Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser, Thomas Schaaf. Praxisbuch ISO/IEC 27001

Transkript

1 Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser, Thomas Schaaf Praxisbuch ISO/IEC Management der Informationssicherheit und Vorbereitung auf die Zertifizierung ISBN: Weitere Informationen oder Bestellungen unter sowie im Buchhandel. Carl Hanser Verlag, München

2 Index A Abhören 82 Access Control 5 Accountability 5 Act-Phase 24 Administrator- und Betreiberprotokolle 96 Änderungskontrollverfahren 114 Änderungsverwaltung 84 Akkreditierung 10, 150 Anlieferungszone 80 Anstellung 74 Anwendbare Gesetze 124 Anwendbarkeitserklärung 33, 42 Anwendungsbereich 8, 29, 35, 47, 149, 153 Arbeitsvertragsklausel 75 Asset 16, 31 Audit 12, 44, 45, 51, 149, 151 Auditbericht 53 Auditnachweise 53 Auditor 53 Auditprogramm 52 Auditprotokoll 53, 95 Auditumfang 153 Aufgabe des Managements 18 Aufteilung 85 von Entwicklungs-, Test- und Produktiveinrichtungen 85 von Verantwortlichkeiten 85 Aufzeichnung 17, 49, 124 Aufzeichnungsmedien 90 Ausbildung 76 Ausgelagerte Softwareentwicklung 115 Austausch von Informationen 92 Authentication 4 Authenticity 4 Authentisierung 4, 105 Authentizität 4, 112 Availability 4 B Backup 88 Baseline 46 BCM siehe Business Continuity Management BCP siehe Business Continuity Plan Bedrohung 38, 40, 75, 107 von außen 79 Begrenzung der Verbindungszeit 106 Behörden 68 Benutzerauthentisierung 102 Benutzeridentifikation 105 Benutzerregistrierung 99 Benutzerverantwortung 100 Passwortverwendung 101 unbeaufsichtigte Benutzerausstattung 101 Benutzerverwaltung 99 Überprüfung von Benutzerberechtigungen 100 Benutzerregistrierung 99 Verwaltung von Benutzerpasswörtern 100 Verwaltung von Sonderrechten 100 Berechtigung 100 Best Practices 11 Betriebs- und Kommunikationsmanagement 83 Abnahme 86 Änderungsverwaltung 84 Backup 88 Betriebsprozesse 84 Dienstleitunsgerbringung 85 E-Commerce 94 Entsorgung 91 Entwicklungs-,Test- und Produktiveinrichtung 85 Geschäftsinformationssysteme 94 Kapazitätsplanung 87 Medien 90, 93 Netzsicherheit 89 Protokolle 95 Schadsoftware 87 Systemdokumentationen 92

3 190 Index Systemplanung 86 Überwachung 95 Umgang mit Informationen 92 Verantwortlichkeit 85 Verantwortlichkeiten 84 Betriebsmittel 80, 82 Platzierung 81 Betriebsprozesse 84 Beweise 119 Bewusstsein 51 BSI siehe Bundesamt für Sicherheit in der Informationstechnik BSI-Standards 144 BS Bundesamt für Sicherheit in der Informationstechnik 144 Business Continuity Management 120 Business Continuity Plan 121 C CC siehe Common Criteria Check-Phase 23 Chief Information Security Officer 19 CISO siehe Chief Information Security Officer COBIT siehe Control Objectives for Information and Related Technology Committee of Sponsoring Organizations of the Treadway Commission 141 Common Criteria 138 Compliance 123, 140 Confidentiality 3 Control Objectives for Information and Related Technology 139 COSO siehe Committee of Sponsoring Organizations of the Treadway Commission D DAkkS siehe Deutsche Akkreditierungsstelle Datenschutz 124 Datenschutzbeauftragter 18 Definitionsebene 16 Deming-Kreislauf 21 Deutsche Akkreditierungsstelle 150 Dienstleistungen von Dritten 86 Management der 85 Management von Änderungen an 86 Überwachung und Überprüfung der 86 Dienstleistungserbringung von Dritten 85 Disziplinarverfahren 76 Do-Phase 22 Dokument 17 Dokumentation 46, 92 Dokumentationsanforderungen 46 Dokumentenaudit 53, 151 Dokumentenlenkung 17, 48 Dokumentenvorlage 48 DoS-Angriff 4 Durchführungsebene 16 E E-Commerce 94 Anwendungen 94 Öffentlich verfügbare Informationen 95 Online-Transaktionen 94 EAL siehe Evaluation Assurance Levels Effektivität 23, 54 Effizienz 23, 54 Eigentümer 38 Eigentum 83 geistiges Eigentum 124 organisationseigener Werte 72 Einhaltung von Vorgaben siehe Vorgaben Einschränkung von Änderungen 115 von Informationszugriff 106 Elektronische Mitteilungen/Nachrichten 93 Engagement des Managements 67 Enterprise Risk Management 142 Entsorgung 82 von Medien 91 Entwicklungsumgebung 85 Erbringung von Dienstleistungen 86 ERM siehe Enterprise Risk Management Evaluation Assurance Levels 139 Externes Audit 51, 149 Externe Beziehungen 69 Externe Mitarbeiter 18 F Fehlerprotokolle 96 Fortbildungsprogramme 18 Foundation-Zertifikat 154 G Geistiges Eigentum 124 Geltungsbereich der Sicherheitsleitlinie 65 Genehmigungsverfahren für informationsverarbeitende Einrichtungen 67 Geräteidentifikation 103 Gesamtverantwortung 18 Geschäftsinformationssysteme 94 Geschäftsbetrieb 120 Gesetze 124 Gesundheitswesen 12

4 Index 191 Grundsätze des Qualitätsmanagement 134 Grundschutzkataloge 144 GSTOOL 145 H Handhabung von Speicher- und Aufzeichnungsmedien 90 Entsorgung von Medien 91 Sicherheit der Systemdokumentation 92 Umgang mit Informationen 92 Verwaltung von Wechselmedien 90 I Identifizierung von Risiken 69 Indikator 11, 17 Information 2 Austausch von 92 Kennzeichnung 73 Klassifizierung 72 Regeln für die Klassifizierung 73 Regelwerke und Verfahren zum Austausch von 93 Umgang 73, 92 Ungewollte Preisgabe 115 Vereinbarungen zum Austausch von 93 Information Security Officer 19 Information Systems Audit and Control Association 139 Information Technology Security Evaluation Criteria 138 Informationssicherheit 2, 32, 137 Bewertung 137 Engagement des Managements 67 Externe Beziehungen 69 Genehmigungsverfahren 67 Identifizierung von Risiken 69 Kontakt zu Behörden 68 Kontakt zu speziellen Interessengruppen 68 Koordination 67 Organisation 66 Schulung 76 Sensibilisierung 76 Umgang mit Kunden 70 Unabhängige Überprüfung 69 Vertraulichkeitsvereinbarung 68 Zuweisung der Verantwortlichkeiten 67 Informationssicherheitsereignis 32 Melden von 117 Informationssicherheitsleitlinie 64 Geltungsbereich 65 Organisation 65 Überprüfung 66 Zielsetzung 65 Informationssicherheits-Managementsystem 15, 32, 34 Anforderungen 34 Audit 11, 51 Dokumentation 17 Durchführung 43 Festlegen 35 Instandhalten 46 Kernbestandteile 15 Leitlinie 35, 47 Managementbewertung 53 Prozess 65 Überprüfen 44 Überwachen 44 Umsetzung 43 Verbesserung 46, 55 Informationssicherheitsvorfall 32 Beweis 119 Lernen 119 Melden 117 Schwachstellen 117 Sicherheitsereignis 117 Umgang mit 117, 118 Verantwortlichkeiten 119 Verbesserungen 118 Verfahren 119 Informationssysteme 109 Entwicklungsprozess 114 Integrität 111 Kontrolle der internen Verarbeitung 111 Korrekte Verarbeitung in Anwendungen 110 Kryptographische Maßnahmen 112 Revisionsprüfung 126 Schwachstellenmanagement 116 Sicherheit von Systemdateien 113 Sicherheitsanforderungen 109 Überprüfung von Ausgabedaten 111 Überprüfung von Eingabedaten 110 Informationsveranstaltungen 18 Informativer Standard 8 Instandhaltung 82, 122 Integrität 3, 32, 111, 112 von Nachrichten 111 Integrity 3 Interessengruppen 68 International Organization for Standardization 1 Internes Audit 51 Interne Organisation 66 Inventar organisationseigener Werte 71

5 192 Index ISACA siehe Information Systems Audit and Control Association ISMS siehe Informationssicherheits-Managementsystem ISO siehe International Organization for Standardization, siehe Information Security Officer ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO ISO ISO Isolation sensibler Systeme 107 ISO IT-Governance 139 IT-Grundschutz-Kataloge 144 IT-Grundschutzhandbuch 144 IT Infrastructure Library 136 IT Service Management 84, 135 ITIL siehe IT Infrastructure Library ITSEC siehe Information Technology Security Evaluation Criteria ITSM siehe IT Service Management ITU-T X K Kapazitätsplanung 87 Kategorien von Werten 16 Kennzeichnung von Informationen 73 Kernbestandteile eines ISMS 15 Klassifizierung von Information 72 Regelungen 73 Kommunikationsmanagement siehe Betriebsund Kommunikationsmanagement Kompetenz 51 Konformität 9, 23, 53, 150 Kontakt zu Behörden 68 zu speziellen Interessengruppen 68 Kontinuierliche Verbesserung 21 Kontrolle interner Verarbeitung 111 Netzverbindungen 103 Routing 104 Software im Betrieb 113 technischer Schwachstellen 117 Zugang zu Informationen 99 Koordination der Informationssicherheit 67 Korrekte Verarbeitung in Anwendungen 110 Integrität von Nachrichten 111 Kontrolle der internen Verarbeitung 111 Überprüfung von Ausgabedaten 111 Überprüfung von Eingabedaten 110 Korrekturmaßnahme 56 Kryptographische Maßnahmen 112, 125 Leitlinie zur Anwendung von Kryptographie 112 Verwaltung kryptographischer Schlüssel 112 Kündigung 76 Kunden 70 Kundenorientierung 134 L Leitfaden 10 branchenspezifisch 12 Leitlinie 16 zur Anwendung von Kryptographie 112 Lernen aus Informationssicherheitsvorfällen 119 M Management Betriebs- und Kommunikationsmanagement 83 Dienstleistungserbringung von Dritten 85 Netzsicherheit 89 Management organisationseigener Werte 71 Eigentum 72 Entfernung 83 Inventar 71 Kennzeichnung und Umgang 73 Klassifizierung von Informationen 72 Regeln für die Klassifizierung 73 Verantwortung 71 Zulässiger Gebrauch 72 Management Review 53 Managementbewertung 53 Eingaben 54 Ergebnis 54 Managementsystem 15 Maßnahme 19, 40, Beschaffung, Entwicklung und Wartung von Informationssystemen 109

6 Index 193 Betriebs- und Kommunikationsmanagement Einhaltung von Vorgaben 123 Management organisationseigener Werte 71 Netze 89 Organisation der Informationssicherheit 66 Personelle Sicherheit 74 Physische und umgebungsbezogene Sicherheit 78 Schadsoftware 88 Sicherheitsleitlinie 64 Sicherstellung des Geschäftsbetriebs 120 Umgang mit Informationssicherheitsvorfällen 117 Zugangskontrolle 98 Maßnahmenauswahl 41 Maßnahmenziele 19, Measurement 11 Medien 93 Melden von Informationssicherheitsereignissen 118 von Sicherheitsschwachstellen 118 Messaging 93 Messungen 11 abgeleitete 11 Basis- 11 Missbrauch informationsverarbeitender Einrichtungen 125 Mitteilungen 93 Mobile Computing 107 Mobile Software 88 Mobiler Programmcode 87 N Nachrichten 93 Nachvollziehbarkeit 17 Network Time Protocol 98 Netze Regelwerk zur Nutzung 102 Trennung 103 Netznutzung 102 Netzsicherheit 89 Netzverbindungen 103 Nicht-Abstreitbarkeit 5 Nicht-Konformität 55 Non-repudiation 5 Norm 8 Normative Verweisungen 30 Normativer Standard 8 Normenreihe 7 NTP siehe Network Time Protocol O Öffentlich verfügbare Informationen 95 Öffentlicher Zugang 80 Online-Transaktionen 94 Orange Book 138 Organisation der Informationssicherheit 66 Engagement des Managements 67 Externe Beziehungen 69 Genehmigungsverfahren 67 Identifikation von Risiken 69 Interne Organisation 66 Kontakt zu Behörden 68 Kontakt zu speziellen Interssengruppen 68 Koordination 67 Sicherheit im Umgang mit Kunden 70 Sicherheit in Vereinbarungen mit Dritten 70 Unabhängige Überprüfung 69 Vertraulichkeitsvereinbarung 68 Zuweisung von Verantwortlichkeiten 67 Organisationszertifizierung 149 P Passwort 100 Passwortverwendung 101 PDCA-Methodik 21 Personelle Sicherheit 74 Arbeitsvertragsklauseln 75 Aufgaben und Verantwortlichkeiten 74 Aufheben von Zugangsrechten 77 Beendigung der Anstellung 76 Disziplinarverfahren 76 Rückgabe von Werten 77 Sensibilisierung, Ausbildung und Schulung 76 Überprüfung 75 Verantwortlichkeit bei der Beendigung 77 Verantwortung des Managements 76 Vor der Anstellung 74 Während der Anstellung 75 Personenzertifizierung 149, 153 Prüfungsvorbereitung 155 Physische Sicherheit 78 Arbeit in Sicherheitszonen 80 Ausrüstung außerhalb 82 Bedrohung von außen 79 Entfernung von Eigentum 83 Entsorgung von Betriebsmitteln 82 Instandhaltung von Gerätschaften 82 Öffentlicher Zugang, Anlieferungs- und Ladezonen 80 Platzierung und Schutz von Betriebsmitteln 81 Sicherheit von Betriebsmitteln 80

7 194 Index Sicherheit der Verkabelung 81 Sicherheitsbereiche 78 Sicherheitszonen 79 Sicherung von Büros, Räumen und Einrichtungen 79 Versorgungseinrichtungen 81 Weiterverwendung 82 Zutrittskontrolle 79 Physische und umgebungsbezogene Sicherheit 78 Pläne 122 Plan-Do-Check-Act-Methodik 15, 21 Plan-Phase 22 Planung 22 Prüfungsspezifikation 154 Produktivumgebung 85 Protokolle 96 Prozess 16, 20, 65 Prozessmanagement 21 Prozessorientierung 20, 135 Prüfungsvorbereitung 155 Q Qualifizierungsprogramm 153 Qualitätsmanagement 21, 133 Grundsätze 134 Qualitätsmanagementsystem 133 R Rainbow Series 138 Rechte an geistigem Eigentum 124 Rechtsprechung 18 Regelungen für die Klassifizierung 73 Regelwerk zur Nutzung von Netzen 102 Reliability 5 Ressourcen 22 Bereitstellen 50 Restrisiko 32, 42 Revisionsprüfung von Informationssystemen 126 Revisionswerkzeug 127 Rezertifizierung 153 Risiko Akzeptanz 33, 143 Analyse 33, 39 Behandlung 33, 40 Behandlungsplan 44, 47 Bewertung 33 Einschätzung 33, 37, 47, 121 Identifikation 38, 69 Inventur 143 Management 11, 33, 71, 140, 142 Restrisiko 42 Übertragung 40, 143 Rollen 18, 19 Routingkontrolle 104 Rückgabe von organisationseigenen Werten 77 Rückverfolgbarkeit 17 S Sammeln von Beweisen 119 Sarbanes-Oxley Act 142 Schadsoftware und mobiler Programmcode Maßnahmen gegen 88 Schutz vor 88 Schulung 51, 76, 155 Schutz von Aufzeichnungen 124 der Diagnose- und Konfigurationsports 103 Mobile Software 88 von Protokollinformationen 96 von Revisionswerkzeugen 127 Schadsoftware und mobiler Programmcode 87 von Test-Daten 113 Schutzniveau 19 Schutzprofil 138 Schutzziel 3, 71 Schwachstelle 38, 40 Melden von Sicherheitsschwachstellen 118 Schwachstellenmanagement 116 Kontrolle technischer Schwachstellen 117 Scope siehe Anwendungsbereich Scoping 8, 29, 35, 149 Scoping statement 29, 149 Sensibilisierung 76 Sensible Systeme 107 Separation-of-Duties 85 Session Time-out 105 Sicherheit Betriebsmittel 80 bei Entwicklungs- und Unterstützungsprozessen 114 Änderungskontrollverfahren 114 Ausgelagerte Softwareentwicklung 115 Einschränkung von Änderungen 115 Technische Kontrolle von Anwendungen 114 Ungewollte Preisgabe von Informationen 115 von Netzdiensten 90 Physische und umgebungsbezogene 78 außerhalb des Standortes befindlicher Ausrüstung 82

8 Index 195 von Systemdateien 113 Kontrolle von Software im Betrieb 113 Schutz von Test-Daten 113 Zugangskontrolle zu Quellcode 114 der Systemdokumentation 92 im Umgang mit Kunden 70 in Vereinbarungen mit Dritten 70 Verkabelung 81 Sicherheitsanforderung 3 Informationssysteme 109 Sicherheitsbereiche 78 Sicherheitsleitlinie siehe Informationssicherheitsleitlinie Sicherheitsregelung 125 Sicherheitsregelungen, -standards und technische Vorgaben 126 Sicherheitsstandard 125, 126 Sicherheitszonen 79 Sicherstellung des Geschäftsbetriebs 120 Einbeziehung der Informationssicherheit 121 Entwicklung und Umsetzen von Plänen 122 Informationssicherheitsapekte 121 Rahmenwerk für Pläne 122 Risikoeinschätzung 121 Testen, Instandhaltung und Neubewertung von Plänen 122 Sicherung von Büros, Räumen und Einrichtungen 79 Softwarentwicklung 115 Sonderrechte 100 SOX siehe Sarbanes-Oxley Act Speichermedien 90 Standard 8 Informativer 8 Normativer 8 Standardisierung 7 Statement of applicability 29, 42, 149 Steuerungsebene 16 Systemabnahme 87 Systemdokumentation 92 Systemorientierung 134 Systemplanung und Abnahme 86 T Target of Evaluation 138 TCSEC siehe Trusted Computer System Evaluation Criteria Technische Kontrolle von Anwendungen 114 Telearbeit 107 Telekommunikationsbranche 12 Terminologie 8 Test 122 Testumgebung 85 ToE siehe Target of Evaluation Transport physischer Medien 93 Trennung in Netzwerken 103 Trusted Computer System Evaluation Criteria 137 U Überblicksdokument 8 Überprüfung 23 Ausgabedaten 111 Benutzerberechtigungen 100 Eingabedaten 110 Unabhängige Überprüfung der Informationssicherheit 69 Überwachung 95 Administrator- und Betreiberprotokolle 96 Auditprotokolle 95 Fehlerprotokolle 96 Schutz von Protokollinformationen 96 Systemnutzung 96 Zeitsynchronisation 98 Überwachungsaudit 153 Umgang mit Informationen 73, 92 mit Informationssicherheitsvorfällen 118 mit Kunden 70 mit Verbesserungen 118 Umgebungsbezogene Sicherheit siehe Physische Sicherheit Umsetzung 22 Unbeaufsichtigte Benutzerausstattung 101 Ungewollte Preisgabe von Informationen 115 Urheberrecht 124 V Verantwortlichkeit 18, 64, 77, 84, 119 Aufteilung von 85 Verantwortung 71 des Managements 49, 76 von Benutzern 100 Verbesserung 24, 135 Verbesserungsmaßnahmen 24 Verbindlichkeit 5 Verfahren 16 für sichere Anmeldung 104 Verantwortlichkeiten 84 Verfahrensanweisung 16 Verfügbarkeit 4, 32 Verkabelung 81 Verlässlichkeit 5 Verschlüsselung 82

9 196 Index Versorgungseinrichtugen 81 Vertraulichkeit 3, 32, 112 personenbezogener Information 124 Vertraulichkeitsvereinbarung 68 Verwaltung von Benutzerpasswörtern 100 kryptographischer Schlüssel 112 von Passwörtern 105 von Sonderrechten 100 von Wechselmedien 90 Verwendung von Systemwerkzeugen 105 Vorbereitung auf Zertifizierungsprüfung 155 Vorbeugemaßnahme 56 Vorgaben Datenschutz und Vertraulichkeit von personenbezogenen Informationen 124 Gesetzliche Vorgaben 123 Identifikation anwendbarer Gesetze 124 Kryptographische Maßnahmen 125 Prüfung der Einhaltung technischer Vorgaben 126 Rechte an geistigem Eigentum 124 Revisionsprüfung von Informationssystemen 126 Schutz organisationseigener Aufzeichnungen 124 Schutz von Revisionswerkzeugen 127 Sicherheitsregelungen, -standards und technische Vorgaben 125 Verhinderung des Missbrauchs informationsverarbeitender Einrichtungen 125 Vorstand 18 W Wechselmedien 90 Wert 16, 31, 39, 40 Eigentum 72 Entfernung 83 Inventar 71 Kennzeichnung und Umgang 73 Klassifizierung 72 Management 71 Rückgabe 77 Regeln für die Klassifizierung 73 Verantwortung 71 Zulässiger Gebrauch 72 Wiederholungsaudit 153 Wirkungsgrad 23 Z Zeitpunkte 22 Zeitsynchronisation 98 Zertifikat 153 Zertifizierung 149 Ablauf 151 Akkreditierung 150 Oragnisationszertifizierung 149 Personenzertifizierung 149, 153 Prüfung 155 Prüfungsvorbereitung 155 Rezertifizierung 153 Zertifizierungsaudit 9, 151 Zertifizierungsprüfung 155, 159 Vorbereitung 155 Zertifizierungsstelle 10, 151 Zielsetzung der Sicherheitsleitlinie 65 Zugangskontrolle 98 Anwendungen und Information 106 Benutzerverantwortung 100 Benutzerverwaltung 99 Einschränkung von Informationszugriff 106 Geschäftsanforderungen für 98 Isolation sensibler Systeme 107 Mobile Computing 107 Netze 102 Benutzerauthentisierung 102 Geräteidentifikation 103 Kontrolle von Netzverbindungen 103 Regelwerk zur Nutzung von Netzen 102 Routingkontrolle 104 Schutz der Diagnose- und Konfigurationsports 103 Trennung in Netzwerken 103 Quellcode 114 Regelwerk 99 Telearbeit 107 Zugangsrechte 77 Zugriffskontrolle 5 Begrenzung der Verbindungszeit 106 Benutzeridentifikation und Authentisierung 105 Betriebssysteme 104 Session Time-out 105 Verfahren für sichere Anmeldung 104 Verwaltung von Passwörtern 105 Verwendung von Systemwerkzeugen 105 Zulässiger Gebrauch von Werten 72 Zurechenbarkeit 5 Zuweisung Mittel 44 Ressourcen 44 Rollen 18 Verantwortlichkeiten 67