Mit den Novellen des IT-Sicherheitsgesetzes im Jahr 2015 wurden alle Betreiber von Kritischer Infrastruktur dazu verpflichtet Informationssicherheitsmanagementsysteme (ISMS) nach ISO 27001 einzuführen. Der Betrieb dieser Stellte die betroffenen Betreiber meist vor recht große Probleme. Da dieser Umstieg mit der Erweiterung des IT-Sicherheitsgesetzes nun auch auf viele neue Bereiche wie die Entsorgung zu kommt wollen wir hiermit allen einen Leitfaden für den Standard zu Verfügung stellen.
Was ist ein ISMS?
Ein ISMS nach ISO 27001 umfasst die koordinierte Planung und Umsetzung von Maßnahmen zur Behandlung von Informationssicherheitsrisiken. Dabei sollte beachtet werden, dass diese Planung immer fortlaufend weitergeführt werden muss. Die Steuerung eines solchen Management Systems erfolgt dabei über zentral definierte Verfahren und Richtlinien. Wichtig ist dabei, dass diese Verfahren und Richtlinien Einzug in den unternehmerischen Alltag finden und von den Mitarbeitern akzeptiert werden. Das Ziel eines solchen ISMS ist ein anhaltender und kontinuierlicher Geschäftsbetrieb mit einer Minimierung der Informationssicherheitsvofälle.
Dabei sollte aber auch nie vergessen werden, dass ein ISMS nicht als Selbstzweck entworfen wurde. So sollte muss ein ISMS auch immer angemessen für die Art und besonders Größe des Unternehmens.
Aufbau der 2700er Familie
In dieser Artikelreihe wird es Vorrangig um die ISO 27001 gehen welche das Management System definiert. Dennoch gibt es rund um diesen Standard noch weitere Dokumente, welche wir in dieser Tabelle etwas genauer beleuchten:
| AWR7-2024-002 | CVE-2024-4187 |
| AWR7-2024-001 | ZAA-2024-02: Insecure Direct Object Reference |
| AWR7-2023-001 | WooCommerce Multiple Customer Addresses & Shipping < 21.7 - Arbitrary Address Creation/Deletion/Access/Update via IDOR |
| AWR7-2021-001 | Stored Cross-Site-Scripting |
ISO 27001 – Kapitel 4
Das vierte Kapitel der ISO 27001er Norm dreht sich um den Kontext der Organisation. Als Kontext der Organisation werden sowohl interne als auch externe Themen interpretiert, die eine Relevanz für das Unternehmen darstellen. Die Relevanz muss vor allem in Bezug auf Informationssicherheits-Ziele vorhanden sein. Dieser allgemeine Kontext wird unter dem Kapitel 4.1 aufgeführt und durch Kapitel 4.2 weiter konkretisiert.
In Kapitel 4.2 der ISO 27001 sollen Erfordernisse und Erwartungen interessierter Parteien zusammen gefasst werden. Zunächst sollen im Rahmen des ISMS alle relevanten Parteien ermittelt werden. Diese können bspw. aus Mitbewerbern, der Stadt, oder den eigenen Mitarbeitern bestehen. Im nächsten Schritt sollen zu den relevanten Parteien die Anforderungen in Bezug zur Informationssicherheit aufgeführt werden.
Solche Anforderungen können vertragliche Verpflichtungen sein sowie gesetzliche oder regulatorische Vorgaben. In dem letzten Punkt des Kapitel 4 der ISO 27001 muss der Anwendungsbereich des ISMS bestimmt werden. Zu diesem Punkt 4.3 sind dokumentierte Informationen erforderlich, um die Zertifizierung zu bekommen. Alle vorherigen Kapitel bzw. Unterpunkte sind Empfehlungen, aber keine Verplichtung im Rahmen der Zertifizierung.
Kapitel 4.3 muss Grenzen des Anwendungsbereiches bestimmen, in denen das ISMS eingesetzt werden soll. Dazu können Standorte, Verbundteile, aber auch allgemein Verfahren zählen. Zu diesen Einsatzzielen müssen Kontext, Parteien und Anforderungen berücksichtigt werden, die in den vorherigen Kapiteln bestimmt worden sind. Ein sehr wichtiger Bestandteil des Kapitel 4.3 ist die Schnittstelle zu Externen. Diese Schnittstelle muss im Rahmen einer ISO 27001 Zertifizierung beschrieben und dokumentiert sein.
