Logo

This side contains information security related terms and definitions.

 

Access control

The process that limits and controls access to resources of a computer system; a logical or physical control designed to protect against unauthorized entry or use.

 

Accountable

In a RACI chart, refers to the person or group who has the authority to approve or accept the execution of an activity.

 

Activity

The main actions taken to operate a process.

 

Application program

A program that processes business data through activities such as data entry, update or query. It contrasts with systems programs, such as an operating system or network control program, and with utility programs, such as copy or sort..

 

Audit charter

A document approved by the board, which defines the purpose, authority and responsibility of the internal audit activity.

 

Authentication

The act of verifying the identity of a system entity (e.g., user, system, network node) and the entity’s eligibility to access computerized information. Designed to protect against fraudulent logon activity, authentication can also refer to the verification of the correctness of a piece of data.

 

Automated application control

A set of controls embedded within automated solutions (applications).

 

Balanced scorecard

A coherent set of performance measures organized into four categories. It includes traditional financial measures, but adds customer, internal business process, and learning and growth perspectives. It was developed by Robert S. Kaplan and David P. Norton in 1992.

 

Benchmarking

A systematic approach to comparing an organization’s performance against peers and competitors in an effort to learn the best ways of conducting business (e.g., benchmarking of quality, logistical efficiency and various other metrics).

 

Best practice

A proven activity or process that has been successfully used by multiple organizations.

 

Capability

Having the needed attributes to perform or accomplish.

 

Capability Maturity Model (CMM)

The CMM for Software, from the Software Engineering Institute (SEI). A model used by many organizations to identify good practices useful in helping them assess and increase the maturity of their software development processes.

 

CEO

Chief executive officer; the highest-ranking individual in an organization.

 

CFO

Chief financial officer; the individual primarily responsible for managing the financial risks of an organization CIO—Chief information officer; the individual responsible for the IT group within an organization. In some cases, the CIO role has been expanded to become the chief knowledge officer (CKO), who deals in knowledge, not just information. Also see CTO.

 

CTO

Chief technology officer; focuses on technical issues in an organization. The title CTO is often viewed as synonymous with CIO.

 

Configuration item (CI

Component of an infrastructure, or an item, such as a request for change, associated with an infrastructure, which is (or is to be) under the control of configuration management. CIs may vary widely in complexity, size and type, from an entire system (including all hardware, software and documentation) to a single module or a minor hardware component.

 

Configuration management

The control of changes to a set of configuration items over a system life cycle.

 

Consulted

In a RACI chart, refers to those people whose opinions are sought on an activity (two-way communication).

 

Continuity

Preventing, mitigating and recovering from disruption. The terms ‘business resumption planning’, ‘disaster recovery planning’ and ‘contingency planning’ also may be used in this context; they all concentrate on the recovery aspects of continuity.

 

Control framework

A set of fundamental controls that facilitates the discharge of business process owner responsibilities to prevent financial or information loss in an organization.

 

Control objective

A statement of the desired result or purpose to be achieved by implementing control procedures in a particular process.

 

Control practice

Key control mechanism that supports the achievement of control objectives through responsible use of resources, appropriate management of risk and alignment of IT with business.

 

COSO

Committee of Sponsoring Organizations of the Tread way Commission.. See www.coso.org.

 

CSF

Critical success factor; the most important issues or actions for management to achieve control over and within its IT processes.

 

Dashboard

A tool for setting expectations for an organization at each level of responsibility and continuous monitoring of the performance against set targets.

 

Data classification scheme

An enterprise wide scheme for classifying data by factors such as criticality, sensitivity and ownership.

 

Data dictionary

A database that contains the name, type, range of values, source and authorization for access for each data element in a database. It also indicates which application programs use that data so that when a data structure is contemplated, a list of the affected programs can be generated. The data dictionary may be a stand-alone information system used for management or documentation purposes, or it may control the operation of a database.

 

Data owners

Individuals, normally managers or directors, who have responsibility for the integrity, accurate reporting and use of computerized data.

 

Detective control

A control that is used to identify events (undesirable or desired), errors and other occurrences that an enterprise has determined to have a material effect on a process or end product.

 

Enterprise

A group of individuals working together for a common purpose, typically within the context of an organizational form such as a corporation, public agency, charity or trust.

 

Enterprise architecture

Description of the fundamental underlying design of the components of the business system, or of one element of the business system (e.g., technology), the relationships amongst them and the manner in which they support the organization’s objectives.

 

Enterprise architecture for IT

Description of the fundamental underlying design of the IT components of the business, the relationships amongst them and the manner in which they support the organization’s objectives.

 

Enterprise governance

A set of responsibilities and practices exercised by the board and executive management with the goal of providing strategic direction, ensuring that objectives are achieved, ascertaining that risks are managed appropriately and verifying that the enterprise’s resources are used responsibly.

 

Framework

See Control framework.

 

General computer controls

Controls, other than application controls, which relate to the environment within which computer based application systems are developed, maintained and operated, and which are therefore applicable to all applications. The objectives of general controls are to ensure the proper development and implementation of applications, the integrity of program and data files and of computer operations. Like application controls, general controls may be either manual or programmed.

 

Guideline

A description of a particular way of accomplishing something that is less prescriptive than a procedure.

 

Information architecture

One component of IT architecture (together with applications and technology). See IT architecture.

 

Informed

In a RACI chart, refers to those people who are kept up to date on the progress of an activity (one-way communication) Internal control —The policies, plans and procedures, and organizational structures designed to provide reasonable assurance that business objectives will be achieved and undesired events will be prevented or detected and corrected.

 

ISO 17799

An international standard that defines information confidentiality, integrity and availability controls.

 

ISO 277001

Information Security Management—Specification with Guidance for Use; the replacement for BS7799-2. It is intended to provide the foundation for third-party audit and is harmonized with other management standards, such as ISO/IEC 9001 and 14001.

 

ISO 9001:2000

Code of practice for quality management from the International Organization for Standardization (ISO). ISO 9001:2000, which specifies requirements for a quality management system for any organization that needs to demonstrate its ability to consistently provide product or service that meets particular quality targets.

 

IT

Information technology; the hardware, software, communications and other facilities used to input, store, process, transmit and output data in whatever form.

 

IT architecture

Description of the fundamental underlying design of the IT components of the business, the relationships amongst them and the manner in which they support the organization’s objectives.

 

ITIL

The UK Office of Government Commerce (OGC) IT Infrastructure Library; a set of guides on the management and provision of operational IT services.

 

IT incident

Any event that is not part of the ordinary operation of a service and that causes, or may cause, an interruption to, or a reduction in, the quality of that service (aligned to ITIL).

 

IT investment dashboard

A tool for setting expectations for an organization at each level and continuous monitoring of the performance against set targets for expenditures on and returns from IT-enabled investment projects in terms of business values.

 

IT strategic plan

A long-term plan, i.e., three- to five-year horizon, in which business and IT management co-operatively describe how IT resources will contribute to the enterprise’s strategic objectives (goals) IT strategy committee—Committee at the level of the board of directors to ensure that the board is involved in major IT matters/decisions. The committee is primarily accountable for managing the portfolios of IT-enabled investments, IT services and other IT resources. The committee is the owner of the portfolio.

 

IT tactical plan

A medium-term plan, i.e., six- to 18-month horizon, that translates the IT strategic plan direction into required initiatives, resource requirements, and ways in which resources and benefits will be monitored and managed.

 

KGI

Key goal indicator; measures that tell management, after the fact, whether an IT process has achieved its business requirements, usually expressed in terms of information criteria.

 

KPI

Key performance indicator; measures that determine how well the process is performing in enabling the goal to be reached. They are lead indicators of whether a goal will likely be reached, and are good indicators of capabilities, practices and skills. They measure the activity goals, which are the actions the process owner must take to achieve effective process performance.

 

Maturity

In business, indicates the degree of reliability or dependency the business can place on a process achieving the desired goals or objectives.

 

Measure

A standard used to evaluate and communicate performance against expected results. Measures are normally quantitative in nature capturing numbers, dollars, percentages, etc., but can also address qualitative information such as customer satisfaction. Reporting and monitoring measures help an organization gauge progress toward effective implementation of strategy.

 

Metrics

Specific descriptions of how a quantitative and periodic assessment of performance is to be measured. A complete metric defines the unit used, frequency, ideal target value, the procedure to carry out the measurement and the procedure for the interpretation of the assessment.

 

OLA

Operational level agreement; an internal agreement covering the delivery of services that support the IT organization in its delivery of services.

 

Organization

The manner in which an enterprise is structured.

 

Outcome measures

Measures that represent the consequences of actions previously taken and are often referred to as lag indicators. They frequently focus on results at the end of a time period and characterize historical performance. They are also referred to as key goal indicators (KGIs) and are used to indicate whether goals have been met. These can be measured only after the fact and, therefore, are called ‘lag indicators’.

 

Performance

In IT, the actual implementation or achievement of a process.

 

Performance drivers

Measures that are considered the ‘drivers’ of lag indicators. They can be measured before the outcome is clear and, therefore, are called ‘lead indicators’. There is an assumed relationship between the two that suggests that improved performance in a leading indicator will drive better performance in the lagging indicator. They are also referred to as key performance indicators (KPIs) and are used to indicate whether goals are likely to be met.

 

Performance management

In IT, the ability to manage any type of measurement, including employee, team, process, operational or financial measurements. The term connotes closed-loop control and regular monitoring of the measurement.

 

PMO

Project management officer; the individual function responsible for the implementation of a specified initiative for supporting the project management role and advancing the discipline of project management.

 

Policy

Generally, a document that records a high-level principle or course of action that has been decided upon. A policy’s intended purpose is to influence and guide both present and future decision making to be in line with the philosophy, objectives and strategic plans established by the enterprise’s management teams. In addition to policy content, policies need to describe the consequences of failing to comply with the policy, the means for handling exceptions, and the manner in which compliance with the policy will be checked and measured.

 

Portfolio

A grouping of programs, projects, services or assets selected, managed and monitored to optimize business return.

 

Preventive control

An internal control that is used to prevent undesirable events, errors and other occurrences that an organization has determined could have a negative material effect on a process or end product.

 

PRINCE2

Projects in a Controlled Environment, developed by the OGC; a project management method that covers the management, control and organization of a project.

 

Problem

In IT, the unknown underlying cause of one or more incidents.

 

Procedure

A document containing steps that specify how to achieve an activity. Procedures are defined as part of processes.

 

Process

Generally, a collection of procedures influenced by the organization’s policies and procedures that takes inputs from a number of sources, including other processes, manipulates the inputs, and produces outputs, including other processes. Processes have clear business reasons for existing, accountable owners, clear roles and responsibilities around the execution of the process, and the means to measure performance.

 

Program

A structured grouping of interdependent projects that includes the full scope of business, process, people, technology and organizational activities that are required (both necessary and sufficient) to achieve a clearly specified business outcome.

 

Project

A structured set of activities concerned with delivering to the enterprise a defined capability (that is necessary but not sufficient to achieve a required business outcome) based on an agreed-upon schedule and budget.

 

QMS

Quality management system; a system that outlines the policies and procedures necessary to improve and control the various processes that will ultimately lead to improved organization performance.

 

RACI chart

Illustrates who is responsible, accountable, consulted and informed within an organizational framework.

 

Resilience

In business, the ability of a system or network to recover automatically from any disruption, usually with minimal recognizable effect.

 

Responsible

In a RACI chart, refers to the person who must ensure that activities are completed successfully.

 

Risk

In business, the potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss and/or damage to the assets; usually measured by a combination of impact and probability of occurrence.

 

Root cause analysis

Process of diagnosis to establish origins of events, which can be used for learning from consequences, typically of errors and problems.

 

SDLC

System development life cycle; the phases deployed in the development or acquisition of a software system. Typical phases include the feasibility study, requirements study, requirements definition, detailed design, programming, testing, installation and post-implementation review, but not the service delivery or benefits realization activities.

 

Segregation/separation of duties

A basic internal control that prevents or detects errors and irregularities by assigning to separate individuals responsibility for initiating and recording transactions and custody of assets to separate individuals. Commonly used in large IT organizations so that no single person is in a position to introduce fraudulent or malicious code without detection.

 

Service desk

A point of contact within the IT organization for users of IT services.

 

Service provider

External entity that provides services to the organization.

 

SLA

Service level agreement; an agreement, preferably documented, between a service provider and the customer(s)/user(s) that defines minimum performance targets for a service and how they will be measured.

 

Standard

A mandatory requirement. Examples include ISO/IEC 20000 (an international standard), an internal security standard for UNIX configuration or a government standard for how financial records should be maintained. The term ‘standard’ is also used to refer to a code of practice or specifications published by a standards organization, such as ISO or BSI.

 

TCO

  • Total cost of ownership; in IT includes:
  • Original cost of the computer and software
  • Hardware and software upgrades
  • Maintenance
  • Technical support
  • Training
  • Certain activities performed by users

 

Technology infrastructure plan

A plan for the technology, human resources and facilities that enables the current and future processing and use of applications.

Diese Seite beinhaltet Begriffserklärungen rund um das Thema Informationssicherheit.

 

Authentisierung

Authentisierung bezeichnet den Nachweises eines Kommunikationspartners, dass er tatsächlich derjenige ist, der er vorgibt zu sein. Dies kann unter Anderem durch Passwort-Eingabe, Chipkarte oder Biometrie erfolgen.

 

Authentizität

Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden.

 

Autorisierung

Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist.

 

Basis-Sicherheitscheck

Der Begriff bezeichnet gemäss IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz empfohlenen Massnahmen in einer Organisation bereits umgesetzt sind und welche grundlegenden IT-Sicherheitsmassnahmen noch fehlen.

 

Baustein

Der Begriff dient zur Strukturierung von Empfehlungen der IT-Grundschutz-Kataloge. Bausteine sind die Einheiten innerhalb einer Schicht (z. B. IT-Systeme, Netze). Sie beschreiben teils technische Komponenten (wie Verkabelung), teils organisatorische Verfahren (wie Notfallvorsorge-Konzept) und besondere Einsatzformen (wie Häuslicher Arbeitsplatz). In jedem Baustein werden die betrachtete IT-Komponente und die Gefährdungslage beschrieben sowie organisatorische und technische Sicherheitsmassnahmen empfohlen.

 

Bedrohung (Threat)

Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch den oder das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstände oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Umstand oder Ereignis, der oder das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen beeinträchtigen kann.

 

Biometrie

Unter Biometrie ist die automatisierte Erkennung von Personen anhand ihrer körperlichen Merkmale zu verstehen. Diese kann genutzt werden, um Benutzer auf Grundlage besonderer Merkmale eindeutig zu authentisieren.

 

Business Continuity Management

Business Continuity Management (BCM) bezeichnet alle organisatorischen, technischen und personellen Massnahmen, die zur Fortführung des Kerngeschäfts einer Behörde oder eines Unternehmens nach Eintritt eines Notfalls bzw. eines Sicherheitsvorfalls dienen.

 

Datenschutz

Mit Datenschutz wird der Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte bezeichnet.

 

Datensicherheit

Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet.

 

Digitale Signatur

Eine digitale Signatur ist eine Kontrollinformation, die an eine Nachricht oder Datei angehängt wird. Anhand einer digitalen Signatur kann eindeutig festgestellt werden, wer diese erzeugt hat, und es ist authentisch überprüfbar, ob die Datei, an die die digitale Signatur angehängt wurde, identisch ist mit der Datei, die tatsächlich signiert wurde.

 

Ergänzende Sicherheitsanalyse

Diese Analyse ist nach IT-Grundschutz erforderlich, wenn Zielobjekte des betrachteten IT-Verbunds einen erhöhten Schutzbedarf haben.

 

Gefährdung (threat)

Eine Gefährdung ist eine Bedrohung, die konkret auf ein Objekt über eine Schwachstelle einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt.

 

Gefährdungskataloge

Gefährdungskataloge sind Teil der IT-Grundschutz-Kataloge und enthalten Beschreibungen möglicher Gefährdungen der Informationstechnik.

 

Grundwerte der IT-Sicherheit

Der IT-Grundschutz betrachtet die drei Grundwerte der IT-Sicherheit: Vertraulichkeit, Verfügbarkeit und Integrität.. Weitere generische Oberbegriffe der IT-Sicherheit sind zum Beispiel:

  • Authentizität (Authenticity)
  • Verbindlichkeit (Liability)
  • Zuverlässigkeit (Reliability)
  • Nichtabstreitbarkeit (Non-Repudiation)

 

Informationssicherheit

Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen
sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein.

 

IT-Sicherheit

IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Der Begriff "Informationssicherheit" statt IT-Sicherheit ist daher umfassender und wird daher zunehmend verwendet.

 

Informationssicherheitsmanagement

Die Planungs- und Lenkungsaufgabe, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen, wird als Informationssicherheitsmanagement bezeichnet.

 

Integrität

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind.

 

IT-Grundschutz

IT-Grundschutz bezeichnet eine Methodik zum Aufbau eines Sicherheitsmanagementsystems sowie zur Absicherung von IT-Verbünden über Standard-Sicherheitsmassnahmen.

 

IT-Grundschutzanalyse

Zu einer IT-Grundschutzanalyse gehören die Modellierung mit der Ermittlung der notwendigen
Sicherheitsmassnahmen und der Basis-Sicherheitscheck, in dem ein Soll-Ist-Vergleich den aktuellen Umsetzungsgrad von Sicherheitsmassnahmen in einem Unternehmen oder einer Behörde beschreibt.

 

IT-Sicherheitskonzept

Ein IT-Sicherheitskonzept dient zur Umsetzung der IT-Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele einer Institution zu erreichen.

 

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement ist die Planungs-, Lenkungs- und Kontrollaufgabe, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen.

 

IT-Strukturanalyse

In einer IT-Strukturanalyse werden die erforderlichen Informationen über den ausgewählten IT-Verbund, die IT-Anwendungen, IT-Systeme, Netze, Räume, Gebäude und Verbindungen erfasst und so aufbereitet, dass sie die weiteren Schritte gemäss IT-Grundschutz unterstützen.

 

IT-Verbund

Unter einem IT-Verbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen.

 

Massnahmenkataloge

In den IT-Grundschutz-Katalogen werden zu jedem Baustein passende Massnahmen empfohlen.

 

Maximum-Prinzip

Nach dem Maximum-Prinzip bestimmt der Schaden bzw. die Summe der Schäden mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines Geschäftsprozesses, einer Anwendung bzw. eines IT-Systems.

 

Modellierung

Bei der Vorgehensweise nach IT-Grundschutz wird bei der Modellierung der betrachtete IT-Verbund eines Unternehmens oder einer Behörde mit Hilfe der Bausteine aus den IT-Grundschutz-Katalogen nachgebildet.

 

Nichtabstreitbarkeit (Non-Repudiation)

Hierbei liegt der Schwerpunkt auf der Nachweisbarkeit gegenüber Dritten. Ziel ist es zu gewährleisten, dass der Versand und Empfang von Daten und Informationen nicht in Abrede gestellt werden kann. Es wird unterschieden zwischen Nichtabstreitbarkeit der Herkunft und Nichtabstreitbarkeit des Erhalts.

 

Penetrationstest

Ein Penetrationstest ist ein gezielter, in der Regel simulierter, Angriffsversuch auf ein IT-System. Er wird als Wirksamkeitsprüfung vorhandener Sicherheitsmassnahmen eingesetzt.

 

Revision

Revision ist die systematische Überprüfung der Eignung und Einhaltung vorgegebener (Sicherheits-)Richtlinien. Die Revision sollte unabhängig und neutral sein.

 

Risiko

Risiko wird häufig definiert als die Kombination aus der Wahrscheinlichkeit, mit der ein
Schaden auftritt, und dem Ausmass dieses Schadens. Im Unterschied zu "Gefährdung" umfasst der Begriff "Risiko" bereits eine Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist.

 

Risikoanalyse (Risk Assessment/Analysis)

Mit einer Risikoanalyse wird untersucht, welche schädigenden Ereignisse eintreten können, wie wahrscheinlich das Eintreten eines schädigenden Ereignisses ist und welche negativen Folgen der Schaden hätte.

 

Schutzbedarf

Der Schutzbedarf beschreibt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.

 

Schutzbedarfsfeststellung

Bei der Schutzbedarfsfeststellung wird der Schutzbedarf der Geschäftsprozesse, der verarbeiteten
Informationen und der IT-Komponenten bestimmt. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung der IT-Sicherheits-Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden realistisch einzuschätzen. Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien "normal", "hoch" und "sehr hoch".

 

Schwachstelle (Vulnerability)

Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution.
Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird

 

Sicherheitsmassnahme

Mit Sicherheitsmassnahme (kurz Massnahme) werden alle Aktionen bezeichnet, die dazu dienen, um Sicherheitsrisiken zu steuern und um diesen entgegenzuwirken. Dies schliesst sowohl organisatorische, als auch personelle, technische oder infrastrukturelle Sicherheitsmassnahmen ein.

 

Sicherheitsrichtlinie (Security Policy)

In einer Sicherheitsrichtlinie werden Schutzziele und allgemeine Sicherheitsmassnahmen im Sinne offizieller Vorgaben eines Unternehmens oder einer Behörde formuliert.

 

Verbindlichkeit

Unter Verbindlichkeit werden die IT-Sicherheitsziele Authentizität und Nichtabstreitbarkeit zusammengefasst. Bei der Übertragung von Informationen bedeutet dies, dass die Informationsquelle ihre Identität bewiesen hat und der Empfang der Nachricht nicht in Abrede gestellt werden kann.

 

Verbindlichkeit

Unter Verbindlichkeit werden die IT-Sicherheitsziele Authentizität und Nichtabstreitbarkeit zusammengefasst. Bei der Übertragung von Informationen bedeutet dies, dass die Informationsquelle ihre Identität bewiesen hat und der Empfang der Nachricht nicht in Abrede gestellt werden kann.

 

Vertraulichkeit

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschliesslich Befugten in der zulässigen Weise zugänglich sein.

 

Wert (Asset)

Werte sind alles, was wichtig für eine Institution ist (Vermögen, Wissen, Gegenstände, Gesundheit).

Bemerkung: Der Artikel basiert auf der Version 2006 des IT-Grundschutzhandbuchs.

 

Einleitung

Das IT-Grundschutzhandbuch des deutschen Bundesamts für Sicherheit in der Informationstechnik ist eine Methode, mit der sich generalisiert ein "normales" Schutzniveau erreichen lässt. Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt. Durch die Verwendung des Grundschutzhandbuches entfällt eine aufwendige Sicherheitsanalyse, da mit pauschalisierten Gefährdungen (den sogenannten Bedrohungskatalogen) gearbeitet wird. Die zu ergreifenden Massnahmen finden sich umsetzungsorientiert in den sehr umfangreichen Massnahmenkatalogen.

Das Grundschutzhandbuch eignet sich aber auch für Umgebungen mit hohem Schutzbedarf, indem eine erweiterte Risikoanalyse durchgeführt wird. Möglich sind auch Zertifizierungen auf Basis IT-Grundschutz, möglich ist seit einiger Zeit auch die Zertifizierung nach ISO 27001.


Warum IT-Grundschutz wichtig ist

Kaum ein Unternehmen dessen Effektivität und Effizienz nicht zu einem grossen Teil oder sogar vollständig von der Informationstechnik (IT) abhängig ist. Nahezu alle Prozesse sind mittlerweile elektronisch gesteuert, die horizontale und vertikale Durchdringung einer Unternehmung mit IT komplett. Riesige Mengen von Daten und Informationen werden elektronisch gespeichert, verarbeitet und dann über private oder öffentliche Datennetze transportiert.

Mit der Abhängigkeit des Unternehmens von der IT erhöht sich allerdings auch der potentielle Schaden durch eingeschränkte Funktion oder sogar Totalausfall derselben. IT ist keineswegs frei von (technischen) Fehlern, hinzu kommt natürlich noch, dass IT keinesfalls nur eine technische Disziplin ist. Es besteht als berechtigtes Interesse, die von der IT verarbeiteten Daten und Informationen zu schützen, da sie zu den wichtigsten Unternehmenswerten gehören.

Schäden durch IT Fehlfunktionen werden verschiedenen Kategorien zugeteilt:

  • Verfügbarkeit – die Systeme stehen nicht zur Benutzung zur Verfügung
  • Vertraulichkeit – Sensitive Daten und Informationen müssen vertraulich gehalten werden
  • Integrität – Korrektheit der Daten
  • Authentizität – Die korrekte Zuordnung von Aktionen zu Identitäten

 

Die Abhängigkeit von der Informationstechnik wird in der Zukunft noch markant zunehmen. Diese Aussage basiert auf den folgenden Entwicklungstendenzen:

  • IT-Verbreitung und Durchdringung
  • Steigender Vernetzungsgrad
  • Angriffe kommen schnelle
  • Verschwinden der Netzgrenzen

 

Aufgrund der steigenden Abhängigkeit und der vielfältigen Bedrohungen stellen sich bezüglich Informationssicherheit die folgenden wesentlichen Fragen:

  • Wie sicher ist die Informationstechnik einer Institution?
  • Welche IT-Sicherheitsmassnahmen müssen ergriffen werden?
  • Wie müssen diese Massnahmen konkret umgesetzt werden?
  • Wie hält bzw. verbessert eine Institution das erreichte Sicherheitsniveau?
  • Wie sicher ist die IT anderer Institutionen, mit denen eine Kooperation stattfindet?

 

Bei der Beantwortung dieser Fragen ist zu beachten, dass Informationssicherheit keinesfalls nur eine technische Disziplin ist, sondern aus einem Mix aus technischen, organisatorischen, personellen, baulichen, infrastrukturellen und prozessorischen Massnahmen besteht. Besonders aber muss ein übergeordnetes Sicherheitsmanagement eingeführt werden, das die Aufgaben zur IT Sicherheit konzipiert, koordiniert und überwacht.

Vergleicht man IT Systeme verschiedener Unternehmen miteinander, so lassen sich für eine spezielle Gruppe folgende Charakteristiken ermitteln:

  • Die IT Systeme in dieser Gruppe sind keine Individuallösungen, sondern sie sind weit verbreitet im Einsatz
  • Der Schutzbedarf der IT-Systeme bezüglich Vertraulichkeit, Integrität und Verfügbarkeit liegt im Rahmen des Normalmasses
  • Zum sicheren Betrieb der IT-Systeme sind Standard-Sicherheitsmassnahmen aus den Bereichen Infrastruktur, Organisation, Personal, Technik und Notfallvorsorge erforderlich

 

Diese Gruppe beinhaltet also „typische“ IT Systeme. In der Folge beschreiben die IT-Grundschutz-Kataloge detailliert Standard-Sicherheitsmassnahmen, die praktisch für jedes IT-System zu beachten sind. Sie beinhalten Standard-Sicherheitsmassnahmen, dabei wird sich einer pauschal angenommenen Gefährdungslage bedient und es gibt ausführliche Massnahmenbeschreibungen als Umsetzungshilfe.

Darüber hinaus gibt es einen Prozess zum Erreichen und Aufrechterhalten eines angemessenen IT Sicherheitsniveaus und eine einfache Verfahrensweise zur Ermittlung des erreichten IT Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs.

IT Systeme, die ausserhalb dieser Gruppe liegen, seien es seltenere Individualsysteme oder IT-Systeme mit sehr hohem Schutzbedarf, können sich dann zwar an den Standard Sicherheitsmassnahmen orientieren, bedürfen letztlich aber einer individuellen Betrachtung.


IT-Grundschutz: Ziel, Idee und Konzeption

In den IT-Grundschutz-Katalogen werden Standard-Sicherheitsmassnahmen für typische IT-Systeme empfohlen. Ziel ist, durch geeignete Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmassnahmen ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist.

IT-Grundschutz wendet das Baukastenprinzip an. Die einzelnen Bausteine spiegeln typische Bereiche des IT-Einsatzes wider, wie beispielsweise Client-Server- Netze, bauliche Einrichtungen, Kommunikations- und Applikationskomponenten. In jedem Baustein wird zunächst die zu erwartende Gefährdungslage beschrieben, wobei sowohl die typischen Gefährdungen als auch die pauschalisierten Eintrittswahrscheinlichkeiten berücksichtigt werden. Diese Gefährdungslage bildet die Grundlage, um ein spezifisches Massnahmenbündel aus den Bereichen Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge zu generieren.

 

Vorwort zu Risikobewertungsmethoden

Die Risikobewertung in der IT-Sicherheit unterscheidet sich in wesentlichen Punkten von klassischen Methoden der Versicherungsmathematik oder des Controllings. Die exakte Berechnung von Schadenshöhen und Eintrittswahrscheinlichkeiten bei einer "klassischen" oder quantitativen Risikoanalyse ist meistens nicht möglich, da geeignetes Zahlenmaterial fehlt. Selbst wenn eine Berechnung möglich ist, bleibt die Interpretation der Ergebnisse sehr schwierig. Für viele Szenarien fehlen zudem ausreichende Erfahrungswerte, um die Eintrittswahrscheinlichkeiten fundiert bestimmen zu können, beispielsweise weil neue Technologien eingesetzt werden bzw. wenig fundiertes Basismaterial vorhanden ist. Selbst wenn genügend Daten vorliegen, um Eintrittswahrscheinlichkeiten und Schadenshöhen bestimmter Schadensereignisse einigermassen seriös bestimmen zu können, ist die Erstellung eines IT Sicherheitskonzepts auf Basis einer klassischen Risikoanalyse extrem aufwendig und teuer.

 

Risikobewertungsmethode des Grundschutzhandbuch

Bei der Vorgehensweise nach IT Grundschutz wird davon ausgegangen, dass unabhängig von der Art und Ausrichtung einer Institution aufgrund des Einsatzes ähnlicher IT Umgebungen und der Existenz vergleichbarer Umfeldbedingungen meistens vergleichbare Bedrohungen für den sicheren Betrieb der Informationsverarbeitung vorliegen. Die Sicherheitsanforderungen der Geschäftsprozesse und Fachanwendungen sind zwar individuell und können unterschiedlich sein, in der Praxis führen sie jedoch meist zu ähnlichen und vergleichbaren Sicherheitsanforderungen.

Das BSI analysiert für die Vorgehensweise nach IT Grundschutz in den IT Grundschutzkatalogen Schwachstellen und Bedrohungen für typische IT Komponenten und ermittelt daraus die resultierenden Gefährdungen. Es werden nur solche Gefährdungen betrachtet, die nach sorgfältiger Analyse eine so hohe Eintrittswahrscheinlichkeit oder so einschneidende Auswirkungen haben, dass IT Sicherheitsmassnahmen ergriffen werden müssen. Typische Gefährdungen, gegen die sich jeder schützen muss, sind z. B. Schäden durch Feuer, Einbrecher, Computerviren oder Hardwaredefekte. Dieser Ansatz hat den Vorteil, dass Anwender des IT Grundschutzes für einen Grossteil des IT Betriebs keine Bedrohungs- und Schwachstellenanalysen durchführen oder Eintrittswahrscheinlichkeiten berechnen müssen.
Auf Basis der ermittelten Gefährdungen beschreiben die IT Grundschutzkataloge bewährte technische, infrastrukturelle, personelle und organisatorische Standard-Sicherheitsmassnahmen für typische IT Komponenten.

Für Informationen und Geschäftsprozesse mit einem hohen oder sehr hohen Schutzbedarf oder für Einsatzumgebungen, die im IT Grundschutz nicht behandelt werden, muss eine ergänzende Risikoanalyse durchgeführt werden. Ein mögliches Vorgehen wird im BSI Standard 100-3 beschrieben.


Aufbau der IT Grundschutzkataloge

Die Erfahrung zeigt, dass es ohne ein funktionierendes IT-Sicherheitsmanagement praktisch nicht möglich ist, ein durchgängiges und angemessenes IT-Sicherheitsniveau zu erzielen und zu erhalten. Diesem Umstand wird das Grundschutzhandbuch gerecht, indem es im BSI-Standard 100-1 "Managementsysteme für Informationssicherheit (ISMS)" beschreibt, wie ein solches Managementsystem aufgebaut werden kann. Aufbauend hierauf wird ausserdem in Baustein B 1.0 der IT-Grundschutz-Kataloge beschrieben, wie ein effizientes IT-Sicherheitsmanagement aussehen sollte und welche Organisationsstrukturen dafür sinnvoll sind.

Die Bausteine des Grundschutzhandbuchs sind nach dem IT-Grundschutz-Schichtenmodell in die folgenden Kataloge gruppiert:

it grundschutz bausteine

Eine detaillierte Gliederung der Bausteine findet sich im Anhang.

 

Aufbau der Bausteine

Die zentrale Rolle der IT-Grundschutz-Kataloge spielen die Bausteine, die immer nach dem gleichen Prinzip aufgebaut sind. Jeder Baustein beginnt mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise bzw. des IT-Systems. Im Anschluss daran wird die Gefährdungslage dargestellt. Die Gefährdungen sind dabei nach den in der obigen Grafik genannten Bereichen unterteilt. Um die Bausteine übersichtlich zu gestalten und um Redundanzen zu vermeiden, werden die Gefährdungstexte lediglich referenziert. Beispiel

G 2.1 Fehlende oder unzureichende Regelungen

Dabei steht „G“ für Gefährdung, die Zahl vor dem Punkt „2“bezeichnet den Gefährdungskatalog (hier G2 = Organisatorische Mängel), die Zahl nach dem Punkt bezeichnet die laufende Nummer der Gefährdung innerhalb des Katalogs. Zum Schluss folgt die Bezeichnung der Gefährdung.

Den wesentlichen Teil eines jeden Bausteins bilden die Massnahmenempfehlungen, die sich an die Gefährdungslage anschliessen. In jedem Baustein wird für das betrachtete Themengebiet vor der Massnahmen-Liste eine Übersicht in Form eines "Lebenszyklus" gegeben, welche Massnahmen in welcher Phase der Bearbeitung zu welchem Zweck umgesetzt werden sollten. In der Regel können die folgenden Phasen identifiziert werden:

  • Planung und Konzeption
  • Beschaffung (falls erforderlich)
  • Umsetzung
  • Betrieb
  • Aussonderung (falls erforderlich)
  • Notfallvorsorge

 

Es finden sich aber nicht in allen Bausteinen für jeden Phase Massnahmen. Da alle Geschäftsprozesse, IT-Systeme und Einsatzbedingungen sich ständig ändern und weiterentwickelt werden, müssen die Phasen erfahrungsgemäss immer wieder durchlaufen werden. Dies sicherzustellen ist Aufgabe des IT-Sicherheitsmanagements. Analog zu den Gefährdungen sind die Massnahmen gemäss der Grafik strukturiert. Wie bei den Gefährdungen wird hier ebenfalls nur auf die entsprechende Massnahme referenziert.

 

Beispiel: M 4.253 Schutz vor Spyware

"M" bezeichnet eine Massnahme, die Zahl x vor dem Punkt den Massnahmenkatalog
(hier M 1 = Infrastruktur). Die Zahl y nach dem Punkt ist die laufende Nummer der Massnahme innerhalb des jeweiligen Katalogs.

Mit dem Buchstaben in Klammern - hier (A) - wird zu jeder Massnahme die Qualifizierungsstufe
angegeben, also eine Einstufung, ob diese Massnahme für die IT-Grundschutz-Qualifizierung gefordert wird. Folgende Einstufungen sind vorgesehen:

  • A = Einstieg
  • B = Aufbau
  • C = Zertifikat
  • Z = Zusätzlich

 

Beispiel: Auszug aus einer Massnahme

M 4.253 Schutz vor Spyware
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
<Massnahmentext>
<Kontrollfragen>

 

Erläuterung:

Für jede Massnahme muss ein Verantwortlicher für die Initiierung und Umsetzung benannt werden. Die jeweiligen Massnahmen sind sinngemäss umzusetzen. Mit den Kontrollfragen kann die Umsetzung der Massnahmen kritisch gewürdigt werden.

Der Zusammenhang zwischen den für den IT-Grundschutz angenommenen Gefährdungen und den empfohlenen Massnahmen kann dem jeweiligen Baustein entnommen werden. Für jeden Baustein gibt es diese Übersicht.

 

Beispiel: B 2.8 Häuslicher Arbeitsplatz

b 2.8 gefährdungslage

Nachfolgend wird das Massnahmenbündel für den Bereich "Häuslicher Arbeitsplatz" vorgestellt.

b 2.8 massnahmen

Zu beachten ist, dass nur die wichtigsten Gefährdungen angeführt sind, gegen die eine bestimmte Massnahme wirkt. Dies bedeutet insbesondere, dass eine Massnahme nicht automatisch überflüssig wird, wenn alle zugeordneten Gefährdungen in einem bestimmten Anwendungsfall nicht relevant sind. Ob auf eine Standard-Sicherheitsmassnahme verzichtet werden kann, muss immer im Einzelfall anhand der Sicherheitskonzeption entschieden werden.


Anwendungsweise der IT-Grundschutzkataloge

Für die erfolgreiche Etablierung eines kontinuierlichen und effektiven IT-Sicherheitsprozesses müssen eine ganze Reihe von Aktionen durchgeführt werden. Die Vorgehensweise ist grundsätzlich im BSI-Standard 100-2 beschrieben. Dieser Abschnitt bietet Hinweise zur Methodik und praktische Umsetzungshilfe in verkürzter Form.

 

IT-Sicherheitsprozess und IT-Sicherheitsmanagement

Der folgende IT-Sicherheitsprozess beinhaltet alle wesentlichen Schritte, die notwendig sind, ein angemessenes IT-Sicherheitsniveau zu erreichen und aufrechtzuerhalten.

 

it sicherheitsprozess

 

Der Vorgang ist im Standard 100-2 ausführlich beschrieben. Ausserdem wird im
Baustein B 1.0 IT-Sicherheitsmanagement der IT-Sicherheitsprozess im Überblick dargestellt und es wird eine detaillierte Erläuterung der einzelnen Aktionen in Form empfohlener Standard-Massnahmen gegeben.


Erstellung IT-Sicherheitskonzept

Zur Erstellung des IT-Sicherheitskonzepts nach IT-Grundschutz ist eine Reihe von Schritten wie folgt notwendig:

  • IT Strukturanalyse (Visualisierung der IT Landschaft)
  • Schutzbedarfsfeststellung (Daten und Informationen)
  • Modellierung (Abbilden der einzelnen Bausteine auf die Umgebung)
  • Basis-Sicherheitscheck (Erheben der Ist-Situation bzgl. IT Sicherheit)
  • Falls notwendig weiterführende Sicherheitsmassnahmen
  • Umsetzungsplan (Gewichtung und Priorisierung der Massnahmen)
  • Zertifizierung

 

Bemerkung: Die ergänzende Sicherheitsanalyse ist im Anhang beschrieben.

 

erstellung it-Sscherheitskonzept

 

Das IT-Sicherheitskonzept ist das zentrale Sicherheitsdokument. Jede konkrete Massnahme muss sich letztlich darauf zurückführen lassen. Aus diesem Grund muss das IT-Sicherheitskonzept sorgfältig geplant, konsequent umgesetzt sowie regelmässig überarbeitet werden.

 

Lebenszyklus IT-Sicherheitskonzept

Um die IT-Sicherheitsziele zu erfüllen und das angestrebte IT-Sicherheitsniveau zu erreichen, muss zunächst verstanden werden, wie die Erfüllung von Aufgaben und somit die Geschäftsprozesse von IT-Risiken bedroht werden. Danach muss entschieden werden, wie mit diesen Risiken umgegangen werden soll. Es sind dazu mehrere Teilschritte notwendig, wie im folgenden Lebenszyklus Modell.

 

lebenszyklus it-sicherheitskonzept

 

Die Parameter, wie sie im Lebenszyklus genannt worden sind, müssen im IT-Sicherheitskonzept definiert werden. Nachfolgend sind zur Veranschaulichung einige wichtige Parameter ausgeführt.

 

Methode zur Risikobewertung

Die Risikobewertungsmethode des IT-Grundschutzhandbuchs wurde bereits einleitend besprochen.

 

Klassifikation von Risiken bzw. Schäden

In Abhängigkeit zur vorgehend festgelegten Methode der Risikobewertung muss festgelegt werden, wie Bedrohungen, Schadenspotentiale, Eintrittswahrscheinlichkeiten und die daraus resultierenden Risiken klassifiziert und bewertet werden. Es ist allerdings schwierig, aufwendig und zudem fehleranfällig, für Schäden und Eintrittswahrscheinlichkeiten individuelle Werte zu ermitteln. Es empfiehlt sich, nicht zu viel Zeit in die aufwendige (und fehlerträchtige) exakte Bestimmung von Eintrittswahrscheinlichkeiten und möglichen Schäden zu stecken. In den meisten Fällen ist es praktikabler, sowohl für die Eintrittswahrscheinlichkeit als auch für die potentielle Schadenshöhe mit Kategorien zu arbeiten.

Bemerkung: Die Skala für die Bemessung der Eintrittswahrscheinlichkeit wird vor allem für die erweiterte Risikoanalyse benötigt, d.h. wenn Schutzobjekte einen hohen oder sogar sehr hohen Schutzbedarf haben. In diesem Fall müssen die zusätzlich ermittelten Gefährdungen mit einer Eintrittswahrscheinlichkeit versehen werden, während dieser Schritt bei den Gefährdungen des Grundschutzkatalogs bereits seitens des BSI vorgenommen worden ist.

Für die Einstufung der Eintrittswahrscheinlichkeit können z.B. folgende Kategorien definiert werden:

Selten (Messgrösse in Jahren)
Häufig (Messgrösse in Monaten)
Sehr häufig (Messgrösse in Tagen oder wenigen Wochen)

Für die Einstufung der potentiellen Schadenshöhe können z.B. folgende Kategorien definiert werden:

  • Mittel (bis 100’000 CHF)
  • Hoch (bis 500'000 CHF)
  • Sehr hoch (mehr 1'000'000 CHF)

 

Daneben wird an folgenden Schadensszenarien orientiert:

  • Verstösse gegen Gesetze, Vorschriften oder Verträge
  • Beeinträchtigung des informationellen Selbstbestimmungsrechts
  • Beeinträchtigung der persönlichen Unversehrtheit
  • Beeinträchtigung der Aufgabenerfüllung
  • negative Innen- oder Aussenwirkung
  • finanzielle Auswirkungen

 

Schutzbedarfskategorien

Ausgehend von möglichen Schäden werden drei Schutzbedarfskategorien definiert, in die später die Schutzobjekte (z. B. IT-Systeme) eingeordnet werden. Die Schutzbedarfskategorien lauten:

  • 1 = normaler Schutzbedarf - Schadensauswirkungen begrenzt und überschaubar
  • 2 = hoher Schutzbedarf - Schadensauswirkungen beträchtlich
  • 3 = sehr hoher Schutzbedarf - Schadensauswirkungen existentiell oder katastrophal

 

Risikobewertung

Jede Risikobewertung muss die folgenden Schritte umfassen:

  • Die zu schützenden Informationen und Geschäftsprozesse müssen identifiziert werden
  • Alle relevanten Bedrohungen für die zu schützenden Informationen und Geschäftsprozesse müssen identifiziert werden
  • Schwachstellen, durch die die Bedrohungen wirken könnten, müssen identifiziert werden
  • Die möglichen Schäden durch Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit müssen identifiziert und bewertet werden
  • Die anzunehmenden Auswirkungen auf die Geschäftstätigkeit oder die Aufgabenerfüllung durch IT Sicherheitsvorfälle müssen analysiert werden.
  • Das Risiko, durch IT Sicherheitsvorfälle Schäden zu erleiden, muss bewertet werden

 

Risikobehandlungsstrategien

Dazu gibt es folgende Optionen:

  • Risiken können vermindert werden, indem adäquate Sicherheitsmassnahmen ergriffen werden
  • Risiken können vermieden werden, z. B. indem Geschäftsprozesse umstrukturiert werden
  • Risiken können übertragen werden, z. B. durch Outsourcing oder Versicherungen
  • Risiken können akzeptiert werden

 


Modellierung nach IT-Grundschutz

Bei der Umsetzung von IT-Grundschutz muss der betrachtete IT-Verbund mit Hilfe der vorhandenen Bausteine nachgebildet werden, also die relevanten Sicherheitsmassnahmen aus den IT-Grundschutz-Katalogen zusammengetragen werden. Dafür müssen die IT-Strukturanalyse und eine Schutzbedarfsfeststellung vorliegen.

Für die Abbildung eines im Allgemeinen komplexen IT-Verbunds auf die Bausteine der IT-Grundschutz-Kataloge bietet es sich an, die IT-Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten.

  • Schicht 1 = B 1: Übergeordnete Aspekte der IT Sicherheit
  • Schicht 2 = B 2: Sicherheit der Infrastruktur
  • Schicht 3 = B 3: Sicherheit der IT Systeme
  • Schicht 4 = B 4: Sicherheit im Netz
  • Schicht 5 = B 5: Sicherheit in Anwendungen

 

Die Aufgabenstellung bei der Modellierung nach IT Grundschutz besteht nun darin, für die Bausteine einer jeden Schicht zu entscheiden, ob und wie sie zur Abbildung des IT Verbunds herangezogen werden können. Je nach betrachtetem Baustein können die Zielobjekte dieser Abbildung von unterschiedlicher Art sein: einzelne Geschäftsprozesse oder Komponenten, Gruppen von Komponenten, Gebäude, Liegenschaften, Organisationseinheiten usw.

Bei der Modellierung eines IT-Verbunds nach IT-Grundschutz kann das Problem auftreten, dass es Zielobjekte gibt, die mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet werden können. In diesem Fall sollte eine ergänzenden Sicherheitsanalyse durchgeführt werden, wie in der IT-Grundschutz-Vorgehensweise beschrieben.

Zur Versinnbildlichung wird dies nachfolgend mit Schicht 1 „Übergeordnete Aspekte der IT Sicherheit“ durchgeführt.

 

Modellierung Schicht 1

In dieser Schicht werden alle Aspekte des IT-Verbunds modelliert, die den technischen Komponenten übergeordnet sind. Im Vordergrund stehen dabei Konzepte und die von diesen Konzepten abgeleiteten Regelungen. Diese Aspekte sollten für den gesamten IT-Verbund einheitlich geregelt sein, so dass die entsprechenden Bausteine in den meisten Fällen nur einmal für den gesamten IT-Verbund anzuwenden sind.

Unabhängig von den eingesetzten technischen Komponenten sind die entsprechenden Bausteine daher immer anzuwenden:

  • Der Baustein B 1.0 IT-Sicherheitsmanagement ist für den gesamten IT-Verbund einmal anzuwenden
  • Der Baustein B 1.1 Organisation muss für jeden IT-Verbund mindestens einmal herangezogen werden
  • Der Baustein B 1.2 Personal muss für jeden IT-Verbund mindestens einmal herangezogen werden
  • Der Baustein B 1.3 Notfallvorsorge-Konzept ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Bezug auf Verfügbarkeit haben oder wenn grössere IT-Systeme bzw. umfangreiche Netze betrieben werden
  • Der Baustein B 1.4 Datensicherungskonzept ist für den gesamten IT-Verbund einmal anzuwenden
  • Der Baustein B 1.6 Computer-Virenschutzkonzept ist für den gesamten IT-Verbund einmal anzuwenden
  • Der Baustein B 1.7 Kryptokonzept ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Bezug auf Vertraulichkeit oder Integrität haben, oder wenn bereits kryptographische Verfahren im Einsatz sind
  • Der Baustein B 1.8 Behandlung von Sicherheitsvorfällen ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Bezug auf einen der drei Grundwerte haben, oder wenn der Ausfall des gesamten IT-Verbunds einen Schaden in den Kategorien hoch oder sehr hoch zur Folge hat
  • Der Baustein B 1.9 Hard- und Software-Management muss für jeden IT-Verbund mindestens einmal herangezogen werden
  • Der Baustein B 1.10 Standardsoftware ist zumindest einmal für den gesamten IT-Verbund anzuwenden
  • Der Baustein B 1.11 Outsourcing ist zumindest dann anzuwenden, wenn die folgenden Bedingungen alle erfüllt sind:
    • IT-Systeme, Anwendungen oder Geschäftsprozesse werden zu einem externen Dienstleister ausgelagert, und
    • die Bindung an den Dienstleister erfolgt auf längere Zeit, und
    • durch die Dienstleistung kann die IT-Sicherheit des Auftraggebers beeinflusst werden, und
    • im Rahmen der Dienstleistungen erbringt der Dienstleister auch regelmässig nennenswerte IT-Sicherheitsmanagement-Tätigkeiten
  • Der Baustein B 1.12 Archivierung ist auf den IT-Verbund anzuwenden, wenn aufgrund interner oder externer Vorgaben eine Langzeitarchivierung elektronischer Dokumente erforderlich ist oder bereits ein System zur Langzeitarchivierung elektronischer Dokumente betrieben wird
  • Der Baustein B 1.13 IT-Sicherheitssensibilisierung und -schulung ist für den gesamten IT-Verbund einmal anzuwenden

Rollen

In den Massnahmen der IT-Grundschutz-Kataloge werden neben der eigentlichen Empfehlung, wie die einzelnen Massnahmen umzusetzen sind, Verantwortliche für die Initiierung bzw. für die Umsetzung dieser Massnahmen beispielhaft genannt. Das IT-Grundschutzhandbuch kennt eine Vielzahl von Rollen, weshalb an dieser Stelle auf eine Aufzählung verzichtet wird. Die Anwendung der Rollen muss immer anhand der eigenen Bedürfnisse erfolgen.

 

Anhang - Gliederung der Bausteine

Übergreifende Aspekte

B 1.0 IT-Sicherheitsmanagement

B 1.1 Organisation

B 1.2 Personal

B 1.3 Notfallvorsorge-Konzept

B 1.4 Datensicherungskonzept

B 1.5 Datenschutz

B 1.6 Computer-Virenschutzkonzept

B 1.7 Kryptokonzept

B 1.8 Behandlung von Sicherheitsvorfällen

B 1.9 Hard- und Software-Management

B 1.10 Standardsoftware

B 1.11 Outsourcing

B 1.12 Archivierung

 

Infrastruktur

B 2.1 Gebäude

B 2.2 Verkabelung

B 2.3 Büroraum

B 2.4 Serverraum

B 2.5 Datenträgerarchiv

B 2.6 Raum für technische Infrastruktur

B 2.7 Schutzschränke

B 2.8 Häuslicher Arbeitsplatz

B 2.9 Rechenzentrum

B 2.10 Mobiler Arbeitsplatz

B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume

 

IT-Systeme

B 3.101 Allgemeiner Server

B 3.102 Server unter Unix

B 3.103 Server unter Windows NT

B 3.104 Server unter Novell Netware 3.x

B 3.105 Server unter Novell Netware Version 4.x

B 3.106 Server unter Windows 2000

B 3.107 S/390- und zSeries-Mainframe

B 3.108 Windows Server 2003

B 3.201 Allgemeiner Client

B 3.202 Allgemeines nicht vernetztes IT-System

B 3.203 Laptop

B 3.204 Client unter Unix

B 3.205 Client unter Windows NT

B 3.206 Client unter Windows 95

B 3.207 Client unter Windows 2000

B 3.208 Internet-PC

B 3.209 Client unter Windows XP

B 3.301 Sicherheitsgateway (Firewall)

B 3.302 Router und Switches

B 3.303 Speichersysteme und Speichernetze

B 3.401 TK-Anlage

B 3.402 Faxgerät

B 3.403 Anrufbeantworter

B 3.404 Mobiltelefon

B 3.405 PDA

 

Netze

B 4.1 Heterogene Netze

B 4.2 Netz- und Systemmanagement

B 4.3 Modem

B 4.4 Remote Access

B 4.5 LAN-Anbindung eines IT-Systems über ISDN

B 4.6 WLAN

B 4.7 VoIP

 

IT-Anwendungen

B 5.1 Peer-to-Peer-Dienste

B 5.2 Datenträgeraustausch

B 5.3 E-Mail

B 5.4 Webserver

B 5.5 Lotus Notes

B 5.6 Faxserver

B 5.7 Datenbanken

B 5.8 Telearbeit

B 5.9 Novell eDirectory

B 5.10 Internet Information Server

B 5.11 Apache Webserver

B 5.12 Exchange 2000 / Outlook 2000

B 5.13 SAP System


Funktionsweise der ergänzenden Sicherheitsanalyse

Die erweiterte Risikoanalyse wird auf Schutzobjekte mit hohem oder sehr hohem Schutzbedarf angewendet. Im Vordergrund steht die Frage: Welchen Gefährdungen wurden durch die Standardsicherheitsmassnahmen des IT-Grundschutzes noch nicht ausreichend oder sogar noch gar nicht Rechnung getragen? Zur Beantwortung dieser Frage empfiehlt sich, die Risikoanalyse auf der Basis von IT-Grundschutz durchzuführen, die wie nachstehend abgebildet anzuwenden ist.

 

erweiterte risikoanayse

 

Wichtig: Die Risikoanalyse auf der Basis von IT Grundschutz ist eine Vorgehensweise, um bei Bedarf IT Sicherheitsvorkehrungen zu ermitteln, die über die in den IT Grundschutzkatalogen genannten Massnahmen hinausgehen. Obwohl diese Methodik gegenüber vielen anderen ähnlichen Verfahren vereinfacht wurde, ist sie oft mit erheblichem Aufwand verbunden. Um schnellstmöglich die wichtigsten IT Sicherheitsprobleme zu beseitigen, ist es manchmal zweckmässig, zuerst IT Grundschutz umzusetzen und erst danach eine ergänzende Sicherheitsanalyse durchzuführen.

In this article, we will talk a little bit about ISO 27001 and ISO 27002. You may already know that ISO 17799 is now ISO 27002. So we will first cover the Information Security Management System requirements (27001) and then the Code of Practice (27002).

 

Introduction

ISO/IEC 2700x is the growing family of Information Security related standards, published and maintained by the International Organization for Standardization (ISO). At the time being, the family is consisting of:

  • ISO/IEC 27001 — Information security management systems — Requirements
  • ISO/IEC 27002 — Code of practice for information security management
  • ISO/IEC 27003 — Information security management system implementation guidance
  • ISO/IEC 27004 — Information security management — Measurement
  • ISO/IEC 27005 — Information security risk management
  • ISO/IEC 27006 — Requirements for bodies providing audit and certification of information security management systems
  • ISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
  • ISO/IEC 27031 — Guidelines for information and communications technology readiness for business continuity
  • ISO/IEC 27033-1 — Network security overview and concepts
  • ISO/IEC 27035 — Security incident management
  • ISO 27799 — Information security management in health using ISO/IEC 27002

 

The following standards are in preparation:

  • ISO/IEC 27007 — Guidelines for information security management systems auditing (focused on the management system)
  • ISO/IEC 27008 — Guidance for auditors on ISMS controls (focused on the information security controls)
  • ISO/IEC 27013 — Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
  • ISO/IEC 27014 — Information security governance framework
  • ISO/IEC 27015 — Information security management guidelines for the finance and insurance sectors
  • ISO/IEC 27032 — Guideline for cybersecurity (essentially, 'being a good neighbor' on the Internet)
  • ISO/IEC 27033 — IT network security, a multi-part standard based on ISO/IEC 18028:2006 (part 1 published already)
  • ISO/IEC 27034 — Guideline for application security
  • ISO/IEC 27036 — Guidelines for security of outsourcing
  • ISO/IEC 27037 — Guidelines for identification, collection and/or acquisition and preservation of digital evidence

 


ISO 27001:2005

  1. Scope
  2. Normative references
  3. Terms and definitions
  4. Information security management system
  5. Management responsibility
  6. Internal ISMS audits
  7. Management review of the ISMS
  8. ISMS Improvement
    Annex


ISO 27001 has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). ISO 27001 is applicable to any organization, regardless of size, type or nature. The way an organization builds an ISMS should be a strategic decision. The ISMS is influenced by an organization’s need, objectives, security requirements and its size and structure.

ISO 27001 adopts a process to build an Information Security Management System. The ISMS is designed to ensure the selection of adequate and proportionate security controls that protect information assets and give confidence to interested parties. Prior it is important to understand the importance of:

  • An organization’s information security requirements
  • Implementing and operating controls to manage that organization's information security risks
  • Monitoring and reviewing the performance and effectiveness of the ISMS
  • Continual improvement based on objective measurement

 

ISO 27001 adopts the "Plan-Do-Check-Act" (PDCA) model.

 

pdca model

 

Establishing and managing the ISMS

Establish the ISMS

First step is to establish the ISMS. This is done by defining scope and boundaries of the ISMS, in respect to organization-specific characteristic. The ISMS policy needs to be defined, as well a the risk assessment approach of the organization, which is part of the ISMS policy.

Next steps are all about risk management. The organization must identify, analyze and evaluate the risks. This is done by assessing the business impacts upon the organization that might result from security failures. Upon this, options for the treatment of risks must be considered. Part of this is the selective choice of control objectives and controls. Control objectives and controls must be selected and implemented to meet the requirements identified by the risk assessment and risk treatment process. Keep in mind that activities must be compliant with the amount of risk the organization is willing to take (risk strategy – risk appetite). Once all identified risks have been counter measured, management must approve residual risk.

We know now why, how and what to do, management must now authorize implementation and operating of the ISMS. This also assures resources (time, money, staff …) are available to do so.

An important step is to prepare the Statement of Applicability (SoA). The SoA is a documented statement describing the control objectives and controls that are relevant and applicable to the organization’s ISMS. The controls and objectives are derived from ISO 27002.

 

Implement and operate the ISMS

The risk treatment plan needs now to be finished with tasks, responsibilities and priorities for managing information security risks. It is one of the most important steps to achieve management commitment for the whole security program. When done, the risk treatment plan with its controls must be implemented in order to achieve control objectives.

An organization should also consider establishing a performance management framework with proper metrics to measure effectiveness of the controls. This allows determining how well controls achieve planned control objectives.

Training and awareness programs and a process for prompt detection of security events and response to security incidents is also required and part of the implement and operating phase.

 

Monitor and review the ISMS

Implemented controls should be permanently monitored to detect processing errors, as well as attempted and successful security breaches and incidents. This also helps to verify the effectiveness of the security organization. The ISMS must undergo regular reviews to determine effectiveness. This includes policy, controls and objectives, lessons learnt from incidents, feedback and suggestions from interested parties.

Results from risk assessments should be reviewed at regular intervals to comply with the shifting threat landscape. This is to assure the residual risk is still consistent with the risk treatment regulations.

The ISMS should be audited at regular intervals. Update security plans to take into account the findings of monitoring, reviewing and auditing activities.

 

Maintaining and improving the ISMS

In order to maintain and improve the ISMS, improvements, corrective and preventive actions, derived from the regular updated security plans, must be implemented. Do not forget to take the lessons learnt into account. Ensure that the improvements achieve their indented objects. Communicate improvements to all interested and affected parties.

 

Documentation requirements

Implementing and establishing an ISMS requires some documentation work. The ISMS documentation should include at least:

  • Scope of the ISMS
  • Statements of the ISMS policy
  • Procedures and controls
  • Risk assessment methodology
  • Risk treatment plan
  • Statement of Applicability (SoA)

 

Documentation should also include management decisions to ensure actions are traceable and results reproducible. This sounds after a lot of documentation work, but keep in mind that size and complexity of the ISMS depends on an organization’s need, size and structure.

Documents required by the ISMS should be protected and controlled. This includes approval, review, update, versioning, distribution and so on. Records must be established and maintained to provide evidence of conformity to requirements and the effective operation of the ISMS.

 

Management responsibility

Management commitment

Management must give its commitment for the ISMS by establishing a policy, provide sufficient resources to launch and operate the ISMS, establishing roles and responsibilities, decide upon criteria for risk management, ensure that audits are conducted and perform management reviews of the ISMS.

 

Resource management

The ISMS managers must determine necessary resources to establish and run the ISMS, whereas it is in the obligation of the management to provide them. Resources are needed to establish, implement, operate, monitor, review, maintain and improve an ISMS and to ensure that business, legal and regulatory requirements are met. The organization must ensure that all personnel who are assigned responsibilities defined in the ISMS are competent to perform the required tasks. This is done by training and awareness. However, for a security program to be effective, an organization must provide training and awareness services beyond security organization boundaries

 

Internal ISMS audit

The ISMS must undergo regular audits to determine whether it operates as expected and effectively according to the identified security requirements. The responsibilities and requirements for planning and conducting audits, and for reporting results and maintaining records should be defined in a documented procedure.

 

Management review of the ISMS

The ISMS is monitored continuously and audited at regular interval to ensure its effectiveness and efficiency. Alongside, management should support these efforts by assessing opportunities to improve and change the ISMS. This also included review of the information security policy and security objectives. Results must be clearly documented and recorded.

To do so management can use results from reviews and audits, feedback from interested parties, indicators from performance management (effectiveness management), lessons learnt and status form preventive and corrective actions.

Output from the management review should include decisions and actions to improve the effectiveness of the ISMS, update risk assessment and treatment plan and finally modification of procedures and controls that effect information security as needed due to the shifting threat and requirements landscape.

 

ISMS improvement

An organization must continually improve the effectiveness of the ISMS through the use of the information security policy, security objectives, review and audit results, analysis of monitored events, performance management framework, corrective / preventive actions and finally management review.

 

Annex ISO 27001

Statement of applicability

The control objectives and controls for ISO 27001:2005 are directly derived from and aligned with those listed in ISO 17799:2005. An organization may consider that additional control objectives and controls are necessary. Control objectives and controls shall be selected as part of the ISMS process specified in 4.2.1. Altogether they make the “Statement of Applicability” SOA.

 

functional display 27002 chapter

 

 

Statement of Applicability

The Statement of Applicability is the documented statement describing the control objectives and controls that are relevant and applicable to the organization’s ISMS. Be aware that control objectives and controls must be based on the results and conclusions of the risk assessment and risk treatment processes, legal or regulatory requirements, contractual obligations and the organization’s business requirements for information security.

The SOA is created as follows:

  • Go trough all controls (133 as of version 2005)
  • Decide whether applicable or not
  • Justify why so
  • Search for procedure / measure
    • Reference procedure / measure in the SOA or describe it
  • Document status of each control


You can use the following approach to document the status of each control:

document status of each iso 27002 control

 

Trough the use of colors the status of measures is now easily visible.

 

Example of an ISMS TOC

INTRODUCTION

  • Objective
  • Contents
  • Approval and Distribution Policy

ISMS SCOPE
ISMS POLICY

  • Risk Management
  • Assets
  • Business Objectives
  • Risk Evaluation Criteria
  • Management
  • Personnel Policies
  • IT
  • Forensic
  • Documentation
  • Other applicable policies
  • Certification

INFORMATION SECURITY CONTEXT

  • Architecture
  • Security perimeter
  • Assets
  • Threat agents
  • Summary of adverse impact

RISK ASSESSMENT AND RISK TREATMENT

  • Approach
  • Risks concerning business
  • Risks concerning theft
  • Risks concerning acts of god, vandals and terrorist
  • Risks concerning regular fraud
  • Risks concerning IT failure
  • Risks concerning hacking
  • Risks concerning denial of service
  • Risks concerning disclosure/misuse of classified information
  • Risks concerning law

STATEMENT OF APPLICABILITY

Index

  • Index
  • Security policy
    • Information Security Policy
  • Organization of information security
    • Internal Organization
    • External Parties
  • Asset management
    • Responsibility for Assets
    • Information Classification
  • Human resources security
    • Prior to employment
    • During employment
    • Termination or change of employment
  • Physical and environmental security
    • Secure Areas
    • Equipment Security
  • Communications and operations management
    • Operational Procedures and Responsibilities
    • Third Party Service Delivery Management
    • System Planning and Acceptance
    • Protection against Malicious and Mobile Code
    • Back-up
    • Network Security Management
    • Media handling
    • Exchange of Information
    • Electronic Commerce Services
    • Monitoring
  • Access control
    • Business Requirement for Access Control
    • User Access Management
    • User Responsibilities
    • Network Access Control
    • Operating System Access Control
    • Application and Information Access Control
    • Mobile Computing and Teleworking
  • Information systems acquisition, development and maintenance
    • Security Requirements of Information Systems
    • Correct Processing in Applications
    • Cryptographic Controls
    • Security of System Files
    • Security in Development and Support Processes
    • Technical Vulnerability Management
  • Information security incident management
    • Reporting Information Security Events and Weaknesses
    • Management of Information Security Incidents
  • Business continuity management
    • Information Security Aspects of Business Continuity
  • Compliance
    • Compliance with Legal Requirements
    • Compliance with Security Policies and Standards
    • Information Systems Audit Considerations

ISMS METRICS AND INCIDENT HANDLING

  • Introduction
    Time theory
    • Fundamental Principle
    • Plan-Do-Check-Act
    • Incidents and Impacts
    • Impact log

INCIDENT HANDLING PROCEDURE

  • Incident Identification and Reporting
  • Incident Handling and Escalation
  • Communicating Results and Tidying Up

MONITORING CONTROLS

  • Check Activities
  • Other Metrics

TRAINING AND AWARENESS
OTHER PROCEDURE HANDBOOKS AND MANUALS
DOCUMENT CONTROL

  • Introduction
  • Document control records
  • Change control
    • Introduction
    • The Change Control Process
    • Change Control Procedure
  • Document review
    • Structural Review
    • Technical Review
    • Presentation Review

BUSINESS CONTINUITY PLAN

  • The Management Process
  • Impact Analysis
  • The Plan
  • Testing

CHECK AND ACT

  • General activities
  • Special activities
  • Internal ISMS audit
    • Schedule
    • Objectives
    • Non-conformities
    • Internal ISMS Audit Report and Checklist
    • Audit Conduct
  • Management review
    • Schedule
    • Objectives
    • Management Review Checklist
  • Continual improvement
    • Corrective Action
    • Preventive Action

RECORDS AND DOCUMENT CONTROL

  • Control of ISMS records
  • Control of documents
  • To do list

ISO 27002:2005

Information is an asset that needs to be suitably protected. Information security is achieved by implementing a suitable set of controls, including policies, processes, procedures, organizational structures and software and hardware functions.

An organization needs to establish an ISMS in order to be able to mange the various aspects of information security. Part of that is the identification of security requirements – these are mainly derived from:

  • Assessing risks to the organization
  • Legal, statutory, regulatory, and contractual requirements
  • The set of principles, objectives and business requirements for information processing that an organization has developed to support its operations

 

Based on the identified security requirements, an organization then selects the security controls to achieve the desired risk level. What’s left is the residual risk, which is the amount of jeopardy an organization is willing to take (risk appetite).

This is where the ISO 27002 comes into play. It contains 11 security control clauses collectively containing a total of 39 main security categories with a bunch of objectives, controls and executive actions introducing risk assessment and treatment.

Controls considered being essential to an organization from a legislative point of view, due to the fact that most organization must comply with a couple of laws/regulations:

  • data protection and privacy
  • protection of organizational records
  • intellectual property rights

 

The eleven clauses (accompanied with the number of main security categories included within each clause) are:

a) Security Policy (1)
b) Organizing Information Security (2)
c) Asset Management (2)
d) Human Resources Security (3)
e) Physical and Environmental Security (2)
f) Communications and Operations Management (10)
g) Access Control (7)
h) Information Systems Acquisition, Development and Maintenance (6)
i) Information Security Incident Management (2)
j) Business Continuity Management (1)
k) Compliance (3)

 

Each main security category consists of:

  • a control objective stating what is to be achieved; and
  • one or more controls that can be applied to achieve the control objective

 

Control descriptions are structured as follows:

  • Control - the specific control statement to satisfy the control objective
  • Implementation guidance - detailed information to support the implementation of the control and meeting the control objective
  • Other information - provides further information that may need to be considered

 

Basic risk management

Risk assessments should identify, quantify, and prioritize risks against criteria for risk acceptance and objectives relevant to the organization. Risk assessments should also be performed periodically to address changes in the security requirements and in the risk situation. The scope of a risk assessment can be either the whole organization, parts of the organization, an individual information system, specific system components, or services.

 

Treating security risks

Before considering the treatment of a risk, the organization should decide criteria for determining
whether or not risks can be accepted. For each of the risks identified following the risk assessment a risk treatment decision needs to be made. Possible options for risk treatment include:

  • Applying appropriate controls to reduce the risks
  • Avoiding risks by not allowing actions that would cause the risks to occur
  • Transferring the associated risks to other parties, e.g. insurers or suppliers
  • Knowingly and objectively accepting risks

 

Where it has been decided to implement appropriate controls to reduce risks, controls
should be selected and implemented to meet the requirements identified by a risk assessment. Controls should ensure that risks are reduced to an acceptable level taking into account requirements of local and/or international laws and regulations, organizational objectives, requirements and constraints, and of course costs of controls.

Controls can be selected from this standard ISO 27002 or from any other control set, or new controls can be designed to meet the specific needs of the organization. The “Grundschutz” approach from the Bundesamt für Sicherheit in der Informationstechnik (BSI) is generally considered being effective and efficiency. By applying a standard set of controls a general level of information security can be achieved. Special controls are applied to protection objects with elevated security requirements only, as a result of a extended security analysis.

It should be kept in mind that no set of controls can achieve complete security, and that additional management action should be implemented to monitor, evaluate, and improve the efficiency and effectiveness of security controls to support the organization’s aims.

 

Clauses and security categories

In the following the 11 clauses and 39 main security categories from the ISO 27002 standard. Keep in mind, these are not the controls, it would be beyond the scope of this article to name them all – please refer to the standard for an overview.

 

Security policy

Information security policy

Objective: To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations.

 

Organization of information security

Internal organization

Objective: To manage information security within the organization.

External parties

Objective: To maintain the security of the organization’s information and information processing facilities that are accessed, processed, communicated to, or managed by external parties.

 

Asset management

Responsibility for assets

Objective: To achieve and maintain appropriate protection of organizational assets.

Information classification

Objective: To ensure that information receives an appropriate level of protection.

 

Human resources security

Prior to employment

Objective: To ensure that employees, contractors and third party users understand their responsibilities, and are suitable for the roles they are considered for, and to reduce the risk of theft, fraud or misuse of facilities.

During employment

Objective: To ensure that employees, contractors and third party users are aware of information security threats and concerns, their responsibilities and liabilities, and are equipped to support organizational security policy in the course of their normal work, and to reduce the risk of human error.

Termination or change of employment

Objective: To ensure that employees, contractors and third party users exit an organization or change employment in an orderly manner.

 

Physical and environmental security

Secure areas

Objective: To prevent unauthorized physical access, damage, and interference to the organization’s premises and information.

Equipment security

Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization’s activities.

 

Communications and operations management

Operational procedures and responsibilities

Objective: To ensure the correct and secure operation of information processing facilities.

Third party service delivery management

Objective: To implement and maintain the appropriate level of information security and service delivery in line with third party service delivery agreements.

System planning and acceptance

Objective: To minimize the risk of systems failures.

Protection against malicious and mobile code

Objective: To protect the integrity of software and information.

Back-up

Objective: To maintain the integrity and availability of information and information processing facilities.

Network security management

Objective: To ensure the protection of information in networks and the protection of the supporting infrastructure.

Media handling

Objective: To prevent unauthorized disclosure, modification, removal or destruction of assets, and interruption to business activities.

Exchange of information

Objective: To maintain the security of information and software exchanged within an organization and with any external entity.

Electronic commerce services

Objective: To ensure the security of electronic commerce services, and their secure use.

Monitoring

Objective: To detect unauthorized information processing activities.

 

Access control

Business requirement for access control

Objective: To control access to information.

User access management

Objective: To ensure authorized user access and to prevent unauthorized access to information systems.

User responsibilities

Objective: To prevent unauthorized user access, and compromise or theft of information and information processing facilities.

Network access control

Objective: To prevent unauthorized access to networked services.

Operating system access control

Objective: To prevent unauthorized access to operating systems.

Application and information access control

Objective: To prevent unauthorized access to information held in application systems.

Mobile computing and teleworking

Objective: To ensure information security when using mobile computing and teleworking facilities.

 

Information systems acquisition, development and maintenance

Security requirements of information systems

Objective: To ensure that security is an integral part of information systems.

Correct processing in applications

Objective: To prevent errors, loss, unauthorized modification or misuse of information in applications.

Cryptographic controls

Objective: To protect the confidentiality, authenticity or integrity of information by cryptographic means.

Security of system files

Objective: To ensure the security of system files.

Security in development and support processes

Objective: To maintain the security of application system software and information.

Technical Vulnerability Management

Objective: To reduce risks resulting from exploitation of published technical vulnerabilities.

 

Information security incident management

Reporting information security events and weaknesses.

Objective: To ensure information security events and weaknesses associated with information systems are communicated in a manner allowing timely corrective action to be taken.

Management of information security incidents and improvements

Objective: To ensure a consistent and effective approach is applied to the management of information security incidents.

 

Business continuity management

Information security aspects of business continuity management

Objective: To counteract interruptions to business activities and to protect critical business processes from the effects of major failures of information systems or disasters and to ensure their timely resumption.

 

Compliance

Compliance with legal requirements

Objective: To avoid breaches of any law, statutory, regulatory or contractual obligations, and of any security requirements.

Compliance with security policies and standards, and technical compliance

Objective: To ensure compliance of systems with organizational security policies and standards.

Information systems audit considerations

Objective: To maximize the effectiveness of and to minimize interference to/from the information systems audit process.