2.1 Überblick (Kap. 4 des Standards)
Gemäß dem Titel des Standards (based on ISO/IEC 27002) ist die Gliederung der Kerninhalte identisch mit den 14 Themenbereichen der ISO/IEC 27002, unter denen dort die Maßnahmenziele und Maßnahmen strukturiert sind:
Themenbereiche | |
5. | Informationssicherheitsrichtlinien |
6. | Organisation der Informationssicherheit |
7. | Personalsicherheit |
8. | Verwaltung der Werte |
9. | Zugangssteuerung |
10. | Kryptographie |
11. | Physische und umgebungsbezogene Sicherheit |
12. | Betriebssicherheit |
13. | Kommunikationssicherheit |
14. | Anschaffung, Entwicklung und Instandhalten von Systemen |
15. | Lieferantenbeziehungen |
16. | Handhabung von Informationssicherheitsvorfällen |
17. | Informationssicherheitsaspekte beim Business Continuity Management |
18. | Compliance |
Der Startwert „5” wurde bewusst gewählt, da die Themenbereiche sowohl in der ISO/IEC 27011, der ISO/IEC 27002 als auch im Anhang zur ISO 27001/IEC (dort mit einem vorangestellten „A”) mit diesen Ziffern dargestellt sind.
Telecommunications-specific implementation guidance
In den Kapiteln 5–18 des Standards werden alle Maßnahmenziele und Maßnahmen der ISO/IEC 27002 daraufhin überprüft, ob ihre Umsetzungsanleitung in der bekannten Form für TK-Unternehmen anwendbar ist oder ergänzt werden sollte. Eine etwaige Ergänzung wird als Telecommunications-specific implementation guidance dargestellt. Dabei wird in der Regel auf die spezielle Rolle eines TK-Unternehmens als Dienstleistungserbringer für seine Kunden und die daraus resultierenden Organisations- und Sicherheitsaspekte eingegangen.
In den Kapiteln 5–18 des Standards werden alle Maßnahmenziele und Maßnahmen der ISO/IEC 27002 daraufhin überprüft, ob ihre Umsetzungsanleitung in der bekannten Form für TK-Unternehmen anwendbar ist oder ergänzt werden sollte. Eine etwaige Ergänzung wird als Telecommunications-specific implementation guidance dargestellt. Dabei wird in der Regel auf die spezielle Rolle eines TK-Unternehmens als Dienstleistungserbringer für seine Kunden und die daraus resultierenden Organisations- und Sicherheitsaspekte eingegangen.
Vor diesen Kapiteln steht, wie bei ISO-Standards üblich, eine
1. | Beschreibung des Geltungsbereichs, |
2. | Referenz bedeutsamer Normen (hier ISO/IEC 27000:2013 und ISO/IEC 27002:2013), |
3. | Definition wichtiger Begriffe und Abkürzungen (interessant aufgrund zahlreicher Begriffe aus der TK-Branche!). |
Nachfolgend wird der Begriff „Informationssicherheit” üblicherweise mit „IS” abgekürzt.
IS-Management
Kapitel 4 des Standards stellt zunächst die Struktur gemäß ISO/IEC 27002 dar und geht dann auf die Anforderungen des IS-Managements in der Telekommunikation ein:
Kapitel 4 des Standards stellt zunächst die Struktur gemäß ISO/IEC 27002 dar und geht dann auf die Anforderungen des IS-Managements in der Telekommunikation ein:
• | Kunden erwarten eine hohe Sicherheitsqualität von Netzservices inkl. einer ausreichenden Verfügbarkeit auch in Katastrophensituationen. |
• | Öffentliche Behörden fordern Sicherheit durch Richtlinien und Gesetze, um die Verfügbarkeit der Services, einen fairen Wettbewerb und den Schutz der Privatsphäre zu gewährleisten. |
• | TK-Dienstleister haben ein Eigeninteresse an Sicherheit zur Wahrung von Geschäftsinteressen und zur Erfüllung ihrer Verpflichtungen. |
Es schließt sich eine kurze Darstellung wesentlicher umgebungsbezogener und operativer Sicherheitsvorfälle an, die von TK-Organisationen berücksichtigt werden sollten, die die Notwendigkeit eines systematischen IS-Managements inkl. spezieller security guidelines deutlich machen.
Weitere wichtige Aspekte sind:
• | Kenntnis und Schutzbedarfsfeststellung der organisationseigenen Werte (Asset Management) |
• | Erfassung aller IS-relevanten Verpflichtungen (Anforderungsmanagement) |
• | Kenntnis und Bewertung relevanter Bedrohungen inkl. der Entscheidung zu ihrer Behandlung (Risikomanagement) |
• | Auswahl, Implementierung und Aufrechterhaltung geeigneter IS-Maßnahmen |
Anhang A – zusätzliche Maßnahmen
Der Anhang A des Standards ist ausdrücklich als integraler Bestandteil des Standards deklariert und präsentiert zu den bekannten Themenbereichen zusätzliche Maßnahmenziele, Maßnahmen und Umsetzungsanleitungen speziell für TK-Unternehmen. Damit kann ein vorhandenes Statement of Applicability (SoA, Erklärung zur Anwendbarkeit der Maßnahmen aus ISO/IEC 27001/27002) in diesen Unternehmen direkt branchenspezifisch erweitert werden, so dass die Qualität des etablierten ISMS weiter gesteigert wird.
Der Anhang A des Standards ist ausdrücklich als integraler Bestandteil des Standards deklariert und präsentiert zu den bekannten Themenbereichen zusätzliche Maßnahmenziele, Maßnahmen und Umsetzungsanleitungen speziell für TK-Unternehmen. Damit kann ein vorhandenes Statement of Applicability (SoA, Erklärung zur Anwendbarkeit der Maßnahmen aus ISO/IEC 27001/27002) in diesen Unternehmen direkt branchenspezifisch erweitert werden, so dass die Qualität des etablierten ISMS weiter gesteigert wird.
Anhang B
Ein weiterer Anhang B gibt Umsetzungshinweise für Maßnahmen zum Umgang mit Cyber-Angriffen sowie Überlastsituationen im Netz. Er ist kein integraler Bestandteil des Standards.
Ein weiterer Anhang B gibt Umsetzungshinweise für Maßnahmen zum Umgang mit Cyber-Angriffen sowie Überlastsituationen im Netz. Er ist kein integraler Bestandteil des Standards.