241 Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 Das folgende Verzeichnis verweist auf die Erläuterungen in diesem Buch zu den angegebenen Regelungsbereichen (erste Gliederungsebene), Sicherheitskategorien (zweite Gliederungsebene) und Maßnahmen (dritte Gliederungsebene). A.5 Sicherheitsleitlinie ......................................................................................... 132 A.5.1 Informationssicherheitsleitlinie ................................................. 132 A.5.1.1 Leitlinie zur Informationssicherheit ....................... 132 A.5.1.2 Überprüfung der Informationssicherheitsleitlinie .............................. 132 A.6 Organisation der Informationssicherheit ..................................................... 133 A6.1 Interne Organisation.................................................................. 133 A.6.1.1 Engagement des Managements für Informationssicherheit............................................ 133 A.6.1.2 Koordination der Informationssicherheit .............. 133 A.6.1.3 Zuweisung der Verantwortlichkeiten für Informationssicherheit............................................ 134 A.6.1.4 Genehmigungsverfahren für informationsverarbeitende Einrichtungen............. 134 A.6.1.5 Vertraulichkeitsvereinbarungen............................. 134 A.6.1.6 Kontakt zu Behörden ............................................. 135 A.6.1.7 Kontakt zu speziellen Interessengruppen ............ 135 A.6.1.8 Unabhängige Überprüfung der Informationssicherheit............................................ 136 A.6.2 Externe Parteien ........................................................................ 136 A.6.2.1 Identifizierung von Risiken in Zusammenhang mit Externen ............................... 137 A.6.2.2 Adressieren von Sicherheit im Umgang mit Kunden ................................................................... 137 A.6.2.3 Adressieren von Sicherheit in Vereinbarungen mit Dritten............................................................... 138
25
Embed
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001978-3-8348-9425-0/1.pdf · 241 Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 Das folgende Verzeichnis verweist auf die
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
241
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
Das folgende Verzeichnis verweist auf die Erläuterungen in diesem Buch zu den angegebenen Regelungsbereichen (erste Gliederungsebene), Sicherheitskategorien (zweite Gliederungsebene) und Maßnahmen (dritte Gliederungsebene).
A.5.1.1 Leitlinie zur Informationssicherheit....................... 132 A.5.1.2 Überprüfung der
Informationssicherheitsleitlinie.............................. 132 A.6 Organisation der Informationssicherheit ..................................................... 133
A6.1 Interne Organisation.................................................................. 133 A.6.1.1 Engagement des Managements für
Informationssicherheit............................................ 133 A.6.1.2 Koordination der Informationssicherheit.............. 133 A.6.1.3 Zuweisung der Verantwortlichkeiten für
Informationssicherheit............................................ 134 A.6.1.4 Genehmigungsverfahren für
informationsverarbeitende Einrichtungen............. 134 A.6.1.5 Vertraulichkeitsvereinbarungen............................. 134 A.6.1.6 Kontakt zu Behörden............................................. 135 A.6.1.7 Kontakt zu speziellen Interessengruppen ............ 135 A.6.1.8 Unabhängige Überprüfung der
A.8.1 Vor der Anstellung .................................................................... 141 A.8.1.1 Aufgaben und Verantwortlichkeiten ..................... 142 A.8.1.2 Überprüfung ........................................................... 142 A.8.1.3 Arbeitsvertragsklauseln .......................................... 143
A.8.2 Während der Anstellung ........................................................... 144 A.8.2.1 Verantwortung des Managements......................... 144 A.8.2.2 Sensibilisierung, Ausbildung und Schulung
für Informationssicherheit...................................... 144 A.8.2.3 Disziplinarverfahren ............................................... 145
A.8.3 Beendigung oder Änderung der Anstellung............................ 145 A.8.3.1 Verantwortlichkeiten bei der Beendigung............ 146 A.8.3.2 Rückgabe von organisationseigenen Werten ....... 146 A.8.3.3 Aufheben von Zugangsrechten ............................. 146
A.9 Physische und umgebungsbezogene Sicherheit......................................... 147 A.9.1 Sicherheitsbereiche.................................................................... 147
A.9.1.1 Sicherheitszonen..................................................... 147 A.9.1.2 Zutrittskontrolle ...................................................... 148 A.9.1.3 Sicherung von Büros, Räumen und
Einrichtungen ......................................................... 149 A.9.1.4 Schutz vor Bedrohungen von Außen und aus
der Umgebung........................................................ 149 A.9.1.5 Arbeit in Sicherheitszonen..................................... 149
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
243
A.9.1.6 Öffentlicher Zugang, Anlieferungs- und Ladezonen............................................................... 150
A.9.2 Sicherheit von Betriebsmitteln.................................................. 150 A.9.2.1 Platzierung und Schutz von Betriebsmitteln ........ 151 A.9.2.2 Unterstützende Versorgungseinrichtungen........... 151 A.9.2.3 Sicherheit der Verkabelung ................................... 152 A.9.2.4 Instandhaltung von Gerätschaften ........................ 152 A.9.2.5 Sicherheit von außerhalb des Standorts
befindlicher Ausrüstung......................................... 152 A.9.2.6 Sichere Entsorgung oder Weiterverwendung
von Betriebsmitteln ................................................ 153 A.9.2.7 Entfernung von Eigentum...................................... 153
A.10 Betriebs- und Kommunikationsmanagement.............................................. 154 A.10.1 Verfahren und Verantwortlichkeiten........................................ 154
A.10.1.1 Dokumentierte Betriebsprozesse .......................... 154 A.10.1.2 Änderungsverwaltung ............................................ 155 A.10.1.3 Aufteilung von Verantwortlichkeiten .................... 155 A.10.1.4 Aufteilung von Entwicklungs-, Test- und
Produktiveinrichtungen.......................................... 156 A.10.2 Management der Dienstleistungs-Erbringung von Dritten ..... 156
A.10.2.1 Erbringung von Dienstleistungen.......................... 157 A.10.2.2 Überwachung und Überprüfung der
Dienstleistungen von Dritten................................. 157 A.10.2.3 Management von Änderungen an
Dienstleistungen von Dritten................................. 158 A.10.3 Systemplanung und Abnahme.................................................. 158
A.10.4 Schutz vor Schadsoftware und mobilem Programmcode....... 159 A.10.4.1 Maßnahmen gegen Schadsoftware ....................... 159 A.10.4.2 Schutz vor mobiler Software (mobilen
A.10.5.1 Backup von Informationen.................................... 161
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
244
A.10.6 Management der Netzsicherheit ............................................... 161 A.10.6.1 Maßnahmen für Netze ........................................... 161 A.10.6.2 Sicherheit von Netzdiensten .................................. 162
A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien........ 163 A.10.7.1 Verwaltung von Wechselmedien .......................... 163 A.10.7.2 Entsorgung von Medien......................................... 163 A.10.7.3 Umgang mit Informationen ................................... 164 A.10.7.4 Sicherheit der Systemdokumentation.................... 165
A.10.8 Austausch von Informationen................................................... 165 A.10.8.1 Regelwerke und Verfahren zum Austausch
von Informationen ................................................. 166 A.10.8.2 Vereinbarungen zum Austausch von
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
245
A.11.2.2 Verwaltung von Sonderrechten............................. 177 A.11.2.3 Verwaltung von Benutzerpasswörtern.................. 178 A.11.2.4 Überprüfung von Benutzerberechtigungen.......... 179
A.11.3 Benutzerverantwortung............................................................. 179 A.11.3.1 Passwortverwendung ............................................. 179 A.11.3.2 Unbeaufsichtigte Benutzerausstattung .................. 180 A.11.3.3 Der Grundsatz des aufgeräumten
Schreibtischs und des leeren Bildschirms............. 180 A.11.4 Zugangskontrolle für Netze ...................................................... 180
A.11.4.1 Regelwerk zur Nutzung von Netzen..................... 181 A.11.4.2 Benutzerauthentisierung für externe
Verbindungen......................................................... 181 A.11.4.3 Geräteidentifikation in Netzen .............................. 182 A.11.4.4 Schutz der Diagnose- und
Konfigurationsports................................................ 182 A.11.4.5 Trennung in Netzwerken....................................... 182 A.11.4.6 Kontrolle von Netzverbindungen.......................... 183 A.11.4.7 Routingkontrolle für Netze .................................... 183
A.11.5 Zugriffskontrolle auf Betriebssysteme...................................... 183 A.11.5.1 Verfahren für sichere Anmeldung......................... 184 A.11.5.2 Benutzeridentifikation und Authentisierung......... 184 A.11.5.3 Systeme zur Verwaltung von Passwörtern ........... 185 A.11.5.4 Verwendung von Systemwerkzeugen................... 185 A.11.5.5 Session Time-out .................................................... 186 A.11.5.6 Begrenzung der Verbindungszeit.......................... 186
A.11.6 Zugangskontrolle zu Anwendungen und Informationen ....... 187 A.11.6.1 Einschränkung von Informationszugriff ............... 187 A.11.6.2 Isolation sensibler Systeme.................................... 187
A.11.7 Mobile Computing und Telearbeit ........................................... 187 A.11.7.1 Mobile Computing und Kommunikation.............. 188 A.11.7.2 Telearbeit ................................................................ 188
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
246
A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen ....... 189 A.12.1 Sicherheitsanforderungen von Informationssystemen ............ 189
A.12.1.1 Analyse und Spezifikation von Sicherheitsanforderungen ...................................... 189
A.12.2 Korrekte Verarbeitung in Anwendungen................................. 190 A.12.2.1 Überprüfung von Eingabedaten............................ 190 A.12.2.2 Kontrolle der internen Verarbeitung..................... 190 A.12.2.3 Integrität von Nachrichten ..................................... 191 A.12.2.4 Überprüfung von Ausgabedaten ........................... 191
A.12.3 Kryptografische Maßnahmen.................................................... 191 A.12.3.1 Leitlinie zur Anwendung von Kryptografie .......... 192 A.12.3.2 Verwaltung kryptografischer Schlüssel ................. 192
A.12.4 Sicherheit von Systemdateien ................................................... 193 A.12.4.1 Kontrolle von Software im Betrieb ....................... 193 A.12.4.2 Schutz von Test-Daten ........................................... 194 A.12.4.3 Zugangskontrolle zu Quellcode............................ 194
A.12.5 Sicherheit bei Entwicklungs- und Unterstützungsprozessen .......................................................... 194 A.12.5.1 Änderungskontrollverfahren.................................. 195 A.12.5.2 Technische Kontrolle von Anwendungen
nach Änderungen am Betriebssystem................... 195 A.12.5.3 Einschränkung von Änderungen an
A.13 Umgang mit Informationssicherheitsvorfällen ............................................ 198 A.13.1 Melden von Informationssicherheitsereignissen und
Schwachstellen .......................................................................... 198 A.13.1.1 Melden von
Informationssicherheitsereignissen ....................... 198 A.13.1.2 Melden von Sicherheitsschwachstellen................. 198
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
247
A.13.2 Umgang mit Informationssicherheitsvorfällen und Verbesserungen ......................................................................... 199 A.13.2.1 Verantwortlichkeiten und Verfahren..................... 199 A.13.2.2 Lernen von Informationssicherheitsvorfällen ....... 199 A.13.2.3 Sammeln von Beweisen......................................... 200
A.14 Sicherstellung des Geschäftsbetriebs (Business Continuity Management) ................................................................................................ 200
A.14.1 Informationssicherheitsaspekte bei der Sicherstellung des Geschäftsbetriebs....................................................................... 201 A.14.1.1 Einbeziehen von Informationssicherheit in
den Prozess zur Sicherstellung des Geschäftsbetriebs ................................................... 201
A.14.1.2 Sicherstellung des Geschäftsbetriebs und Risikoeinschätzung................................................. 202
A.14.1.3 Entwickeln und Umsetzen von Plänen zur Sicherstellung des Geschäftsbetriebs, die Informationssicherheit enthalten........................... 202
A.14.1.4 Rahmenwerk für die Pläne zur Sicherstellung des Geschäftsbetriebs............................................. 202
A.14.1.5 Testen, Instandhaltung und Neubewertung von Plänen zur Sicherstellung des Geschäftsbetriebs ................................................... 203
A.15.1.1 Identifikation der anwendbaren Gesetze ............. 204 A.15.1.2 Rechte an geistigem Eigentum .............................. 205 A.15.1.3 Schutz von organisationseigenen
Aufzeichnungen ..................................................... 205 A.15.1.4 Datenschutz und Vertraulichkeit von
personenbezogenen Informationen...................... 206 A.15.1.5 Verhinderung des Missbrauchs von
informationsverarbeitenden Einrichtungen .......... 207 A.15.1.6 Regelungen zu kryptografischen Maßnahmen..... 207
A.15.2 Übereinstimmung mit Sicherheitspolitiken und Standards und technische Übereinstimmung............................................ 208 A.15.2.1 Einhaltung von Sicherheitsregelungen und
Abbildung 1: Der PDCA-Zyklus .......................................... 38 Abbildung 2: Struktur des Anhang A.................................. 90
Tabelle 1: Übersicht über Zertifizierungsmodelle......... 11 Tabelle 2: Normen mit Bezug zum Anhang A der
ISO 27001....................................................... 14 Tabelle 3: Definition des Schutzbedarfs........................ 27 Tabelle 4: PDCA-Phasen................................................. 38 Tabelle 5: Übersicht über die Regelungsbereiche
und Sicherheitskategorien ............................ 91 Tabelle 6: Gruppierung der Regelungsbereiche........... 93 Tabelle 7: Maßnahmen der Sicherheitskategorie
11.5................................................................. 94 Tabelle 8: Bedrohungsliste........................................... 116 Tabelle 9: Liste von Schwachstellen ............................ 117 Tabelle 10: Bewertung von Risiken............................... 121 Tabelle 11: Übersicht Schutzbedarf ............................... 124 Tabelle 12: Beispiel Schutzbedarfsanalyse (1).............. 125 Tabelle 13: Beispiel Schutzbedarfsanalyse (2).............. 126 Tabelle 14: Beispiel Schutzbedarfsanalyse (3).............. 127
253
Verwendete Abkürzungen
AktG Aktiengesetz
BDSG Bundesdatenschutzgesetz
BGB Bürgerliches Gesetzbuch
BNetzA Bundesnetzagentur (früher: RegTP)
BS British Standard
BSI Bundesamt für Sicherheit in der Informationstechnik
CAD Computer Aided Design
CBT Computer Based Training
CC Common Criteria
CD Compact Disc
CERT Computer Emergency Response Team
COSO Committee of the Sponsoring Organizations of the Treadway Comission
CMM Capability Maturity Model
CMMI Capability Maturity Model Integration
CSP Certification Service Provider
DATech Deutsche Akkreditierungsstelle Technik e.V.
DFÜ Datenfernübertragung
DIN Deutsches Institut für Normung e.V.
DoS Denial of Service
DVD Digital Versatile Disc
EDI Electronic Data Interchange
(E)DV (elektronische) Datenverarbeitung
EN European Norm
ETSI European Telecommunications Standards Institute
IEEE Institute of Electrical and Electronics Engineers Inc.
IFRS International Financial Reporting Standards
IKS Internes Kontrollsystem
IP Internet Protocol
ISF Information Security Forum
ISMS Information Security Management System
ISO International Organization for Standardization
IT Informationstechnik, informationstechnisches…
ITIL Information Technology Information Library
ITSEC Information Technology Security Evaluation Criteria
ITSEM Information Technology Security Evaluation Manual
IV Informationsverarbeitung, informationsverarbeitendes…
KMU Kleine und mittelständische Unternehmen
KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
LAN Local Area Network
MTBF Mean Time between Failure
Verwendete Abkürzungen
255
NDA Non Disclosure Agreement
PC Personal Computer
PCI-DSS Payment Card Industry Data Security Standard
PCMCIA Personal Computer Memory Card International Association (Standard für PC-Erweiterungskarten)
PDA Personal Digital Assistent
PDCA Plan-Do-Check-Act
PDF Portable Document Format
PIN Personal Identification Number
PUK Personal Unblocking Key
QM Qualitätsmanagement
ROSI Return on Security Investment
RZ Rechenzentrum
SAK Signaturanwendungskomponente
SigG Signaturgesetz
SoA Statement of Applicability
S-OX Sarbanes Oxley Act
SQL Structured Query Language
SSL Secure Sockets Layer
SüG Sicherheitsüberprüfungsgesetz
TCSEC Trusted Computer System Evaluation Criteria
TDDSG Teledienstedatenschutzgesetz
TDG Teledienstegesetz
TGA Trägergemeinschaft für Akkreditierung GmbH
TK(-) Telekommunikation(s-)
TKG Telekommunikationsgesetz
UrhG Urheberrechtsgesetz
USB Universal Serial Bus
USV unterbrechungsfreie Stromversorgung
Verwendete Abkürzungen
256
VDE Verband der Elektrotechnik, Elektronik und Informationstechnik
VS Verschlusssache(n)
VS-A Verschlusssachen-Anweisung
WLAN Wireless LAN
ZDA Zertifizierungsdiensteanbieter
257
Quellenhinweise
Bei den folgenden Internet-Adressen sind ergänzende Informa-tionen zu bekommen, verschiedentlich ist auch ein Download der Standards und Dokumente möglich:
British Standard ..........................................www.bsi-global.com
Common Criteria ...................... www.commoncriteriaportal.com
ISO .......................................................www.iso.org
/CC/ ISO / IEC 15408: Common Criteria for Information Technology Security Evaluation, Version 3.1, 2006
/CEM/ Common Methodology for Information Technology Security Evaluation, Version 3.1, 2006
/DIN ISO 27001/ Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Management-systeme – Anforderungen (ISO / IEC 27001:2005), deutsche Fassung von /ISO 27001/
/DIN 45011/ DIN EN 45011:1998 Allgemeine Anfor-derungen an Stellen, die Produktzertifizierungssysteme betreiben (entspricht ISO / IEC Guide 65:1996)
/DIN 45012/ DIN EN 45012:1998 Allgemeine Anforderungen an Stellen, die Qualitätsmanagementsysteme begutachten und zertifizieren (entspricht ISO / IEC Guide 62:1996)
/GSHB/ IT-Grundschutz(handbuch)
/ISO 13335/ ISO / IEC IS 13335: Information Technology – Security techniques – Management of information and communications technology security (Part 1 to 5)
/ISO 17025/ ISO / IEC 17025:2005 Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien
/ISO 19011/ ISO 19011:2002 Leitfaden für Audits von Qualitätsmanagement- und / oder Umweltmanagementsystemen
/ISO 73/ ISO / IEC Guide 73:2002 Risk management — Vocabulary — Guidelines for use in standards
Quellenhinweise
259
/ISO 17799/ ISO / IEC 17799:2005 Information technology — Security techniques — Code of practice for information security management
/ISO 27001/ ISO / IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements
/ISO 9000/ ISO 9001:2000, Qualitätsmanagementsystem – Anforderungen
/ISO 14000/ ISO 14001:2004, Umweltmanagementsystem – Anforderungen
/ITSEC/ Information Technology Security Evaluation Criteria, Version 1.2, 1991
/ITSEM/ Information Technology Security Evaluation Manual, Version 1.0, 1993
/ITU/ ITU-T Recommendation X.1051: Information security management system – Requirements for telecommunications (ISMS-T), Fassung 07-2004
/PCI-DSS/ Payment Card Industry Data Security Standard (PCI DSS), Version 1.1, September 2006
/SigG/ Signaturgesetz vom 16. Mai 2001 (BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179)
/SigV/ Signaturverordnung vom 16. November 2001 (BGBl. I S. 3074), geändert durch Artikel 2 des Gesetzes vom 4. Januar 2005 (BGBl. I S. 2)"
/TCSEC/ Trusted Computer System Evaluation Criteria, DoD: 5200.28-STD, December 1985