2005-09-16 11:21:30

Genormte Informationssicherheit

Durch die in Kraft getretene ISO 17799-2005 ergibt sich eine leichtere Umsetzung für KMUs und mehr Sicherheit mit Third Parties.

Fritz Katz

Druckversion

Die neue Version des international etablierten ISO-Standards für Informationssicherheit, ISO 17799:2005, ist im Juli in Kraft getreten. Dies teilte das zentrale Büro der International Standard Organization in Washington den Ländervertretungen offiziell mit. „Komplexe Informationssicherheit wird durch die neue Version leichter umsetzbar. Besonders Klein- und Mittelbetriebe mit sensiblen Daten erhalten dadurch einen leichteren Zugang zum Thema Security“, erklärt Hans-Jürgen Pollirer, Obmann der Bundessparte für Information & Consulting in der Wirtschaftskammer Österreich.

Die Themen der neuen ISO-Version :2005 wie der effiziente Umgang mit Störfällen, die sichere Zusammenarbeit mit Dritten oder Patch-Management „gelten in der Branche als zukunftsorientiertes Update“, berichtet der Geschäftsführer der nationalen Zertifizierungsorganisation CIS in Wien, Erich Scheiber.

Für die Anwender bringt die neue ISO 17799:2005 eine Reihe von effektiven Ergänzungen und Umstrukturierungen. „Die neue Version ist noch praxisnäher, besser untergliedert, in der Terminologie auf gängige IT-Standards abgestimmt und dadurch insgesamt leichter umsetzbar“, führt Erich Scheiber aus. Durch eine neue Struktur der angeführten Sicherheitsmaßnahmen entstand Raum für anschauliche Beispiele, Implementierungshilfen und Verweise auf verwandte Standards. Dadurch sei die Norm nun inhaltlich gut nachvollziehbar, was vor allem für Klein- und Mittelbetriebe eine leichtere Umsetzung von Security-Maßnahmen ermögliche, so CIS-Chef Erich Scheiber.

„Mit der Norm ISO 17799 kommt ein neuer Security-Ansatz nach Österreich“, so Scheiber. Dahinter steht ein ganzheitlicher Managementansatz zum Thema Informationssicherheit, der Best-Practice-Methoden zur Prozessverbesserung und Systemoptimierung umfasst. Neben IT-Sicherheit werden auch andere relevante Aspekte wie Mitarbeiter-Awareness, Gebäude- oder Umgebungssicherheit miteinbezogen. Das Normen-Paar ISO 17799 / BS 7799 ist derzeit der einzige Standard mit einem derart umfassenden Sicherheitskonzept, das auch zertifizierbar ist – und damit Wettbewerbsvorteile bringt. Siemens Business Services legt das CIS-Zertifikat einfach bei Ausschreibungen bei, statt aufwendige Security-Nachweise zu erbringen.

Aber auch kleinere Unternehmen können Vorteile lukrieren. So wie etwa Tectraxx, ein Anbieter für Logistic- und After-Sales-Services in der Telekommunikation: „Dass wir ein Sicherheitssystem nach ISO 17799 einführen, hat sich als klarer Unterschied zum Mitbewerb erwiesen“, berichten die zuständigen Information-Security-Manager Ernst Wiener und Harald Adamek. „Kunden wie Nokia oder Siemens sind sehr daran interessiert, dass ihr Dienstleistungspartner diesen Sicherheitsstandard erfüllt“.

Details über die neue ISO 17799:2005

Sichere Schnittstellen nach außen

Zwei besonders brisante Themen – die Zusammenarbeit mit Fremdunternehmen sowie die Einstellung und Verabschiedung von Mitarbeitern - wurden in der ISO 17799:2005 deutlich verbessert. Somit schützt die neue ISO-Version besser die Schnittstellen von Unternehmen nach außen. Der neue Punkt „External Parties“ behandelt Risiken beim Zugang von Fremdunternehmen. „Die Zusammenarbeit mit Partnern, Providern und Dienstleistern nimmt immer mehr zu. Sogar die Nutzung von Telefonleitungen fällt in dieses Kapitel. Diesem Trend trägt der ISO-Standard in der neuen Version Rechnung“, argumentiert Scheiber.

Wie lässt sich Firmenwissen beim Ausscheiden von Mitarbeitern schützen? „Im Rahmen der Diskussionen zeigte sich, dass der Standard dieses häufig auftretende Problem bisher nicht adäquat behandelt“, erläutert Angelika Plate, Co-Editorin von ISO 17799 in der International Organization for Standardization. Dieses Thema werde nach wie vor in vielen Firmen vernachlässigt. Oft könne ein ehemaliger Mitarbeiter auch Tage nach Beenden des Arbeitsverhältnisses noch in das Firmennetzwerk einsteigen oder die alten Kollegen besuchen, ohne kontrolliert zu werden. Daher behandelt die neue ISO 17799:2005 im Kapitel Human Resources Security Sicherheitsmaßnahmen für alle drei Phasen einer Beschäftigung, von der Einstellung über das laufende Arbeitsverhältnis bis zur Beendigung.

Was tun, wenn`s passiert…

Eine der wichtigsten Änderungen betrifft die Erweiterung der Norm-Elemente um ein weiteres Kapitel: Information Security Incident Handling. Dieses unterscheidet klar zwischen sicherheitsrelevanten Vorfällen und Ereignissen – wie etwa Probleme mit Passwörtern. Die zwei Unterpunkte des neuen Normelementes, „Reporting …“ und „Management …“, sollen sicherstellen, dass schadensrelevante Sicherheitsvorfälle schnell und effektiv bewältigt werden.

Patch-Management wehrt Hacker ab

Eine weitere Neuerung betrifft das Thema Patch Management. System-Schwachstellen werden mittlerweile so schnell von Hackern ausgenutzt, dass den Firmen vor den notwendigen Software-Updates kaum mehr Zeit zum Testen bleibt. Ungetestete Updates können aber Störungen im gesamten Unternehmen verursachen. Auf dieses Problemfeld geht das neue Maßnahmenziel „Technical Vulnarability Management“ ein.

Mit diesen Anpassungen und Erweiterungen sollte der ISO-Standard für Informationssicherheit für die neuen Marktanforderungen der kommenden Jahre gerüstet sein, wie Information-Security-Manager und -Auditor Günther Puffer von Siemens Business Services den Entwurf einschätzt und betont: „Die Entwicklungen in eCommerce, eGovernment und IT-Outsourcing verlangen immer mehr einen leistungsfähigen, anerkannten Standard, der Vertrauen vermittelt.“