" Maßnahme M "Software-Entwicklung durch Endbenutzer" Maßnahme M "Entwicklung und Erweiterung von Anwendungen" Maßnahme M "Datenschutzrechtliche Freigabe" Maßnahme M 2.62 "Software-Abnahme- und Freigabe-Verfahren"

20 Maßnahme M 2.80 "Erstellung eines Anforderungskatalogs für Standardsoftware" Maßnahme M 2.83 "Testen von Standardsoftware" Maßnahme M 4.34 "Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen" Maßnahme M 4.42 "Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung" ISO A.15: Maßnahme M "Regelungen für den Einsatz von Fremdpersonal" Maßnahme M "Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben" Maßnahme M "Wahl eines geeigneten Outsourcing-Dienstleisters" Maßnahme M "Vertragsgestaltung mit dem Outsourcing-Dienstleister" Maßnahme M "Planung und Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing- Betrieb" Maßnahme M 5.88 "Vereinbarung über Datenaustausch mit Dritten" ISO A.16: Maßnahme M "Etablierung von Beweissicherungsmaßnahmen bei Sicherheitsvorfällen" Maßnahme M 6.58 "Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen" Maßnahme M 6.59 "Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen" Maßnahme M 6.60 "Festlegung von Meldewegen für Sicherheitsvorfälle" Maßnahme M 6.68 "Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen" ISO A.17: Maßnahme M 1.52 "Redundanz, Modularität und Skalierbarkeit in der technischen Infrastruktur" Maßnahme M 6.1 "Erstellung einer Übersicht über Verfügbarkeitsanforderungen" Maßnahme M "Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes" Maßnahme M "Aufbau einer geeigneten Organisationsstruktur für das Notfallmanagement" Maßnahme M "Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen" Maßnahme M 6.17 "Alarmierungsplan und Brandschutzübungen" Maßnahme M 6.22 "Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen" Maßnahme M 6.43 "Einsatz redundanter Windows-Server" Maßnahme M 6.53 "Redundante Auslegung der Netzkomponenten" Maßnahme M 6.76 "Erstellen eines Notfallplans für den Ausfall von Windows-Systemen" und weitere Notfallpläne" ISO A.18: Maßnahme M "Auswahl eines geeigneten kryptographischen Produktes" Maßnahme M "Aufrechterhaltung der Informationssicherheit" Maßnahme M "Ermittlung der rechtlichen Einflussfaktoren für die elektronische Archivierung" Maßnahme M "Beachtung rechtlicher Rahmenbedingungen" Maßnahme M "Datenschutzmanagement" Maßnahme M "Aspekte eines Datenschutzkonzeptes" Maßnahme M 3.2 "Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen" Maßnahme M "Verwendung geeigneter Archivmedien" Maßnahme M "Durchführung von Penetrationstests"

21 Anhang 3 Auditor - Unabhängigkeitserklärung In einer ovvi-zertifizierung ist die beratende Funktion des Auditors ausdrücklich gewünscht! Dennoch muss vermieden werden, dass der Auditor seine eigenen Werke bewertet. Daher ist die Berater-Funktion des Auditors auf ein unter Punkt 5. Ethik und Unabhängigkeit der Auditoren beschriebenes Maß beschränkt. Der Auditor darf in einer Berater-Funktion für den mit dem Zertifizierungsauftrag beauftragten, zu zertifizierenden Bereich vor der Auditor-Tätigkeit nicht tätig gewesen sein! Der Auditor überprüft den gesamten zu auditierenden zertifizierbaren Bereich nach Maßgabe ovvi. Die Angaben zum Audit sind in jedem Fall wahrheitsgemäß zu entrichten. Eine bewusste Fehlangabe kann den Entzug des Auditoren-Zertifikats nach sich ziehen und ein negatives Auditergebnis zur Folge haben. Gültig sind das jeweils zum Zertifizierungsauftrag aktuelle und eine (1) vorherige Version des Auditierungs- und Zertifizierungskonzeptes. Wenn der Auditor oder die Firma, für die er tätig ist, in einer arbeitsrechtlichen oder ähnlich auf Dauer angelegte Beziehung zu der zu auditierenden Organisation oder Teilen davon steht, die einen Interessenskonflikt hervorrufen können oder könnten, ist anzunehmen, dass eine Unabhängigkeit nicht gegeben ist. Die Auditorentätigkeit für die zertifizierbaren Bereiche des ovvi ist in diesem Falle nicht gestattet. Der Auditor erklärt mit der Unterschrift die Einhaltung der Ethik Richtlinien nach ovvi und IT- Grundschutz und bestätigt damit, dass seine etwaige Beratungsleistung sich nicht auf den zu zertifizierbaren Bereich bezieht oder bezogen hat und seine Auditorenleistung wahrheitsgemäß und unabhängig erfolgt sind. Ich erkläre, dass ich die oben genannten Bedingungen erfülle und in keiner unethischen Beziehung zu der auditierten Organisation und dem zu auditierenden Untersuchungsgegenstand stehe. Damit erkläre ich mich als unabhängig, nach ovvi, und binde mich an die Ethik-Richtlinien nach ovvi und IT-Grundschutz des BSI. Einschränkungen und Kommentare zur Unabhängigkeitserklärung: Name Auditor: Ort, Datum, Unterschrift Auditor

22 Anhang 4 Auditierungs- und Zertifizierungsgebühren Zur Sicherstellung der Unabhängigkeit der Auditoren, werden sowohl für das Zertifizierungs- und Überwachungsaudit, als auch den Zertifizierungsprozess, einheitliche Zeitaufwände berechnet. Honorare und Spesen richten sich nach den individuellen Verrechnungssätzen der jeweiligen Auditoren. Je zertifizierbaren Bereich ISMS (enthält ein Baustein- und Maßnahmenpaket aus dem kompletten Rahmenwerk) werden drei Tage Zertifizierungsaudit erforderlich. Je zertifizierbaren Bereich, der mit seinen Maßnahmen nicht ein ganzes ISMS abdeckt, werden zwei Tage Zertifizierungsaudit erforderlich. Darin ist jeweils die Erstellung des Auditplans und des Zertifizierungsberichts enthalten. Überwachungsaudits sowie Nachweis- oder Nachprüfungen sind jeweils mit einem Tagessatz zu berechnen. Zertifizierungsgebühr, inklusive Zertifikat 1.200,- Rezertifizierungsgebühr (ohne Neuausstellung des Zertifikats) 1.000,-

23 Anhang 5 Akkreditierungsgebühren Akkreditierung für BSI-zugelassene IT-Grundschutz Auditoren, inklusive Zertifikat 200,- Dreitägige Schulung, inklusive Akkreditierung und Zertifikat 1.490,-