Download Studie zu ISO-Normungsaktivitäten ISO/BPM PDF

TitleStudie zu ISO-Normungsaktivitäten ISO/BPM
LanguageEnglish
File Size523.8 KB
Total Pages66
Table of Contents
                            Ausgangssituation
Management Summary
	Ziel und Inhalt der Studie
	Grundlegende Dokumente
	Ergebnisse der Studie
Vergleich der Audit- und Zertifizierungsschemata
	Sichtung der Dokumente
		IT-Grundschutz-Zertifizierung
			IT-Grundschutzhandbuch (GSHB)
			Qualifizierung/Zertifizierung nach IT-Grundschutz
			Zertifizierung nach IT-Grundschutz – Aufgaben des
			Lizenzierungsschema für IT-Grundschutz-Auditoren
			Qualifizierung/ Zertifizierung nach IT-Grundschut
		Zertifizierung nach BS 7799-2
			BS 7799-2 \(Information security management syst
			PD 3001 (Preparing for BS 7799-2 Certification)
			EA-7/03 Guidelines for the Accreditation of bodies operating certification/ registration of ISMS
			Handbuch des DAR (Deutscher Akkreditierungsrat)
	Definitionen
	Vergleich der Zertifizierungsschemata
		Generische Anforderungen an Auditierung und Zertifizierung
			Input für ein Audit
			Output eines Audits
			Untersuchungsgegenstand des Audits
			Die Phasen des Audits
			Die Phasen der Zertifizierung
			Anforderungen der Akkreditierung
			Nachvollziehbarkeit der Ergebnisse
			Was ist genau die Aussage eines Audits
			Anforderungen der Rezertifizierung
			Gestaffelte Anforderungen und Zertifikatsklassen
		Einzelne Interessen und deren Wechselwirkungen
		Vergleich der Audit- und Zertifizierungsprozesse
			Initiierung
			Vorarbeiten – Realisierung der dokumentierten Anf
			Audit
			Auditreport
			Prüfung der Korrektheit des Audits
			Entscheidung über Zertifikatsvergabe
			Veröffentlichung des Zertifikats
			Regelmäßige Wiederholung der Zertifizierung
			Abschließende Bewertung des Zertifizierungsproze
		Vergleich der Lizenzierungsprozesse
			Lizenzierung von IT-Grundschutz-Auditoren
			Lizenzierung im Zertifizierungsprozess nach BS 7799-2
		Vergleich der Akkreditierungsprozesse
			Akkreditierung von BS 7799-2-Zertifizierungsstellen
			Akkreditierung von IT-Grundschutz-Zertifizierungsstellen
		Vergleich der zugrundeliegenden Infrastruktur
			Analyse der beteiligten Instanzen
			Abhängigkeiten zwischen den beteiligten Instanze
	Gesamtbetrachtung, Empfehlung & Handlungsbedarf
		Bewertung Audit & Zertifizierung
		Bewertung Lizenzierung & Akkreditierung
			Vor- und Nachteile beider Infrastrukturen
			Kompatibilität beider Zertifizierungsinfrastrukt
Anhang
	Glossar und Abkürzungen
	Referenzen
                        
Document Text Contents
Page 1

Studie zu ISO-
Normungsaktivitäten
ISO/BPM

Vergleich der Audit- und
Zertifizierungsschemata für IT-Grundschutz
und BS 7799-2

Page 2

Für die Mitarbeit an der Studie dankt das Bundesamt für Sicherheit in der Informationstechnik Herrn Jörg
Eckardt von der ConSecur GmbH.

Bundesamt für Sicherheit in der Informationstechnik

Referat I 1.4 Systemsicherheit, IT-Grundschutz

Postfach 20 03 63

53133 Bonn

Tel.: +49 (0) 1888-9582-369

E-Mail: [email protected]

Internet: http://www.bsi.bund.de

� Bundesamt für Sicherheit in der Informationstechnik 2004

2

mailto:[email protected]
http://www.bsi.bund.de/

Page 33

„Ergebnis des Basis-Sicherheitschecks:

1. Konformität zur Modellierung

Die beim Basis-Sicherheitscheck verwendeten
Bausteine des GSHBs müssen mit denen in der
Modellierung übereinstimmen. [...]

2. Transparenz der Interviewpartner

Für jeden Baustein im Basis-Sicherheitscheck
muss erkennbar sein, welche Personen zur
Ermittlung des Umsetzungsstatus befragt
worden sind und wer die Befragung
durchgeführt hat. [...]

3. Umsetzungsgrad der IT-Grundschutz-
Maßnahmen

Alle im Basis-Sicherheitscheck bearbeiteten
Maßnahmen müssen folgende Kriterien
erfüllen:

�� Die Basis-Sicherheitscheck bearbeiteten
Maßnahmen müssen alle Maßnahmen
umfassen, die das GSHB für den jeweiligen
Baustein vorsieht. [...]

�� Konkretisierungen (d. h. Anpassungen von
Maßnahmen) liegen außerhalb der
Überprüfung. Die Prüfung muss anhand der
Original-Maßnahmen aus dem IT-
Grundschutzhandbuch erfolgen.

�� Für jede Maßnahme muss in der Erhebung
der Umsetzungsstatus [...] vermerkt sein.

�� Für jede Maßnahme mit Umsetzungsstatus
„entbehrlich“ ist eine plausible Begründung
erforderlich. [...]

�� Je nach angestrebter Ausprägung der
Qualifizierung bzw. Zertifizierung nach IT-
Grundschutz muss sichergestellt sein, dass
der Umsetzungsstatus der Maßnahmen
ausreichend ist. Eine Maßnahme gilt dabei
als umgesetzt, wenn sie entweder den
Status "ja" oder den Status "entbehrlich"
hat.“

[Prüfschema für Auditoren, Seite 15ff, Kap. 2.4]

Überprüfung der Realisierung vor Ort

Verifikation des Netzplans:

„Es muss sichergestellt sein, dass die im
bereinigten Netzplan dargestellten Komponenten
und deren Kommunikationsverbindungen der
tatsächlichen Netzstruktur entsprechen und dass
der bereinigte Netzplan auf dem aktuellen Stand
ist. [...]

Der Auditor wählt hierzu Komponenten und

”The Stage 2 Audit is based on the findings given
in the Stage 1 Audit report. The certification body
produces an audit plan for the carrying out the
Stage 2 Audit based on these findings. The Stage
2 Audit takes place at the site(s) of the
organization where the ISMS is located.

The Stage 2 Audit should cover:

1) Confirmation that the organization is acting in

33

Page 34

Kommunikationsverbindungen aus dem
bereinigten Netzplan als Stichproben aus und
überprüft vor Ort, ob sie sich in der gleichen
Struktur im real existierenden Netz wiederfinden.
Umgekehrt wählt der Auditor stichprobenartig
reale Komponenten und
Kommunikationsverbindungen aus den beteiligten
Teilnetzen aus und prüft, ob sie dem betrachteten
IT-Verbund zuzurechnen sind und ob sie sich im
bereinigten Netzplan wiederfinden [...].“

[Prüfschema für Auditoren, Seite 18, Kap. 3.1]



Verifikation der Liste der IT-Systeme:

„Es muss sichergestellt sein, dass die in A.1
aufgeführten Eigenschaften der IT-Systeme mit
den tatsächlichen Gegebenheiten übereinstimmen,
beispielsweise das jeweils verwendete
Betriebssystem und der Aufstellungsort. [...]

Der Auditor wählt hierzu aus der Liste der IT-
Systeme zehn Stichproben aus und überzeugt sich
jeweils am Gerät davon, dass die in der Liste der
IT-Systeme aufgeführten Eigenschaften mit den
tatsächlichen Eigenschaften übereinstimmen.“

[Prüfschema für Auditoren, Seite 18f, Kap. 3.2]



Verifikation des Basis-Sicherheitschecks:

„Beim Basis-Sicherheitscheck wird jeder
Maßnahme, die in den für die Modellierung
herangezogenen Bausteinen enthalten ist, für das
jeweilige Zielobjekt der Umsetzungsstatus
("entbehrlich", "ja", "teilweise" oder "nein")
zugeordnet. Die Ergebnisse liegen als Basis-
Sicherheitscheck (A.4) vor. Es muss sichergestellt
sein, dass die hier dokumentierten Ergebnisse mit
dem tatsächlich vorhandenen IT-
Sicherheitszustand des jeweiligen Zielobjekts
übereinstimmen. [...]

1. Der Auditor überprüft vor Ort die Umsetzung
aller Maßnahmen des Bausteins „IT-
Sicherheitsmanagement“ für den IT-Verbund.

2. Zusätzlich zur Überprüfung des Management-
Bausteines sind Stichproben aus den fünf
Schichten "Übergeordnete Aspekte",
"Infrastruktur", "IT-Systeme", "Netze" und
"Anwendungen" zu wählen. Dabei ist pro Schicht
jeweils eine Bausteinzuordnung zufällig zu
wählen [...].

3. Danach bestimmt der Auditor weitere vier
Bausteinzuordnungen nach eigenem Ermessen.
Die Auswahl muss begründet werden.“

accordance with its own policies, objectives,
and procedures;

2) Confirmation that the ISMS conforms with all
the requirements of the BS 7799-2 standard
and is achieving the organization’s policy
objectives […];

Specifically the Stage 2 Audit should focus on
how the organization is dealing with:

- Assessment of information security related
risks and the resulting design of its ISMS;

�� The approach to risk assessment,

�� Identification of the risks

�� Assessment of the risks

�� Treatment of risks

�� Selection control objectives and controls for
the treatment of risks

�� Prepare a Statement of Applicability

- Checking objectives and targets derived from
this process;

- Performance monitoring, measuring, reporting
and reviewing against the objectives and
targets. […]

�� Monitor and review the ISMS

�� Management review of the ISMS

�� ISMS improvement

- Security and management reviews […]

�� Monitor and review the ISMS

�� Management review of the ISMS

- Management responsibility for the
information security policy […]

�� Monitor and review the ISMS

�� Management responsibility

�� Management review of the ISMS

- Links between policy, the results of
information security risk assessment,
objectives and targets, responsibilities,
programmes, procedures, performance data,
and security reviews) […]”.

[PD 3001:2002, Seite 24f, Kap. 4.2.3.2]

34

Page 65

ISO/IEC TR 13335 (GMITS)

[GMITS] ISO/IEC TR 13335, Information technology – Security techniques –
Guidelines for the management of IT security (GMITS)

[GMITS-1] ISO/IEC TR 13335-1, Information technology – Security
techniques – Guidelines for the management of IT security (GMITS)
– Part 1: Concepts and models for managing and planning IT
security

Stand: 2002 (Dok-Nr. ISO/IEC JTC 1/SC 27 N3175).

[GMITS-3] ISO/IEC TR 13335-3, Information technology – Security
techniques – Guidelines for the management of IT Security (GMITS)
– Part 3: Techniques for management of IT Security (revision)

Stand vom 26.05.2002 (Dok-Nr. ISO/IEC JTC 1/SC 27 N3237).

[GMITS-4] ISO/IEC TR 13335-4, Information technology – Security
techniques – Guidelines for the management of IT security (GMITS)
– Part 4: Selection of safeguards

Stand vom 08.10.1999 (Dok-Nr. ISO/IEC JTC 1/SC 27 N2401).

[GMITS-5] ISO/IEC TR 13335-5, Information technology – Security
techniques – Guidelines for the management of IT security (GMITS)
– Part 5: Management guidance of network security

Stand vom 27.04.2001 (Dok-Nr. ISO/IEC JTC 1/SC 27 N2868).

[MICTS-1] MICTS (früher: GMITS) - Part 1: Concepts and models for ICT
security management (N3321, 08. November 2002)

[MICTS-3] MICTS (früher: GMITS)- Part 3: Techniques for information and
communications technology security risk management (N3323, 30.
November 2002)

Andere

[ITIL] IT Infrastructure Library – Security Management

The ITIL Story, Pink Elephant North America White Paper, Version
2.9, August 2001

ITIL Security Management, Office of Government Commerce, 1999,
ISBN 0 11 330014 X

[COBIT] Control Objectives for Information and related Technology
(COBIT)

3rd Edition, Stand: Juli 2000

[TC68] Banking and related financial services – Information security
guidelines

TC 68 „Banking and other financial services”

TR 13569 „Information security guidelines”, Stand: 22. April 2002

65

Page 66

[EA 07/03] EA Guidelines for the Accreditation of bodies operating
certification/registration of Information Security Management
Systems,

EA-7/03, Stand: Februar 2000

[DAR HDB] Handbuch des DAR (Deutscher Akkreditierungsrat),

Stand: 21 Januar 2003



66

Similer Documents