Informationssicherheit Ein Vergleich von Standards und Rahmenwerken
Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-5369 E-Mail:
[email protected] Internet: http://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2009
Vorwort
Danksagung Wir danken Herrn Friedrich Hueber, Herrn Robert Manuel Beck, Herrn Ronny Frankenstein und Herrn Timo Kob von der HiSolutions AG für die Erstellung dieser Studie. Für die Überarbeitung und die engagierte Unterstützung sei an dieser Stelle außerdem folgenden BSI-Mitarbeitern gedankt: Herrn Holger Schildt für die organisatorische Leitung, Herrn Dr. Clemens Doubrava, Frau Isabel Münch und Frau Dr. Marie-Luise Moschgath für Ergänzungen und Qualitätssicherung. Die Abbildungen dieser Studie wurden von Frau Jessika Welticke aufbereitet.
Bundesamt für Sicherheit in der Informationstechnik
3
Inhaltsverzeichnis
Inhaltsverzeichnis 1
Einleitung....................................................................................................................................7
2
Standards und Rahmenwerke......................................................................................................9
2.1 2.2 2.3 2.4 2.5 2.6 2.7
3 3.1 3.2 3.3 3.4
4 4.1 4.2 4.3 4.4 4.5
ISO/IEC 27001..................................................................................................................................9 IT-Grundschutz...............................................................................................................................10 PCI DSS Version 1.2.......................................................................................................................14 CobiT 4.1.........................................................................................................................................17 IDW Standards................................................................................................................................20 SAS 70............................................................................................................................................25 ISO/IEC 20000................................................................................................................................26
Vergleich von Standards und Rahmenwerken..........................................................................29 IT-Grundschutz und CobiT..............................................................................................................29 IT-Grundschutz und IDW PS 330...................................................................................................32 IT-Grundschutz und ISO/IEC 20000-1............................................................................................35 Zusammenfassung...........................................................................................................................36
Mapping von Standards und Rahmenwerke.............................................................................38 Ergebnisse: IT-Grundschutz und CobiT..........................................................................................38 Ergebnisse: IT-Grundschutz und IDW PS 330................................................................................40 Ergebnisse: IT-Grundschutz und ISO/IEC 20000............................................................................42 Mapping–Tabellen...........................................................................................................................44 Zusammenfassung...........................................................................................................................46
5
Fazit...........................................................................................................................................48
6
Abkürzungsverzeichnis.............................................................................................................50
7
Literaturverzeichnis..................................................................................................................51
Abbildungsverzeichnis Abbildung 1: CobiT-Kontrollmodell (Quelle: [CobiT 2007], Seite 14)............................................18 Abbildung 2: CobiT Würfel (Quelle: [CobiT 2007], Seite 25)..........................................................19 Abbildung 3: Ansatz der Systemprüfung nach IDW (Quelle: [IDW PS 330 2002], Tz. 8)...............22 Abbildung 4: ISO/IEC 20000 Prozesse (Quelle: [ISO/IEC 20000-1 2005], Seite 1)........................27 Abbildung 5: Plan-Do-Check-Act Methodik für Service Management Prozesse (Quelle: [ISO/IEC 20000-1 2005], Seite 5)......................................................................................................................28 Abbildung 6: Abbildung von IT-Grundschutz durch CobiT..............................................................39 Abbildung 7: Abbildung von CobiT durch IT-Grundschutz..............................................................40 Abbildung 8: Abbildung von IT-Grundschutz durch IDW PS 330....................................................41
4
Bundesamt für Sicherheit in der Informationstechnik
Inhaltsverzeichnis
Abbildung 9: Abbildung von PS 330 durch IT-Grundschutz.............................................................42 Abbildung 10: Abbildung von IT-Grundschutz durch ISO/IEC 20000-1..........................................43 Abbildung 11: Abbildung von ISO/IEC 20000-1 durch IT-Grundschutz..........................................44 Abbildung 12: Auszug einer Mapping Tabelle..................................................................................45 Abbildung 13: Auszug einer Kreuzreferenztabelle............................................................................46
Tabellenverzeichnis Tabelle 1: Vergleich von SAS 70-Berichten des Typs I und Typ II (Quelle: In Anlehnung an [SAS70 2007]).................................................................................................................25 Tabelle 2: Zuordnung der Phasen des PDCA-Zyklus zu den CobiT-Domänen (Quelle: [SecMgr11/2007])...........................................................................................................30
Bundesamt für Sicherheit in der Informationstechnik
5
Einleitung 1
1
Einleitung
Standards und Rahmenwerke stellen für Institutionen eine wichtige Grundlage für die Erschließung neuer und die Erweiterung bereits bekannter Themengebiete dar. In diesem Zusammenhang kann die Anwendung von Standards und Rahmenwerken sowohl eine Innen- als auch eine Außenwirkung haben. Nach innen dienen sie oftmals als Leitfaden und erleichtern der jeweiligen Institution so die Erschließung oder Erweiterung des jeweiligen Themengebietes. Darüber hinaus helfen Standards und Rahmenwerke dabei, die Anforderungen des jeweiligen Themengebietes institutionsweit ein heitlich umzusetzen. Nach außen kann die Erfüllung von Standards und Rahmenwerken als Nachweis einer einheitlichen und mit anderen Institutionen vergleichbaren Umsetzung dienen. Dies gilt insbesondere, wenn die Standards und Rahmenwerke zertifizierungsfähig sind. Speziell im Zusammenhang mit dem Quali tätsmanagement werden beispielsweise fehlende Zertifizierungen oftmals als Ausschlusskriterium in Ausschreibungen verwendet. Um die Umsetzung von Informationssicherheit zu unterstützen, wurden in der Vergangenheit unter schiedliche Standards und Rahmenwerke entwickelt (z. B. ISO/IEC 2700x, IT-Grundschutz). Durch die Anwendung dieser Sicherheitsstandards wird sichergestellt, dass allgemein anerkannte, einheit liche Methoden und Best Practices in die Realisierung von Informationssicherheit einfließen. Die standardkonforme Umsetzung ist in der Regel auditierbar und je nach Standard auch zertifizierbar. Eine Zertifizierung kann als Nachweis der Standardkonformität für Kunden, Lieferanten oder Partnerinstitutionen dienen. Es existieren darüber hinaus Standards, in denen Informationssicherheit als Teilaspekt oder aus einer bestimmten fachlichen Perspektive betrachtet wird. Dadurch bestehen inhaltliche Überschnei dungen zu den Standards und Rahmenwerken, die Informationssicherheit als Hauptaspekt betrachten. Aufgrund ihrer unterschiedlichen Themengebiete kommt es oft vor, dass mehrere Standards und Rahmenwerke für eine Institution relevant sind. Durch die oben genannten Überschneidungen entsteht hier ein entsprechender Koordinierungsbedarf. Beispielsweise könnten die Anforderungen eines bereits umgesetzten Standards oder Rahmenwerks durch die Umsetzung neuer Anforderungen revidiert werden. Andererseits könnte unbemerkt Mehraufwand entstehen, da die Umsetzung einer gleichartigen Anforderung des neuen Standards schon in ähnlicher Weise durch den bereits umge setzten Standard implementiert wurde. Institutionen müssen daher bei der Einführung neuer Standards oder Rahmenwerke die relevanten Maßnahmen parallel existierender Standards und Rahmenwerke berücksichtigen. Die Überschnei dungen müssen identifiziert und Synergieeffekte effizient genutzt werden. Das Ziel der vorliegenden Studie ist es daher eine Grundlage zu schaffen, um unterschiedliche Standards und Rahmenwerke im Bezug auf die Informationssicherheit kombinieren zu können. Hierfür wird ein Überblick über eine Auswahl von Standards und Rahmenwerke gegeben. Des Weiteren sollen die Überschneidungen zwischen ausgewählten Standards und Rahmenwerken mit Informationssicherheit als Teilaspekt und den Vorgaben aus dem IT-Grundschutz des BSI identifi ziert werden. Im ersten Teil der Studie werden daher die relevanten Standards und Rahmenwerke mit Sicherheits bezug vorgestellt. Dabei handelt es sich zunächst um die Standards mit direktem Bezug zur Infor mationssicherheit ISO/IEC 27001, IT-Grundschutz des BSI und den auf Kreditkarten bezogenen Bundesamt für Sicherheit in der Informationstechnik
7
1 Einleitung
Standard PCI-DSS. Im Folgenden werden Standards und Rahmenwerke vorgestellt, in denen Informationssicherheit lediglich einen Teilaspekt darstellt. Dies sind CobiT 4.1, die ITW Standards IDW RS FAIT 1, IDW PS 330 und IDW PS 951, der SAS 70 sowie die ISO/IEC 20000. Darauf folgend werden die Standards CobiT 4.1, IDW PS 330 sowie ISO/IEC 20000 dem ITGrundschutz vom BSI gegenübergestellt. In einem direkten Vergleich werden die Gemeinsamkeiten und Unterschiede identifiziert und dadurch eine qualitative Abgrenzung der Inhalte vorgenommen. Zum Vergleich wird anschließend ein Mapping der genannten Standards mit dem IT-Grundschutz vorgenommen. Dabei wurden die Maßnahmen der IT-Grundschutz-Kataloge und die Anforde rungen der genannten Standards aus beiden Richtungen aufeinander abgebildet. Im Ergebnis wird demnach zum einen betrachtet, welche Maßnahmen der genannten Standards durch IT-Grundschutz abgebildet werden. Zum anderen wird aufgezeigt, welche Anforderungen der genannten Standards durch IT-Grundschutz-Maßnahmen realisiert werden können. Für die praktische Anwendung wird darüber hinaus eine Zuordnung der Anforderungen von CobiT 4.1, IDW PS 330 und ISO/IEC 20000 zu den IT-Grundschutz-Bausteinen statt und in Form einer Kreuzreferenztabelle dargestellt. In Zusammenhang mit dem Mapping findet auch eine konkrete Zuordnung der Anforderungen von CobiT 4.1, IDW PS 330 und ISO/IEC 20000 zu den IT-Grundschutz-Bausteinen statt. Diese Zuord nung wird mittels einer Kreuzreferenztabelle durchgeführt, die für die Praxis verdeutlicht, wo Über schneidungen der Standards und Rahmenwerke zu finden sind.
8
Bundesamt für Sicherheit in der Informationstechnik
Standards und Rahmenwerke 2
2
Standards und Rahmenwerke
2.1
ISO/IEC 27001
Der Standard ISO/IEC 27001 definiert auf knapp 30 Seiten Anforderungen für ein Informations sicherheitsmanagementsystem (ISMS). Diese beschreiben einen prozessorientierten Ansatz, der die Planung, Umsetzung und Durchführung, die Überwachung und Überprüfung sowie die Wartung und Verbesserung des ISMS beinhaltet. Entstanden ist die ISO/IEC 27001 aus dem British Standard (BS) 7799-2. Für die Verträglichkeit mit anderen Managementsystemen wurde die Norm ISO/IEC 27001 mit anderen Normen abgestimmt. Dies ermöglicht die konsistente und integrierte Umsetzung und Durchführung mit anderen Managementsystemen. Dazu zählen die beiden internationalen Normen ISO 9001 (Quality management systems - Requirements) und ISO 14001 (Environmental management systems - Requirements with guidance for use). Nach der Norm ISO/IEC 27001 können Institutionen ihr ISMS zertifizieren lassen. Die Anforderun gen richten sich dabei nicht an eine spezielle Organisationsform, sondern lediglich an ein Informati onssicherheitsmanagementsystem (vergleiche [ISO/IEC 27001 2005], Seite v). Institutionen können z. B. kommerzielle Unternehmen oder Behörden sein. Die Reihenfolge der an ein ISMS gestellten Anforderungen verdeutlicht bereits den in der ISO/IEC 27001 verwendeten prozessorientierten Ansatz. Der gesamte Prozess des ISMS ist den vier Phasen des PDCA-Modells zugeordnet, so dass es auf die sich stetig ändernden Einflüsse angepasst werden und schrittweise verbessert werden kann. In der Planungsphase ("Plan") werden die Ziele, Strategien und relevanten Prozesse in Bezug auf die entsprechenden Bedürfnisse einer Institution geplant. In der Phase Umsetzung und Durch führung ("Do") wird das ISMS entsprechend der Planung umgesetzt. Diese beinhaltet unter anderem die Erstellung eines Plans zur Risikobehandlung, die Umsetzung von risikomindernden Maßnahmen (Controls) sowie das Management von Operationen und Ressourcen für das ISMS. Die dritte Phase, Überwachung und Überprüfung ("Check") des ISMS, dient der Messung und Prüfung des ISMS im Hinblick auf die Erreichung der in der Planungsphase festgelegten Ziele und Strate gien. Aus den gewonnenen Informationen werden Berichte für das Management erstellt. Mit der Wartung und Verbesserung wird die letzte Phase („Act“) des Zyklus abgeschlossen. Hier werden korrektive und vorbeugende Maßnahmen vorgenommen, um eine kontinuierliche Verbesserung des ISMS sicherzustellen. Die Maßnahmen werden aus den Ergebnissen der Vorphase definiert (ver gleiche [ISO/IEC 27001 2005], Seite vi). Der Aufbau und die Erstellung des ISMS einer Institution wird durch ihre Bedürfnisse und Ziele, ihre Sicherheitsanforderungen, die Prozesse sowie ihrer Größe und Struktur geprägt (vergleiche [ISO/IEC 27001 2005], Seite v). Die ISO/IEC 27001 verweist in Anlage A auf die Norm ISO/IEC 27002 Information technology -Security techniques -- Code of practice for information security management, die im Jahr 2005 von ISO/IEC 17799 in ISO/IEC 27002 umnummeriert wurde. Sie definiert Best Practices bezüglich der Ziele und Kontrollen zur Behandlung von Risiken als generische Implementierungshilfe. Für die Zertifizierung müssen diese definierten Ziele und Kontrollen in der Planungsphase des ISMS be rücksichtigt werden, es müssen jedoch nicht alle Ziele und Kontrollen der ISO/IEC 27002 notwen Bundesamt für Sicherheit in der Informationstechnik
9
2 Standards und Rahmenwerke
digerweise umgesetzt werden. Bei entsprechender Begründung können Ziele und Kontrollen auch weggelassen werden. Darüber hinaus kann eine Institution zusätzlich zu den vorhandenen Zielen und Kontrollen, eigene, individuelle Ziele und Kontrollen definieren. Innerhalb der Normenreihe ISO 2700x gibt es derzeit weitere Normen und Normentwürfe, die die Inhalte der ISO/IEC 27001 ergänzen bzw. konkretisieren. Als Beispiele sind insbesondere ISO/IEC 27000 Overview and vocabulary, ISO/IEC 27004 Information Security Management Measurement, ISO/IEC 27005 Information security risk management sowie ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems zu nennen. Die rein binären Aussagen zur Erfüllung einer Maßnahme der ISO/IEC 27002 sollen um konkretere Bewertungsmassstäbe z. B. für Effizienz und Effektivität mit der Norm ISO/IEC 27004 Information Security Management Measurement erweitert werden. Diese Norm liegt bisher nur als Entwurf vor und soll nach Fertigstellung die Forderung einer weitergehenden Qualitätsbewertung erfüllen. Die Norm ISO/IEC 27005:2008 enthält Spezifikationen für das Risikomanagement, die bei der Umsetzung des in der ISO/IEC 27001 enthaltenen Risikomanagementansatzes helfen. Weiterhin existiert die Norm ISO/IEC 27006 mit Anforderungen an Stellen, die Institutionen nach ISO/IEC 27001 zertifizieren oder auditieren. ISO/IEC 27006 ist aus dem Leitfaden EA-7/03 der European Accreditation Foundation hervorgegangen. Der Standard basiert auf der DIN EN ISO/IEC 17021 und ergänzt diesen um die ISMS-spezifischen Anforderungen. Grundsätzlich ist dieser Standard dort anzuwenden, wo die Anforderungen an Zertifizierungs- und Auditierungsstellen für ISMS gemäß DIN ISO/IEC 27001 definiert werden. In erster Linie dient er somit der Akkreditie rung von Zertifizierungsstellen, kann aber auch im Rahmen von "Peer Assessments" oder zur Etablierung von Auditprozessen herangezogen werden. Ziel des Dokuments ist es, die Arbeit von Zertifizierungsstellen zu harmonisieren und diesen einen Leitfaden zur Umsetzung bereitzustellen.
2.2
IT-Grundschutz
IT-Grundschutz ist ein Standard für Informationssicherheit, der vom Bundesamt für Sicherheit für Informationstechnik (BSI) Mitte der neunziger Jahre entwickelt wurde. Er stellt Methoden und Hilfestellungen zur Verfügung, mit denen Institutionen ein oder mehrere individuelle Informations verbünde abgrenzen und für dessen bzw. deren Bestandteile angemessene Sicherheitsmaßnahmen auswählen können (vergleiche [BSI 100-2 2008], Seite 36ff). Dabei ist der Informationsverbund eine individuelle Abgrenzung von Objekten aus den Bereichen Organisation, Personal, Technik und Infrastruktur. Bei der IT-Grundschutz-Vorgehensweise wird auf bekannte und bereits bewährte Sicherheitsmaßnahmen für einen normalen Schutzbedarf zurückgegriffen und für den Fall das diese nicht ausreichen ggf. weitere individuelle Maßnahmen anhand einer Risikoanalyse definiert. Dadurch ermöglicht die IT-Grundschutz-Vorgehensweise das Erreichen eines angemessenes Sicher heitsniveaus (vergleiche [BSI 100-1 2008]). Das Lebenszyklusmodell nach Deming stellt in diesem Zusammenhang die Grundlage für den Sicherheitsprozess dar und dient schließlich der kontinuierli chen Anpassung und Verbesserung des Sicherheitsmanagements (vergleiche [BSI 100-1 2008] und [ISO/IEC 27001 2005]). Angewendet werden kann IT-Grundschutz wie die ISO/IEC 27001 in Institutionen jeder Art und Größe (vergleiche [BSI 100-2 2008]). Den Informationsverbund können Institutionen vom BSI nach ISO 27001 auf der Basis von ITGrundschutz zertifizieren lassen. Eine solche Zertifizierung beinhaltet immer eine offizielle ISO-
10
Bundesamt für Sicherheit in der Informationstechnik
Standards und Rahmenwerke 2
Zertifizierung nach ISO/IEC 27001 und bietet darüber hinaus aufgrund der zusätzlich geprüften technischen Aspekte eine erweiterte Aussagekraft (vergleiche [BSI 100-1 2008]). IT-Grundschutz vom BSI umfasst die BSI-Standards zum Sicherheitsmanagement und die ITGrundschutz-Kataloge. Die BSI-Standards geben Empfehlungen für die Methoden, Prozesse und Verfahren sowie Vorgehensweisen und Maßnahmen hinsichtlich der Informationssicherheit. Die IT-Grundschutz-Kataloge enthalten Bausteine, Gefährdungen und Maßnahmen. Daneben gibt es zahlreiche weitere Veröffentlichungen rund um IT-Grundschutz (siehe http://www.bsi.de/gshb). Zunächst werden die vier BSI-Standards zum Sicherheitsmanagement vorgestellt. BSI-Standard 100-1: Managementsysteme für Informationssicherheit Dieser Standard definiert die generellen Anforderungen an ein Managementsystem für Informati onssicherheit. Der Standard 100-1 ist mit der ISO/IEC 27001 vollständig kompatibel. Darüber hinaus werden Empfehlungen der ISO/IEC 13335 und ISO/IEC 27002 berücksichtigt. BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise Die Ausführungen dieses Standards geben eine detaillierte Anleitung, wie ein Managementsystem für Informationssicherheit in der Praxis umgesetzt werden kann. Dabei werden unter anderem die Aufgaben des Informationssicherheitsmanagement sowie der Aufbau einer Organisationsstruktur für Informationssicherheit berücksichtigt (vergleiche [BSI 100-1 2008], Seite 10ff). Wichtige Elemente dieser Vorgehensweise werden im Anschluss der Darstellung der IT-GrundschutzKataloge ausführlicher erläutert. BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Wird im Rahmen der IT-Grundschutz-Vorgehensweise die Entscheidung für eine Risikoanalyse getroffen, bietet dieser Standard eine detailliert beschriebene Methode ([BSI 100-3 2008]), die mit der IT-Grundschutz-Vorgehensweise abgestimmt wurde und sich nahtlos in diese einbetten ([BSI 100-1 2008], S. 11) lässt. BSI-Standard 100-4: Notfall-Management Dieser Standard beschreibt eine Methodik zur Etablierung eines institutionsweiten Notfallmanage ments (vergleiche [BSI 100-4 2008]), basiert auf der IT-Grundschutz-Vorgehensweise nach BSIStandard 100-2 und ergänzt diese sinnvoll (vergleiche [BSI 100-1 2008]). IT-Grundschutz-Kataloge Die IT-Grundschutz-Kataloge (vergleiche [BSI GSK]) gliedern sich in Bausteine, Maßnahmen- und Gefährdungs-Kataloge. Sie enthalten konkrete Implementierungshilfen für den Sicherheitsprozess (vergleiche [BSI 100-2 2008], Seite 11). Dank der Modularität der Bausteine kann jede Institution ihren individuellen Informationsverbund entsprechend ihrer Sicherheitsanforderungen modellieren (vergleiche [BSI 100-2 2008], Seite 7f). Die IT-Grundschutz-Kataloge werden ständig aktualisiert und unter anderem im Internet veröffentlicht (vergleiche [BSI GSK]).
Bundesamt für Sicherheit in der Informationstechnik
11
2 Standards und Rahmenwerke
Bausteine Die Bausteine bilden typische Prozesse, Anwendungen und IT-Komponenten ab. Sie bestehen aus einer Beschreibung, Verweisen zu Gefährdungen und entsprechenden Maßnahmen. Die Gefährdungen und Maßnahmen sind jeweils in eigenen Katalogen beschrieben (vergleiche [BSI 100-2 2008], Seite 11f). Zur besseren Strukturierung sind die Bausteine in folgende fünf Schichten eingeteilt: - Übergreifende Aspekte - Infrastruktur - IT-Systeme - Netz - Anwendungen
Gefährdungs-Kataloge In diesem Katalog sind die in den Bausteinen enthaltenen Gefährdungen ausführlich beschrieben (vergleiche [BSI 100-2 2008], Seite 61). Die Gefährdungs-Kataloge gliedern sich in die fünf Bereiche: - Höhere Gewalt - Organisatorische Mängel - Menschliche Fehlhandlungen - Technisches Versagen - Vorsätzliche Handlungen
Maßnahmen-Kataloge Die Maßnahmen enthalten praxiserprobte Standard-Sicherheitsmaßnahmen als Implementierungs hilfe für den Sicherheitsprozess (vergleiche [BSI 100-2 2008], Seite 11). IT-Grundschutz definiert in diesem Zusammenhang einen Lebenszyklus mit den Phasen Planung und Konzeption, Beschaffung, Umsetzung, Betrieb, Aussonderung und Notfallvorsorge. Jede Maßnahme ist einer dieser Phasen zugeordnet (vergleiche [BSI 100-2 2008], Seite 77f). Die Maßnahmen sind darüber hinaus anhand der Siegelstufen Einstieg (A), Aufbau (B), Zertifikat (C), Zusätzlich (Z) und auch Wissenstransfer (W) kategorisiert, welche die Bedeutung der Maßnahmen für die Qualifizierung angeben. Um ein Auditoren-Zertifikat der "Einstiegsstufe" zu erlangen, reicht beispielsweise die Umsetzung der A-Maßnahmen aus. Ein Auditor-Testat der "Aufbaustufe" kann durch die Erfüllung aller A- und B-Maßnahmen erreicht werden. Für eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz müssen sowohl A-, B- als auch die C-Maßnahmen umgesetzt sein. Die zusätzlichen Maßnahmen sind insbesondere für erhöhte Sicherheitsanforderungen vorgesehen. Mit "W" werden schließlich Maßnahmen gekennzeichnet, die der Vermittlung von Wissen dienen (vergleiche [BSI 100-2 2008], Seite 15). Die Maßnahmen-Kataloge sind wie folgt strukturiert (vergleiche [BSI 100-2 2008], Seite 61): - Infrastruktur - Organisation 12
Bundesamt für Sicherheit in der Informationstechnik
Standards und Rahmenwerke 2
- Personal - Hard- und Software - Kommunikation - Notfallvorsorge
Nachdem notwendige Elemente erläutert wurden, wird nachfolgend die IT-GrundschutzVorgehensweise dargestellt. Sie basiert auf einem Sicherheitsprozess mit vier Hauptphasen: Initiierung des Sicherheitsprozesses Bei der Initiierung werden die grundlegenden organisatorischen Aspekte für das Informations sicherheitsmanagement realisiert. Dies beinhaltet die Verantwortung der Leitungsebene, die Konzeption und Planung, die Erstellung einer Leitlinie zur Informationssicherheit, den Aufbau einer Informationssicherheitsorganisation, die Bereitstellung von Ressourcen sowie die Einbindung aller Mitarbeiter. Erstellung einer Sicherheitskonzeption Nach der Initiierung des Sicherheitsprozesses wird die Sicherheitskonzeption erstellt. Die wichtigsten Schritte zur Erstellung sind ([BSI 100-2 2008], Seite 14): - Strukturanalyse - Schutzbedarfsfeststellung - Auswahl und Anpassung von Maßnahmen - Basis-Sicherheitscheck - Ergänzende Sicherheitsanalyse
Als Grundlage für die Erstellung der Sicherheitskonzeption muss zunächst der Geltungsbereich ab gegrenzt werden, der im IT-Grundschutz als Informationsverbund bezeichnet wird (vergleiche [BSI 100-2 2008], Seite 38). In der Strukturanalyse werden die für die Bestandteile (Informationen, Anwendungen, IT-Systene, Räume, Gebäude, Kommunikationsnetze) des Informationsverbundes erfasst. Klassischerweise wird hier mit den Anwendungen begonnen und darauf aufbauend die weiteren relevanten Objekte identifiziert (vergleiche [BSI 100-2 2008], Seite 37ff). Für die in der Strukturanalyse erfassten Bestandteile des Informationsverbunds wird eine Schutz bedarfsfeststellung durchgeführt. Dabei wird für jedes Objekt der Schutzbedarf bezüglich Vertraulichkeit, Verfügbarkeit und Integrität definiert. Dieser wird anhand der möglichen Schäden durch die Beeinträchtigung der betroffenen Anwendung bestimmt. Der IT-Grundschutz gibt die drei Schutzbedarfsklassen normal, hoch und sehr hoch vor. Die Grenzen dieser Klassen müssen von jeder Institution individuell festgelegt werden. In diesem Zusammenhang können bei Bedarf auch mehr Schutzbedarfsklassen definiert werden. (vergleiche [BSI 100-2 2008], Seite 37ff). Bei der Auswahl und Anpassung von Maßnahmen werden den Objekten des Informationsverbundes die entsprechenden Bausteine und die darin enthaltenen Gefährdungen und Maßnahmen zugeordnet (vergleiche [BSI 100-2 2008], Seite 60ff). Dieser Vorgang wird auch als Modellierung bezeichnet. Anschließend wird ein Basis-Sicherheitscheck durchgeführt, in dem der Soll-Zustand mit dem IstZustand verglichen wird (vergleiche [BSI 100-2 2008], Seite 65ff). Dadurch wird aufgezeigt, wo noch Defizite in der Umsetzung bestehen. Bundesamt für Sicherheit in der Informationstechnik
13
2 Standards und Rahmenwerke
Bei hohem oder sehr hohem Schutzbedarf, bei Zielobjekten, die nicht hinreichend durch die Grundschutzbausteine abgebildet werden können, sowie in Einsatzszenarien, für die ITGrundschutz nicht vorgesehen ist, wird eine ergänzende Sicherheitsanalyse durchgeführt. Hier wird entschieden, ob die umgesetzten IT-Grundschutz-Maßnahmen ausreichend sind oder zusätzliche Maßnahmen durch eine Risikoanalyse ermittelt werden müssen. Umsetzung der Sicherheitskonzeption Bei der Umsetzung findet zunächst eine Sichtung der Untersuchungsergebnisse statt. Hierbei werden die noch nicht umgesetzten IT-Grundschutz-Maßnahmen sowie ggf. die Maßnahmen aus der Risikoanalyse zusammengestellt. Im nächsten Schritt findet eine Konsolidierung der Maßnahmen statt. Dabei wird zum einen geprüft, ob die ausgewählten Maßnahmen aus den Katalogen durch die zusätzlichen Maßnahmen aus der ggf. durchgeführten Risikoanalyse ergänzt oder ersetzt werden können. Zum anderen wird festgestellt, ob die umzusetzenden Maßnahmen hinsichtlich der technischen und organisatorischen Gegebenheiten der Institution konkretisiert oder angepasst werden müssen (vergleiche [BSI 100-2 2008], 76ff). Die weiteren Schritte bestehen aus der Kosten- und Aufwandsschätzung, der Festlegung der Umsetzungsreihenfolge der Maßnahmen, der Festlegung der Aufgaben und der Verantwortung sowie der Berücksichtigung realisierungsbegleitender Maßnahmen (z. B. Sensibilisierung der betroffenen Mitarbeiter). (vergleiche [BSI 100-2 2008], 77ff) Aufrechterhaltung und Verbesserung Die letzte Phase beinhaltet die Prüfung des Informationssicherheitsprozesses auf seine Wirksamkeit und Effizienz. Hier sollte insbesondere eine regelmäßige Erfolgskontrolle durch die Leitungsebene stattfinden. Für die Aufrechterhaltung und Verbesserung müssen zwei Aspekte berücksichtigt werden. Zum einen sollte die Überprüfung des Informationssicherheitsprozess in allen Ebenen stattfinden. Dies bedeutet, dass geeignete Methoden zur Überprüfung des Informationssicherheitsprozesses ausge wählt, eine Überprüfung der Umsetzung der Sicherheitsmaßnahmen durchgeführt, die Eignung der Informationssicherheitsstrategie (Aktualität, Wirtschaftlichkeit etc.) geprüft sowie die Übernahme der Ergebnisse in den Informationssicherheitsprozess organisiert werden. Zum anderen muss der Informationsfluss im Informationssicherheitsprozess betrachtet werden. Hierbei geht es sowohl um die zielgruppengerechte Aufbereitung als auch um die zeitnahe Verteilung von Informationen des Informationssicherheitsprozesses. Der kontinuierliche Verbesserungszyklus schließt sich mit der Phase "Erstellung der Sicherheits konzeption" in die die Verbesserungsmaßnahmen einfließen.
2.3
PCI DSS Version 1.2
Der Payment Card Industry Data Security Standard (PCI DSS) wird von einem Konsortium führender Kreditkarten-Organisationen herausgegeben. Er wurde vom PCI Security Standards Council erstellt und formuliert Sicherheitsanforderungen an die Abwicklung von Kreditkarten transaktionen. 14
Bundesamt für Sicherheit in der Informationstechnik
Standards und Rahmenwerke 2
Die Anforderungen von PCI DSS müssen von allen Unternehmen umgesetzt werden, die Karten inhaberdaten von Kreditkarten speichern, verarbeiten oder übertragen, also z. B. von Händlern, die Kreditkartenzahlungen akzeptieren, oder von Dienstleistern, die diese im Auftrag weiterverarbeiten. In Version 1.1 des Standards war ausformuliert, dass PCI DSS Anforderungen "immer dann gelten, wenn eine Primary Account Number (PAN) gespeichert, verarbeitet oder übermittelt wird." Dabei wird mit PAN die Zahlungskartennummer einer Kredit- oder Debitkarte bezeichnet, die den Karten aussteller und das jeweilige Karteninhaberkonto identifiziert. Im Volksmund wird PAN auch kurz als Kontonummer bezeichnet. Diesem Standard unterliegen nur Karteninhaberdaten, die in Verbindung mit der PAN gespeichert werden. Datenelemente, die in Verbindung mit der PAN gespeichert werden, sind laut PCI DSS der Name des Karteninhabers, der Servicecode und das Ablaufdatum der Karte. Der Standard weist darüber hinaus darauf hin, dass sich aus vertraglichen oder gesetzlichen Anforderungen (z. B. Datenschutzgesetze) zusätzliche Sicherheitsanforderungen an die sorgfältige Verarbeitung, Speiche rung und Weitergabe erfasster Kundendaten im Rahmen der geschäftlichen Tätigkeit ergeben können (vergleiche [PCI-DSS 2008], Seite 4). Vertrauliche Authentisierungsdaten haben einen sehr hohen Schutzbedarf und unterliegen daher einer besonderen Anforderung. Zu den vertraulichen Authentisierungsdaten zählen die Daten des Magnetstreifens einer Debit- oder Kreditkarte, PINs und Kartenprüfwerte wie z. B. den CVC2 (Card Validation Code Version 2). Diese dürfen nach der Authentisierung nicht in den Händler systemen gespeichert werden (vergleiche [PCI-DSS 2008], Seite 4). Deshalb enthält dieser Standard keine weitergehenden Sicherheitsanforderungen an diese Art Informationen. Die im PCI DSS formulierten Sicherheitsanforderungen gelten für alle Systemkomponenten, die Karteninhaberdaten oder vertrauliche Authentisierungsdaten (z. B. die Magnetstreifendaten, PIN der PIN-Block) verarbeiten oder mit dieser in Verbindung stehen. Diese Systemkomponenten sind beispielsweise Netzkomponenten (z. B. Firewall, Switches und Router), Server oder Anwendungen (vergleiche [PCI-DSS 2008], Seite 5ff). Der zu sichernde Bereich kann durch eine sinnvolle Netz segmentierung reduziert werden. Insgesamt sind 12 übergreifende Sicherheitsanforderungen in den folgenden sechs Bereichen definiert (vergleiche [PCI-DSS 2008], Seite 13ff): - Erstellung und Wartung eines sicheren Netzwerks - Installation und Wartung einer Firewall-Konfiguration zum Schutz von Karteninhaberdaten - Ändern der vom Anbieter festgelegten Standardeinstellung für Systemkennwörter und andere
Sicherheitsparameter - Schutz von Karteninhaberdaten - Schutz gespeicherter Karteninhaberdaten - Verschlüsselung bei der Übertragung von Karteninhaberdaten über offene, öffentliche Netze - Wartung eines Anfälligkeits-Managementprogramms - Verwendung und regelmäßige Aktualisierung von Antivirensoftware - Entwicklung und Wartung sicherer Systeme und Anwendungen - Implementierung starker Zugriffskontrollmaßnahmen
Bundesamt für Sicherheit in der Informationstechnik
15
2 Standards und Rahmenwerke
- Beschränkung des Zugriffs auf Karteninhaberdaten je nach geschäftlichem Informations
bedarf - Zuweisung einer eindeutigen ID für jede Person mit Computerzugriff - Beschränkung des physischen Zugriffs auf Karteninhaberdaten - Regelmäßige Überwachung und regelmäßiges Testen von Netzwerken - Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karten
inhaberdaten - Regelmäßiges Testen der Sicherheitssysteme und -prozesse - Befolgung einer Informationssicherheitsrichtlinie - Befolgung einer Informationssicherheits-Richtline für Mitarbeiter und Subunternehmer
Alle Dienstanbieter, die auf Karteninhaberdaten zugreifen können, müssen ebenfalls PCI DSS komplett umsetzen. Hosting-Anbieter, die von mehreren Kreditkarten-verarbeitenden Unternehmen genutzt werden, müssen außerdem weitere Anforderungen erfüllen. Beispielsweise müssen sie die Zugriffsrechte ihrer jeweiligen Vertragspartner auf deren eigene Umgebung beschränken. Bei einem Sicherheitsvorfall bei einem Dienstleister muss es möglich sein, den Vorfall rechtzeitig zu untersuchen, falls erforderlich auch gerichtlich. Die jeweiligen Sicherheitsanforderungen in diesen sechs Bereichen sind im PCI DSS kurz inhaltlich umrissen, aber nicht detailliert ausformuliert. Sie entsprechen im Detaillierungsgrad in etwa den Kontrollzielen aus ISO 27002. Zu jeder Anforderung werden zusätzlich Prüfhinweise gegeben. Insgesamt umfassen alle 12 Sicherheitsanforderungen und Prüfverfahren circa 50 Seiten. Wenn die definierten Anforderungen in dem Unternehmen aufgrund technischer oder organisatorischer Besonderheiten nicht umgesetzt werden können, besteht die Möglichkeit, Kompensationskontrollen durchzuführen, die jedes Jahr dokumentiert und geprüft werden müssen. Hierdurch dürfen jedoch keine Risiken entstehen, die bei strikter Umsetzung der Anforderungen von PCI DSS behandelt worden wären. Die umgesetzten Kompensationskontrollen müssen folgende Kriterien erfüllen (vergleiche [PCI-DSS 2008], Seite 66): 1. "Sie müssen in Absicht und Anspruch den ursprünglichen PCI DSS-Anforderungen entsprechen. 2. Sie müssen ein vergleichbares Schutzniveau wie die ursprüngliche PCI DSS-Anforderung bieten. (...) 3. Sie müssen mindestens so weitreichend wie andere PCI DSS-Anforderungen sein. (...) 4. Sie müssen dem zusätzlichen Risiko, das durch die Nichteinhaltung der PCI DSS-Anforderung entsteht, angemessen sein." Führende Kreditkartenunternehmen haben sich darauf geeinigt, dass PCI DSS für alle Institutionen, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, seit Januar 2008 verpflichtend ist (vergleiche hierzu unter anderem [Saferpay 2007]). Dazu gehören nicht nur alle Dienstleister, die Kreditkarten- oder Transaktionsdaten verarbeiten, sondern auch Händler, die Kreditkarten akzeptieren, ebenso wie Händlerbanken und Acquirer. Institutionen, die Kreditkartendaten verarbeiten, speichern oder weiterleiten, müssen nicht nur die Anforderungen nach PCI DSS umsetzen, sondern die erfolgreiche Umsetzung muss anschließend überprüft und das Ergebnis registriert werden. Je nach Art und Größe der Institution, der Anzahl der Transaktionen und der Führung der Karteninhaberdaten, gibt es hierzu verschiedene Möglichkeiten
16
Bundesamt für Sicherheit in der Informationstechnik
Standards und Rahmenwerke 2
von Zertifizierungen oder Selbstzertifizierungen. Wenn eine Zertifizierung nicht zwingend not wendig ist, kann durch jährlich auszufüllende Selbstbeurteilungs-Fragebögen die Komformität zum PCI-Regelwerk mitgeteilt werden. Hierfür sieht das PCI Security Standards Council fünf verschie dene Validierungstypen vor. Zusätzlich sollten noch vierteljährliche Sicherheitschecks durchgeführt werden. Die Zertifizierungen nach PCI DSS dürfen nur akkreditierte Prüfer, sogenannte Qualified Security Assessors, durchführen. Nähere Informationen zu PCI DSS finden sich unter https://www.pcisecuritystandards.org.
2.4
CobiT 4.1
Das Rahmenwerk Control Objectives for Information and related Technology (CobiT) ermöglicht die Steuerung und Kontrolle des IT-Betriebs durch das Management (vergleiche [CobiT 2007], Seite 5). CobiT wurde von der ISACA (Information Systems Audit and Control Association) ent wickelt. Entstanden ist CobiT aus einer Sammlung von mehreren IT-Standards, Rahmenwerken, Richtlinien und Best Practices. Zu diesen zählen unter anderem die IT Infrastructure Library (ITIL), die ISO/IEC 27002 (vormals ISO/IEC 17799) und das Capability Maturity Model (CMM). Für die Version 4.1 wurde der Schwerpunkt auf sechs IT-Standards, Rahmenwerke, Richtlinien und Best Practices gelegt (vergleiche [CobiT 2007], Seite 177). CobiT bietet dabei nicht die Möglichkeit einer Zertifizierung. Der Fokus liegt auf der Erreichung der Anforderungen für das IT Governance . "IT Governance ist die Verantwortung von Führungskräften und Aufsichtsräten und besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Unternehmens-IT dazu beiträgt, die Unternehmensstrategie und -ziele zu erreichen und zu erweitern." (CobiT 4.1 2007, Seite 5) Als prozessorientierte Methode ist CobiT dabei unabhängig von der internen Struktur oder der Rechtsform einer Institution einsetzbar. Die Anforderungen für das IT Governance teilt CobiT in fünf Kernbereiche ein, die auf die drei grundlegenden Bestandteile Wertbeitrag, Risiko und Steue rung zurückzuführen sind. Die fünf Kernbereiche sind strategische Ausrichtung, Schaffen von Werten und Nutzen, Ressourcenmanagement, Risikomanagement und das Messen der Performance (vergleiche [CobiT 2007], Seite 5f). Die Sicherstellung der Kernbereiche des IT Governance und die dafür notwendige Identifikationen der IT-Ressourcen, IT-Prozesse, IT-Kontrollen sowie mög liche Lücken wird folgendermaßen erreicht (vergleiche [CobiT 2007], Seite 5f): Die IT-Ziele werden aus den Unternehmenszielen und der Unternehmensstrategie für die IT abge leitet. Dabei gliedert CobiT die Unternehmensziele in die Kategorien Effektivität, Effizienz, Vertraulichkeit, Verfügbarkeit, Integrität, Compliance und Verlässlichkeit. Die Bedeutung der Sicherheit wird aus den drei Kriterien Vertraulichkeit, Verfügbarkeit und Integrität deutlich. Aus den IT-Zielen wird die Unternehmensarchitektur für die IT bestimmt. Die Architektur besteht aus IT-Ressourcen und -Prozessen. Die IT-Ressourcen gliedern sich in Anwendungen, Informationen, Infrastruktur und Personal (vergleiche [CobiT 2007], Seite 10ff) und werden von IT-Prozessen gesteuert (vergleiche [CobiT 2007], Seite 25). Die IT-Prozesse sind in vier Domänen gegliedert (vergleiche [CobiT 2007], Seite 12): - Plan and Organise (PO) - Aquire and Implement (AI)
Bundesamt für Sicherheit in der Informationstechnik
17
2 Standards und Rahmenwerke
- Deliver and Support (DS) - Monitor and Evaluate (ME)
Den IT-Prozessen sind sieben generelle Kontrollziele (der Kategorien der Unternehmensziele siehe oben) zugeordnet, jeweils ein übergeordnetes Kontrollziel und mehrere detaillierte Kontrollziele. Über die IT-Prozesse hinaus existieren Anwendungskontrollziele, die sicherstellen, dass der Um gang mit den im Unternehmen verwendeten Anwendungssystemen richtig und korrekt erfolgt (vergleiche [CobiT 2007], Seite 14). Die Kontrolle der Zielerreichung erfolgt durch die Bereit stellung geeigneter Messgrößen und durch ein Reifegradmodell (vergleiche [CobiT 2007], Seite 5, 14 und 17f). Die Messgrößen werden in zwei Kategorien unterteilt: die Outcome Measures, die angeben, wie gut die Unternehmenserfordernisse umgesetzt worden sind, und die Perfomance Indicators, welche die aktuelle und zukünftige Zielerreichung der IT-Prozesse messen (vergleiche [CobiT 2007], Seite 22f). Die Reife eines Prozesses wird mit dem Reifegradmodell bestimmt, welches eine Bewertung der IT-Prozesse von "nicht existent" bis "optimiert" in fünf Stufen ermög licht (vergleiche [CobiT 2007], Seite 18f). Den IT-Fachbereichen werden für eine wirksame Aus führung und Umsetzung entsprechende Verantwortlichkeiten zugeordnet (vergleiche [CobiT 2007], Seite 6 und 15).
Abbildung 1: CobiT-Kontrollmodell (Quelle: [CobiT 2007], Seite 14)
Die beschriebenen Punkte fließen in das Kontrollmodell von CobiT ein. Dieses ist in Abbildung 1 dargestellt. Als Eingabe dienen die Standards, Rahmenwerke, Guidelines, Best Practices und die ITZiele. Die aus den Prozessen entstandenen Kontrollinformationen werden mit den Eingaben ver glichen und aus den Ergebnissen entsprechende Maßnahmen abgeleitet (vergleiche [CobiT 2007], Seite 14). Die gesamte Umsetzung wird durch eine Strukturierung der Prozesse unterstützt, dem CobiTProzessmodell (vergleiche [CobiT 2007], Seite 5). Hier bestehen die oben beschriebenen vier Domänen der IT-Prozesse aus insgesamt 34 Prozessen, die sich wiederum aus Aktivitäten zusam mensetzen (vergleiche [CobiT 2007], Seite 6 und 26).
18
Bundesamt für Sicherheit in der Informationstechnik
Standards und Rahmenwerke 2
Abbildung 2: CobiT Würfel (Quelle: [CobiT 2007], Seite 25)
Dieses Prozessmodell, ergänzt um die oben beschriebenen Unternehmensanforderungen und ITRessourcen, bildet den in Abbildung 2 dargestellten CobiT-Würfel (vergleiche [CobiT 2007], Seite 26). Dieser stellt die Zusammenhänge der drei Bestandteile dar. IT-Aktivitäten und -Ressourcen werden von den vorgegeben Unternehmensanforderungen über die Domänen und Prozesse ge steuert. Die Messgrößen ermöglichen sodann eine Überwachung und bei Bedarf eine Neuausrich tung der IT ([CobiT 2007], Seite 24). Das CobiT-Rahmenwerk gibt für jeden Prozess eine komplette Übersicht. Diese enthält eine Pro zessbeschreibung, detaillierte Kontrollziele, Prozesseingaben und –ausgaben, RACI-Informationen (RACI: Zuständig (Responsible), verantwortlich (Accountable), beraten (Consulted), informiert (Informed); vergleiche [CobiT 2007], Seite 24), Ziele und Metriken sowie eine Beschreibung für die Reifegradbestimmung (vergleiche [CobiT 2007], Seite 27f). Die Eingaben, Ausgaben, Aktivi täten, Rollen, Verantwortlichkeiten und Metriken sind illustrativ aufgeführt und nicht vollständig beschrieben. Die Eingaben enthalten neben einer kurzen Eingabenbeschreibung Informationen über die Herkunft der Eingaben. Diese können von anderen CobiT-Prozessen oder Prozessausgaben stammen, oder aber von außerhalb kommen. Die Ausgaben enthalten neben einer kurzen Beschreibung Informa tionen darüber, in welche Prozesse die Ausgaben als Eingaben einfließen (vergleiche [CobiT 2007], Seite 31ff). Jeder Prozess wird durch die Prozessbeschreibung übersichtlich dargestellt. Diese enthält Infor mationen darüber, welche Unternehmensanforderungen der sieben Kategorien und aus den fünf Kernbereichen der IT Governance primär (p) oder sekundär (s) angesprochen werden. Weiterhin enthält diese Übersicht die Kontrolle des IT-Prozesses, die Unternehmensziele bezüglich der IT, die wichtigsten IT-Ziele des IT-Prozesses, wie diese Ziele erreicht und kontrolliert werden sowie
Bundesamt für Sicherheit in der Informationstechnik
19
2 Standards und Rahmenwerke
welche IT-Ressourcen für den jeweiligen IT-Prozess benötigt werden (vergleiche [CobiT 2007], Seite 27f). Zu CobiT existiert kein eigenes Zertifizierungsschema. Andererseits dient CobiT aber als Rahmen werk für interne und externe Audits (z. B. von Wirtschaftsprüfern).
2.5
IDW Standards
Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) ist ein Zusammenschluss von Wirt schaftsprüfern und Wirtschaftsprüfungsgesellschaften Deutschlands. Eines der Ziele des IDW ist es, die Facharbeit von Wirtschaftsprüfern zu unterstützen (vergleiche [IDW 2008]). Das IDW gibt ver schiedene Arten von Publikationen heraus: - Prüfungsstandards (IDW PS) - Stellungnahmen zur Rechnungslegung (IDW RS) - IDW Standards (IDW S) - Prüfungs- und Rechnungslegungshinweise (IDW PH und IDW RH)
Die Prüfungsstandards legen Anforderungen der Rechnungslegung und Prüfungsfragen fest. Alle Verlautbarungen des IDW werden, unter der Einbeziehung der Öffentlichkeit, von Fachgremien entwickelt und regelmäßig aktualisiert. Einige dieser Verlautbarungen beinhalten auch Aspekte der Informationssicherheit. Hierzu gehören beispielsweise: - Abschlussprüfung bei Einsatz von Informationstechnologien (IDW PS 330) - Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PH 9.330.1) - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS
FAIT 1) - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce (IDW RS
FAIT 2) - Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren
(IDW RS FAIT 3) - Erteilung und Verwendung von Softwarebescheinigungen (IDW PS 880) - Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienst
leistungsunternehmen ausgelagerte Funktionen (IDW PS 951) Im Folgenden werden die Stellungnahme zur Rechnungslegung IDW RS FAIT 1 sowie die Prüfungsstandards IDW PS 330 und IDW PS 951 erläutert. Die Stellungnahme beschreibt die Grundsätze und die beiden Prüfungsstandards, die beim Einsatz von Informationstechnologie rele vant sind und beschreiben Sicherheitsanforderungen an die IT. Der Prüfungsstandard 330 richtet seine Anforderungen direkt an die IT. Hingegen macht der Prüfungsstandard 951 Vorgaben an das interne Kontrollsystem eines Dienstleistungsunternehmens. Da die IT Teil des internen Kontroll system ist, sind auch die Vorgaben dieses Standards für die IT zu beachten.
20
Bundesamt für Sicherheit in der Informationstechnik
Standards und Rahmenwerke 2
2.5.1 IDW RS FAIT 1 In seiner Stellungnahme zur Rechnungslegung IDW RS FAIT 1 definiert der Fachausschuss für Informationstechnologie des IDW die "Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnologie". Die Stellungnahme stellt die grundlegenden Definitionen für die ITspezifischen Prüfungsstandards des IDW (z. B. PS 330, PS 880) zusammen. Insbesondere wird hier der Geltungsbereich des Begriffs "IT-System" definiert. Im Gegensatz zu anderen Standards ist "IT-System" hier nicht als Hardware inklusive Betriebssystem, sondern als übergeordneter Begriff zu verstehen. Ein IT-System nach RS FAIT 1 beinhaltet die rechnungs legungsrelevanten IT-gestützten Geschäftsprozesse, IT-Anwendungen, IT-Infrastruktur wie bauli che Einrichtungen, Hardware und den IT-Betrieb. Das Zusammenwirken der Elemente des ITSystems wird durch das IT-Kontrollsystem definiert. In diesem werden die Risiken des IT-Einsatzes behandelt (vergleiche [IDW RS FAIT 1 2002], Tz. 7ff). Da Sicherheit eine Voraussetzung für die Ordnungsmäßigkeit der IT-gestützten Rechnungslegung darstellt, wurden in der RS FAIT 1 auch die "Sicherheitsanforderungen an rechnungslegungs relevante Daten" festgelegt. Als Sicherheitsanforderungen an die IT-Systeme definiert die RS FAIT 1 Vertraulichkeit, Integrität, Verfügbarkeit, Autorisierung, Authentizität und Verbindlichkeit. Darüber hinaus verlangt die Stellungnahme, dass ein Sicherheitskonzept erstellt wird, in dem die Sicherheitsrisiken des IT-Einsatzes bewertet und entsprechende organisatorische oder technische Maßnahmen abgeleitet werden. Neben den Sicherheitsanforderungen werden in der RS FAIT 1 die gesetzlichen Anforderungen ordnungsgemäßer Buchführung auf die IT abgebildet. Der Standard legt hier die im HGB verlang ten Werte Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung, Nachvollziehbarkeit und Unver änderlichkeit für die IT aus.
2.5.2 IDW PS 330 Der IDW Prüfungsstandard "Abschlussprüfung bei Einsatz von Informationstechnologie" (IDW PS 330) ist ein Prüfungsstandard, der von Wirtschaftsprüfern bei Abschlussprüfungen eingesetzt wird, wenn die Rechnungslegung des jeweiligen Unternehmens unter dem Einsatz von Informations technologie (IT) erfolgt (vergleiche [IDW PS 330 2002], Tz. 8). Da dies heutzutage bei nahezu allen Unternehmen der Fall ist, ist der PS 330 ein viel beachteter Standard. Der Prüfungsumfang ist dabei auf IT-Systeme konzentriert, die "rechnungslegungsrelevante" Daten verarbeiten, also beispielsweise für Buchführung, Jahresabschlüsse, Lageberichte oder ähnliches. Prinzipiell richtet sich der Standard aber an alle IT-Systeme, bei denen durch dort auftretende Sicherheitsrisiken dem Unternehmen ein wesentlicher wirtschaftlicher Schaden entstehen könnte. PS 330 beschreibt die Ziele, den Umfang, die Durchführung, die IT-gestützten Prüfungstechniken sowie die Dokumentation der Prüfung von rechnungslegungsrelevanten IT-Systemen entsprechend der in RS FAIT 1 gegebenen Definition. Auch die weiteren grundlegenden Begriffe zur Informati onstechnologie, zum Einsatz der IT im Unternehmen sowie zur Einrichtung des IT-Systems werden in der IDW RS FAIT 1 geregelt. Insbesondere die darin enthaltenen Anforderungen an die Ord nungsmäßigkeit und Sicherheit sowie weitere gesetzliche Anforderungen stellen die Basis für die IT-Systemprüfung dar (vergleiche [IDW PS 330 2002], Tz. 7).
Bundesamt für Sicherheit in der Informationstechnik
21
2 Standards und Rahmenwerke
Prüfungskriterien sind Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordnung, Nachvollzieh barkeit und Unveränderlichbarkeit. Bei den Prüfungen nach PS 330 stehen die Angemessenheit, also ob die IT-Systeme den Anforderungen des Unternehmens genügt, sowie die Wirksamkeit, also ob die dokumentierten bzw. geplanten Maßnahmen wirksam umgesetzt sind und gelebt werden, im Vordergrund. Die Prüfungen müssen nicht immer von Wirtschaftsprüfern durchgeführt werden, sondern es können auch Spezialisten hinzugezogen werden. Unter welchen Rahmenbedingungen dies erfolgen muss, ist in IDW PS 320 beschrieben. Die IT-Systemprüfung dient der Bewertung von Fehlern der IT-Systeme im Hinblick auf die damit verbunden Risiken, die die Erreichung der Unternehmensziele und die Entwicklung des Unter nehmens beeinträchtigen könnten (vergleiche [IDW PS 330 2002], Tz. 8). Deshalb findet im IDW PS 330 eine detaillierte Klassifizierung unterschiedlicher Risiken für den Prüfungsbereich statt (vergleiche [IDW PS 330 2002], Tz. 15ff). Die Prüfungsbereiche für IT-Systeme setzten sich aus der IT-Infrastruktur, IT-Anwendung und IT-gestützten Geschäftsprozesse einschließlich des ITUmfeldes und der IT-Organisation zusammen (vergleiche [IDW PS 330 2002], Tz. 29). Art und Umfang der Prüfung richten sich nach der Wesentlichkeit des IT-Systems für die Rechnungslegung bzw. für die Beurteilung der Ordnungsmäßigkeit und der Komplexität der eingesetzten IT-Systeme. Eine Darstellung des IDW-Ansatzes zur IT-Systemprüfung wird in Abbildung 3 dargestellt.
Abbildung 3: Ansatz der Systemprüfung nach IDW (Quelle: [IDW PS 330 2002], Tz. 8)
Die Vorgehensweise bei der IT-Systemprüfung gliedert sich in drei Teile (vergleiche [IDW PS 330 2002], Tz. 25ff): 1. Aufnahme des IT-Systems 2. Aufbauprüfung
22
Bundesamt für Sicherheit in der Informationstechnik
Standards und Rahmenwerke 2
3. Funktionsprüfung Die Aufnahme bzw. die Erhebung des IT-Systems erfolgt nach den oben genannten Prüfungs bereichen. Aus den in der Aufnahme gewonnen Informationen und Kenntnissen erfolgt die Aufbauund Funktionsprüfung. Ziel der Aufbauprüfung ist die Beurteilung der Angemessenheit und Wirksamkeit des IT-Kontroll systems anhand der personellen, organisatorischen und technischen Maßnahmen. Hierzu werden typischerweise Dokumentenstudien, Befragungen sowie Beobachtungen der Aktivitäten und Arbeitsabläufe durchgeführt. Ein zentraler Bestandteil ist dabei die "Gewährleistung der Sicherheit, insbesondere durch die angemessene Umsetzung eines geeigneten IT-Sicherheitskonzeptes" (ver gleiche [IDW PS 330 2002], Tz. 32) Bereiche die in der Aufbauprüfung als angemessen beurteilt wurden, erfahren anschließend die Funktionsprüfung. Dabei wird die Wirksamkeit der eingerichteten Kontrollen hinsichtlich ihres Beitrags zur Begrenzung der Fehlerrisiken beurteilt (vergleiche [IDW PS 330 2002], Tz. 35). Neben den bereits in der Aufbauprüfung verwendeten Erhebungsmethoden, werden hier zusätzlich Plausi bilitätsbeurteilungen und durchgeführt sowie die Unterlagen Dritter (z. B. anderer Prüfer) verwendet. Als Hilfsmittel zur Durchführung von IT-Systemprüfungen nach IDW PS 330 hat IDW den Prüfungshinweis IDW PH 9.330.1 Checkliste zur Abschlussprüfung bei Einsatz von Informations technologie veröffentlicht. Diese Checkliste ist entsprechend der Struktur des Standards PS 330 aufgebaut und erleichtert es, eine einheitliche Prüfungsqualität zu gewährleisten. Die Fragen der Checkliste beziehen sich auf Erhebung, Aufbauprüfung und Funktionsprüfung einer IT-System prüfung. Die einzelnen Fragen stellen ein Grundgerüst für IT-bezogene Prüfungen dar, die auf die zu prüfenden IT-Systeme angepasst bzw. ergänzt werden müssen. Die einzelnen Fragen referen zieren jeweils auf die Aktivitäten einer IT-Systemprüfung als Erhebung (E), Aufbauprüfung (A) und Funktionsprüfung (F). IDW PH 9.330.1 ist in folgende Prüffelder eingeteilt - IT-Strategie - IT-Umfeld - IT-Organisation - IT-Infrastruktur - IT-Anwendungen - IT-gestützte Geschäftsprozesse - IT-Outsourcing - Internet-Nutzung
IDW ist Mitglied im Weltverband der Wirtschaftsprüfer, der International Federation of Accountants (IFAC), die international abgestimmte Standards heraus gibt. Dementsprechend erfüllt IDW PS 330 den IFAC-Standard International Standard on Auditing (ISA) 401 "Auditing in a Computer Information Systems Environment", wobei PS 330 zusätzlich deutsche Gesetzesnormen berücksichtigt (vergleiche [IDW PS 330 2002], Tz. 5).
Bundesamt für Sicherheit in der Informationstechnik
23
2 Standards und Rahmenwerke
2.5.3 IDW PS 951 Der Prüfungsstandard IDW PS 951 "Prüfung des internen Kontrollsystems beim Dienstleistungs unternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen" gibt vor, wie das Interne Kontrollsystem (IKS) geprüft und wie die Ergebnisse dokumentiert werden müssen. IDW PS 951 basiert auf den Anforderungen des Statement on Auditing Standards No. 70 (SAS 70) des American Institute of Certified Public Accountants (AICPA). Im Gegensatz zum SAS 70 berücksichtigt der IDW PS 951 Standard deutsche Besonderheiten. Der PS 951 bietet Dienstleis tungsunternehmen die Möglichkeit über eine gesonderte Prüfung einen Nachweis für die Ange messenheit und gegebenenfalls Wirksamkeit ihres dienstleistungsbezogenen, internen Kontroll systems zu erhalten. Eine Prüfung nach IDW PS 951 kann daher für einen Dienstleister sinnvoll sein, damit er hierüber seinen Kunden Angemessenheit und Wirksamkeit seines Kontrollsystems nachweisen kann und nicht jeder Auftraggeber dieses einzeln überprüfen muss. Dieser Nachweis ist für die Abschlussprüfungen der jeweiligen Kunden des Dienstleistungs unternehmens relevant. In diesem Zusammenhang ergänzt der PS 951 den IDW Prüfungsstandard PS 331 "Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungs unternehmen", der die Nutzung der Prüfungsergebnisse von externen Prüfern jeweils beauftragter Outsourcing-Unternehmens definiert. Ein Dienstleistungsunternehmen wird im PS 951 als ein rechtlich getrenntes Unternehmen definiert, das ausgelagerte Funktionen von einem anderen Unternehmen eigenständig durchführt (Out sourcing). Die Leistungen des Dienstleistungsunternehmens werden auf der Grundlage schriftlicher Vereinbarungen erbracht. Zu den Dienstleistungsunternehmen zählen auch Unternehmen, die nicht ausschließlich IT-bezogene Leistungen erbringen. Durch die Auslagerung von Funktionen können sich für die auslagernden Unternehmen Risiken ergeben. Diese Risiken resultieren aus der Ausgestaltung des internen Kontrollsystems des Dienst leistungsunternehmens. Denn die Verantwortung für die ausgelagerten Funktionen bleibt weiterhin beim Auftraggeber und nicht beim Dienstleistungsunternehmen. Deshalb muss bei einer Abschluss prüfung auch das interne Kontrollsystem des Dienstleistungsunternehmens beachten werden. Die Beurteilung des internen Kontrollsystems kann nach zwei unterschiedlichen Arten erfolgen, die sich in zwei Formen der Berichterstattungen widerspiegeln kann: Typ A und Typ B. Die Berichterstattung nach Typ A dokumentiert die Beschreibung, Implementierung und Eignung des Internen Kontrollsystems. Dabei werden die Kontrollen und organisatorischen Sicherungs maßnahmen des Internen Kontrollsystems untersucht, ob sie in allen wesentlichen Belangen richtig und klar dargestellt, zu einem bestimmten Zeitpunkt eingerichtet und geeignet sind sowie die Kontrollziele erfüllen. Bei Typ B wird zusätzlich die Wirksamkeit des Internen Kontrollsystems untersucht. Dabei ist rele vant, ob die Kontrollen über einen bestimmten Zeitraum wirksam waren. Um zu den Prüfungsurteilen zu gelangen, macht der Prüfer eine Funktionsprüfung. Diese erfolgt nach dem IDW Prüfungsstandard 300 "Prüfungsnachweise im Rahmen der Abschlussprüfung" (IDW PS 300), bei IT-Dienstleistungen ist außerdem der Prüfungsstandard 330 (IDW PS 330) zu berücksichtigen.
24
Bundesamt für Sicherheit in der Informationstechnik
Standards und Rahmenwerke 2
2.6
SAS 70
Das Statement on Auditing Standard No. 70 – Service Organizations (SAS 70) wurde vom American Institute of Certified Public Accountants (AICPA) entwickelt. Dabei handelt es sich um einen weit verbreiteten Prüfungsstandard, der insbesondere für Audits im Rahmen des US-amerika nischen Sarbanes-Oxley-Act (SOX) seine Verwendung findet. Der SAS 70-Standard (vergleiche [SAS70 2007]) gibt eine Anleitung für die einheitliche, detaillierte Prüfung von Dienstleistungsorganisationen (Service Organizations) durch unabhängige Auditoren. Durch ein solches einheitliches Audit schafft die Dienstleistungsorganisation für ihre Kunden eine transparente Darstellung ihres internen Kontrollsystems. In diesem Zusammenhang führt der Standard den Auditor zur Erstellung seines Auditberichts. Die genannten Auditberichte können dabei in zwei Ausprägungen erstellt werden. Report Inhalte
Typ I Bericht
Typ II Bericht
1.
Report des unabhängigen Dienstleistungsauditors (z. B. Gutachten)
Enthalten
Enthalten
2.
Beschreibung der Kontrollen der Dienstleistungsorganisation
Enthalten
Enthalten
3.
Durch den Service Auditor bereitgestellte Optional Informationen; enthaltend Beschreibungen von Tests des Auditors bezüglich der Effektivität und die Ergebnisse dieser Tests
Enthalten
4.
Weitere Informationen der Dienstleistungsorganisation (z. B. Glossar)
Optional
Optional
5.
Zeitlicher Umfang
Spezifischer Zeitpunkt Zeitraum von mind. 6 (Stichtag) Monaten
Tabelle 1: Vergleich von SAS 70-Berichten des Typs I und Typ II (Quelle: In Anlehnung an [SAS70 2007])
Ein Bericht vom Typ I repräsentiert eine Momentaufnahme der Dienstleistungsorganisation zu einem spezifischen Zeitpunkt. Darin stellt der Auditor in seinem Gutachten dar, ob die Be schreibungen der Kontrollen die relevanten Aspekte ausreichend detailliert wiedergeben und darüber hinaus, ob die Kontrollen für das Erreichen der Kontrollziele angemessen konzipiert wurden. Demgegenüber wird in Typ II Berichten die Wirksamkeit der Kontrollen über einen längeren Zeit raum beurteilt. In diesem Zeitraum, der mindestens sechs Monate betragen muss, finden Tests durch den Auditor statt, deren Durchführung und Ergebnisse zusätzlich zu den im Typ I Bericht beschriebenen Inhalten in den Typ II Bericht einfließen. Der SAS 70 Standard beschreibt lediglich, wie eine Auditierung der Kontrollsysteme stattfinden soll. Die Ausgestaltung der konkreten Prüfungsinhalte ist dem jeweiligen Prüfer überlassen. In der Praxis wird SAS 70 daher oftmals in Verbindung mit dem CobiT-Framework eingesetzt. Bundesamt für Sicherheit in der Informationstechnik
25
2 Standards und Rahmenwerke
Obwohl oft anders vermerkt, führen die Audits nach SAS 70 nicht zu einer Zertifizierung. Es exis tiert beispielsweise keine Zertifizierungsinstanz. Dennoch gilt der SAS 70 Report als Nachweis eines funktionierenden Kontrollsystems und ist daher international nahezu wie eine Zertifizierung anerkannt. Da es sich bei SAS 70 um einen Standard für Audits handelt, der über keine Maßnahmen, bezie hungsweise Controls verfügt, kann kein Vergleich zu IT-Grundschutz durchgeführt werden.
2.7
ISO/IEC 20000
2.7.1 ITIL Die "IT Infrastructure Library" (ITIL) wird vom Office of Government Commerce (OGC), einer britischen Regierungsbehörde, herausgegeben, gepflegt und weiterentwickelt. Die aktuelle Version ITIL V3 ist 2007 erschienen. Sie hat sich inzwischen als weltweit akzeptierter De-facto-Standard für Gestaltung, Implementierung und Management wesentlicher Steuerungsprozesse in der IT etabliert. Es handelt sich dabei um eine Verfahrensbibliothek von Best-Practice-Publikationen, die Methoden für die Planung und Steuerung von IT-Services beschreiben. Das IT-Service Management ist das zentrale organisatorische Instrument für die Ausrichtung der IT an den Geschäftsanforderungen und für die Steuerung der IT-Services gemäß Kundenanforderun gen. Diese Service-Management-Prozesse bilden den Kern von ITIL. Das ITIL-Wissen ist in einer Bibliothek von circa 40 englischsprachigen Publikationen verfügbar (vergleiche [ITIL 2007]). Zwei wesentliche Bestandteile von ITIL, die Managementprozesse zur Unterstützung und Lieferung von IT-Services (Service Support, Service Delivery), wurden zudem bereits in einer deutschsprachigen Ausgabe zusammengefasst und überarbeitet. Basierend auf ITIL hat das British Standard Institute den IT Service Management Standard BS 15000 entwickelt. Dieser integriert ITIL sowie den BSI Code of Practice für IT Service Management (PD0005) und stellt außerdem einen formellen und prüfbaren Standard dar, der als Grundlage benutzt werden kann, um eine IT-Organisation zu zertifizieren.
2.7.2 ISO 20000 Die ISO/IEC 20000 Information technology – Service management ist eine zertifizierbare Norm für das IT Servicemanagement. Ihren Ursprung hat die Norm im British Standard BS 15000 der British Standard Institution und ging im Jahr 2005 aus diesem nationalen Standard hervor. Mit diesem Standard können die Unternehmens- und Kundenanforderungen bezüglich der IT Services effektiv durch einen integrierten Prozessansatz umgesetzt werden. Für die Umsetzung dieser Norm sind Anforderungen sowie ein Prozessmodell zur kontinuierlichen Verbesserung und Prozesse definiert. Der Standard ist zweiteilig aufgebaut. Im Teil 1 Specification (vergleiche [ISO/IEC 20000-1 2005]) werden die Mindestanforderungen für eine Zertifizierung nach ISO/IEC 20000 beschrieben. Dies beinhaltet die Initiierung, den Aufbau und die Aufrechterhaltung des IT Service Managements. Der Teil 2 Code of practice (ISO/IEC 20000-2) enthält Best Practices als Leitlinie für Auditoren oder
26
Bundesamt für Sicherheit in der Informationstechnik
Standards und Rahmenwerke 2
zur Unterstützung von Service Providern. Die ISO/IEC 20000-2 stellt kein Kriterium für die Zerti fizierung dar. Die Norm ISO/IEC 20000 verhält sich konform zu den Best Practices der IT Infrastructure Library (ITIL). ITIL ist jedoch nicht zertifizierbar und stellt daher keine Anforderungen an die Umsetzung. ISO/IEC 20000 verbindet die Inhalte der Norm ISO 9000 Quality management systems -Fundamentals and vocabulary bezüglich des Aufbaus von Qualitätsmanagement mit der Umset zung des IT-Service Managements entsprechend der ITIL Best Practices und ermöglicht so die Möglichkeit zur Zertifizierung (vergleiche [KBSt 2006], Seite 18). Die Anforderungen der Spezifikation an ein Managementsystem sind in den Kapiteln 3 bis 5 in der Norm ISO/IEC 20000-1 formuliert. Diese sind für das Managementsystem allgemein gültig und teilen sich in Verantwortlichkeiten, Dokumentation, Befugnisse, Bewusstsein und Training, Planung und Einführung auf. Weiterhin definiert ISO/IEC 20000-1 in den Kapiteln 6 bis 10 die fünf Gruppen Control, Service Delivery, Release, Resultion und Relelationsship Processes. Diese stehen untereinander durch ihre Prozesse in Beziehung (siehe Abbildung 4).
Abbildung 4: ISO/IEC 20000 Prozesse (Quelle: [ISO/IEC 20000-1 2005], Seite 1)
Die Zuordnung der einzelnen IT Service Management-Prozesse zu den fünf Gruppen ist in Abbildung 4 dargestellt. Die Anforderungen an den Prozess Information Security Management sind in der Norm sehr generisch gehalten. Hier findet sich insbesondere ein Verweis zu den in der Norm ISO/IEC 27002 (früher ISO/IEC 17799) definierten Anforderungen (vergleiche [ISO/IEC 20000-1 2005], Seite 15) ISO/IEC 20000 basiert auf demselben prozessorientierten Ansatz wie die weiteren ISO-Standards zu Managementsystemen (ISO 9001, ISO 14001 und ISO 27001). Für das gesamte IT Service Managementsystem und jeden Prozess erfolgt die kontinuierliche Verbesserung durch den PDCAZyklus nach Deming. In Abbildung 5 ist der PDCA-Zyklus mit seinen vier Phasen der ISO/IEC 20000:2005 dargestellt.
Bundesamt für Sicherheit in der Informationstechnik
27
2 Standards und Rahmenwerke
Abbildung 5: Plan-Do-Check-Act Methodik für Service Management Prozesse (Quelle: [ISO/IEC 20000-1 2005], Seite 5)
28
Bundesamt für Sicherheit in der Informationstechnik
Vergleich von Standards und Rahmenwerken 3
3
Vergleich von Standards und Rahmenwerken
Nach der Vorstellung der Standards und Rahmenwerke im vorangegangenen Kapitel werden nun die drei Standards bzw. Rahmenwerke CobiT, ISO/IEC 20000 und IDW PS 330 jeweils mit dem IT-Grundschutz verglichen. Im Gegensatz zu IT-Grundschutz sind CobiT, ISO/IEC 20000 und IDW PS 330 keine Standards zum Thema Informationssicherheit. Ein Vergleich mit ITGrundschutz ist demnach nicht unmittelbar möglich. Jedoch ist Informationssicherheit als Querschnittsthema ein relevanter Bestandteil dieser Standards bzw. Rahmenwerke. Alle drei beinhalten diesbezüglich Empfehlungen, die Überschneidungen mit den Maßnahmen des IT-Grundschutzes aufweisen. Auf diese Weise ist letztlich ein mittelbarer Vergleich möglich. Durch diesen mittelbaren Vergleich werden potentielle Synergieeffekte oder eventuell konkurrierende Anforderungen identifiziert. Für den Vergleich werden zum einen die Struktur, die Vorgehensweise sowie die Inhalte einander gegenübergestellt und miteinander abge glichen. Grundlage des Vergleichs war die 8. Ergänzungslieferung der IT-Grundschutz-Kataloge mit einigen wenigen gesondert gekennzeichneten Ausnahmen.
3.1
IT-Grundschutz und CobiT
Das Kontrollrahmenwerk CobiT ist für die Erfüllung der Anforderungen der IT Governance konzi piert. Es definiert Prozesse zur IT-Governance – also der Planung und dem Einsatz von IT im Sinne der Geschäftsstrategie und Geschäftsziele. Hierzu wurden in CobiT sieben Informationskriterien festgelegt: Effektivität, Effizienz, Vertraulichkeit, Integrität, Verfügbarkeit, Compliance und Zuver lässigkeit (vergleiche [CobiT 2007], Seite 10). Diese Informationskriterien beinhalten und erweitern die im IT-Grundschutz definierten Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit und vereinen somit die Zielsetzung der beiden Standards. Um diese Zielsetzung zu erreichen wurden sowohl im IT-Grundschutz als auch in CobiT kontinu ierliche Verbesserungsprozesse entwickelt. Die Phasen sind hierbei ähnlich, jedoch nicht deckungs gleich. Dem IT-Grundschutz liegt der PDCA-Zyklus nach Deming zugrunde. Neben den Phasen Plan, Do und Check enthält dieser beispielsweise auch die Act-Phase, die explizit die Durchführung von umgehenden Verbesserungmaßnahmen beinhaltet. Grundlegende Veränderungen fließen in den nächsten Zyklus ein (vergleiche [BSI 100-1 2008], Seite 15). Eine Act-Phase ist im Prozessmodell von CobiT nicht explizit als Domäne ausgewiesen. Umgehende Verbesserungsmaßnahmen sind im Zyklusschritt Monitor and Evaluate enthalten. Dennoch ist der grundlegende Ablauf der Verbesse rungsprozesse weitestgehend identisch. Eine Zuordnung der Phasen wird in Tabelle 2 gegeben. Grundsätzlich sollte eine Institution individuell prüfen, wo das Potential zur Synchronisation der Phasen gegeben ist.
Bundesamt für Sicherheit in der Informationstechnik
29
3 Vergleich von Standards und Rahmenwerken
PDCA-Phasen
CobiT Domänen
Plan
Plan and Organise
Do
Acquire and Implement Deliver and Support
Check
Monitor and Evaluate
Act
Monitor and Evaluate Tabelle 2: Zuordnung der Phasen des PDCA-Zyklus zu den CobiT-Domänen (Quelle: [SecMgr11/2007])
In CobiT wird darauf hingewiesen, dass CobiT als übergeordnetes Rahmenwerk in Verbindung mit detaillierteren Standards verwendet werden kann. CobiT verweist hierbei auf ISO/IEC 17799 (jetzt ISO/IEC 27002) als detaillierteren Standard für Informationssicherheit (vergleiche [CobiT 2007], S. 28). Da IT-Grundschutz zu ISO/IEC 27002 kompatibel ist und auch für diesen eine Implementie rungshilfe darstellt, kann er ebenfalls eine Ergänzung und Implementierungshilfe für CobiT bilden. Auch wenn CobiT zunächst alleine eingeführt werden soll, bietet der IT-Grundschutz über die Maßnahmen-Kataloge die Möglichkeit zur Unterstützung. Hierbei ist jedoch zu berücksichtigen, dass sich beide Standards in ihrer inhaltlichen Struktur unter scheiden. Die CobiT-Kontrollen sind anhand der Prozessphasen (zeitlich) organisiert. Die ITGrundschutz-Maßnahmen wurden anhand zugrunde liegender Themengebiete (sachlich) geordnet. Dadurch wird nicht ohne Weiteres deutlich, welche CobiT-Kontrollziele inhaltliche Überschnei dungen zu welchen IT-Grundschutz-Maßnahmen aufweisen. Die Identifizierung von Überschnei dungen wird zusätzlich durch den unterschiedlichen Detaillierungsgrad erschwert. Kontrollziele sind generisch in wenigen Sätzen beschrieben und definieren "was" zu tun ist. IT-GrundschutzMaßnahmen sind in der Regel sehr ausführlich gehalten und enthalten zumeist detaillierte Umset zungshinweise. Sie beschreiben demnach über das "was" hinaus auch "wie" die Umsetzung erfolgen soll. Die Art der Überschneidungen von CobiT und IT-Grundschutz sind vielseitig. Es existieren in beiden Rahmenwerken Themengebiete, die im jeweils anderen Standard nicht vorhanden sind, da sie außerhalb von jeweiligen Geltungsbereich liegen. Darüber hinaus gibt es jedoch Anforderungen oder Maßnahmenbeschreibungen, die indirekt oder sogar direkt mit den Formulierungen des jeweils anderen Rahmenwerks vergleichbar sind, diese gegebenenfalls sogar erweitern oder konkretisieren. Darüber hinaus können Maßnahmen bzw. Anforderungen je nach Umsetzung sogar vollständig ab gedeckt werden. Bezüglich der CobiT-Kontrollziele in der Domäne Plan and Organise existieren keine vollstän digen Überschneidungen zu den IT-Grundschutz-Maßnahmen. Da in dieser Domäne insbesondere der Aufbau der IT-Governance beschrieben wird, sind die Kontrollen dieser Domäne, wenn über haupt, nur teilweise durch IT-Grundschutz-Maßnahmen abbildbar. Es existieren beispielsweise auch Prozesse, die nahezu gar keine Überschneidungen zum IT-Grundschutz aufweisen. Dies sind die Entwicklung eines strategischen IT-Plans (PO1 Define a Strategic IT Plan), das Qualitäts management (PO8 Manage Quality), die Bewertung und Behandlung von IT-Risiken (PO9 Assess and Manage IT Risks) sowie das Projektmanagement (PO10 Manage Projects). Der Unterschied in der Bewertung und Behandlung von Risiken muss berücksichtigt werden. Das Sicherheitsmanagement in CobiT definiert sich zu großen Teilen aus dem Risikomanagement als Teilbereich der IT-Governance (vergleiche u. a. [CobiT 2007], S. 6). Im Rahmen der CobiT30
Bundesamt für Sicherheit in der Informationstechnik
Vergleich von Standards und Rahmenwerken 3
Domäne Plan and Organise wird die Etablierung eines IT-Risikomanagement-Frameworks in Abstimmung mit dem Risikomanagement-Framework der gesamten Organisation gefordert, zusammen mit einer qualitativen oder quantitativen Bewertung der jeweiligen Wahrscheinlichkeit und des jeweiligen Schadens für alle identifizierten Risiken (PO9 Assess and Manage IT-Risks, vergleiche [CobiT 2007], S. 63f). Weitere CobiT-Kontrollziele referenzieren auf die Risiko bewertung und gehen demnach von einer entsprechenden Detaillierung aus (z. B. DS4 Ensure Coninuous Service, DS5 Ensure Systems Security und DS12 Management the Physical Environment, vergleiche [CobiT 2007], S 113ff). Im Gegensatz dazu findet mit der Schutzbedarfsanalyse und der nachfolgenden Auswahl und Zu ordnung von Gefährdungen und Maßnahmen durch die dem IT-Grundschutz zu Grunde liegende Modellierung, zunächst eine pauschalisierte Risikoanalyse statt. Für höherwertige Schutzbedarfe, ist dann das Management zu befragen, ob eine eine Risikoanalyse für ausgewählte Objekte durch geführt werden soll. Laut CobiT müsste dies theoretisch für alle Objekte von der ersten Schutz bedarfsstufe an geschehen. Für jede Institution muss hier individuell geprüft werden, wie die ge forderte Risikobewertung nach CobiT mit der Schutzbedarfsfeststellung nach IT-Grundschutz abgeglichen werden kann, um hier einen Konsens zu erreichen. Beispielsweise könnte die Schutz bedarfsanalyse nach IT-Grundschutz um die fehlenden Aspekte einer Risikoanalyse nach CobiT erweitert werden (z. B. Schutzbedarfsstufen anhand klassifizierter Risiken). Im Rahmen der CobiT-Domänen Acquire and Implement sowie Deliver and Support besitzen fast alle Kontrollziele einen Bezug zu IT-Grundschutz-Maßnahmen. In der Regel können mindestens Teilaspekte der jeweiligen Kontrollziele durch IT-Grundschutz-Maßnahmen abgebildet werden. Eine Ausnahme stellt hier lediglich der Prozess des Kostenmanagements dar (DS6 Identify and Allocate Costs), der bis heute keine vergleichbaren Inhalte mit den kostenorientierten ITGrundschutz-Maßnahmen (z. B. M 2.339 Wirtschaftlicher Einsatz von Ressourcen für ITSicherheit) besitzt. Die Domäne Monitor and Evaluate bezieht sich insbesondere auf IT-Governance-Aspekte (z. B. ME1.4 Performance Assessment) oder die Prüfung der Kontrollen (z. B. ME2.1 Monitoring of internal control framework). Zum IT-Grundschutz vergleichbare Inhalte gibt es hier nur wenige. Dennoch sollten diese Möglichkeiten ausgenutzt werden. Beispielsweise sind die Inhalte der Maßnahme M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung ein relevanter Teilaspekt für das Kontrollziel ME4.4 Resource Management. Bei der Gegenüberstellung sind auch unbedingt die Applikationskontrollziele (application control objectives) sowie die Prozesskontrollziele (process control objectives) zu berücksichtigen (verglei che [CobiT 2007], S. 16ff), da auch hier Überschneidungen existieren. Beispielsweise stellt hier die Maßnahme M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle einen relevanten Teilaspekt der Kontrolle AC6 Data input authorisation procedures dar. Durch den Vergleich von CobiT und IT-Grundschutz wird deutlich, dass trotz der unterschiedlichen Ausrichtungen und Strukturen, mehrere Synergiepotentiale existieren. Wo CobiT mit dem Themen gebiet IT-Governance ein weites Spektrum abdeckt, geht IT-Grundschutz hinsichtlich des (Teil-) Aspekts Informationssicherheit in die Tiefe. IT-Grundschutz kann daher die Implementierung von CobiT teilweise konkretisieren und somit einfacher und effizienter gestalten, insbesondere, wenn sich die Organisation bereits nach ISO 27001 auf der Basis von IT-Grundschutz ausrichtet. Aufgrund der unterschiedlichen Herangehensweisen (CobiT zeitlich geordnet und prozessbezogen; IT-Grundschutz sachlich geordnet und maßnahmenbezogen) ergeben sich hierbei gegebenenfalls Differenzen, die jedoch in der Praxis keine unlösbaren Konflikte darstellen. Hinsichtlich des
Bundesamt für Sicherheit in der Informationstechnik
31
3 Vergleich von Standards und Rahmenwerken
Aspekts Risikomanagement muss die Strategie individuell geplant werden. Hier können CobiTkonforme Lösungen gegebenenfalls Eingaben für IT-Grundschutz sein.
3.2
IT-Grundschutz und IDW PS 330
Der IDW Prüfungsstandard 330 beschreibt die Prüfung der Rechnungslegung bei Einsatz von Infor mationstechnik. Ziel des Standards ist es insbesondere durch die Prüfung die Konformität zu den entsprechenden Anforderungen des Handelsgesetzbuches (HGB) sowie weiteren Gesetzen nach zuweisen. Für die Erfüllung dieser Anforderungen sind insbesondere auch Aspekte der Informati onssicherheit zu berücksichtigen. Der Prüfungsstandard ist grundsätzlich in Verbindung mit der ersten IDW Stellungnahme zur Rechnungslegung des Fachausschusses für die Informations technologie (RS FAIT 1) sowie der Checkliste zur Abschlussprüfung bei Einsatz von Informations technologie (PH 9.330.1) zu betrachten. In der Gegenüberstellung zum IT-Grundschutz des BSI wird deutlich, dass beide Rahmenwerke Informationssicherheit aus unterschiedlicher Perspektive und mit unterschiedlichen Schwerpunkten betrachten. Die inhaltlichen Schwerpunkte sind dabei jedoch nicht konkurrierend. Vielmehr ergänzen, erweitern oder konkretisieren sich die beiden Standards gegenseitig. Die RS FAIT1 legt die Grundlagen des PS 330 fest. Sie definiert als Sicherheitsanforderungen Ver traulichkeit, Integrität, Verfügbarkeit, Autorisierung, Authentizität und Verbindlichkeit (vergleiche [IDW RS FAIT 1 2002], Tz. 23). Die Maßnahmen des IT-Grundschutz basieren auf den "Grundwerten der Informationssicherheit": Vertraulichkeit, Integrität und Verfügbarkeit. Der ITGrundschutz lässt dabei jedoch die Option offen, für die Schutzbedarfsfeststellung weitere Grund werte hinzuzufügen (vergleiche [BSI GSK]). Die allgemeine Zielrichtung der beiden Standards ist demnach nahezu identisch. Im Unterschied zum IT-Grundschutz berücksichtigt der PS 330 über die Aspekte der Informations sicherheit hinaus auch Inhalte aus dem übergeordneten IT-Management. Die Prüfungen des PS 330 beinhalten beispielsweise die sachgerechte Ableitung der IT-Strategie aus der Unternehmens strategie, die Berücksichtigung von gesamtwirtschaftlichen, branchen- und unternehmens spezifischen Risiken sowie die Planung von Projekten (vergleiche [IDW PH 9.33.1], "Prüfung der IT-Strategie"). Die Grundlage für die Sicherheit stellt in beiden Standards ein Sicherheitskonzept dar. Während der PS 330 hier lediglich die "Angemessenheit" erwartet (vergleiche [IDW PH 9.33.1], Frage 1.6), bietet der IT-Grundschutz sogar eine vollständige Vorgehensweise zur Erstellung eines Sicherheits konzepts (vergleiche [BSI 100-2 2008], S. 36ff). Hier können die eher generisch gehaltenen Anfor derungen des PS 330 einfließen und ggf. durch detaillierte Maßnahmen des IT-Grundschutzes konkretisiert werden. Im Rahmen des PS 330 wird direkt auf die Thematik des Risikomanagements eingegangen. Der Abschlussprüfer soll nachvollziehen, "[…] wie die Unternehmensleitung sämtliche Risiken identifi ziert, die sich auf die Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung auswirken können, und wie deren Tragweite in Bezug auf die Eintrittswahrscheinlichkeit und auf die quantita tiven Auswirkungen beurteilt wird." (IDW PS 330, Tz. 28) Wie bereits schon beim Vergleich von IT-Grundschutz und CobiT erwähnt, bietet der ITGrundschutz mit der "Schutzbedarfsfeststellung" eine pauschalisierte Form der Risikoanalyse (siehe auch Abschnitt 3.1). Durch sie wird der Bewertungsaufwand maßgeblich reduziert, da anschließend 32
Bundesamt für Sicherheit in der Informationstechnik
Vergleich von Standards und Rahmenwerken 3
nur für ausgewählte Komponenten eine detaillierte Risikoanalyse durchgeführt wird. Die Schutzbe darfsfeststellung ist demnach sehr effizient. Ob sie jedoch für die Anforderungen einer Abschluss prüfung nach IDW PS 330 des jeweiligen Unternehmens ausreichend ist, muss grundsätzlich geprüft werden. Gegebenenfalls kann die Schutzbedarfsfeststellung um die notwendigen Inhalte einer detaillierten Risikoanalyse erweitert werden. Andererseits sind gemäß BSI Standard 100-2 die Risiken aufgrund einer Entscheidung des Management für ausgewählte Zielobjekte zu prüfen (vergleiche [BSI 100-2 2008], S. 70ff). Hier bietet sich der Einstieg für das Management, anhand der Ressourcenauswahl die Erfüllung nach IDW PS 330 einzubringen. Im Zusammenhang mit dem Grundwert Vertraulichkeit wird im IDW PS 330 auch der Bezug zu den datenschutzrechtlichen Anforderungen hergestellt (vergleiche [IDW RS FAIT 1 2002], Tz. 24), die im IT-Grundschutz als eigener Baustein (B 1.5 Datenschutz) integriert sind. Dadurch gibt der IT-Grundschutz konkrete Implementierungsvorschläge für den Datenschutz, die zur Erfüllung der Anforderungen nach IDW PS 330 berücksichtigt werden können. Andererseits verweist der ITGrundschutz allgemein auf "typischerweise" zu berücksichtigende Gesetze (M 2.245 Ermittlung der rechtlichen Einflussfaktoren für die elektronische Archivierung und M 2.340 Beachtung rechtlicher Rahmenbedingungen). Im Zusammenhang mit der Rechnungslegung verweisen PS 330 und RS FAIT 1 diesbezüglich auf konkrete Paragraphen des HGB (vergleiche bspw. [IDW PS 330 2002], Tz. 8 und [IDW RS FAIT 1 2002], Tz. 18). Bezüglich der organisatorischen Aspekte ergänzen sich die beiden Rahmenwerke gegenseitig. Der PS 330 beinhaltet die Prüfung von Aufbau- und Ablauforganisation. In dieser berücksichtigt er allgemeine Themen, wie beispielsweise die "Angemessenheit der Stellung des IT-Betriebes in der Unternehmensstruktur" (PH 9.330.1, Frage 3.11). Bezüglich der Informationssicherheitsaspekte kann der IT-Grundschutz konkrete Implementierungsansätze liefern. In ihm ist ein eigener Maßnahmen-Katalog den organisatorischen Aspekten gewidmet (M 2 Organisation). Hinsichtlich der weiteren organisatorischen Themen im PS 330, wie IT-gestützte Geschäftsprozesse, das IT-Überwachungssystem sowie die Thematik des IT-Outsourcings werden insbesondere die unterschiedlichen Perspektiven der beiden Rahmenwerke deutlich. Der ITGrundschutz bietet hierzu zwar Maßnahmen (z. B. M 2.337 Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse) und sogar vollständige Bausteine (B 1.11 Outsourcing). Jedoch beziehen sich die organisatorischen Anforderungen des PS 330 weniger auf sicherheits relevante, sondern beinhalten vielmehr allgemeine, betriebswirtschaftliche Aspekte der IT (z. B. "Identifizierung und Strukturierung der rechnungslegungsrelevanten Geschäftsprozesse im Rahmen der IT-Strategie", vergleiche [IDW PH 9.33.1], Frage 6.1.1). Das Synergiepotential zwischen den Standards ist diesbezüglich gering und nur auf spezielle Themengebiete – wie beispielsweise Integration, Aufrechterhaltung von IT-Sicherheit, Dokumentation sowie diverse Maßnahmen bezüglich des Outsourcings – beschränkt. Die technischen Aspekte stellen die Domäne des IT-Grundschutzes dar. Sowohl für die ITInfrastruktur (z. B. Hardware, Betriebssysteme) und IT-Anwendungen (Standard- oder Individual software) als auch die in der Checkliste PH 9.330.1 berücksichtigten Besonderheiten der InternetNutzung kann der IT-Grundschutz des BSI konkrete Implementierungsanleitungen für typische Objekte (z. B. Windows Server 2003 oder Lotus Notes) geben. Beispielsweise stellt der ITGrundschutz eine komplette Bausteingruppe zum Thema Infrastruktur zur Verfügung, die die Umsetzung der Anforderungen des PS 330 bezüglich der physischen Sicherheitsmaßnahmen kon kretisieren und unterstützen kann.
Bundesamt für Sicherheit in der Informationstechnik
33
3 Vergleich von Standards und Rahmenwerken
Ähnliches gilt für die Forderung nach logischen Zugriffskontrollen. Aufgrund der individuellen Im plementierung wurden im IT-Grundschutz für die entsprechenden Objekte und Schichten jeweils eigene Maßnahmen entwickelt und in die Bausteine integriert. Beispiele hierfür sind unter anderem die Maßnahmen M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung, M 2.129 Zugriffskontrolle einer Datenbank, M 4.15 Gesichertes Login und M 4.48 Passwortschutz unter Windows NT/2000/XP. Im Bereich der Datensicherung- und Auslagerungsverfahren verbinden beide Standards den recht lichen Hintergrund (z. B. Aufbewahrungsfristen) mit entsprechenden organisatorischen und technischen Umsetzungen. Auch hier können die detaillierten Maßnahmenbeschreibungen des ITGrundschutz die themenspezifischen Anforderungen des PS 330 unterstützen. Neben den anwendungs- und systemindividuellen Maßnahmen (z. B. M 6.49 Datensicherung einer Datenbank) stellt IT-Grundschutz hier die kompletten Bausteine B 1.4 Datensicherungskonzept und B 1.12 Archivierung zur Verfügung. Über die Datensicherung hinaus werden im PS 330 auch die Durchführung und die Aufrecht erhaltung des Betriebes berücksichtigt. Der Regelbetrieb wird im IT-Grundschutz im Lebens zyklusmodell (Phase Betrieb) betrachtet (vergleiche [BSI GSK]), in das die jeweiligen Maßnahmen in jedem Baustein eingeordnet sind. Bezüglich der Aufrechterhaltung des Betriebs in Notfällen bzw. der Notfallvorsorge bietet IT-Grundschutz neben einer eigenen Lebenszyklusphase auch eine eigene Kategorie in den Maßnahmenkatalogen (M6 Notfallvorsorge) an. Darüber hinaus wird mit dem BSI-Standard 100-4 eine integrierte Vorgehensweise zur Notfallvorsorge beschrieben (vergleiche [BSI 100-4 2008]). Bei softwarebezogenen Themen gibt es zwischen IT-Grundschutz und dem PS 330 Parallelen eben falls Synergiepotential. Der PS 330 betrachtet hierbei Themengebiete, wie Softwareentwicklung, Beschaffung von Standardsoftware sowie Test- und Freigabe. Zu diesen Themen kann der ITGrundschutz des BSI entsprechende Eingaben liefern. Die relevanten IT-Grundschutz-Maßnahmen behandeln sowohl allgemeine Themen (z. B. M 2.378 System-Entwicklung) wie auch spezifische Maßnahmen für konkrete Anwendungen (z. B. M 4.126 Sichere Konfiguration von Lotus Notes Clients). Lediglich in den rechnungslegungsspezifischen Anforderungen des PS 330 an die Software ("Angemessenheit der rechnungslegungsrelevanten Verarbeitungsregeln" und "Funktions fähigkeit und Wirksamkeit der Programmfunktionen", IDW PH 9.330.1 2002 Abschnitt 5.2.2 und 5.2.3) existieren keine Parallelen zum IT-Grundschutz. Diese Anforderungen müssen demnach autark umgesetzt werden. Über die inhaltliche Struktur des PS 330 hinaus existiert in der Checkliste PH 9.330.1 ein zusätzli cher Abschnitt, der die Besonderheiten der Internet-Nutzung behandelt und somit die Inhalte des PS 330 diesbezüglich konkretisiert (vergleiche [IDW PH 9.33.1], Abschnitt 9). Gerade für diesen Abschnitt besteht ein sehr hohes Maß an inhaltlichen Überschneidungen zum IT-Grundschutz. Für die relevanten Themen bietet sich entsprechend eine Umsetzung auf der Basis der IT-GrundschutzMaßnahmen an. Die Überschneidungen haben aufgezeigt, dass beide Regelwerke inhaltlich nicht unabhängig von einander sind. Vielmehr sollten die Überschneidungen der beiden Standards effektiv genutzt werden. In vielen Fällen kann IT-Grundschutz eine solide Basis zur Erfüllung der Anforderungen des PS 330 bieten.
34
Bundesamt für Sicherheit in der Informationstechnik
Vergleich von Standards und Rahmenwerken 3
3.3
IT-Grundschutz und ISO/IEC 20000-1
Die ISO 20000 ist eine zweiteilige Norm, die den Aufbau und Aufrechterhaltung des Service Managements in einer Organisation beschreibt. Sie ist kompatibel zur IT Infrastructure Library (ITIL) und bietet mit ihrem ersten Teil auch die Möglichkeit zur Zertifizierung. Security Management ist ein integrierter Bestandteil des Service Managements und der ISO/IEC 20000. Die ISO/IEC 20000 definiert im Abschnitt 6.6 Security Management nur sehr allgemeine und grobe Maßnahmen. Hier wird vielmehr auf die ISO/IEC 17799 (jetzt ISO/IEC 27002) ver wiesen (vergleiche [ISO/IEC 20000-1 2005], S. 15). Da IT-Grundschutz die Anforderungen der ISO/IEC 2700x-Standardreihe interpretiert und konkretisiert (vergleiche [BSI 100-1 2008]), integriert er sich nahezu nahtlos in diesen Abschnitt. Insbesondere auch die grundlegend einheit liche Vorgehensweise des PDCA-Zyklus sowohl im BSI-Standard 100-1 als auch in der ISO/IEC 20000-1 begünstigt die Integration (vergleiche [BSI 100-1 2008], S. 15f und [ISO/IEC 20000-1 2005], S. 4f) Bezüglich des Sicherheitsmanagements stellt IT-Grundschutz demnach eine sinnvolle Ergänzung der ISO/IEC 20000 dar. Darüber hinaus sind die Beziehungen zwischen den weiteren Bereichen des Services Managements und dem Bereich Security Management zu berücksichtigen. Einige Maß nahmen können die Lösung für Anforderungen mehrerer Bereiche beinhalten. Beispielsweise sind Maßnahmen bezüglich der Verfügbarkeit sowohl im Security Management als auch im Service continuity and availability management relevant. Daher sollten auch die weiteren Abschnitte des ISO/IEC 20000 bei der Gegenüberstellung mit IT-Grundschutz berücksichtigt werden. Im Rahmen von IT-Grundschutz sind Maßnahmen definiert, die für die inhaltliche Relevanz zu den Kapiteln 6 Service Delivery Process, 7 Relationship processes, 8 Resolution processes, 9 Controll processes oder 10 Release Process enthalten. Das Kapitel 6 Service Delivery beinhaltet diesbezüglich Anforderungen an das Management von Kontinuität und Verfügbarkeit (Service continuity and availability management), von Budgetierung und Verrechnung (Budgeting and accounting for IT-Services) der Services sowie von Kapazitäten (Capacity management). Insbesondere zum Management von Kontinuität und Verfügbarkeit existieren zahlreiche Maßnahmen aus dem Maßnahmen-Katalog des IT-Grundschutzes, die die Implementierung der Anforderungen nach ISO/IEC 20000 durch ihre detaillierten Inhalte unter stützen können. Der Schwerpunkt liegt hierbei insbesondere auf den Maßnahmen des Katalogs M 6 Notfallvorsorge und den Anforderungen des BSI Standards 100-4. Bezüglich der Thematik "Budgetierung und Verrechnung" muss berücksichtigt werden, dass auch Sicherheitsmanagement auf der Basis der Wirtschaftlichkeit betrieben werden soll. Diesbezüglich stellt die Maßnahme M 2.339 Wirtschaftlicher Einsatz von Ressourcen für IT-Sicherheit eine relevante Ergänzung dar. Aufgrund des Grundwertes Verfügbarkeit ist auch das Kapazitätsmanagement relevanter Bestand teil des Sicherheitsmanagements und somit auch des IT-Grundschutzes. Hier existieren Maßnahmen im IT-Grundschutz, die die Anforderungen an das Kapazitätsmanagement für Teilbereiche konkre tisieren. Neben allgemeinen organisatorischen Maßnahmen (z. B. M 2.39 Reaktion auf die Verletzungen der Sicherheitsvorgaben) handelt es sich hierbei insbesondere um technikbasierte Maßnahmen, die sich auf konkrete Objekte beziehen (z. B. M 4.73 Festlegung von Obergrenzen für selektierbare Datensätze und M 4.275 Sicherer Betrieb eines Speichersystems).
Bundesamt für Sicherheit in der Informationstechnik
35
3 Vergleich von Standards und Rahmenwerken
Im Rahmen der Beziehungsprozesse (Relationship processes) bestehen Inhalte hinsichtlich des Managements von Anbietern (Supplier Management), die sich überschneiden. Gerade im Rahmen des Sicherheitsmanagements muss sichergestellt werden, dass die beschafften Waren und ihre Hersteller sowie die beauftragten Dienstleister den Sicherheitsanforderungen entsprechen. Der ITGrundschutz beinhaltet Maßnahmen, die konkrete Ergänzungen insbesondere zu den Themen Beschaffung, Vertragsgestaltung mit Anbietern und Outsourcing bieten (z. B. M 2.176 Geeignete Auswahl eines Internet Service Providers). Weiter ist Informationssicherheit ein relevanter Bestandteil der Resolutions Processes, der auf dem Incident Management und dem Problem Management besteht. Sicherheitsvorfälle sowie Anzeichen für Sicherheitsvorfälle müssen gemeldet, erfasst und behoben werden. Daher enthält ITGrundschutz Maßnahmen mit konkreten Umsetzungsvorschlägen aus der Sicherheitsperspektive. Die allgemeinen Maßnahmen können beiden Teilbereichen der Resolution Processes zugeordnet werden (z. B. M 2.215 Fehlerbehandlung). Im Rahmen des Incident Managements sollten darüber hinaus noch Maßnahmen aus dem Maßnahmenkatalog M 6 Notfallvorsorge berücksichtigt werden. Hier werden beispielsweise konkrete Hinweise zur Erstellung von Verhaltensregeln und Meldewege bei Sicherheitvorfällen (M 6.60) gegeben. Die Control processes in der ISO/IEC 20000 beinhalten das Konfigurations- (Configuration management) und das Änderungsmanagement (Change management). Da Sicherheit insbesondere auch von korrekten und nachvollziehbaren Konfigurationen und Änderungen der Komponenten abhängig ist, enthält der IT-Grundschutz in seinen Maßnahmen Beschreibungen, die sich sowohl auf konkrete Objekte (z. B. Novell Netware Server) als auch auf allgemeine Themengebiete (z. B. Standardsoftware) beziehen. Über diese implizite Berücksichtigung der beiden Themengebiete hinaus, wird das Änderungsmanagement sogar als eigene Maßnahme (M 2.221 Änderungsmanagement) und seit der Ergänzungslieferung 10 als eigener Baustein (B 1.14 Patchund Änderungsmanagement) explizit berücksichtigt. Aus der Sicherheitsperspektive müssen im Rahmen des Release process potentielle Beein trächtigungen von Vertraulichkeit, Verfügbarkeit und Integrität verhindert werden. Mögliche Verstöße gegen geltende Richtlinien oder der Verlust der Stabilität von Anwendungen oder Systemen sind zu vermeiden. Diesbezüglich ergänzt der IT-Grundschutz die Anforderungen der ISO/IEC 20000 um detaillierte Implementierungsbeschreibungen, die sich sowohl auf allgemeine Aspekte (z. B. M 2.1 Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz) als auch auf konkrete Produkte (z. B. M 2.98 Sichere Installation von Novell Netware Servern) beziehen. Durch die Zusammenhänge zwischen IT-Grundschutz und ISO/IEC 27001 und ISO/IEC 27002 stellt der IT-Grundschutz ein komplementäres Regelwerk zur ISO/IEC 20000 dar. Da im zertifizie rungsrelevanten Teil der Norm keine konkreten Angaben zu den Inhalten gemacht werden, kann der IT-Grundschutz hier unterstützen. Dabei ist zu berücksichtigen, dass sich die Unterstützung nicht auf alle Bereiche des in der ISO/IEC 20000 beschriebenen Service Managements vollständig bezieht. Dennoch geht sie, aufgrund der Relevanz von Sicherheit in allen Bereichen des Informati onsmanagements, über den Teilbereich "Security Management" hinaus.
3.4
Zusammenfassung
In dem Vergleich von CobiT, IDW PS 330 sowie ISO/IEC 20000 zum IT-Grundschutz wurde das Verhältnis der jeweiligen Standards bzw. Rahmenwerke zu einander beschrieben und Hinweise für 36
Bundesamt für Sicherheit in der Informationstechnik
Vergleich von Standards und Rahmenwerken 3
eine gemeinsame Implementierung gegeben. CobiT, IDW PS 330 sowie auch die ISO/IEC 20000 sind in ihrer Zielsetzung hinsichtlich ihres Teilaspekts Sicherheit weitestgehend kompatibel zum IT-Grundschutz des BSI. Vorgehensweisen und Strukturen gleichen sich, so dass hier Anknüp fungspunkte für eine parallele oder sequentielle Umsetzung mit IT-Grundschutz in einer Institution bestehen. Da CobiT und IT-Grundschutz einen hohen Grad an inhaltlichen Überschneidungen besitzen, gibt es hier sehr hohes Synergiepotential. Ein Hauptaugenmerk stellt hierbei das unterschiedliche Risikomanagement dar, da hier CobiT ein granulareres Vorgehen als IT-Grundschutz fordert. Ähnliches muss für den IDW PS 330 berücksichtigt werden. Dennoch sind diese Anforderungen nicht widersprüchlich, sondern erfordern nur eine entsprechende Synchronisation. Gegebenenfalls kann hier die IT-Grundschutz-Methodik um die notwendigen fehlenden Inhalte einer detaillierten Risikoanalyse erweitert werden beziehungsweise das angemessene Risikomanagement nach ITGrundschutz durchaus im Verhältnis zu den Anforderungen der IT-Governance bzw. der Wirtschaftsprüfung dargestellt werden. Allgemein ergibt sich das Synergiepotential durch die detaillierten Best-Practice-Anleitungen in den IT-Grundschutz-Maßnahmen. Diese können zur teilweisen oder sogar vollständigen Erfüllung der Anforderungen des jeweils gegenübergestellten Standards oder Rahmenwerks beitragen. Grundsätzlich ist hierbei zu berücksichtigen, dass die IT-Grundschutz-Maßnahmen für den normalen Schutzbedarf entwickelt wurden. Sie können auch höheren Schutzbedarf erfüllen, was jedoch im Rahmen der IT-Grundschutz-Vorgehensweise zu prüfen ist. Möglicherweise werden sogar im Rahmen der durch die erweiterte Sicherheitsanalyse geforderten Risikoanalyse in der ITGrundschutz-Vorgehensweise individuelle Maßnahmen entwickelt, die für bisher noch nicht im ITGrundschutz abbildbare Anforderungen von CobiT, IDW PS 330 oder ISO/IEC 20000 berück sichtigt werden können. Sollte in einer Institution entschieden werden, eines der genannten Rahmenwerke parallel zum ITGrundschutz einzuführen, ist ein Abgleich der einzelnen individuellen Anforderungen grundsätzlich notwendig, um Mehraufwände zu vermeiden. Diese könnten zum einen durch die parallele, unab hängige Planung für gleichartige Anforderungen unterschiedlicher Standards und Rahmenwerke entstehen. Zum anderen könnten sie durch unnötige Entwicklung von eigenen Maßnahmen, die bereits durch die Best-Practice-Ansätzen eines anderen Standards oder Rahmenwerkes abgebildet werden könnten, auftreten. Ist IT-Grundschutz oder der jeweils andere Standard bereits umgesetzt, kann davon ausgegangen werden, dass grundlegende Bestandteile des nachfolgend einzuführenden Standards oder Rahmenwerks vorhanden sind. Die Synergieeffekte können selbst dann genutzt werden, wenn IT-Grundschutz nicht eingeführt werden soll. Bei der Einführung eines der gegenübergestellten Standards oder Rahmenwerke können die BSI-Standards und die IT-Grundschutz-Kataloge als Nachschlagewerke für BestPractices verwendet werden. Mit der Gegenüberstellung der Rahmenwerke wurde ein Überblick über die Zusammenhänge und Synergiepotentiale gegeben werden. Dabei wurde auch ein grober inhaltlicher Abgleich der jeweiligen Anforderungen mit den IT-Grundschutz-Maßnahmen durchgeführt. Aufgrund der unter schiedlichen Strukturen ist ein genauerer inhaltlicher Vergleich von CobiT-Prozessen, IDW PS 330 oder ISO/IEC 20000 zu den IT-Grundschutzmaßnahmen nur über ein detailliertes Mapping möglich. Dieses erfolgt im nachfolgenden Kapitel.
Bundesamt für Sicherheit in der Informationstechnik
37
4 Mapping von Standards und Rahmenwerke
4
Mapping von Standards und Rahmenwerke
Für das nachfolgende Mapping wurde eine detaillierte Analyse der Inhalte des IT-Grundschutzes und der zu vergleichenden Standards vorgenommen. Dabei wurden die Formulierungen der Maßnahmen in den IT-Grundschutz-Katalogen (8. Ergänzungslieferung der IT-GrundschutzKataloge, Stand September 2007), jeweils den Anforderungen nach CobiT, ISO/IEC 20000-1 sowie IDW PS 330 (bzw. der dazugehörigen Checkliste PH 9.330.1) gegenüber gestellt. Hierbei ist jedoch zu berücksichtigen, dass die Standards und Rahmenwerke unterschiedliche Detaillierungsgrade aufweisen (siehe Kapitel 3). IT-Grundschutz-Maßnahmen sind sehr detailliert und spezifisch geschrieben. Die Anforderungen in CobiT, IDW PS 330 und ISO/IEC 20000-1 wurden hingegen generisch formuliert. Sie können demnach auch Komponenten betrachten, die nicht durch IT-Grundschutz-Maßnahmen abgebildet werden. Beim Vergleich der Maßnahmen und Anforderungen besteht ein großer Interpretationsspielraum. Zudem enthalten einige Anforderungen nach CobiT, IDW PS 330 und ISO/IEC 20000-1 Prozess elemente, die im IT-Grundschutz durch die BSI-Standards beschrieben werden. Beispielsweise fordern CobiT, ISO/IEC 20000-1 und IDW PS 330 in einigen Anforderungen eine detaillierte, um fangreiche Risikoanalyse, die im IT-Grundschutz vom Ablauf her erst nach der Zuordnung der ITGrundschutz-Maßnahmen (Modellierung) erfolgt. Eine Zuordnung von Maßnahmen und Anforderungen zueinander ist in beide Richtungen daher nicht immer vollständig möglich. Aus diesem Grund wurde die Abbildung von beiden Seiten unter sucht. Es wird zum einen betrachtet, wie CobiT, ISO/IEC 20000-1 sowie IDW PS 330 ITGrundschutz abbilden. Zum anderen wird dargestellt, inwieweit IT-Grundschutz Anforderungen der genannten Standards abbildet. Darüber hinaus wurde bei den Zuordnungen die Vollständigkeit der jeweiligen Abbildung bewertet. Dazu wurde die inhaltliche Überschneidung geprüft und die Ergebnisse dieser Prüfung in die folgenden Gruppen unterteilt: - kompatibel: Textlich und inhaltlich deckungsgleiche Überschneidungen, die in beide Richtungen
gültig sind. Diese Überschneidungen erlauben keine Interpretation. - vollständig: Überschneidungen, bei denen Anforderungen eine Maßnahme komplett abdecken.
Hier handelt es sich um inhaltlich deckungsgleiche Überschneidungen. - teilweise: Nur Teile einer Maßnahme werden von den Anforderungen abgedeckt. - n/a (not applicable): Die Maßnahme wird nicht durch Anforderungen abgedeckt.
Bei dieser Abbildung bleibt jedoch der Interpretationsspielraum unberücksichtigt. Das bedeutet, dass – aufgrund der inhaltlichen Gemeinsamkeiten – auch Maßnahmen zugeordnet wurden, die durch ihre Formulierung lediglich einen indirekten Bezug zu der jeweiligen Anforderung aufweisen.
4.1
Ergebnisse: IT-Grundschutz und CobiT
Nachfolgend werden die Überschneidungen zwischen den IT-Grundschutz-Maßnahmen und den CobiT-Anforderungen beschrieben. Die CobiT-Anforderungen beinhalten zum einen die Anforde rungen in den vier Kategorien Plan and Organise, Acquire and Implement, Deliver and Support 38
Bundesamt für Sicherheit in der Informationstechnik
Mapping von Standards und Rahmenwerke 4
und Monitor and Evaluate sowie zum anderen die übergeordneten Anforderungen in den Process Controls (PC) und Application Controls (AC).
4.1.1 Abbildung von IT-Grundschutz durch CobiT Die Abdeckung von CobiT bezüglich der IT-Grundschutz-Maßnahmen wird im Netzdiagramm in Abbildung 6 dargestellt. Es wird deutlich, dass Informationssicherheit als Teilaspekt in CobiT enthalten ist. Die nach IT-Grundschutz empfohlenen Maßnahmen werden durch CobiT zu einem großen Teil vollständig oder zumindest teilweise abgebildet. Lediglich ein geringfügiger Anteil der IT-Grundschutz-Maßnahmen wird durch CobiT gar nicht berücksichtigt. Deutlich wird insbesondere, dass die Aspekte bezüglich M1 Infrastruktur, M3 Personal und M 6 Notfallvorsorge vollständig abbildbare Anforderungen nach CobiT beinhalten. Die Aspekte M2 Organisation, M4 Hardware und Software sowie M5 Kommunikation verlangen demnach eine stärkere Erweiterung der CobiT-Maßnahmen.
Abbildung 6: Abbildung von IT-Grundschutz durch CobiT
4.1.2 Abbildung von CobiT durch IT-Grundschutz Die Abbildung von CobiT auf IT-Grundschutz wird in Abbildung 7 dargestellt. Diese verdeutlicht das breitere Betrachtungsspektrum sowie die allgemeinere Formulierung der Anforderungen in CobiT. Viele der CobiT-Anforderungen werden durch den allgemein gehaltenen Teilaspekt der Informationssicherheit lediglich teilweise und nur wenige vollständig durch IT-GrundschutzMaßnahmen umgesetzt. Beispielsweise wurden hier auch die Abdeckungen mit "teilweise" oder sogar "n/a" bewertet, wenn die jeweilige CobiT-Anforderung eine Risikoanalyse fordert (z. B. PO6.2 Enterprise IT Risk and Control Framework oder PO9 Assess and Manage IT Risks). Diese findet im IT-Grundschutz erst im Rahmen der Erweiterten Sicherheitsanalyse statt und ist dement Bundesamt für Sicherheit in der Informationstechnik
39
4 Mapping von Standards und Rahmenwerke
sprechend mit der in CobiT generell geforderten Risikoanalyse nicht vergleichbar (siehe Abschnitt 3.1). Vollständig abbildbare Anforderungen existieren in den Bereichen DS4 Ensure Continuous Service, DS5 Ensure Systems Security und DS12 Manage Physical Environment. Diese beinhalten sicher heitsrelevante Maßnahmen, wie beispielsweise Notfallmanagement, Identitätsmanagement oder Gebäudesicherheit. IT-Governance-Aspekte die keinen direkten Bezug zum Informationssicherheitsmanagement haben, werden gar nicht durch IT-Grundschutz-Maßnahmen abgebildet (z. B. Projektmanagement in PO10 Manage Projects).
Abbildung 7: Abbildung von CobiT durch IT-Grundschutz
4.2
Ergebnisse: IT-Grundschutz und IDW PS 330
Nachfolgend werden die Abdeckungen von IT-Grundschutz und dem IDW Prüfungsstandard 330 (IDW PS 330) dargelegt. Als Grundlage für den detaillierten Vergleich wurde die vom IDW bereit gestellte Checkliste PH 9.330.1 verwendet, die die Anforderungen nach PS 330 konkretisiert.
40
Bundesamt für Sicherheit in der Informationstechnik
Mapping von Standards und Rahmenwerke 4
4.2.1 Abbildung von IT-Grundschutz durch IDW PS 330 Bei der Abbildung der IT-Grundschutz-Maßnahmen auf die Anforderungen nach IDW PS 330 wird deutlich, dass aufgrund des Fokus auf IT im Bezug auf die Rechnungslegung viele der ITGrundschutz-Maßnahmen nicht im PS 330 enthalten sind (siehe Abbildung 8). Lediglich in den Maßnahmenkategorien M1 Infrastruktur und M6 Notfallvorsorge werden mehr als die Hälfte der IT-Grundschutz-Maßnahmen vollständig oder teilweise abgebildet.
Abbildung 8: Abbildung von IT-Grundschutz durch IDW PS 330
4.2.2 Abbildung von IDW PS 330 durch IT-Grundschutz Das Netzdiagramm zur Abbildung der Anforderungen des IDW PS 330 auf die IT-GrundschutzMaßnahmen verdeutlicht, dass die Anforderung der ordnungsgemäßen Rechnungslegung an die IT zumeist teilweise durch IT-Grundschutz-Maßnahmen abgebildet werden können. Insbesondere in der Prüfkategorie 9. Besonderheiten der Internetnutzung werden mehrheitlich Anforderungen definiert, die durch den IT-Grundschutz vollständig abgebildet werden. Dem gegenüber enthalten die Prüfungskategorien 6. Prüfung IT-gestützter Geschäftsprozesse, 7. Prüfung des IT-Überwachungssystems sowie 8. Prüfung des Outsourcings Anforderungen bezüglich der Rechnungslegung, die nicht durch IT-Grundschutz-Maßnahmen abgebildet werden.
Bundesamt für Sicherheit in der Informationstechnik
41
4 Mapping von Standards und Rahmenwerke
Abbildung 9: Abbildung von PS 330 durch IT-Grundschutz
4.3
Ergebnisse: IT-Grundschutz und ISO/IEC 20000
Nachfolgend wird der detaillierte Vergleich zwischen IT-Grundschutz und der ISO/IEC 20000-1 beschrieben. Der Prozess "6.6 Information Security Management" wurde dabei nicht berücksichtigt. Durch die generische Formulierung könnte dieser Prozess nahezu jeder IT-Grundschutz-Maßnahme gegenüber gestellt werden. Der Prozess verlangt ein Information Security Management System (ISMS) entsprechend BSIStandard 100-1 und verweist bezüglich der umzusetzenden Maßnahmen auf die ISO/IEC 17799 bzw. 27002. Ein Vergleich mit diesem Prozess würde letztlich zu einem Vergleich von ISO/IEC 27002 und IT-Grundschutz führen. Da diese beiden Standards einander substituierend gegenüber stehen, ist ein Vergleich hier nicht sinnvoll. Vielmehr soll verdeutlicht werden, welche Maßnahmen im Rahmen einer gemeinsamen Umsetzung von ISO/IEC 20000-1 und IT-Grundschutz bereits durch den jeweils anderen Standard mit erfüllt werden.
4.3.1 Abbildung ISO/IEC 20000-1 durch IT-Grundschutz In Abbildung 10 werden in einem Netzdiagramm die Überschneidungen zwischen der ISO/IEC 20000-1 und den Maßnahmenkategorien in den IT-Grundschutz-Katalogen aufgezeigt. Dabei wird deutlich, dass ein Großteil der Maßnahmen im IT-Grundschutz nicht durch die Anforderungen in der ISO/IEC 20000-1 abgebildet werden. Dennoch werden ein Viertel bis zur Hälfte der Maßnahmen in den Bereichen M2 Organisation, M4 Hardware und Software sowie M6 Notfallvorsorge durch die ISO/IEC 20000-1 teilweise abge
42
Bundesamt für Sicherheit in der Informationstechnik
Mapping von Standards und Rahmenwerke 4
bildet. Insbesondere im Bereich M6 Notfallvorsorge werden darüber hinaus auch Maßnahmen vollständig abgebildet.
Abbildung 10: Abbildung von IT-Grundschutz durch ISO/IEC 20000-1
4.3.2 Abbildung IT-Grundschutz durch ISO/IEC 20000-1 Die Abbildung der IT-Grundschutz-Maßnahmen auf die Anforderungen der ISO/IEC 20000-1 werden in Abbildung 11 dargestellt. Aufgrund des unterschiedlichen Fokus ist keine der ITGrundschutz-Maßnahmen kompatibel oder vollständig auf die Anforderungen der ISO/IEC 20000-1 abbildbar. Jedoch wird deutlich, dass IT-Grundschutz-Maßnahmen alle Anforderungen bezüglich der Kontrollprozesse sowie des Release-Prozesses teilweise erfüllen.
Bundesamt für Sicherheit in der Informationstechnik
43
4 Mapping von Standards und Rahmenwerke
Abbildung 11: Abbildung von ISO/IEC 20000-1 durch IT-Grundschutz
4.4
Mapping–Tabellen
Die Mappings der unterschiedlichen Standards und Rahmenwerke mit IT-Grundschutz vom BSI wurden in Tabellen durchgeführt (siehe Abbildung 12). Aufgrund des großen Umfangs wurden diese Tabellen nicht in den Inhalt dieser Studie aufgenommen.
44
Bundesamt für Sicherheit in der Informationstechnik
Mapping von Standards und Rahmenwerke 4
Abbildung 12: Auszug einer Mapping Tabelle
Als einfachere Darstellungsform des Mappings wurden für jeden Standard-Vergleich Kreuz referenztabellen entwickelt, die die IT-Grundschutz-Bausteine und die Anforderungen des jewei ligen Standards einander zuordnen (siehe Abbildung 13). Diese Tabellen zeigen auf, welcher Baustein bei der Umsetzung der jeweiligen Standardanforderung berücksichtigt werden sollte und umgekehrt.
Bundesamt für Sicherheit in der Informationstechnik
45
4 Mapping von Standards und Rahmenwerke
Abbildung 13: Auszug einer Kreuzreferenztabelle
Die Mapping-Tabellen, eine Beschreibung des Mappings sowie auch die Kreuzreferenztabellen können separat beim BSI angefragt werden.
4.5
Zusammenfassung
Sowohl CobiT, IDW PS 330 als auch ISO/IEC 20000-1 wurden jeweils auf der Ebene der Anforde rungen mit IT-Grundschutz verglichen. Hier wurden die Formulierungen der zutreffenden Maßnahmen auf die inhaltliche Übereinstimmung mit dem jeweils anderen Standard geprüft. An schließend wurde bewertet, ob und wie vollständig eine oder mehrere Maßnahmen eines Standards eine Maßnahme des anderen Standards abbilden kann. Die Ergebnisse wurden in Netzdiagrammen dargestellt. Aufgrund der unterschiedlichen Ausrichtung und Anwendungsgebiete deckt keiner der untersuchten Standards den jeweils gegenübergestellten Standard weder im Ganzen noch in einzelnen Kategorien vollständig ab. Des Weiteren sind auch keine der Maßnahmen kompatibel zu einander. D. h. keine der Anforderungen aus den genannten Standards ist direkt textlich und inhaltlich deckungsgleich mit einer IT-Grundschutz-Maßnahme. Dennoch kann die Kombination von Anforderungen eines der genannten Standards ITGrundschutz-Maßnahmen vollständig oder teilweise abbilden und umgekehrt. Insbesondere CobiT bietet hier ein sehr weites Spektrum von vollständigen und teilweisen Überschneidungen mit ITGrundschutz. Auch hinsichtlich des IDW PS 330 sowie der ISO/IEC 20000-1 kann IT-Grundschutz viele Maßnahmen zumindest teilweise umsetzen. IDW PS 330 sowie ISO/IEC 20000-1 bilden die ITGrundschutz-Maßnahmen hingegen eher schwach ab. Ein Großteil der Maßnahmen ist außerhalb 46
Bundesamt für Sicherheit in der Informationstechnik
Mapping von Standards und Rahmenwerke 4
der Thematik Informationssicherheit und damit außerhalb des Anwendungsbereichs von ITGrundschutz. Dennoch gibt es auch hier Anforderungen, die mit IT-Grundschutz-Maßnahmen voll ständig oder teilweise vergleichbar sind. Die Kreuzreferenztabellen stellen die Zuordnung der IT-Grundschutz-Maßnahmen zu den einzelnen Kategorien der untersuchten Standards dar. Ein IT-Grundschutz-Baustein wurde einer Kategorie des jeweiligen Standards zugeordnet, wenn er mindestens eine Maßnahme enthält, die zur voll ständigen oder teilweisen Abbildung dieser Kategorie beiträgt. Die Kreuzreferenztabelle kann als Werkzeug für die Kombination der jeweils gegenübergestellten Standards verwendet werden. Sie zeigt beispielsweise auf, welche IT-Grundschutz-Bausteine bereits teilweise oder sogar vollständig umgesetzt sein könnten, wenn das CobiT-Framework bereits angewendet wird.
Bundesamt für Sicherheit in der Informationstechnik
47
5 Fazit
5
Fazit
Standards und Regelwerke sind die Grundlage für eine konsistente Ausrichtung einer Organisation bezüglich spezifischer Anforderungen. Darüber hinaus ermöglichen sie die einheitliche Prüfung und Bewertung der Umsetzung dieser Anforderungen über alle umsetzenden Organisationen. Informationssicherheit wird von unterschiedlichen Standards und Regelwerken behandelt. Als Querschnittsfunktion im Unternehmen existieren hierzu zum einen direkte Informationssicherheits standards, wie beispielsweise die ISO/IEC 27001 und die BSI-Standards zur Informationssicherheit. Zum anderen ist Informationssicherheit ein integraler Teilaspekt von Standards, deren Fokus auf anderen wirtschaftlichen oder informationstechnischen Themen liegt (z. B. CobiT, ISO/IEC 20000). Durch die unterschiedlichen Anwendungsgebiete ist es in der Praxis interessant, Standards zu kombinieren. Dabei müssen die Überschneidungen der Standards berücksichtigt werden, um Doppeltarbeiten oder Inkonsistenzen zu vermeiden. Der Vergleich zwischen den Standards hat aufgezeigt, dass bei der Kombination von Standards zum Teil erhebliche Synergieeffekte genutzt werden können. Werden die Vorgaben eines Standards in einer Organisation umgesetzt, sollten demnach grundsätzlich die Inhalte und der Umsetzungsstatus bereits verwendeter Standards mit den Anforderungen des neuen Standards abgeglichen werden. Für CobiT, IDW PS 330 sowie die ISO 20000 konnten die Grundlagen für Synergieeffekte hin sichtlich einer Kombination mit IT-Grundschutz aufgezeigt werden. Insbesondere CobiT beinhaltet durch den stark integrierten Teilaspekt Informationssicherheit viele inhaltliche Überschneidungen zum IT-Grundschutz. Auch zu IDW PS 330 und ISO/IEC 20000 existieren relevante Schnitt mengen. Dies ist insbesondere für die ISO/IEC 20000 zu betonen, da bei obigem Vergleich der Verweis auf die in ihr referenzierte ISO/IEC 27002 (ehem. ISO/IEC 17799) nicht berücksichtigt wurde. Die Berücksichtigung dieses Bezuges hätte schließlich zu der Bestätigung einer voll ständigen Abdeckung geführt, da IT-Grundschutz die ISO/IEC 270xx-Standardreihe interpretiert und daher naheliegende Inhalte formuliert. Durch die abschließend zur Verfügung gestellten Kreuzreferenztabellen werden Ansatzpunkte für die effiziente Kombination von IT-Grundschutz mit dem jeweils anderen Standard dargestellt. Sie enthalten die Zuordnung der Anforderungen der Standards zu den jeweiligen IT-GrundschutzBausteinen. Die Tabellen eignen sich demnach als grundlegendes Werkzeug für die Praxis. Synergieeffekte bestehen insbesondere in den Substitutionsmöglichkeiten der Maßnahmen der unterschiedlichen Standards. Einige Maßnahmen müssen gegebenenfalls nicht mehr umgesetzt werden, da sie bereits mit der Einführung des ersten Standards umgesetzt wurden. Bei anderen Maßnahmen existieren vielleicht schon die grundlegenden Ansätze, so dass die Erweiterung zur Anforderung des neu einzuführenden Standards nicht so aufwendig ist. Des Weiteren kann es auch sinnvoll sein, Anforderungen eines Standards nach einem anderen Standard umzusetzen, unabhängig davon, ob letzterer eingeführt werden soll oder nicht. Beispiels weise bietet IT-Grundschutz einen höheren Detaillierungsgrad und damit eine höhere Praxis relevanz, als die ihm in Kapitel 3 und Kapitel 4 gegenübergestellten Standards oder Rahmenwerke. In der Umsetzung eines dieser Standards kann es also durchaus sinnvoll sein, die Anforderungen über die zutreffenden IT-Grundschutz-Maßnahmen zu implementieren. Zum einen wird die Anforderung des Zielstandards erfüllt und zum anderen steht mit den Maßnahmenbeschreibungen detaillierte Referenzen für die Umsetzung zur Verfügung.
48
Bundesamt für Sicherheit in der Informationstechnik
Fazit 5
Dabei ist jedoch zu berücksichtigen, dass unter Umständen die Maßnahmen nicht vollständig ab bildbar sind. Andererseits ist nicht auszuschließen, dass in einer Institution Umsetzungen erforder lich sind, die zwar den Anforderungen des einen Standards entsprechen, jedoch den Anforderungen des weiteren Standards widersprechen. Beim Abgleich von Synergien während der Planungsphase muss dies ebenfalls berücksichtigt werden. Die genannten Mapping- und Kreuzreferenztabellen stellen ein Werkzeug dar, dass die Abbildung der Anforderungen des IT-Grundschutz auf CobiT, IDW PS 330 und ISO/IEC 20000 unterstützt. Für die konkrete Substitution von Anforderungen muss grundsätzlich noch einmal eine Prüfung vorgenommen werden, ob dies für den konkreten Fall möglich ist.
Bundesamt für Sicherheit in der Informationstechnik
49
6 Abkürzungsverzeichnis
6
Abkürzungsverzeichnis
AICPA
American Institute of Certified Public Accountants
BSI
Bundesamt für Sicherheit in der Informationstechnik
CobiT
Control Objectives for Information and related Technology
FAIT
Fachausschuss für Informationstechnik
IDW
Institut der Wirtschaftsprüfer
IEC
International Electrotechnical Commission
ISO
International Organization for Standardization
ISACA
Information Systems Audit and Control Association
ISMS
Informationssicherheitsmanagementsystem
ITIL
IT Infrastructure Library
PCI DSS
Payment Card Industry Data Security Standard
PDCA
Deming-Zyklus: Planung und Konzeption (Plan), Umsetzung der Planung (Do), Erfolgskontrolle, Überwachung der Zielerreichung (Check), Optimierung, Verbesserung (Act)
RACI
Zuständig (Responsible), verantwortlich (Accountable), konsultiert (Consulted), informiert (Informed) – Methode zur Darstellung von Rollen und Verantwortlichkeiten
RS
Stellungnahme zur Rechnungslegung
SAS 70
Statement on Auditing Standard No. 70
SOX
Sarbanes Oxley Act
50
Bundesamt für Sicherheit in der Informationstechnik
Literaturverzeichnis 7
7
Literaturverzeichnis
BSI 100-1 2008: Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), "BSI-Standard 1001 – Managementsysteme für Informationssicherheit (ISMS)", V. 1.5, Mai 2008 BSI 100-2 2008: Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), "BSI-Standard 1002 – IT-Grundschutz-Vorgehensweise", V. 2.0, Mai 2008 BSI 100-3 2008: Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), "BSI-Standard 1002 – IT-Grundschutz-Vorgehensweise", V. 2.0, Mai 2008 BSI 100-4 2008: Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), "BSI-Standard 1004 – Notfallmanagement", Entwurf, V. 0.9, August 2008 BSI GSK:
Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), " IT-GrundschutzKataloge", http://www.bsi.de/gshb/deutsch/, 2008
CobiT 2007:
IT-Governance Institute (Hrsg.), "CobiT 4.1", Rolling Meadows, 2007
IDW 2008:
Institut der Wirtschaftsprüfer in Deutschland e. V. (Hrsg.), "Das IDW", http://www.idw.de/idw, Oktober 2008
IDW PH 9.33.1: Institut der Wirtschaftsprüfer in Deutschland e. V. (Hrsg.), "Checkliste zur Abschlussprüfung beim Einsatz von Informationstechnologie", Juli 2002 IDW PS 330 2002: Institut der Wirtschaftsprüfer in Deutschland e. V. (Hrsg.), "IDW Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie", IDW PS 330, in IDW Prüfungsstandards – IDW Stellungnahmen zur Rechnungslegung, CD-ROM Ausgabe 2007/2008, IDW Verlag GmbH, Stand: 24.09.2002 IDW RS FAIT 1 2002: Institut der Wirtschaftsprüfer in Deutschland e. V. (Hrsg.), "IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie", IDW RS FAIT 1, in IDW Prüfungsstandards – IDW Stellungnahmen zur Rechnungslegung, CD-ROM Ausgabe 2007/2008, IDW Verlag GmbH, Stand: 24.09.2002 ISO/IEC 20000-1 2005: International Organization for Standardization (Hrsg.), "Information technology -- Service management -- Part 1: Specification", ISO/IEC 200001:2005, Dezember 2005 ISO/IEC 27001 2005: International Organization for Standardization (Hrsg.), "Information technology – Security techniques – Information Security Management Systems – Requirements", ISO/IEC 27001:2005, Oktober 2005 ITIL 2007:
Office of Government Commerce , "IT Infrastructure Library", 2007
KBSt 2006:
Koordinierungs- und Beratungsstelle der Bundesregierung für Infomationstechnik in der Bundesverwaltung (Hrsg.), "ITIL und Standards für IT-Prozesse – ProzessStandards für die Entwicklung der IT-Service-Organisation gemäß ITIL Best Practices”, Version 1.0.1, KBSt-Brief 1/2006, Oktober 2006
PCI-DSS 2008: PCI Security Standards Council (Hrsg.), "Payment Card Industry Data Security Standard (PCI DSS)", Version 1.2, Oktober 2008
Bundesamt für Sicherheit in der Informationstechnik
51
7 Literaturverzeichnis
Saferpay 2007:
Saferpay (Hrsg.), "Kredit- und Debitkarten-Datenschutz im E-Commerce PCI DSS: Schonfrist für Webshop-Händler läuft Ende des Jahres ab", http://www.saferpay.com/news.asp?LangId=de&news=6C23AA0D-5239-4F2C8CFC-7E5816D80906, Telekurs Card Solutions GmbH, November 2007
SAS70 2007:
www.sas70.com (Hrsg.), "About SAS 70", http://www.sas70.com/about.htm, 2007
SecMgr11/2007: , "Ganzheitliches Sicherheitsmanagement - Wie lässt sich IT-Security messen?", http://www.securitymanager.de/magazin/artikel_1681_messen_von_itsicherheit.html, 11/2007
52
Bundesamt für Sicherheit in der Informationstechnik
