Normen und Standards für die IT-Sicherheit 1. Zur Ausgangslage Die Anzahl der Normen und Standards auf dem IT-Sicherheitssektor hat im Verlauf der vergangenen Jahre ständig zugenommen. Ihre Vielzahl ist mittlerweile fast nicht mehr zu überblicken, zumal zu den anerkannten Normen noch eine Anzahl von Modellen hinzukommen, die in ihrer Ausprägung einen vorgabenähnlichen Charakter - unter anderem durch ihre Akzeptanz im Unternehmensalltag - erworben haben. Im Folgenden sollen daher die wesentlichen Normen aufgeführt, charakterisiert und im Gesamtzusammenhang dargestellt werden. 2. Zur Funktion von Normen in der IT Eine Norm ist ein Standard zur vereinheitlichenden Gestaltung von Produkten, Prozessen oder Dienstleistungen. geht davon aus, dass eine Realisierung gemäß ihren Anforderungen ausschließlich qualifiziertem und kompetentem Fachpersonal anvertraut wird. setzt nicht voraus, dass ihre Befolgung gewährleistet, dass zum Beispiel Verträge o- der gesetzliche Bestimmungen bei normenkonformer Gestaltung einwandfrei sind. Normenkonformität bedeutet daher eher ein dem Stand des Wissens und der Technik entsprechendes System. In Bezug auf die Informationstechnologie und die IT-Sicherheit bedeutet daher die Anwendung und Befolgung der Forderungen einer Norm eine Konformität mit dem State of the Art und damit eine relative Sicherheit, nicht an den Aktualitätsanforderungen vorbei zu agieren. 3. Überblick über ausgewählte IT-sicherheitsrelevanten Normen und Standards 1 Ein Überblick über Standards und Normen kann sinnvoll durch ihre Charakteristik nach Zielsetzung und Inhalt erfolgen. Die folgende Abbildung gruppiert die Standards des IT- Sicherheitssektors nach diesen Kriterien und ordnet sie in ein zweidimensionales 9- Felder-Schema ein. Da aufgrund der Achsenbezeichnungen dieses Schemas die Gruppierungen selbsterklärend sind, wird für die jeweilige Einordnung nur jeweils beispielhaft eine Begründung gegeben. Seite 1 von 5
System bezogen IT-GSHB IDW PS 330/331 ISF Standard ISO IEC 27001 BS 7799 ISO 20000 UIMCert PS 103 ISO 13335 Produktbezogen ITSEC ISO 15408 CC IDW PS 880 FIPS 140 technisch Abb.1: Zielsetzung und Inhalte von Standards nicht-technisch Die Abbildung zeigt, dass die Anzahl der Normen zwar nicht über alle Felder gleichmäßig verteilt ist, es sich aber durchaus bestimmte Schwerpunktbesetzungen abzeichnen. So ergibt sich, dass die technischen Standards stark produktbezogen orientiert sind und die managementorientierten eher systembezogen sind. Auch die mittleren Felder sind gut besetzt von solchen Normen, die sowohl technisch als auch managementrelevant sind. Grundprinzipien der Vernetzung und Sinn Im Hinblick darauf, dass bezüglich der Zielsetzungen und Inhalte eine deutliche Normenvielfalt gegeben ist, ist es vor allem für die Unternehmen von Bedeutung, die diese Standards anwenden, dass sich ihre Redundanz in Grenzen hält. Zwar ist es so, dass sich insbesondere im internationalen Bereich Überschneidungen nicht ausschließen und Redundanzen durchaus gegeben sind, dass aber dennoch logische Verkettungen zwischen den einzelnen Normen sinnvoll hergestellt werden können, und sich hieraus für das anwendende Unternehmen zusätzliche Erkenntnisse ergeben. Dies wird weiter unten an einem Beispiel verdeutlicht. Vernetzungsprinzipien sind: Gleiche Forderungen ähnlicher Normen mit unterschiedlichen Begründungen Ergänzungen und Präzisierungen (logisch aufeinander aufbauende Normen) Unterschiedliche Gewichtungen einzelner Anforderungen in der jeweiligen Norm Unterschiedliche sich ergänzende oder ersetzende Techniken/Maßnahmen Seite 2 von 5
ISO 14001 ISO 15408 CC ISO 15446 IDW PS 880 BDSG (LDSG SH) Grundschutz (ISO 27001) IDW PS 330 ISO 27001 (BS 7799) ISO 13335 BS 15000 (ISO 20000) Abb.2: Vernetzung der Normen und Standards zum IT-Management und zur IT-Sicherheit Die Abbildung belegt eine starke Vernetzung und zeigt, dass die Normen deutlich aufeinander aufbauen und voneinander abhängig sind. Vom Grundsatz her ist dies damit zu begründen, dass zum Beispiel prüfungsorientierte Normen, wie die des Wirtschaftsprüfungssektors oder die des Datenschutzes unter technischen und managementorientierten Aspekten gesetzlichen Anforderungen nach Ordnungsmäßigkeit genügen müssen. Hierbei sind die Anforderungen, die durch die Gesetze gestellt werden und die Ordnungsmäßigkeit bedingen, technischer und/oder managementspezifischer Art. 4. Gruppe der managementorientierten Normen Normen mit Managementorientierung stellen Gestaltungsvorgaben und Prüfkriterien für komplexe IT-Systeme auf der organisatorisch-managementorientierten Ebene zur Verfügung. ISO/IEC 27001 - BS 7799 (IT-Sicherheitsmanagement) ISO/IEC 13335 (s. u.) BS 15000 - ISO / IEC 20000 (IT-Service-Management, in Teilbereichen IT- Sicherheit) UIMCert PS 101 (Standard zur Prüfung eines Datenschutzmanagementsystems) Als Beispiel soll hier auf den weniger bekannten ISO/IEC TR 13335 Management of information and communications technology security eingegangen werden, der sich als Leitlinie für die Initiierung und Umsetzung des IT-Sicherheitsmanagementprozesses versteht und die Organisation und Umsetzung von IT-Sicherheit in Form eines Leitfadens behandelt. Er beschreibt die Konzepte und Elemente von IT-Sicherheit bzw. des IT- Sicherheitsmanagements sowie deren Beziehungen zueinander und will hiermit eine Standardisierung der IT-Sicherheit und eine Grundlage für die Bewertung des IT-Sicherheitsniveaus schaffen. 5. Technische und produktorientierte Normen Technische und produktorientierte Normen stellen Vorgaben für Produktgestaltung sowie Produkt- und Systemprüfung zur Verfügung ISO/IEC 15446 (produkt- und systembezogen) Seite 3 von 5
IT-Sec (abgelöst durch die CC) ISO/IEC 15408 - Common Criteria CC FIPS (Vorgaben für den Verschlüsselungssektor) Als Beispiel für eine praktische Anwendung in der IT-Sicherheit sei das Konzept der EAL-Stufen der Common Criteria (ISO 15408) genannt. Diese wird als Common Evaluation Methodology bezeichnet. EAL-Stufen definieren eine Stufe der Vertrauenswürdigkeit (Evaluation Assurance Level) in eine Sicherheitsleistung: Eine Common Criteria - Evaluierung soll die Wirksamkeit der vom Hersteller behaupteten Sicherheitsfunktionalität bestätigen. Die EAL-Stufen beschreiben dazu präzise Anforderungen an eine IT- Sicherheitsprüfung und dienen damit auch als Grundlage für Prüfungen, die nicht auf Basis der EAL durchgeführt werden. 6. Standards des Wirtschaftsprüfungssektors Grundprinzipien der Standards des WP-Sektors sind, Prüfungsvorgaben für Gesetzeskonformitäts- und Ordnungsmäßigkeitsprüfungen liefern zu wollen. IDW PS 330/331 (Prüfstandards für IT-Infrastruktur und Sicherheitsmanagement) IDW PS 880 (Prüfstandard für Rechnungslegungsrelevante Softwareprodukte) FAIT 1 3 (Grundsätze des Fachausschusses für Informationstechnologie des IDW) Basel II Die relevanten Standards auf dem WP-Sektor haben unterschiedliche Grundlagen. So basieren die Prüfungsstandards des IDW auf einer Erarbeitung durch Arbeitskreise und Gremien des Instituts der Wirtschaftsprüfer, während zum Beispiel Basel II, eine Gesetzesgrundlage hat/ist, die Prüfprozesse auf dieser aufbauen müssen und die Prüfansprüche mit dieser compliant sein müssen. Grundsätzlich dienen diese Prüfstandards jedoch vorwiegend der Arbeit der internen oder EDV-Revision. 7. Verkettungsbeispiel einiger Normen Das Prinzip der Verkettung geht aus der Abb. 2 hervor. Es soll jedoch eine spezielle Sequenz/Kette (s. Abb. 3) herausgegriffen werden, damit an ihr der logische Aufbau des Normensystems gezeigt werden kann. Abb.3: Verkettung von Standards ISO 15446 ISO 15408 IDW PS 880 Die Logik der Verkettung ergibt sich aus folgenden Überlegungen: Unter anderem beeinflusst durch die in der ISO 15408 angestellten Überlegungen gilt das so genannte Protection Profile als Grundlage für die Konstruktion eines sicheren Systems. Es wird hierbei von der Voraussetzung ausgegangen, dass die Anwendung/das Anwendungsgebiet Anforderungen an die Sicherheitskriterien eines Systems stellt, die sich dann in der Konstruktion des Systems im Hinblick auf seine Sicherheitsmerkmale niederschlagen müssen. Die Darstellung in Abb. 3 lässt sich wie folgt erläutern: Die ISO 15446 erklärt die Anforderungen, die bei der Konstruktion eines Protection Profiles zu beachten sind. Sie bilden hiermit die Grundlage der aus der ISO 15408 zu entnehmenden, bei der Konstruktion des Systems zu beachtenden IT-Sicherheitsfeatures. Diese realisierten Sicherheitskriterien können dann einer Evaluation nach den Grundprinzipien der ISO 15408 unterworfen werden, oder aber sie dienen als Grundlage für Prüfverfahren nach dem PS 880. Dies bedeutet allerdings, dass bei der Konstruktion des Systems das Protection Profile z. B. nach den gesetzlichen Anforderungen der Handels- und Steuergesetzgebung (Rechnungslegungsrele- Seite 4 von 5
vanz) konstruiert worden sein muss, da diese die Grundlage für die Prüfprozesse des Wirtschaftsprüfers im Hinblick auf die IT-Sicherheitsprobleme sein werden. 8. Fazit Die Darlegungen haben gezeigt, dass die Anzahl der Normen, Standards und gesetzlichen Vorgaben nahezu unübersehbar geworden ist. Die Komplexität ist nur dann zu beherrschen, wenn je nach dem jeweiligen Zweck diejenigen Grundlagen ausgesucht werden, die die projekt-/aufgabenspezifischen Anforderungen erfüllen. Dies wurde am Beispiel einer Verkettung verdeutlicht, bei der zwei international gültige Normen mit einem nationalen Prüfstandard verkettet wurden. Dieser Prozess setzt jedoch sowohl bei der Konstruktion solcher Systeme als auch bei ihrer Prüfung einen Sachverstand voraus, der insbesondere bei vielen Prüfern aufgrund ihrer Vorbildung nicht gegeben ist/gegeben sein kann. Die Konsequenz hieraus ist, dass insbesondere Evaluation- und Prüfprozesse nur von solchen Prüfern vorgenommen werden können, die über hohes Fachwissen auf dem IT-Sicherheitssektor verfügen. 1 Die Kurzdarstellung dieses Artikels über die Funktionen und Inhalte der betreffenden Normen und Standards kann vertiefend nachgelesen werden unter www.uimcert.de Seite 5 von 5