07370 Kurzhinweise: ISO/IEC 27010 – ISM für sektor- und organisationsübergreifende Kommunikation
von:
1 Einleitung
ISO/IEC 27010 – ISM für übergreifende Kommunikation
Die ISO/IEC 27010, Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagement für sektor- und organisationsübergreifende Kommunikation [1], stellt eine Ergänzung zu anderen Normen der ISO/IEC-27000-Familie dar. Sie präzisiert die dortigen generischen Leitlinien im Hinblick auf Gemeinschaften, die sensible Informationen miteinander austauschen.
Die ISO/IEC 27010, Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagement für sektor- und organisationsübergreifende Kommunikation [1], stellt eine Ergänzung zu anderen Normen der ISO/IEC-27000-Familie dar. Sie präzisiert die dortigen generischen Leitlinien im Hinblick auf Gemeinschaften, die sensible Informationen miteinander austauschen.
Mitglieder solcher Gemeinschaften müssen sich gegenseitig vertrauen können, wenn sie vertrauliche Informationen untereinander austauschen. Sie müssen daher ein gemeinsames ISM aufbauen, das die Sicherheitsbelange für die ausgetauschten Informationen abdeckt. Die ISO 27010 stellt Richtlinien bereit, um die entsprechenden Sicherheitsanforderungen zu erfüllen.
Die Anfangskapitel der Norm gehen nach der Einleitung ein auf den Geltungsbereich der Norm sowie normative Referenzen und enthalten Begriffe und deren Definition. Daran schließen sich die folgenden Kapitel an:
| Inhalt | |
| • | Konzepte und Begründungen |
| • | Informationssicherheitsrichtlinien |
| • | Organisation der Informationssicherheit |
| • | Personelle Sicherheit |
| • | Asset Management |
| • | Zugangskontrolle |
| • | Kryptografie |
| • | Physische und Umgebungssicherheit |
| • | Sicherheit im Betrieb |
| • | Kommunikationssicherheit |
| • | Kauf, Entwicklung und Wartung von Systemen |
| • | Lieferantenbeziehungen |
| • | Management von Informationssicherheitsvorfällen |
| • | Informationssicherheitsaspekte des Business Continuity Managements |
| • | Compliance |
| • | Anhänge A–D |
Die Kapitel „Informationssicherheitsrichtlinien” bis „Compliance” geben an, ob gegenüber der ISO 27002 weitere Informationen für sektor- oder organisationsübergreifende Kommunikation erforderlich sind. Insbesondere das Kapitel „Asset Management” enthält umfangreiche Konkretisierungen.
2 Konzepte und Begründungen
Einleitung
Die ISO/IEC 27002 legt Kontrollelemente für den bilateralen Informationsaustausch zwischen Organisationen fest. Verschiedentlich besteht jedoch die Notwendigkeit, dass eine Gemeinschaft von Organisationen sensible Informationen untereinander austauscht. Dafür definiert die ISO/IEC 27.010 mögliche zusätzliche Kontrollelemente, gibt Anleitung und interpretiert die ISO/IEC 27001 und die ISO/IEC 27002 für diesen Anwendungsfall.
Die ISO/IEC 27002 legt Kontrollelemente für den bilateralen Informationsaustausch zwischen Organisationen fest. Verschiedentlich besteht jedoch die Notwendigkeit, dass eine Gemeinschaft von Organisationen sensible Informationen untereinander austauscht. Dafür definiert die ISO/IEC 27.010 mögliche zusätzliche Kontrollelemente, gibt Anleitung und interpretiert die ISO/IEC 27001 und die ISO/IEC 27002 für diesen Anwendungsfall.
Organisationsstruktur
Solche Gemeinschaften sollten die Organisationsstruktur und die Managementfunktionen, die sich auf ihr ISM beziehen, klar festlegen. Viele dieser Gemeinschaften nutzen eine zentrale Unterstützungseinheit, die die Informationsverteilung organisiert und unterstützt, beispielsweise indem sie die Informationsquelle und die Empfänger anonymisiert.
Solche Gemeinschaften sollten die Organisationsstruktur und die Managementfunktionen, die sich auf ihr ISM beziehen, klar festlegen. Viele dieser Gemeinschaften nutzen eine zentrale Unterstützungseinheit, die die Informationsverteilung organisiert und unterstützt, beispielsweise indem sie die Informationsquelle und die Empfänger anonymisiert.
Viele Gemeinschaften sind sektorbasiert, weil es dort eine gleichartige Interessenlage gibt. Gleichzeitig kann es nützlich sein, Informationen zwischen Gemeinschaften aus unterschiedlichen Sektoren auszutauschen und dafür eine weitere Gemeinschaft zu bilden. Dies bezeichnet die Norm als sektorübergreifende Kommunikation.
ISMS
Im Hinblick auf Gemeinschaften, deren Mitglieder Informationen untereinander austauschen, sind die Ausführungen der ISO/IEC 27001 diesbezüglich zu interpretieren.
Im Hinblick auf Gemeinschaften, deren Mitglieder Informationen untereinander austauschen, sind die Ausführungen der ISO/IEC 27001 diesbezüglich zu interpretieren.
Ein erster Aspekt ist die Festlegung der betroffenen Organisation. Im Fall einer Gemeinschaft ist diese die betroffene Organisation, die jedoch ihrerseits aus Mitgliedern besteht, die selbst Organisationen repräsentieren.
Ein zweiter Aspekt besteht darin, dass nicht alle Personen einer Mitgliedsorganisation auf die sensiblen Informationen der Gemeinschaft zugreifen dürfen. Dementsprechend liegt ein Teil der Organisation im Geltungsbereich des ISMS der Gemeinschaft und ein anderer außerhalb.
Bei der Risikobewertung ist zu beachten, dass die Auswirkungen von Bedrohungen bei den Mitgliedern der Gemeinschaft unterschiedlich sein können.
3 Präzisierungen der ISO 27001 für sektor- und organisationsübergreifende Kommunikation
Ab Kapitel 5 gibt die ISO/IEC 27010 Änderungen oder Ergänzungen zur ISO 27001 im Hinblick auf sektor- und organisationsübergreifende Kommunikation an. Keine ergänzenden Informationen nennt der Standard bei den Themen Zugangskontrolle, physische und Umgebungssicherheit sowie Kauf, Entwicklung und Wartung von Systemen.
Informationssicherheitsrichtlinien
In einer Richtlinie (Policy) zum Austausch von Informationen sollte festgelegt sein, wie die Mitglieder Richtlinien für das Sicherheitsmanagement und für die Ausrichtung der Gemeinschaft aufstellen.
In einer Richtlinie (Policy) zum Austausch von Informationen sollte festgelegt sein, wie die Mitglieder Richtlinien für das Sicherheitsmanagement und für die Ausrichtung der Gemeinschaft aufstellen.
Personelle Sicherheit
Mitgliedsübergreifend sollten einheitliche Minimalanforderungen an die Überprüfung von Mitarbeitern und Auftragnehmern festgelegt werden.
Mitgliedsübergreifend sollten einheitliche Minimalanforderungen an die Überprüfung von Mitarbeitern und Auftragnehmern festgelegt werden.
Asset Management
Der sichere Informationsaustausch ist als zusätzliches Kontrollziel in das ISMS aufzunehmen. Daraus leiten sich Kontrollelemente ab, u. a. im Hinblick auf
Der sichere Informationsaustausch ist als zusätzliches Kontrollziel in das ISMS aufzunehmen. Daraus leiten sich Kontrollelemente ab, u. a. im Hinblick auf
| • | den sicheren Informationsaustausch zwischen den Mitgliedern, |
| • | die eingeschränkte Verteilung empfangener Informationen innerhalb der Mitgliedsorganisationen, |
| • | die Kennzeichnung der Glaubwürdigkeit der übermittelten Informationen, |
| • | die eventuelle Anonymisierung der Informationsquelle und deren Einverständnis zur Weitergabe der Information, |
| • | die eventuelle Anonymisierung der Empfänger einer Information, |
Kryptografie
Der Standard weist darauf hin, dass kryptografische Techniken zur Implementierung der Regelungen zur Informationsverteilung genutzt werden können.
Der Standard weist darauf hin, dass kryptografische Techniken zur Implementierung der Regelungen zur Informationsverteilung genutzt werden können.
Sicherheit im Betrieb
Eingehende Informationen sollten auch innerhalb der Gemeinschaft auf Schadsoftware überprüft werden.
Eingehende Informationen sollten auch innerhalb der Gemeinschaft auf Schadsoftware überprüft werden.
Kommunikationssicherheit
Zwischen den Mitgliedern einer Gemeinschaft sollten stets Vereinbarungen zum Informationsaustausch getroffen sein. Zudem sollte die Sicherheit des Informationsaustauschs geregelt sein.
Zwischen den Mitgliedern einer Gemeinschaft sollten stets Vereinbarungen zum Informationsaustausch getroffen sein. Zudem sollte die Sicherheit des Informationsaustauschs geregelt sein.
Lieferantenbeziehungen
Hier sieht die Norm Ergänzungsbedarf im Hinblick auf die Sicherheit bei Vereinbarungen mit Dritten, die Dienstleistungen für die Gemeinschaft erbringen. So sollte deren Identität den Mitgliedern bekannt sein, um bei Bedarf Einwände vorbringen zu können.
Hier sieht die Norm Ergänzungsbedarf im Hinblick auf die Sicherheit bei Vereinbarungen mit Dritten, die Dienstleistungen für die Gemeinschaft erbringen. So sollte deren Identität den Mitgliedern bekannt sein, um bei Bedarf Einwände vorbringen zu können.
Management von Informationssicherheitsvorfällen
Innerhalb der Gemeinschaft sollte festgelegt werden, welche Sicherheitsvorfälle an die anderen Mitglieder zu kommunizieren sind.
Innerhalb der Gemeinschaft sollte festgelegt werden, welche Sicherheitsvorfälle an die anderen Mitglieder zu kommunizieren sind.
Als weiteres Kontrollelement ist ein Frühwarnsystem vorzusehen, durch das kritische Informationen umgehend weitergegeben werden können.
Business Continuity Management
Beim Business Continuity Management ist im Hinblick auf Informationssicherheit zu berücksichtigen, dass der sichere Informationsaustausch zwischen den Mitgliedern der Gemeinschaft Teil des Wiederanlaufprozesses sein muss.
Beim Business Continuity Management ist im Hinblick auf Informationssicherheit zu berücksichtigen, dass der sichere Informationsaustausch zwischen den Mitgliedern der Gemeinschaft Teil des Wiederanlaufprozesses sein muss.
Compliance
Bei der Bildung einer Gemeinschaft und bei Vereinbarungen zum Informationsaustausch sind gesetzliche und regulatorische Anforderungen einzuhalten, z. B. kartellrechtliche Bestimmungen.
Bei der Bildung einer Gemeinschaft und bei Vereinbarungen zum Informationsaustausch sind gesetzliche und regulatorische Anforderungen einzuhalten, z. B. kartellrechtliche Bestimmungen.
Als zusätzliches Kontrollelement sollten Verpflichtungen und Mängelbeseitigung für den Fall, dass Informationen absichtlich oder unabsichtlich preisgegeben wurden, aufgenommen werden.
4 Anhänge A–D
Anhang A: Austausch sensibler Informationen
Um einen sicheren Informationsaustausch zwischen den Mitgliedern einer Gemeinschaft zu erreichen, müssen geeignete Prozesse entwickelt, eingeführt und überwacht werden.
Um einen sicheren Informationsaustausch zwischen den Mitgliedern einer Gemeinschaft zu erreichen, müssen geeignete Prozesse entwickelt, eingeführt und überwacht werden.
ISM
Beim ISM von Gemeinschaften sollten u. a. neue Bedrohungen und Schwachstellen, zunehmende System- und Netzwerkabhängigkeiten sowie vertragliche, gesetzliche und regulatorische Entwicklungen ebenso wie die Koordination von Reaktionen auf Angriffe Beachtung finden.
Beim ISM von Gemeinschaften sollten u. a. neue Bedrohungen und Schwachstellen, zunehmende System- und Netzwerkabhängigkeiten sowie vertragliche, gesetzliche und regulatorische Entwicklungen ebenso wie die Koordination von Reaktionen auf Angriffe Beachtung finden.
Diesen Herausforderungen steht vielfältiger Nutzen durch den Austausch von Informationen gegenüber, z. B. in Form von Frühwarnung, Sicherheitsverbesserungen durch gemeinsame Best Practices, Kosteneinsparungen durch Vermeidung von Doppelarbeit, bessere Vorbereitung auf Sicherheitsvorfälle und mitgliederübergreifendes Benchmarking.
Betrieb
Eine Gemeinschaft sollte Regeln für den Betrieb aufstellen. Dazu gehören z. B. Regeln für die Mitgliedschaft, zur Zielsetzung der Gemeinschaft und zu den Pflichten der Mitglieder. Für die Kommunikation innerhalb der Gemeinschaft sollten Vereinbarungen geschlossen werden, die Mechanismen und Prozesse festlegen.
Eine Gemeinschaft sollte Regeln für den Betrieb aufstellen. Dazu gehören z. B. Regeln für die Mitgliedschaft, zur Zielsetzung der Gemeinschaft und zu den Pflichten der Mitglieder. Für die Kommunikation innerhalb der Gemeinschaft sollten Vereinbarungen geschlossen werden, die Mechanismen und Prozesse festlegen.
ISMS-Geltungsbereich
Der Geltungsbereich eines ISMS von Gemeinschaften sollte Angaben zu den Kommunikationsprozessen, der Informationsspeicherung, dem Versand und dem Empfang von Informationen sowie zur Vernichtung von Informationen umfassen.
Der Geltungsbereich eines ISMS von Gemeinschaften sollte Angaben zu den Kommunikationsprozessen, der Informationsspeicherung, dem Versand und dem Empfang von Informationen sowie zur Vernichtung von Informationen umfassen.
Anhang B: Glaubwürdigkeit
Anhang B beschäftigt sich damit, wie sich Informationen nach ihrer Glaubwürdigkeit einstufen lassen. Die Einstufung der Glaubwürdigkeit einer Information ist abhängig von der Glaubwürdigkeit der Quelle und der Glaubwürdigkeit, die die Quelle der Information beimisst.
Anhang B beschäftigt sich damit, wie sich Informationen nach ihrer Glaubwürdigkeit einstufen lassen. Die Einstufung der Glaubwürdigkeit einer Information ist abhängig von der Glaubwürdigkeit der Quelle und der Glaubwürdigkeit, die die Quelle der Information beimisst.
Für die ISO 27010 sind zwei Aspekte des Web 2.0 relevant:
| • | die Pseudo-Anonymität sowie |
| • | Reputationssysteme. |
Anonymität und Pseudo-Anonymität
Anonymität und Pseudo-Anonymität ergeben sich daraus, dass Sender und Empfänger einer Information anonym bleiben wollen. Der Standard erläutert unterschiedliche Arten von Pseudonymen. Dazu gehören u. a. personenbezogene Pseudonyme, die den Namen desjenigen, der das Pseudonym innehat, ersetzen. Rollenpseudonyme werden von verschiedenen Personen genutzt, die die gleiche Rolle innehaben, wie z. B. „Internetnutzer”. Ein Transaktionspseudonym wird jeweils für eine Transaktion erzeugt.
Anonymität und Pseudo-Anonymität ergeben sich daraus, dass Sender und Empfänger einer Information anonym bleiben wollen. Der Standard erläutert unterschiedliche Arten von Pseudonymen. Dazu gehören u. a. personenbezogene Pseudonyme, die den Namen desjenigen, der das Pseudonym innehat, ersetzen. Rollenpseudonyme werden von verschiedenen Personen genutzt, die die gleiche Rolle innehaben, wie z. B. „Internetnutzer”. Ein Transaktionspseudonym wird jeweils für eine Transaktion erzeugt.
Reputationssysteme
Reputationssysteme sind von sozialen Netzen im Web bekannt. Sie berechnen anhand von Richtlinien und Vorgehensweisen einen Reputationswert. Dementsprechend könnte ein Reputationssystem genutzt werden, um die Einschätzung der Glaubwürdigkeit zu verbessern.
Reputationssysteme sind von sozialen Netzen im Web bekannt. Sie berechnen anhand von Richtlinien und Vorgehensweisen einen Reputationswert. Dementsprechend könnte ein Reputationssystem genutzt werden, um die Einschätzung der Glaubwürdigkeit zu verbessern.
Glaubwürdigkeitsbewertung
Zur Bewertung der Glaubwürdigkeit lassen sich verschiedene Elemente einsetzen. Beispielsweise
Zur Bewertung der Glaubwürdigkeit lassen sich verschiedene Elemente einsetzen. Beispielsweise
| • | bewertet der Herausgeber einer Information deren Glaubwürdigkeit, |
| • | ist jeder Information eine Quelle zugeordnet, |
| • | bewerten Sender und Empfänger von glaubwürdigen Informationen, wie oft diese nützlich waren, |
| • | bewerten Empfänger die Glaubwürdigkeit der Quelle. |
Anhang C: Ampelprotokoll
Anhang C beschreibt das Ampelprotokoll (Traffic Light Protocol, TLP) entsprechend dem Good Practice Guide for Network Security Information Exchanges der European Network and Information Security Agency (ENISA). In Ergänzung zu den drei bekannten Farben von Ampeln nutzt das TLP vier Farben. Anhand der Farben kennzeichnet der Absender, in welchem Umfang seine Information weiter verteilt werden darf.
Anhang C beschreibt das Ampelprotokoll (Traffic Light Protocol, TLP) entsprechend dem Good Practice Guide for Network Security Information Exchanges der European Network and Information Security Agency (ENISA). In Ergänzung zu den drei bekannten Farben von Ampeln nutzt das TLP vier Farben. Anhand der Farben kennzeichnet der Absender, in welchem Umfang seine Information weiter verteilt werden darf.
Rot gekennzeichnete Informationen sind nur für die festgelegten Adressaten bestimmt. Bernsteinfarben markierte Informationen dürfen nach dem „Need-to-know”-Prinzip in der Organisation des Empfängers weitergegeben werden. Informationen, die grün gekennzeichnet sind, dürfen innerhalb der Gemeinschaft verteilt werden. Weiß markierte Informationen können unter Beachtung des Copyrights frei verteilt werden.
Anhang D: Organisationsmodell
Anhang D beschreibt für Gemeinschaften, die Informationen miteinander austauschen, zwei Organisationsmodelle:
Anhang D beschreibt für Gemeinschaften, die Informationen miteinander austauschen, zwei Organisationsmodelle:
| • | TICE (Trusted Information Communication Entities) |
| • | WARP (Warning, Advice and Reporting Point) |
TICE
TICE übernimmt als autonome Organisation den Informationsaustausch zwischen den Mitgliedern einer Gemeinschaft. Sie agiert als zentrales Koordinations- und Kommunikationsportal. TICE stellt den Informationsaustausch sicher, analysiert Sicherheitsvorfälle und reagiert darauf und bearbeitet Störungen. Darüber hinaus kann TICE als Mittler zwischen Sender und Empfänger deren Anonymität ermöglichen.
TICE übernimmt als autonome Organisation den Informationsaustausch zwischen den Mitgliedern einer Gemeinschaft. Sie agiert als zentrales Koordinations- und Kommunikationsportal. TICE stellt den Informationsaustausch sicher, analysiert Sicherheitsvorfälle und reagiert darauf und bearbeitet Störungen. Darüber hinaus kann TICE als Mittler zwischen Sender und Empfänger deren Anonymität ermöglichen.
TICE repräsentiert eine umfassende und strukturierte Organisationsform für Gemeinschaften, die untereinander Informationen austauschen. Sie eignet sich besonders für kritische Umgebungen, bei denen Informationen sofort und priorisiert verteilt und analysiert werden müssen.
WARP
WARP verteilt sensible Informationen zwischen Organisationen mit ähnlich gelagerten Interessen, die meist auf freiwilliger Basis zusammenarbeiten. Ein WARP basiert auf persönlichen Beziehungen zwischen Personen, die ihre Organisation vertreten. Um den Mitgliedern personalisierte Dienste zu Warnungen und Empfehlungen zu übermitteln, stehen dem WARP-Operator z. B. eine Website, E-Mail, Telefon, SMS und gelegentliche Meetings zur Verfügung.
WARP verteilt sensible Informationen zwischen Organisationen mit ähnlich gelagerten Interessen, die meist auf freiwilliger Basis zusammenarbeiten. Ein WARP basiert auf persönlichen Beziehungen zwischen Personen, die ihre Organisation vertreten. Um den Mitgliedern personalisierte Dienste zu Warnungen und Empfehlungen zu übermitteln, stehen dem WARP-Operator z. B. eine Website, E-Mail, Telefon, SMS und gelegentliche Meetings zur Verfügung.
Typische Kerndienstleistungen eines WARP sind:
| • | Warndienst mit Filterung, |
| • | Dienst zur Verteilung von Empfehlungen der Mitglieder untereinander, |
| • | Dienst für den vertrauenswürdigen Informationsaustausch, durch den Berichte anonymisiert werden. |
WARP stellt eine einfache Organisationsform für die Zusammenarbeit von Organisationen dar, die Informationen untereinander austauschen wollen. WARP eignet sich insbesondere dann, wenn die finanziellen Mittel begrenzt sind, sodass die zentrale Infrastruktur auf freiwilliger Basis bereitgestellt und betrieben werden muss.
Quellen
1
ISO/IEC 27010:2015, Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheitsmanagement für sektor- und organisationsübergreifende Kommunikation; Originaltitel (englisch): Information technology – Security techniques – Information security management for inter-sector and inter-organizational communications