Österreich
Secure Your Business
 

NORMEN-NEWS: NEUE MITGLIEDER DER ISO 27K-FAMILIE

Neue Subnormen erleichtern die Implementierung von Informationssicherheit:
IS-Governance, Supplier Relationships und Digital Redaction

 

(CIS-Newsletter Dez 2013) - Die ISO 27k-Reihe für Informationssicherheit trägt den immer komplexeren Security-Anforderungen Rechnung, indem themenspezifische Subnormen als ergänzende Implementierungsleitfäden veröffentlicht werden. Sie sollen als praktikable Hilfestellung für die korrekte Interpretation der Zertifizierungsnorm ISO 27001 dienen. Die Subnormen sind selbst nicht zertifizierbar und vertiefen themenspezifisch die Anforderungen aus den Controls und dem Managementteil der ISO 27001. Nach Erscheinen der ISO/IEC 27014:2013 für Governance of Information Security sollen bis Anfang 2014 vier weitere Subnormen veröffentlicht werden:
 

ISO/IEC TR 27016 - IT Security - Information security management - Organizational economics
ISO/IEC 27033 - Information technology - Security techniques - Network security
ISO/IEC 27036 - IT Security - Security techniques - Information security for Supplier relationships
ISO/IEC 27038 - Information technology - Security techniques - Specification for Digital redaction

Die beiden Subnormen ISO/IEC TR 27016 und ISO/IEC 27033 wurden bereits im September-Newsletter vorgestellt. In der aktuellen Ausgabe folgt ein Abriss über die Subnormen für IS-Governance, Supplier Relationships und Digital Redaction.

 

ISO/IEC 27014:2013 – Governance of Information Security
Diese nicht-zertifizierbare Subnorm der ISO-27k-Familie bietet eine Anleitung für die Steuerung / Governance von Informationssicherheit, womit Unternehmen alle IS-relevante Abläufe evaluieren, steuern, kontrollieren bzw. überwachen und auch kommunizieren können. Sinn und Zweck der 05_news_webIS-Governance ist es, die Ausrichtung der Informationssicherheit an Business-Zielen, ihre Wirtschaftlichkeit und Wirksamkeit laufend zu gewährleisten. ISO/IEC 27014 begreift Governance für Informationssicherheit als einen integralen Bestandteil der Corporate Governance mit ausgeprägten Anknüpfungen an die IT-Governance. Von ihrem Aufbau her umfasst die Subnorm neben den einleitenden Kapiteln zu Scope, Referenzen und Definitionen sowie ihren zwei Anhängen nur zwei Hauptkapitel: „Konzepte“ sowie „Prinzipien und Prozesse“. Der Standard definiert sechs übergeordnete Governance-Prinzipien und fünf Governance-Prozesse (evaluate, direct, monitor, communicate, assure). Die zwei Anhänge enthalten Vorlagen für Berichte wie sie etwa in Compliance-Reports verwendet werden.


ISO/IEC 27036 – Supplier Relationships
Diese als Multi-Part-Standard geplante Subnorm der ISO-27k-Familie beschäftigt sich mit den Informationssicherheitsrisiken, die durch Lieferanten von IKT-bezogenen Gütern und Dienstleistungen entstehen können. Dazu gehören IT-Outsourcing und die Nutzung von Cloud-Services, der Bezug von Hardware / Software und Services sowie auch andere Dienstleistungen – etwa externes Sicherheitspersonal, Reinigungsdienste, Kurierdienste oder auch externes Wartungspersonal. Inhaltlich behandelt der Standard ISO/IEC 27036: 1. Strategische Ziele, Business Needs und Compliance-Anforderungen, die durch IKT-Lieferanten berührt werden; 2. IS-Risiken wie Abhängigkeiten von Providern, Zugang zu und Schutz von Informationen in Bezug auf Lieferanten, Aufbau von „Extended Trust Environments“ sowie die IS-Koordination zwischen Auftraggeber und Auftragnehmer;
3. IS-Maßnahmen
wie Relationship Management für den gesamten Lebenszyklus der Business-Beziehung, Spezifizierung von Anforderungen an Lieferanten wie z.B. eine ISO-27001-Zertifizierung, klare Definitionen von Besitzverhältnissen und Verantwortlichkeiten für Informationen und IS-Assets; 4. Den gesamten Lebenszyklus der Geschäftsbeziehung vom Angebot über Anforderungsdefinitionen bis hin zur Zusammenarbeit und Beendigung der Kooperation. Die Teile 1-3 stehen kurz vor der Veröffentlichung: „Overview and Concepts“, „Common Requirements“ und „ICT Supply Chain Security“.


ISO/IEC 27038 – Digital Redaction

Wenn digitale Daten gegenüber Dritten öffentlich gemacht werden müssen, z.B. als Nachweis im Wettbewerb oder in Gerichtsverhandlungen, wird die Thematik der kurz vor der Veröffentlichung stehenden Subnorm ISO/IEC 27038 „Digital Redaction“ relevant. Redaction beschreibt den definierten Prozess der Anonymisierung bzw. Bereinigung von weiterzugebenden Datenbeständen, so dass der Empfänger keinerlei vertrauliche Informationen in den übermittelten Dokumenten findet. Die nicht zertifizierbare Subnorm ISO/IEC 27038 geht auf bewährte Techniken zur Datenbereinigung ein, aber auch auf Anforderungen für Redaction-Software sowie auf Testmethoden zur Prüfung der vollständigen Bereinigung. Fehler im Redaction-Prozess können gravierende Auswirkungen vom Identitätsdiebstahl bis hin zur unbeabsichtigten Veröffentlichung von Firmengeheimnissen haben. Zu den größten IS-Risiken beim Datenbereinigungsprozess gehören Aspekte wie: inkorrekte Auswahl der Daten und Methoden; unvollständige Bereinigung; unbeabsichtigte Wiederherstellbarkeit; Fehler in der eindeutigen Kennzeichnung von Daten, so dass der Empfänger nicht genau zwischen bereinigten und unbereinigten Daten unterscheiden kann. Der Standard deckt alle signifikanten IS-Risiken in Bezug auf Redaction ab und bietet einen generischen Leitfaden auf hohem Niveau. Inhalte sind neben dem Scope und den Definitonen: Einleitung, Anforderungen, Prozessbeschreibungen, Aufzeichnungen / Dokumentation, Software-Tools, Redaction-Testing sowie ein informativer Anhang zur Bereinigung von PDF-Dateien.

 

_______________________

Für den Inhalt verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB