2.2 Kapitel 5–18: Ergänzungen von Maßnahmen aus ISO/IEC 27002
In diesem Abschnitt werden die im Standard beschriebenen TK-spezifischen Ergänzungen zur Umsetzungsanleitung oder zu „Weitere Information” der Maßnahmen aus ISO/IEC 27002 kurz dargestellt. Dabei wird die in den Standards verwendete Dezimalnotation für Maßnahmenziele (2 Ziffern, z. B. 6.1) und Maßnahmen (3 Ziffern, z. B. 6.1.3) benutzt. Nicht aufgeführte Maßnahmen oder -ziele können unverändert angewendet werden. Die Ergänzungen sind mit „27011-Erg.” gekennzeichnet.
Für weitere Informationen zu einer konkreten Maßnahme kann z. B. der Prüfkatalog für ISO/IEC 27001 dienen [2].
5 | Informationssicherheitsrichtlinien
Dieser Themenbereich gilt unverändert. | ||||||
6 | Organisation der Informationssicherheit | ||||||
6.1 | Interne Organisation | ||||||
6.1.1 | Informationssicherheitsrollen und -verantwortlichkeitenAlle Informationssicherheitsverantwortlichkeiten sollten festgelegt und zugeordnet sein.
27011-Erg.:Es sollte ein Verantwortlicher für alle Risiken der Telekommunikationsinfrastruktur und deren Management benannt werden. Es sollten Ingenieure mit den benötigten Fähigkeiten zur Leitung der Installation, Wartung und dem Betrieb von informationsverarbeitenden Einrichtungen ernannt werden. Wo Kryptographie verwendet wird, sollte speziell geschultes Personal beauftragt werden. | ||||||
6.1.3 | Kontakt mit BehördenAngemessene Kontakte mit relevanten Behörden sollten gepflegt werden.
27011-Erg.:Es sollten etablierte Verfahren existieren, um Behördenanfragen gemäß geltendem Recht zu bearbeiten und zu beantworten. Die Anwendungen und die Infrastruktur von Telekommunikationsanbietern können ggf. als kritische Infrastruktur gewertet werden. Anbieter sollten daher Kontakt zu allen relevanten Behörden pflegen. | ||||||
7 | Personalsicherheit | ||||||
7.1 | Vor der Beschäftigung | ||||||
7.1.1 | SicherheitsüberprüfungAlle Personen, die sich um eine Beschäftigung bewerben, sollten einer Sicherheitsüberprüfung unterzogen werden, die im Einklang mit den relevanten Gesetzen, Vorschriften und ethischen Grundsätzen sowie in einem angemessenen Verhältnis zu den geschäftlichen Anforderungen, der Einstufung der einzuholenden Information und den wahrgenommenen Risiken steht.
27011-Erg.:Bewerber für Positionen mit Zugang zu sensiblen Informationen oder zu sensibler Infra-struktur sollten detailliert überprüft werden. | ||||||
7.1.2 | Beschäftigungs- und VertragsbedingungenIn den vertraglichen Vereinbarungen mit Beschäftigten und Auftragnehmern sollten deren Verantwortlichkeiten und diejenigen der Organisation festgelegt sein.
27011-Erg.:Hinweis auf besondere Bedeutung der Beachtung und Geheimhaltung sensibler Kundeninformationen. Sicherstellen des Bewusstseins der Mitarbeiter für ihre Verantwortung für den Schutz und für die Geheimhaltung von vertraulichen Informationen. | ||||||
8 | Verwaltung der Werte | ||||||
8.1 | Verantwortlichkeit für Werte | ||||||
8.1.1 | Inventarisierung der WerteInformation und andere Werte, die mit Information und informationsverarbeitenden Einrichtungen in Zusammenhang stehen, sollten inventarisiert sein.
27011-Erg.:Verantwortlichkeiten zwischen informationsverarbeitenden Einrichtungen der Organisation und solchen, die mit ihnen verbunden sind, sollten festgelegt und dokumentiert werden. Das Inventar der Werte sollte vollständig sein, einschließlich aller Werte für Netzwerkeinrichtungen, Netzwerkservices und Anwendungen. | ||||||
8.2 | Informationsklassifizierung | ||||||
8.2.1 | Klassifizierung von InformationInformation sollte anhand der gesetzlichen Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung klassifiziert werden.
27011-Erg.:Besonderheiten bei der Klassifizierung von Informationen in Telekommunikationsunternehmen. Speziell gesetzliche Offenlegung von Informationen, Unterscheidung zwischen essenzieller und nicht essenzieller Kommunikation im Notfall, Bewusstsein des Risikos der Aggregierung klassifizierter oder sensibler Informationen. | ||||||
9 | Zugangssteuerung | ||||||
9.1 | Geschäftsanforderungen an die Zugangssteuerung | ||||||
9.1.1 | Zugangssteuerungsrichtlinie Eine Zugangssteuerungsrichtlinie sollte auf Grundlage der geschäftlichen und sicherheitsrelevanten Anforderungen erstellt, dokumentiert und regelmäßig überprüft werden.
27011-Erg.:Beachtung differenzierter rollenbasierter Zugangs- und Zugriffsrechte, Überwachung von Berechtigungsänderungen und zeitnahe Entfernung bei Berechtigungswegfall. Nutzung der Kommunikationsservices sollte nur durch autorisierte Nutzer erfolgen. | ||||||
10 | Kryptographie
Dieser Themenbereich gilt unverändert. | ||||||
11 | Physische und umgebungsbezogene Sicherheit | ||||||
11.1 | Sicherheitsbereiche | ||||||
11.1.1 | Physischer SicherheitsperimeterZum Schutz von Bereichen, in denen sich entweder sensible oder kritische Information oder informationsverarbeitende Einrichtungen befinden, sollten Sicherheitsperimeter festgelegt und verwendet werden.
27011-Erg.:Informationsverarbeitende Einrichtungen sollten über adäquate Systeme zum Erkennen von Eindringlingen verfügen. Die physische Separierung von Telekommunikationsinfrastruktur sowie sofortige Behandlung von Problemen durch Management mit ausreichender Verantwortlichkeit und Autorität sollte gewährleistet sein. | ||||||
11.1.2 | Physische ZutrittssteuerungSicherheitsbereiche sollten durch eine angemessene Zutrittssteuerung geschützt sein, um sicherzustellen, dass nur berechtigtes Personal Zugang hat.
27011-Erg.:Besondere Bedeutung für Operation Control Center, Help Desk und alle Standorte, die Equipment für TK-Services enthalten. Besucherdaten sollten festgehalten und angemessen geschützt werden. | ||||||
11.2 | Geräte und Betriebsmittel | ||||||
11.2.1 | Platzierung und Schutz von Geräten und BetriebsmittelnGeräte und Betriebsmittel sollten so platziert und geschützt werden, dass Risiken durch umweltbedingte Bedrohungen und Gefahren sowie Möglichkeiten des unbefugten Zugangs verringert sind.
27011-Erg.:Besondere Bedeutung bei TK-Equipment, in dem sensible Kundeninformationen gespeichert werden. Bei mit anderen Organisationen geteilten Standorten, wie z. B. Rechenzentren, sollten die Systeme durch zusätzliche Sicherheitsmaßnahmen, z. B. Separierung in eigenem gesichertem Bereich, geschützt werden. | ||||||
11.2.2 | VersorgungseinrichtungenGeräte und Betriebsmittel sollten vor Stromausfällen und anderen Störungen, die durch Ausfälle von Versorgungseinrichtungen verursacht werden, geschützt werden.
27011-Erg.:Wichtigkeit einer unterbrechungsfreien Stromversorgung für TK-Servicekomponenten, speziell in isolierten Gegenden. Sicherstellung einer unterbrechungsfreien Stromversorgung für kritische Infrastruktur. Bereitstellen adäquater Heizung, Ventilation und Klimatisierung von TK-Serviceequipment. | ||||||
11.2.3 | Sicherheit der VerkabelungTK-Verkabelung, die Daten überträgt oder Informationsdienste unterstützt, sowie die Stromverkabelung sollten vor Unterbrechung, Störung oder Beschädigung geschützt werden.
27011-Erg.:Sicherstellung, dass Verkabelung und Zugangspunkte nicht dazu genutzt werden können, Daten abzuhören, z. B. durch geeignete Maßnahmen und regelmäßige Prüfung | ||||||
12 | Betriebssicherheit | ||||||
12.1 | Betriebsabläufe und -verantwortlichkeiten | ||||||
12.1.1 | Dokumentierte BedienabläufeDie Bedienabläufe sollten dokumentiert und allen Benutzern, die sie benötigen, zugänglich sein.
27011-Erg.:Definition von Bedingungen, unter denen die Prozesse Incident Management, Notfall- und Krisenmanagement ausgelöst werden | ||||||
12.1.2 | ÄnderungssteuerungÄnderungen der Organisation, der Geschäftsprozesse, an den informationsverarbeitenden Einrichtungen und an den Systemen sollten gesteuert werden.
27011-Erg.:Besondere Sorgfalt ist geboten bei Installation, Umzug und Abbau von Equipment des TK-Dienstleisters, z. B. durch Anwendung eines etablierten und überwachten Change-Management-Prozesses, dessen Ergebnisse regelmäßigen Security Audits unterliegen. | ||||||
12.1.4 | Trennung von Entwicklungs-, Test- und BetriebsumgebungenEntwicklungs-, Test- und Betriebsumgebungen sollten voneinander getrennt sein, um das Risiko unbefugter Zugriffe auf oder Änderungen an der Betriebsumgebung zu verringern.
27011-Erg.:Besondere Sorgfalt bei der Auswahl und Behandlung von Testdaten, die sensible Informationen enthalten, sowie bei der Zugangsvergabe zu Produktionssystemen an Mitarbeiter der Entwicklung. | ||||||
12.4 | Protokollierung und Überwachung | ||||||
12.4.1 | EreignisprotokollierungEreignisprotokolle, die Benutzertätigkeiten, Ausnahmen, Störungen und Informationssicherheitsvorfälle aufzeichnen, sollten erzeugt, aufbewahrt und regelmäßig überprüft werden.
27011-Erg.:Festlegung geeigneter Aufbewahrungs- und Löschfristen entsprechend gesetzlichen und geschäftlichen Anforderungen; unverzügliche Löschung nach Ablauf der Frist. | ||||||
12.5 | Steuerung von Software im Betrieb | ||||||
12.5.1 | Installation von Software auf Systemen im BetriebVerfahren zur Steuerung der Installation von Software auf Systemen im Betrieb sollten umgesetzt sein.
27011-Erg.:Minimierung des Risikos der Korruption operativer Systeme beim TK-Dienstleister durch
| ||||||
12.6 | Handhabung technischer Schwachstellen | ||||||
12.6.2 | Einschränkung von SoftwareinstallationRegeln für die Softwareinstallation durch Benutzer sollten festgelegt und umgesetzt sein.
27011-Erg.:Auf kritischen Systemen sollte nur verifizierte und erlaubte Software installiert werden. Nur autorisiertes Personal sollte Software installieren können. Software sollte kontrolliert und überwacht werden. | ||||||
13 | Kommunikationssicherheit | ||||||
13.1 | Netzwerksicherheitsmanagement | ||||||
13.1.2 | Sicherheit von Netzwerkdiensten
Sicherheitsmechanismen, Dienstgüte und Anforderungen an die Verwaltung aller Netzwerkdienste sollten bestimmt sein sowohl für interne als auch für ausgegliederte Netzwerkdienste und in Vereinbarungen aufgenommen werden.
27011-Erg.:Für TK-Services sind insbesondere folgende Aspekte relevant:
| ||||||
13.1.3 | Trennung in Netzwerken
Gruppen von Informationsdiensten, Benutzern und Informationssystemen sollten in Netzwerken getrennt werden.
27011-Erg.:Wichtig ist die Trennung von Produktions- und Verwaltungsnetzwerken. Kundennetzwerke und verbundene Daten erfordern eine adäquate Trennung von anderen operationalen Netzen und Daten. | ||||||
14 | Anschaffung, Entwicklung und Instandhalten von Systemen
Dieser Themenbereich gilt unverändert. | ||||||
15 | Lieferantenbeziehungen | ||||||
15.1 | Informationssicherheit bei Lieferantenbeziehungen | ||||||
15.1.1 | Informationssicherheitsleitlinie für LieferantenbeziehungenDie Informationssicherheitsanforderungen zur Verringerung von Risiken im Zusammenhang mit dem Zugriff von Lieferanten auf Werte der Organisation sollten mit dem Zulieferer vereinbart und dokumentiert werden.
27011-Erg.:Wenn der Lieferant Zugriff auf sensible Daten erhalten soll, sollte sichergestellt werden, dass:
| ||||||
15.1.2 | Behandlung von Sicherheit in LieferantenvereinbarungenAlle relevanten Informationssicherheitsanforderungen sollten mit jedem Lieferanten vereinbart werden, der Zugang zu Informationen der Organisation haben könnte, diese verarbeiten, speichern, weitergeben könnte oder IT-Infrastrukturkomponenten dafür bereitstellt.
27011-Erg.:TK-Organisationen sollten die folgenden Aspekte in Lieferantenvereinbarung berücksichtigen:
| ||||||
15.1.3 | Lieferkette für Informations- und KommunikationstechnologieAnforderungen für den Umgang mit Informationssicherheitsrisiken, die mit Informations- und Kommunikationsdienstleistungen und der Produktlieferkette verbunden sind, sollten in Vereinbarungen mit Lieferanten aufgenommen werden.
27011-Erg.:Lieferantenverträge sollten sicherstellen, dass sensible Kundendaten geschützt werden. Einschließlich Handhabung der Daten im Rahmen einer Vertraulichkeitsvereinbarung.
Außerdem wichtig:
| ||||||
16 | Handhabung von IS-Vorfällen | ||||||
16.1 | Handhabung von IS-Vorfällen und Verbesserungen | ||||||
16.1.1 | Verantwortlichkeiten und Verfahren | ||||||
Managementverantwortlichkeiten und -verfahren sollten festgelegt sein, um eine schnelle, effektive und geordnete Reaktion auf IS-Vorfälle sicherzustellen.
27011-Erg.:
| |||||||
16.1.4 | Beurteilung von und Entscheidung über IS-EreignisseIS-Ereignisse sollten erfasst werden, und es sollte entschieden werden, ob sie als IS-Vorfälle einzustufen sind.
27011-Erg.:Berücksichtigen der Auswirkungen auf Kunden, wenn IS-Ereignisse als IS-Vorfälle eingestuft werden | ||||||
16.1.6 | Erkenntnisse aus Informationssicherheitsvorfällen
Aus der Analyse und Lösung von IS-Vorfällen gewonnene Erkenntnisse sollten dazu genutzt werden, die Eintrittswahrscheinlichkeit oder die Auswirkungen zukünftiger Vorfälle zu verringern.
27011-Erg.:Etablierung entsprechender Verfahren beim TK-Dienstleister, insbesondere:
| ||||||
17 | IS-Aspekte beim Business Continuity Management | ||||||
17.1 | Aufrechterhaltung der Informationssicherheit | ||||||
17.1.2 | Umsetzen der Aufrechterhaltung der InformationssicherheitDie Organisation sollte Prozesse, Verfahren und Maßnahmen festlegen, dokumentieren, umsetzen und aufrechterhalten, um das erforderliche IS-Niveau in einer kritischen Situation aufrechterhalten zu können.
27011-Erg.:Es sollte ein Plan für das geordnete und entsprechend der Kritikalität priorisierte Herunterfahren/Reduzieren der TK-Services existieren.
Der Business-Continuity-Plan sollte auch die Aufrechterhaltung der Informationssicherheit für die beteiligten Informationen gewährleisten. Es sollte ein Disaster-Recovery-Plan für die TK-Services etabliert werden, der auch die Sicherstellung essenzieller Services für die Kunden berücksichtigt. | ||||||
17.2 | Redundanzen | ||||||
17.2.1 | Verfügbarkeit von informationsverarbeitenden EinrichtungenInformationsverarbeitende Einrichtungen sollten mit ausreichender Redundanz zur Einhaltung der Verfügbarkeitsanforderungen realisiert werden.
27011-Erg.:TK-Einrichtungen, die eine wesentliche Kommunikation bereitstellen und Teil der nationalen kritischen Infrastruktur sind (vgl. auch TEL 18.1.7 im Annex A), sollten über ausreichende Redundanzen verfügen, um sicherzustellen, dass ein Verfügbarkeitsausfall die Servicebereitstellung nicht beeinträchtigt. | ||||||
18 | Compliance
Dieser Themenbereich gilt unverändert. | ||||||
Anhang A: Zusätzliche TK-Maßnahmen
Wie bereits dargestellt, umfasst der Anhang A des Standards weitere Maßnahmen und Ziele, die für TK-Dienstleister relevant sind, sich jedoch nicht im Katalog der ISO/IEC 27002 befinden und kurz vorgestellt werden. Es gelten auch dafür die einleitenden Anmerkungen (s. Abschnitt 2.2)
TEL 9.5 | Zugriffskontrolle in Netzwerken |
TEL 9.5.1 | Identifizierung und Authentifizierung von TK-Anbietern durch Benutzer Telekommunikationsanbieter sollten dem Nutzer angemessene Möglichkeiten zur Identifizierung und Authentifizierung bereitstellen. |
TEL 11.1 | Sicherheitsbereiche |
TEL 11.1.7 | Sicherheit von KommunikationszentrenDie physische Sicherheit von Kommunikationszentren, in denen sich Komponenten zur Erbringung von TK-Services befinden, sollte geplant, entwickelt und implementiert werden. |
TEL 11.1.8 | Sicherheit von Räumen für TK-EquipmentVgl. 11.1.7 |
TEL 11.1.9 | Sicherheit von physisch isolierten ProduktionsbereichenVgl. 11.1.7 |
TEL11.3 | Sicherheit unter der Kontrolle anderer OrganisationenZiel: Schutz gegen physische oder umgebungsbezogene Bedrohungen von Equipment, das außerhalb des TK-Dienstleisters aufgestellt ist |
TEL 11.3.1 | Equipment am Standort eines anderen DienstleistersUnterbringung in einem eigenen geschützten Bereich |
TEL 11.3.2 | Equipment am Standort eines KundenSchutz des Equipments vor umgebungsbezogenen Bedrohungen und nicht autorisiertem Zugang |
TEL 11.3.3 | Kombinierte TK-Services (von mehreren Dienstleistern gemeinsam erbracht)Es sollten klare Grenzen und Interfaces zwischen den Anbietern definiert sein. |
TEL 13.1 | Netzwerksicherheitsmanagement |
TEL 13.1.4 | Sicherheitsmanagement der Erbringung von TK-ServicesDefinition von Security Service Levels und Implementierung entsprechender Maßnahmen, Sicherstellung von Information und Awareness der Kunden |
TEL 13.1.5 | Reaktion auf SpamAufstellen von Richtlinien, Implementierung entsprechender Maßnahmen, Information der Kunden |
TEL 13.1.6 | Reaktion auf (D)DOS-Angriffes. Abschnitt 13.1.5 |
TEL 18.1 | Einhaltung gesetzlicher und vertraglicher Anforderungen |
TEL 18.1.6 | Geheimhaltung der (übertragenen) KommunikationGewährleistung durch den TK-Dienstleister |
TEL 18.1.7 | Priorisierung wichtiger KommunikationIm Falle von Naturkatastrophen, anderen Krisensituation oder bei entsprechenden Risiken für deren Eintreten sollten die Kapazitäten des TK-Dienstleisters vorrangig für die damit verbundene Kommunikation bereitgestellt werden. |
TEL 18.1.8 | Rechtmäßigkeit von NotfallmaßnahmenAlle Notfallmaßnahmen des TK-Dienstleisters sollten auf das notwendige Maß zur Notfallreaktion und -eindämmung sowie die Aufrechterhaltung des Unternehmens beschränkt werden. |
