Embed Size (px)
Citation preview
Studie zu ISO-Normungsaktivitäten ISO/BPM
Vergleich der Audit- und Zertifizierungsschemata für IT-Grundschutz und BS 7799-2
Für die Mitarbeit an der Studie dankt das Bundesamt für Sicherheit in der Informationstechnik Herrn Jörg Eckardt von der ConSecur GmbH.
Bundesamt für Sicherheit in der Informationstechnik
Referat I 1.4 Systemsicherheit, IT-Grundschutz
Postfach 20 03 63
53133 Bonn
Tel.: +49 (0) 1888-9582-369
E-Mail: [email protected]
Internet: http://www.bsi.bund.de
� Bundesamt für Sicherheit in der Informationstechnik 2004
2
Inhaltsverzeichnis
1 Ausgangssituation ............................................................................................................4
2 Management Summary ...................................................................................................5
2.1 Ziel und Inhalt der Studie .............................................................................................................. 5
2.2 Grundlegende Dokumente ............................................................................................................. 5
2.3 Ergebnisse der Studie..................................................................................................................... 5
3 Vergleich der Audit- und Zertifizierungsschemata für GSHB und BS 7799-2..........8
3.1 Sichtung der Dokumente ............................................................................................................... 8
3.1.1 IT-Grundschutz-Zertifizierung....................................................................................................... 9
3.1.2 Zertifizierung nach BS 7799-2..................................................................................................... 14
3.2 Definitionen ................................................................................................................................. 19
3.3 Vergleich der Zertifizierungsschemata ........................................................................................ 19
3.3.1 Generische Anforderungen an Auditierung und Zertifizierung ................................................... 20
3.3.2 Einzelne Interessen und deren Wechselwirkungen ...................................................................... 23
3.3.3 Vergleich der Audit- und Zertifizierungsprozesse ....................................................................... 25
3.3.4 Vergleich der Lizenzierungsprozesse........................................................................................... 47
3.3.5 Vergleich der Akkreditierungsprozesse ....................................................................................... 50
3.3.6 Vergleich der zugrundeliegenden Infrastruktur........................................................................... 54
3.4 Gesamtbetrachtung, Empfehlung & Handlungsbedarf ................................................................ 57
3.4.1 Bewertung Audit & Zertifizierung ............................................................................................... 57
3.4.2 Bewertung Lizenzierung & Akkreditierung ................................................................................. 59
4 Anhang............................................................................................................................63
4.1 Glossar und Abkürzungen............................................................................................................ 63
4.2 Referenzen ................................................................................................................................... 63
3
1 Ausgangssituation
Das BSI beteiligt sich an den laufenden ISO-Normungsaktivitäten im Bereich IT-Sicherheitsmanagement. In den entsprechenden Arbeitsgruppen der ISO (International Standards Organization), in der Working Group WG 1 im Subcommittee SC 27, sind in den vergangenen Jahren hierzu zwei wesentliche Ansätze diskutiert worden:
�� der von der britischen Standardisierungsbehörde herausgegebene nationale Standard BS 7799 (bestehend aus den Teilen BS 7799-1 und BS 7799-2)
�� der von anderen europäischen Ländern gemeinsam erarbeitete ISO/IEC Technical Report TR 13335 (GMITS, Guidelines for Management of IT-Security).
Parallel dazu gibt es in den europäischen Ländern nationale Empfehlungen und Ausarbeitungen zum IT-Sicherheitsmanagement, u. a. in einem entsprechenden Baustein des vom BSI herausgegebenen IT-Grundschutzhandbuchs (GSHB).
Von den ISO-Gremien wurde Teil 1 des britischen Standards (BS 7799-1) im Jahr 2000 offiziell als nunmehr maßgeblicher ISO/IEC-Standard IS 17799 verabschiedet. Der Technical Report TR 13335 hat weiterhin Bestand und befindet sich ebenfalls in der Normungsdiskussion.
Betrachtet man die in Abbildung 1 dargestellten drei relevanten Ebenen der IT-Sicherheit: Sicherheitsmanagement, Organisation/Umsetzung und Maßnahmen, und vergleicht die drei Vorgehensmodelle, so wird deutlich, dass jedes Modell einen individuellen Schwerpunkt beschreibt, wobei partielle Überschneidungen zu den anderen Modellen deutlich werden.
Abbildung 1: Darstellung der drei Vorgehensmodelle IS 17799, TR 13335 und GSHB
Das BSI möchte seine bisherigen Aktivitäten und Interessen bzgl. des IT-Grundschutzhandbuchs (GSHB) in geeigneter Form in die Diskussion um IS 17799 sowie um TR 13335 einbringen. Da derzeit sowohl der IS 17799 als auch der TR 13335 innerhalb der Gremien überarbeitet werden, sollen mit der vorliegenden Studie die relevanten Aspekte aufgearbeitet werden und die Positionierung des IT-Grundschutzhandbuchs gegenüber des IS 17799 sowie des TR 13335 in diesen Gremien geeignet untermauert werden.
Gleichzeitig möchte das BSI die Zertifizierung nach dem GSHB national und international fördern.
Das BSI hat gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für den IT-Grundschutz entwickelt. Voraussetzung für die Vergabe eines IT-Grundschutz-Zertifikats ist eine Überprüfung, ob die hierfür festgelegten Anforderungen erfüllt werden. International hat die Zertifizierung nach der britischen Norm BS 7799-2 aufgrund der Standardisierung des BS 7799-1 (identisch mit IS 17799) sehr starke Nachfrage erhalten. Daher ist es erforderlich, so schnell wie möglich die Grundlagen für eine erfolgreiche Einführung und Verbreitung des IT-Grundschutz-Zertifikats zu schaffen.
4
2 Management Summary
2.1 Ziel und Inhalt der Studie
In dieser Studie wurde die Zertifizierung nach BS 7799-2 (British Standards Institute) mit der Zertifizierung nach IT-Grundschutz (Bundesamt für Sicherheit in der Informationstechnik) verglichen. Insbesondere wurden folgende Fragestellungen untersucht:
�� Welche Inhalte werden jeweils attestiert und welche formalen Anforderungen bzw. Voraussetzungen müssen erfüllt sein, damit ein Zertifikat erteilt werden kann? Wie wird die Erbringung der technischen und formalen Voraussetzungen und Kriterien des Zertifikats festgestellt und dokumentiert?
�� Welche Gültigkeit und formale Aussagekraft hat das Zertifikat jeweils und welche Anerkennung folgt hieraus? Welche formalen Rahmenbedingungen und Infrastrukturen sind jeweils maßgeblich?
2.2 Grundlegende Dokumente
Grundlage der Untersuchung bildeten öffentlich zugängliche Informationen und Dokumente zu den jeweiligen Auditierungs- und Zertifizierungsverfahren sowie zum Zertifizierungsgegenstand. Damit wird letztlich nach Papierlage beurteilt, wogegen eventuell abweichende „pragmatische“ Vorgehensweisen nicht berücksichtigt wurden, sofern sie nicht den niedergeschriebenen Formalia entsprachen.
Dokumente zur IT-Grundschutz-Zertifizierung:
�� „Qualifizierung/Zertifizierung nach IT-Grundschutz – Prüfschema für Auditoren“ [GS PRUEF],
�� „Zertifizierung nach IT-Grundschutz“ [GS ZERT],
�� „Lizenzierungsschema für IT-Grundschutz-Auditoren“ [GS LIZ],
�� „Qualifizierung/Zertifizierung nach IT-Grundschutz – Eckpunktepapier“ [GS ECK].
Dokumente zur Zertifizierung nach BS 7799-2:
�� “Preparing for BS 7799-2 Certification” [PD 3001],
�� “EA Guidelines for the Accreditation of bodies operating certification/ registration of Information Security Management Systems” [EA 07/03],
�� „Handbuch des DAR (Deutscher Akkreditierungsrat)“ [DAR HDB].
2.3 Ergebnisse der Studie
Als Ergebnis des vorgenommenen Vergleichs der Zertifizierungsschemata können folgende Aussagen getroffen werden:
1. Vorgehen
Die Vorgehensweisen zur Zertifizierung nach IT-Grundschutz und BS 7799-2 sind vom Grundsatz her einander ähnlich.
5
Die Erbringung der technischen und formalen Voraussetzungen des Zertifikats wird in beiden Fällen durch eine Begutachtung (Auditierung) festgestellt und durch ein nachgelagertes Entscheidungsverfahren zur Erteilung eines Zertifikats (Zertifizierung) formalisiert. Die Anerkennung von Zertifikaten, die eine fremde Zertifizierungsstelle ausgestellt hat, wird typischerweise dadurch gewährleistet, dass innerhalb einer hierfür definierten Infrastruktur die Vergabe von Zertifikaten durch Zulassung (Akkreditierung) von Zertifizierungsinstanzen und Zulassung (Lizenzierung) von Auditoren nebst festgelegten Vergabekriterien reglementiert wird. Wer sich diesem Reglement unterwirft, d.h. ein Zertifikat eines akkreditierten Zertifizierers erwirbt, kann damit rechnen, dass dieses Zertifikat von anderen Akteuren derselben Infrastruktur anerkannt wird.
2. Inhalte
Die bei der Zertifizierung nach BS 7799-2 und IT-Grundschutzhandbuch jeweils zertifizierten Inhalte unterscheiden sich.
Während bei der Zertifizierung nach BS 7799-2 die dort genannten Vorgaben zur Gestaltung des IT-Sicherheitsmanagements maßgeblich sind, wird beim IT-Grundschutz-Zertifikat ebenfalls das dort definierte IT-Sicherheitsmanagement, darüber hinaus jedoch auch die Umsetzung der bei der IT-Grundschutzanalyse identifizierten IT-Sicherheitsmaßnahmen geprüft und zertifiziert. Die Zertifizierung nach IT-Grundschutz ist somit umfangreicher und technisch aussagekräftiger als eine Zertifizierung nach BS 7799-2.
3. Formale Basis, Infrastruktur
Beide Zertifizierungsmodelle definieren jeweils eine eigene formale Infrastruktur zur Auditierung und Zertifizierung des Untersuchungsgegenstandes sowie zur Zulassung der beteiligten Akteure. Beide Infrastrukturen sind jedoch disjunkt voneinander und es gibt keine gemeinsame formale Basis beider Zertifizierungsmodelle.
Während BS 7799-2 bei der Akkreditierung der Zertifizierungsinstanzen strikt auf dem europäischen Standard „EA 7/03 – Guidelines for the Accreditation of bodies operating certification/ registration of Information Security Management Systems“ basiert und damit eine übergeordnete Akkreditierungsinfrastruktur nutzt, ist das Bundesamt für Sicherheit in der Informationstechnik alleiniger Akkreditierer und damit oberste Instanz in der Zertifizierungsinfrastruktur des IT-Grundschutz-Zertifikats.
Die im EA 7/03 vorgesehene Rollentrennung zwischen Akkreditierer (Zulassung der Zertifizierungsinstanz) und Lizenzierer (Zulassung der Auditoren) ist beim IT-Grundschutz-Zertifikat nicht realisiert, da das BSI eine Superfunktion als gleichzeitiger Akkreditierer, Lizenzierer und Zertifizierer wahrnimmt.
Das IT-Grundschutz-Zertifikat ist damit derzeit nicht an die europäische Zertifizierungsinfrastruktur angebunden. Eine gegenseitige Anerkennung beider Zertifikate wird durch die zugrundeliegende Infrastruktur nicht automatisiert und kann daher nur individuell entschieden werden.
4. Lizenzierung, Auditierung und Zertifizierung
Die Lizenzierung der Auditoren, das Audit des Untersuchungsgegenstands sowie die abschließende Zertifizierung sind in beiden Zertifizierungsschemata ähnlich definiert. Hier bestehen jedoch formale Unterschiede im Detail, die je nach Sichtweise vor- oder nachteilig ausgelegt werden können.
Als ein wesentlicher Unterschied ist hervorzuheben, dass das IT-Grundschutz-Zertifikat auf einer stichprobenhaften Auditierung beruht, beim BS 7799-2-Zertifikat dagegen alle inhaltlichen Anforderungen zu prüfen sind. Dieser zunächst offenbare Nachteil der IT-Grundschutz-Zertifizierung wird jedoch dadurch kompensiert, dass die Stichproben mindestens die übergeordneten IT-Grundschutz-
6
Bausteine umfassen müssen (also auch den Baustein „IT-Sicherheitsmanagement“), und damit trotz der stichprobenhaften Kontrolle die Prüfung auf ITGrundschutz-konformität umfangreicher ausfällt als beim BS 7799-2-Zertifikat, das nur das „Information Security Management System“ (analog zum „IT-Sicherheitsmanagement“ des GSHB) umfasst.
Unterschiede mit geringerer Tragweite sind dagegen:
�� der unterschiedliche Gültigkeitszeitraum der ausgestellten Zertifikate:
IT-Grundschutz-Zertifikate haben eine feste Gültigkeit von 2 Jahren, während die Gültigkeit bei BS 7799-2-Zertifikaten bis zu 3 Jahren betragen kann, je nach Zertifizierer. Der Unterschied wird als unwesentlich beurteilt, da spätestens zu Beginn des Zertifizierungsvorgangs die Zeiträume (vertraglich) festzulegen sind.
�� die Auswahl der Auditoren durch den Antragsteller:
Beim IT-Grundschutz-Zertifikat ist die Auswahl eines geeigneten Auditors (der jedoch durch das BSI als solcher lizenziert sein muss) dem Antragsteller überlassen, während bei BS 7799-2-Zertifikaten der Auditor durch den Zertifizierer zugewiesen wird. Dies wird ebenfalls nicht als wesentlicher Unterschied betrachtet da letztlich in beiden Fällen die Zertifizierungsstelle sicherstellt und prüft, wer unter welcher Voraussetzung das Audit durchführen darf und welche Regeln hierzu einzuhalten sind.
�� die Einordnung der untersuchten Dokumente und Prozesse:
Die Dokumentation der Lizenzierungs- und Zertifizierungsverfahren beim IT-Grundschutz-Zertifikat sind konkreter als die abstrakt definierten Anforderungen des internationalen Zertifizierungsschemas [EA 07/03]. Dies ist erklärbar, da in [EA 07/03] die Akkreditierung möglicher Zertifizierungsstellen beschrieben ist.
�� die Benennung der Prozesse:
Das Lizenzierungsverfahren ist nur beim IT-Grundschutz-Zertifikat als solches benannt und beschrieben, während beim BS 7799-2-Zertifikat nur die Anforderungen an die Auswahl der Auditoren festgelegt ist, ohne diese im Detail zu beschreiben und zu benennen.
Die Akkreditierung der Zertifizierungsstellen ist nur beim BS 7799-2-Zertifikat beschrieben.
�� die Anzahl möglicher Nachbesserungsversuche:
Beide Zertifizierungsmodelle sehen die Möglichkeit zu Nachbesserungen bei Beanstandungen des Auditors vor, jedoch muss beim IT-Grundschutz-Zertifikat nach zwei erfolglosen Nachbesserungsversuchen der gesamte Zertifizierungsprozess wiederholt werden, während beim BS 7799-2-Zertifikat beliebig viele Wiederholungen möglich wären, je nach Zertifizierungsstelle. Auch hier wird der Unterschied nicht als wesentlich betrachtet, da in beiden Fällen das Zertifikat nur nach bestandener Prüfung erteilt wird, letztlich unabhängig von deren Dauer.
In einem weiteren Abschnitt wird diskutiert und beschrieben, welche Vor- und Nachteile die betrachteten Zertifizierungsschemata aufweisen und welche Anforderungen an ein ideales (generisches) Zertifizierungsschema zu stellen wären.
7
3 Vergleich der Audit- und Zertifizierungsschemata für GSHB und BS 7799-2
Im Rahmen der in diesem Kapitel dokumentierten Studie werden die Auditierung und Zertifizierung von BS 7799 (British Standards Institute) mit der IT-Grundschutz-Zertifizierung (Bundesamt für Sicherheit in der Informationstechnik, Deutschland) verglichen. Hierbei sind zwei Arten von Anforderungen zu unterscheiden und getrennt zu betrachten:
�� Die Voraussetzungen und Anforderungen, deren Erfüllung bzw. Umsetzung zertifiziert werden kann. Diese werden hier nur übersichtshalber dargestellt.
�� Die direkten Anforderungen an den Zertifizierungsvorgang, an die durchführenden Organe sowie weitere Randbedingungen. Diese werden hier detailliert analysiert und verglichen.
Der hier beschriebene Vergleich erfolgte ausschließlich auf Grundlage der aufgelisteten Dokumente, die öffentlich (evtl. bei Zahlung einer Gebühr) zugänglich sind. Im Interesse eines soliden Ergebnisses wurden explizit keine undokumentierten Informationen (wie persönliche Interpretationen, Erfahrungswerte, in der Praxis „gelebte“ Vorgehensweisen und dergleichen) in den vorliegenden Vergleich einbezogen.
3.1 Sichtung der Dokumente
Folgende Dokumente werden als relevant für die jeweiligen Zertifizierungsvorgänge angesehen.
Zertifizierung der IT-Grundschutz-Konformität:
�� IT-Grundschutzhandbuch (GSHB)
Stand: Mai 2002
�� Qualifizierung/Zertifizierung nach IT-Grundschutz
Prüfschema für Auditoren, Stand: 01. Dezember 2003
�� Zertifizierung nach IT-Grundschutz
Aufgaben des Zertifizierers, Stand: 01. Dezember 2003
�� Lizenzierungsschema für IT-Grundschutz-Auditoren
Stand: 01. Dezember 2003
�� Qualifizierung/ Zertifizierung nach IT-Grundschutz – Eckpunktepapier
Stand: 25. März 2002
Die genannten Dokumente waren im Internet kostenfrei verfügbar unter der Adresse: http://www.bsi.de/gshb/index.htm
Zertifizierung der BS 7799-2-Konformität
�� Information security management systems – Specification with guidance for use
Dok-Nr. BS 7799-2:2002; Stand: 2002; kostenpflichtig erhältlich unter der Adresse: https://www.bspsl.com/secure/17799/cvm.cfm
8
�� Preparing for BS 7799-2 Certification
Dok-Nr. PD 3001:2002; Stand: 2002; kostenpflichtig als Papierversion zu Bestellen unter der Adresse: http://www.c-cure.org/serv.htm
�� EA Guidelines for the Accreditation of bodies operating certification/ registration of Information Security Management Systems
Dok.Nr. EA –7/03, Stand: Februar 2000; kostenfrei erhältlich unter der Adresse: http://www.european-accreditation.org/documents.html
�� Handbuch des DAR (Deutscher Akkreditierungsrat)
Stand: 21 Januar 2003 (3. Ausgabe); kostenfrei erhältlich unter der Adresse: http://www.dar.bam.de
3.1.1 IT-Grundschutz-Zertifizierung
Alle im Folgenden verwendeten wesentlichen Begriffe werden im GSHB genauer definiert und beschrieben. Die hier angegebenen Dokumente müssen daher immer im Kontext des GSHBs gelesen und analysiert werden.
3.1.1.1 IT-Grundschutzhandbuch (GSHB)
Das IT-Grundschutzhandbuch wurde vom BSI entwickelt, um ohne aufwendige Risikoanalyse ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist. Das IT-Grundschutzhandbuch ist als Baukastensystem aufgebaut und empfiehlt für gängige IT-Systeme und Anwendungen sowie für das IT-Sicherheitsmanagement geeignete Standard-Sicherheitsmaßnahmen. Das IT-Grundschutzhandbuch wurde in den vergangenen Jahren kontinuierlich weiterentwickelt und sukzessive um weitere Bausteine ergänzt, so dass sich derzeit eine Vielzahl von in der Praxis vorkommenden IT-Systemlandschaften durch Kombination von IT-Grundschutz-Bausteinen modellieren und absichern lassen.
Im GSHB wird darauf hingewiesen, dass es die Möglichkeit einer Zertifizierung gibt. Der Zertifizierungs-Vorgang selbst ist jedoch nicht im GSHB, sondern in separaten Dokumenten spezifiziert.
3.1.1.2 Qualifizierung/Zertifizierung nach IT-Grundschutz – Prüfschema für Auditoren
In diesem Dokument wird der gesamte Prüfvorgang aus Sicht des Auditors beschrieben. Dieses sogenannte Prüfschema beinhaltet Vorschriften und Hilfestellungen, wie ein Auditor die Beurteilung eines Zertifizierungsantrages vorzunehmen hat:
�� Anforderungen an die vom Antragsteller vorzulegende Dokumentation
�� Bewertungskriterien für die einzelnen Dokumente
�� Kriterien für die Begutachtung vor Ort
Zunächst werden im einzelnen die zur Zertifizierung vorzulegenden Dokumente beschrieben:
�� IT-Strukturanalyse:
In diesem Dokument soll der zu untersuchende IT-Verbund dargestellt werden. Hierzu ist insbesondere vorzulegen:
- Definition des Untersuchungsgegenstandes,
9
- Bereinigter Netzplan,
- Liste der IT-Systeme und
- Liste der IT-Anwendungen
�� Schutzbedarfsfeststellung:
In diesem Dokument wird der Schutzbedarf für den Untersuchungsgegenstand analysiert. Im einzelnen müssen die folgenden Bestandteile enthalten sein:
- Definition der Schutzbedarfskategorien,
- Schutzbedarf der IT-Anwendungen,
- Schutzbedarf der IT-Systeme,
- Schutzbedarf der Kommunikationsverbindungen und
- Schutzbedarf der IT-Räume.
�� Modellierung des IT-Verbunds:
In diesem Dokument ist die Modellierung des vorliegenden IT-Verbunds durch IT-Grundschutzbausteine gemäß GSHB (Kapitel 2.3.
�� Ergebnis des Basis-Sicherheitschecks:
Für jede in Folge der IT-Grundschutz-Modellierung als relevant ermittelte Sicherheitsmaßnahme ist zu ermitteln und zu dokumentieren, inwieweit diese gegebenenfalls bereits umgesetzt ist.
Im zweiten Schritt werden Bewertungskriterien für die einzelnen Dokumente beschrieben.
�� IT-Strukturanalyse:
- Nachvollziehbarkeit der Abgrenzung des IT-Verbunds,
- Aktualität der Version des IT-Grundschutzhandbuchs,
- Identifizierbarkeit der Komponenten im bereinigten Netzplan,
- Umfang der Liste der IT-Systeme,
- Konformität der Liste der IT-Systeme mit dem Netzplan und
- Umfang der Liste der IT-Anwendungen.
�� Schutzbedarfsfeststellung:
- Plausibilität der Definition der Schutzbedarfskategorien,
- Vollständigkeit der Schutzbedarfsfeststellung der IT-Anwendungen,
- Vollständigkeit der Schutzbedarfsfeststellung der IT-Systeme,
- Plausibilität der Schutzbedarfsfeststellung der IT-Systeme,
- Kritikalität der Kommunikationsverbindungen und
- Plausibilität der Schutzbedarfsfeststellung der IT-Räume.
�� Modellierung des IT-Verbunds:
- Nachvollziehbarkeit der Modellierung,
- Anwendbarkeit des IT-Grundschutzhandbuchs und
- Korrektheit der Gruppenbildung.
10
�� Ergebnis des Basis-Sicherheitschecks:
- Konformität zur Modellierung,
- Transparenz der Interviewpartner und
- Umsetzungsgrad der IT-Grundschutz-Maßnahmen.
Als dritter Schritt werden Kriterien für die Inspektion vor Ort beschrieben:
�� Verifikation des Netzplans:
hierbei ist zu prüfen, ob der bereinigte Netzplan mit den tatsächlich vorhandenen Gegebenheiten des Netzwerkes übereinstimmt.
�� Verifikation der Liste der IT-Systeme:
hier ist zu prüfen, ob die dokumentierten Eigenschaften der IT-Systeme mit den tatsächlich vorhandenen übereinstimmt.
�� Verifikation des Basis-Sicherheitschecks:
hier wird verglichen, ob die angegebenen Umsetzungsgrade der einzelnen Maßnahmen mit der Realität übereinstimmen.
3.1.1.3 Zertifizierung nach IT-Grundschutz – Aufgaben des Zertifizierers
Neben dem IT-Grundschutz-Auditor ist der Zertifizierer ein weiterer Akteur bei der IT-Grundschutz-Zertifizierung. Aufgabe des Zertifizierers ist es, den vom Auditor erstellten Audio-Report abzunehmen und letztlich über die Vergabe des Zertifikats zu entscheiden. Das vorliegende Dokument beschreibt die Vorgehensweise für einen Zertifizierer. Dieser muss die Anforderungen der EN 45000er Reihe erfüllen, um ein IT-Grundschutz-Zertifikat ausstellen zu können. Die europäische Norm EN 45000 legt Qualitätsstandards für Prüflaboratorien fest. Es wird im Wesentlichen ein Qualitätssicherungssystem, fachkundiges Personal sowie die Rückführbarkeit der verwendeten Messmittel gefordert.
Im einzelnen werden im genannten Dokument die folgenden Schritte beschrieben:
�� Schritt 1: Zertifizierungsantrag
Als Grundlage für eine Zertifizierung muss ein formaler Antrag desjenigen vorliegen, der eine Zertifizierung wünscht.
�� Schritt 2: Audit – Auditreport
Der Auditreport dokumentiert die Grundlagen, die Durchführung und die Ergebnisse des Audits. Auf dieser Basis wird über die Vergabe eines IT-Grundschutz-Zertifikats entschieden.
�� Schritt 3: Sichtung des Auditreports
Die Zertifizierungsstelle prüft, ob der Auditreport den formalen und inhaltlichen Anforderungen genügt. Für die Überprüfung wird eine Checkliste angeboten.
�� Schritt 4: Entscheidung über die Zertifikatsvergabe
Auf der Grundlage des Auditreports und des Gesamtvotums des Auditors wird über die Vergabe eines Zertifikats entschieden. Die Entscheidung ist zu dokumentieren.
�� Schritt 5: Ausstellung des IT-Grundschutz-Zertifikats
Bei einer positiven Entscheidung erstellt die Zertifizierungsstelle ein IT-Grundschutz-Zertifikat. Der Inhalt ist vorgegeben.
11
�� Schritt 6: Veröffentlichung
Die positive Entscheidung über eine Zertifikatsvergabe wird veröffentlicht.
�� Schritt 7: Behandlung von Sicherheitsvorfällen
Für das Auftreten von Sicherheitsvorfällen wird ein Mechanismus beschrieben, wie die Relevanz für den zertifizierten Gegenstand beurteilt wird und mögliche Reaktionen dokumentiert.
3.1.1.4 Lizenzierungsschema für IT-Grundschutz-Auditoren
Dieses Dokument beschreibt die Anforderungen sowie den Vorgang der Lizenzierung eines IT-Grundschutz-Auditors. Die Lizenzierung berechtigt den Auditor, das bei einer IT-Grundschutz-Zertifizierung vorgesehene Audit vorzunehmen und den Audit-Report zu erstellen. Das Lizenzierungsschema beinhaltet im Einzelnen:
Lizenzierungsverfahren
Als Bestandteile des Lizenzierungsverfahrens werden beschrieben:
�� Antragstellung
Ein formeller Antrag zur kostenpflichtigen Erteilung einer Lizenz als IT-Grundschutz-Auditor. Eine derartige Lizenz ist natürlichen Personen vorbehalten.
�� Fachkundenachweis
Ein schriftlicher Nachweis der Fachkunde des Antragstellers.
�� Prüfung der eingereichten Fachkundenachweise
Das BSI prüft den eingereichten Fachkundenachweis.
�� Schulung
Zugelassene Antragsteller werden zu einer Schulung eingeladen.
�� Schriftliche Prüfung
Im direkten Anschluss an die Schulung wird der Antragsteller einer schriftlichen Prüfung der Schulungsinhalte unterzogen.
�� Vertragsschluss
Die Erteilung einer Lizenz als IT-Grundschutz-Auditor setzt den Abschluss eines Vertrages zwischen Lizenznehmer und dem BSI voraus. Hierin verpflichtet sich der Lizenznehmer auf die Einhaltung der Vorgaben durch das BSI.
�� Lizenzerteilung
Nach Erfüllung aller Anforderungen wird eine Lizenz erteilt.
�� Erfahrungsaustausch
Das BSI ermöglicht den Erfahrungsaustausch zwischen einzelnen lizenzierten IT-Grundschutz-Auditoren. Im Gültigkeitszeitraum der Lizenz ist der Besuch mindestens drei dieser Veranstaltungen Pflicht.
�� Lizenzverlängerung
Unter der Voraussetzung, dass ein lizenzierter IT-Grundschutz-Auditor im Gültigkeitszeitraum mindestens drei Auditberichte gemäß Prüfschema des BSI für IT-Grundschutz-Audits vorgelegt hat und im erforderlichen Maß am Erfahrungsaustausch teilgenommen hat, wird die Lizenz verlängert.
12
�� Lizenzentzug
Die erteilte Lizenz kann bei Nichteinhaltung der Anforderungen entzogen werden.
Fachkundenachweis
Es sind detaillierte Nachweise der Fachkenntnis im Bereich der IT-Sicherheit zu erbringen.
3.1.1.5 Qualifizierung/ Zertifizierung nach IT-Grundschutz – Eckpunktepapier
Das Eckpunktepapier stellt in einer Übersicht alle wesentlichen Informationen zum GSHB Zertifikat zusammen. Enthalten sind Informationen zur Zertifizierung, zur Lizenzierung und zur Akkreditierung. Im einzelnen werden die folgenden Stichpunkte bearbeitet:
�� Motivation
�� Ausprägungen der IT-Grundschutz-Qualifizierung
- IT-Grundschutz-Zertifikat
- Selbsterklärung „IT-Grundschutz Aufbaustufe“
- Selbsterklärung „IT-Grundschutz Einstiegsstufe“
- Interpretation
- Zuordnung der Maßnahmen
�� Qualifizierungsschema
- Erhebungsphase
- Qualifizierungsphase
- Selbsterklärung
- IT-Grundschutz-Zertifikat
�� Ergebnis
- Abgrenzung
- Sicherheitsaussage
- Gültigkeitszeitraum
- Version
- Qualifizierende Stelle
�� Veröffentlichung
- Selbsterklärung
- IT-Grundschutz-Zertifikat
�� Lizenzierung und Akkreditierung
- Lizenzierung
- Akkreditierung
- Selbsterklärung
�� Aberkennung des Zertifikats
- Selbsterklärung
13
- IT-Grundschutz-Zertifikat
�� Resümee
3.1.2 Zertifizierung nach BS 7799-2
Der BS 7799-2 stellt einen Anforderungskatalog zum Aufbau und Betrieb eines „Information Security Management Systems“ dar. Eine Zertifizierung wird im BS 7799-2 nicht beschrieben, dagegen finden sich im BS 7799-2 folgende allgemeine Hinweise:
“This British Standard can be used by internal and external parties including certification bodies, to assess an organization’s ability to meet its own requirements, as well as any customer or regulatory demands.” [BS 7799-2, Kap. 01]
“B.1.4 Summary of controls The organization may find it beneficial to make available a Summary of Controls (SoC) that is relevant and applicable to the organization’s ISMS. This can facilitate business relationships such as electronic outsourcing by providing a summary of the controls in place. The SoC may contain sensitive information. Therefore care that it is appropriate to the recipient should be taken when making the SoC available both internally and externally. NOTE The SoC is not a substitute for the SoA [see 4.2.1h)]. The SoA is a mandatory requirement for certification.” [BS 7799-2, Kap. B.1.4]
“The Statement of Applicability [see 4.2.1h)] documents the control objectives and controls selected from Annex A. This document is one of the working documents required for ISMS certification.” [BS 7799-2, Kap. B.2.5, Seite 23]
Gleichwohl ist eine Zertifizierung der BS 7799-2-Konformität vorgesehen, jedoch wird diese separat spezifiziert (Die Zertifizierung wird bei der IT-Grundschutzzertifizierung ebenfalls separat spezifiziert.). Details hierzu finden sich in der durch das British Standard Institute herausgegebenen Schriftenreihe PD 3000, dem Dokument EA 7/03 sowie dem Handbuch des Deutschen Akkreditierungsrates (DAR). Das Handbuch des DAR ist hier relevant, weil eine deutsche Zertifizierungsstelle, die von einer deutschen Akkreditierungsstelle akkreditiert wurde, ebenfalls nach dieser Norm zertifizieren kann, obwohl BS 7799-2 ein britischer Standard ist.
Die durch das British Standard Institute herausgegebene Schriftenreihe PD 3000 ist für den geplanten Vergleich ungeeignet, da die Schriftenreihe nur eingeschränkt Informationen zum Zertifizierungsverfahren selbst enthält. Aus diesem Grund wird der EA 7/03 als übergeordnete Richtlinie für die Zertifizierung von Information Security Management Systemen (ISMS) als Grundlage für den geplanten Vergleich herangezogen.
3.1.2.1 BS 7799-2 (Information security management systems – Specification with guidance for use)
Das Dokument BS 7799-2:2002 beschreibt ein „Information security management system” (ISMS), dessen Bestandteile wie folgt dargestellt werden:
�� Information security management system
- General requirements
- Establish and managing the ISMS
- Documentation requirements
�� Management responsibility
- Management commitment
- Resource management
14
�� Management review of the ISMS
- General
- Review input
- Review output
- Internal ISMS audits
�� ISMS improvement
- Continual improvement
- Corrective action
- Preventive action
Im Anhang des Dokuments werden weitere Informationen aufgelistet:
�� Annex A (normative), Control objectives and controls
Hier werden die Controls aus dem IS 17799 tabellarisch aufgelistet. Der internationale ISO-Standard IS 17799 ist gleichlautend mit dem Britischen Standard BS 7799-1 (Teil 1 des BS 7799). BS 7799-2 (Teil 2 des BS7799) ist dagegen noch nicht standardisiert worden, ist jedoch derzeit Gegenstand der Diskussion innerhalb der zuständigen ISO-Standardisierungsgremien.
�� Annex B (informative), Guidance on use of the standard
Annex B beinhaltet eine konkrete Anleitung zur Nutzung des BS 7799-2 und ist entsprechend dem im BS 7799-2 verfolgten Plan-Do-Check-Act (PDCA) Vorgehensmodell gegliedert:
- Overview
» PDCA model
» Plan and Do
» Check and Act
» Summary of controls
- Plan phase
» Introduction
» Information security policy
» Scope of the ISMS
» Risk identification and assessment
» Risk treatment plan
- Do phase
» Introduction
» Resources, training and awareness
» Risk treatment
- Check phase
» Introduction
» Routine checking
» Self-policing procedures
15
» Learning from others
» Internal ISMS audit
» Management review
» Trend analysis
- Act phase
» Introduction
» Nonconformity
» Corrective and preventive actions
» OECD principles and BS 7799-2:2002
�� Annex C (informative), Correspondence between BS EN ISO 9001:2000, BS EN ISO 14001:1996 and BS 7799-2:2002
Hier werden tabellarisch einzelne Standards anhand einzelner Kapitel verglichen.
�� Annex D (informative), Changes to internal numbering.
Annex D beschreibt Veränderungen zwischen der aktuellen (BS 7799-2:2002) und der vorherigen Version des BS 7799-2 aus dem Jahr 2000.
3.1.2.2 PD 3001 (Preparing for BS 7799-2 Certification)
In diesem Dokument wird zunächst in den ersten drei Kapiteln eine generelle Einführung in die Thematik dargestellt. Anschließend wird der Prozess des „Certification Audits“ beschrieben. Die nachfolgende Auflistung zeigt die Gliederung des Dokuments:
�� General
- Scope
- Field of application
- PD 3000 Series Road Map
- Definitions
- Related documents
�� The Essence of Information Security
- Confidentiality
- Integrity
- Availability
- Sensitive or ciritical information
�� Information Security Management System (ISMS)
- Introduction
- Compliance with BS 7799 Part 2
- PDCA Model
- Establish the ISMS
- Implement and operate the ISMS 16
- Monitor and review the ISMS
- Maintain and improve the ISMS
- System of documentation
» Requirements
» Control of documentation and records
- Management responsibility
- Management review of the ISMS
�� Certification Audits
- General
- Assessment
» ISMS Scope of certification
» ISMS Scope covering multiple sites
» Audit methodology
» Audit report
» Certification decision
» Surveillance and reassessment procedures
3.1.2.3 EA-7/03 Guidelines for the Accreditation of bodies operating certification/ registration of ISMS
Der Guide EA-7/03 bildet die organisatorische Grundlage der BS 7799-2 Zertifizierung. Hier werden die Anforderungen an das Audit Personal, die zertifizierenden Organe sowie weitere Randbedingungen definiert. Die Gliederung des Dokuments ist wie folgt:
�� Introduction to the EA Guidelines for the Accreditation of Bodies Operating Certification/ Registration of Information Security Management Systems (ISMS)
�� Introduction to Certification/ Registration of ISMS
�� General
- Scope
- References
- Definitions
�� Requirements for Certification/ Registration Bodies
- Certification/ registration body
- Certification/ registration body personnel
- Changes in the certification/ registration requirements
- Appeals, complaints and disputes
�� Requirements for Certification/ Registration
- Application for certification/ registration
- Preparation for assessment 17
- Assessment
- Assessment report
- Decision on certification/ registration
- Surveillance and reassessment procedures
- Use of certificates and logos
- Access to records of complaints to organisations
3.1.2.4 Handbuch des DAR (Deutscher Akkreditierungsrat)
Das Handbuch des DAR beschreibt alle Aufgaben und Funktionen des DAR. Das bedeutet, das Vorgehen bei der Akkreditierung einer Zertifizierungsstelle bzw. eines Prüflabors gemäß Normenreihe EN 45000 wird dargestellt.
„Die System-Beschreibung dokumentiert die Struktur und Arbeitsweise des deutschen Akkreditierungssystems sowie die Zuständigkeiten und die Funktionsweise des Deutschen Akkreditierungsrates (DAR).
Sie hat das Ziel, das deutsche Akkreditierungssystem transparent zu machen und einen Vergleich mit anderen nationalen Akkreditierungssystemen zu erleichtern.
In der vorliegenden Beschreibung sowie in den Anlagen sind alle wesentlichen Funktionen, Aufgaben, Beschlüsse und Festlegungen des Deutschen Akkreditierungsrates enthalten.
Die System-Beschreibung wird halbjährlich durch die Geschäftsstelle des DAR auf Aktualität überprüft und einem Änderungsdienst unterworfen (Kapitel Änderungsdienst).“ [Handbuch des DAR, 3. Ausgabe]
Das Handbuch ist wie folgt gegliedert:
�� Ziel und Zweck der System-Beschreibung
�� Das deutsche Akkreditierungssystem
�� Organisation und Arbeitsweise des DAR
�� Definitionen
�� Akkreditierungsverfahren
- Allgemeine Regelungen
- Antrag auf Akkreditierung
- Begutachtung
- Entscheidung über die Akkreditierung
- DAR-Akkreditierungsurkunde
- Überwachung und Verlängerung
�� Begutachter und Begutachterschulung
�� Zentrales deutsches Akkreditierungs-/Anerkennungsregister
�� Kontrolle des Systems
�� Beschwerdeverfahren
�� Anlagen-Verzeichnis
18
3.2 Definitionen
Um den Vergleich der beiden Zertifizierungsmodelle verständlicher und klarer zu machen, werden im folgenden eine Reihe von Begriffen definiert. Dies dient auch dazu, Missverständnissen vorzubeugen und Fehlinterpretationen zu vermeiden.
Zertifizierungsschema:
Als Zertifizierungsschema wird die Abfolge definierter und dokumentierter Arbeitsschritte, basierend auf einem Zertifizierungsmodell, bezeichnet. Eingeschlossen sind hierbei auch die begleitenden Randprozesse zur Lizenzierung der Auditoren und Akkreditierung der Zertifizierungsstellen.
Zertifizierungsmodell:
Die hier betrachteten Zertifizierungsmodelle „GSHB Zertifizierung“ und „BS 7799-2 Zertifizierung“.
GSHB Zertifizierung:
Als GSHB Zertifizierung wird das (konkrete) Vorgehen zur Erlangung eines GSHB Zertifikats bezeichnet. Die GSHB Zertifizierung basiert auf einem Schema, das außerhalb des GSHBs dokumentiert ist.
BS 7799-2 Zertifizierung:
Als BS 7799-2 Zertifizierung wird das (konkrete) Vorgehen zur Erlangung eines BS 7799-2 Zertifikats bezeichnet. Die BS 7799-2 Zertifizierung basiert auf einem Schema, das weitestgehend im EA-7/03 dokumentiert ist.
3.3 Vergleich der Zertifizierungsschemata
Im Rahmen von Zertifizierungsverfahren lassen sich typischerweise drei Teilprozesse ausmachen:
�� die (eigentliche) Zertifizierung,
�� die Lizenzierung der Auditoren und
�� die Akkreditierung der Zertifizierungsstellen.
Ein erster Grobvergleich der beiden Zertifizierungsschemata nach GSHB und BS 7799-2 ergibt, dass nicht alle drei Prozesse in beiden Zertifizierungsschemen implementiert sind. Während der Zertifizierungsprozess naturgemäß in beiden Vorgehen dokumentiert ist, wird der Lizenzierungsprozess für Auditoren ausschließlich im Schema des BSI geschildert. Der Akkreditierungsprozess wird dagegen ausschließlich im Schema zur BS 7799-2 Zertifizierung dargestellt.
In den folgenden Abschnitten werden zunächst generische Anforderungen an die Auditierung und Zertifizierung entwickelt (Kapitel 3.3.1). Die so gewonnenen Kriterien bilden eine wesentliche Grundlage für die weitere Analyse, in deren Verlauf die folgenden Aspekte betrachtet werden:
�� der Auditierungs- und Zertifizierungsprozess (Kapitel 3.3.3),
�� der Lizenzierungsprozess (Kapitel 3.3.4),
�� der Akkreditierungsprozess (Kapitel 3.3.5) und
�� die grundlegende Infrastruktur (Kapitel 3.3.6).
19
3.3.1 Generische Anforderungen an Auditierung und Zertifizierung
An dieser Stelle wird zunächst ein generisches Zertifizierungsschema entwickelt, dass allgemeine Gesichtspunkte der Auditierung und Zertifizierung darstellt. Die Zertifizierung wird dabei als eine Option behandelt, mit der ein Audit formal – auf einer höheren Ebene – abgeschlossen werden kann.
Dieses generische Schema bildet eine wesentliche Grundlage für den in den Kapiteln 3.3.3 bis 3.3.5 durchgeführten detaillierten Vergleich der beiden Zertifizierungsschemen.
3.3.1.1 Input für ein Audit
Ein Audit wird hier abstrakt als ein Handlungs-Prozess verstanden, der mit unterschiedlichem Input gestartet werden kann. Dabei kann man grob zwei Aspekte unterscheiden. Auf der einen Seite benötigt dieses Audit Kriterien, nach denen es auditieren soll. Die andere Seite ist das Objekt, welches auditiert werden soll.
Anforderungskatalog: Der Anforderungskatalog ist unabhängig vom Audit-Prozess selber. Er stellt Anforderungen, deren Umsetzung in einem Audit überprüft werden kann:
Es muss genau definiert sein, auf was der Anforderungskatalog angewandt werden kann und auf was nicht.
Die Anforderungen müssen eindeutig sein und keinen Ermessens- oder Interpretationsspielraum für Auditoren ermöglichen. Dazu sind Kriterien anzugeben, nach denen ein Auditor zu entscheiden hat.
Die reale Umsetzung der Anforderungen
Die reale Umsetzung muss für ein Audit vollständig zugänglich sein und in allen Einzelheiten untersuchbar.
Dokumentation Zum Zeitpunkt des Auditbeginns müssen alle – laut Anforderungskatalog – erforderlichen Dokumente für die Auditoren zugänglich sein.
3.3.1.2 Output eines Audits
Der Output eines Audits ist zeitlich gestaffelt. Das eigentliche Resultat eines Audits ist der Bericht, der alle Ergebnisse des Audits darstellt. Als Option dieses Berichtes wird eine Entscheidung über „erfüllen“ oder „nicht erfüllen“ getroffen, die – bei positiver Entscheidung – in einem Zertifikat mündet.
Bericht des Audits Der Bericht des Audits muss alle Ergebnisse der Untersuchung vollständig darstellen, sodass allein auf der Grundlage dieses Berichts die Entscheidung über eine Zertifikatsvergabe getroffen werden kann.
Optionale Entscheidung über die Zertifikatsvergabe
Die Entscheidung muss allein auf der Grundlage des Berichtes durch unabhängige und nicht am Audit beteiligte Sachverständige getroffen werden.
Optionales Zertifikat Das Zertifikat selber muss Auskunft darüber geben, welche Anforderungen erfüllt werden und wie lange es gültig ist. Darüber hinaus ist der Untersuchungsgegenstand genau zu beschreiben und abzugrenzen um zu vermeiden, dass die Gültigkeit des Zertifikats auf nicht auditierte Bereich ausgedehnt wird.
20
3.3.1.3 Untersuchungsgegenstand des Audits
Der Untersuchungsgegenstand ist grundsätzlich mit dem zu Grunde liegenden Kriterienkatalog verknüpft und damit prinzipiell unabhängig vom Zertifizierungsschema. Gleichwohl ist, je nach ausgewähltem Katalog (GSHB oder BS 7799-2 z.B.), der Untersuchungsgegenstand festzulegen, abzugrenzen und zu beschreiben.
3.3.1.4 Die Phasen des Audits
Das Audit wird hier auf die reine Untersuchung des jeweiligen – zu definierenden – Objektes eingeschränkt. Die Zertifizierung des untersuchten Objektes wird hier als ein eigenständiger – und optionaler – Prozess separat behandelt.
Auditierungsgegenstand kennen lernen
In dieser Phase wird die gesamten Dokumentation analysiert, um sie gegen die Auditierungsanforderungen zu prüfen und den Auditierungsgegenstand kennen zu lernen und die praktische Prüfung vorzubereiten.
Auditierungsgegenstand prüfen
Der Auditierungsgegenstand wird gegen die Anforderungen geprüft. Basis für die Prüfung ist die Planung aus dem vorhergehenden Schritt.
Ergebnis dokumentieren Sämtliche Ergebnisse der Untersuchung sind zu dokumentieren:
Die Prüfung der vorgelegten Dokumentation anhand gegebener Kriterien, die Prüfung der Anforderungen am Untersuchungsgegenstand selber.
3.3.1.5 Die Phasen der Zertifizierung
Die Zertifizierung eines Objektes wird hier als Option definiert. Für den zeitlichen Ablauf der Prozesse sind zwei Varianten möglich:
�� Das Audit ist bereits durchgeführt worden oder
�� das Audit sowie die anschließende Zertifizierung sind geplant.
Im ersten Fall können die folgenden Phasen der Zertifizierung direkt hintereinander ablaufen. Im zweiten Fall sind nach der Bestätigung die Phasen des Audits durchzuführen.
Initiierung Die Initiierung hat zunächst die Funktion, eine Zertifizierungsinstanz darüber zu informieren, dass eine Organisation eine Zertifizierung anstrebt.
Folgende Informationen sollten enthalten sein:
- welches Zertifikat angestrebt wird,
- eine Beschreibung des zu zertifizierenden Gegenstandes und
- optional: eine Vorevaluierung des Untersuchungsgegenstandes.
Darüber hinaus ist die Bereitschaft zu dokumentieren, dass Auditoren – unter Wahrung der Vertraulichkeit – Zugang zu allen relevanten Informationen und Einrichtungen gemäß Anforderungskatalog erhalten.
Bestätigung Die Zertifizierungsinstanz bestätigt die Initiierung des Zertifizierungsvorgangs.
Audit Optionale Durchführung des Audits
21
Entscheidung über die Zertifikatsvergabe
Die Entscheidung über „erfüllen“ oder „nicht erfüllen“ der Anforderungen muss ausschließlich auf Basis der erstellen Dokumentation von unabhängigen, nicht am Audit beteiligter Personen getroffen werden.
Zertifikatsvergabe Bei positiver Entscheidung wird ein Zertifikat ausgestellt und an die auditierte Organisation übergeben.
3.3.1.6 Anforderungen der Akkreditierung
Die Akkreditierung ist prinzipiell selber ein Zertifizierungsverfahren, in dem die Erfüllung einer Reihe von Anforderungen glaubwürdig von einem unabhängigen Akkreditierer bestätigt wird.
Bestätigt werden sollte dabei:
�� Unabhängigkeit des Zertifizierers gegenüber Dritten Die Unabhängigkeit ist entscheidend für die Glaubwürdigkeit einer Zertifikatsvergabe.
�� Kompetenz des Zertifizierers bei der Entscheidung über die Vergabe von Zertifikaten Die Zertifizierungsstelle muss die durch die Auditoren gelieferten Informationen richtig einordnen und bewerten um eine korrekte Entscheidung zu treffen.
�� Kompetenz der Auditoren bei der Untersuchung des Zertifizierungsgegenstandes Die Auditoren müssen für die Überprüfung der Anforderungen die Gegebenheiten vor Ort sowie die zur Verfügung gestellte Dokumentation richtig einordnen und bewerten können.
�� Unabhängigkeit der Auditoren und der Entscheider über die Vergabe eines Zertifikates Die Auditoren liefern die notwendigen Informationen zur Entscheidung über die Vergabe eines Zertifikates. Um die Vergleichbarkeit sowie eine möglichst hohe Objektivität der Entscheidung sicher zu stellen, muss die Entscheidung über die Vergabe eines Zertifikates von unabhängigen Personen getroffen werden. Diese dürfen in die vorhergehende Phase der Prüfung nicht involviert gewesen sein.
3.3.1.7 Nachvollziehbarkeit der Ergebnisse
Die Nachvollziehbarkeit und Reproduzierbarkeit der Ergebnisse eines Audits sind ein entscheidender Faktor für die Glaubwürdigkeit eines Zertifikats. Um diese sicher zu stellen sind einige Bedingungen zu erfüllen.
Eindeutige Anforderungen Die für die Zertifizierung aufgestellten Anforderungen müssen eindeutig sein.
Idealerweise sind die Anforderungen so formuliert, dass nur „erfüllt“ oder „nicht erfüllt“ als Möglichkeiten existieren.
Jede weitere Möglichkeit wie „teilerfüllt“ oder „vernachlässigbar“ gibt Möglichkeiten zur Interpretation und stellt somit die Nachvollziehbarkeit einer Prüfung in Frage.
Eindeutiges Vorgehen bei der Prüfung
Um die Reproduzierbarkeit der Ergebnisse zu erhalten sollte bei der Prüfung keinerlei Möglichkeit zur Auswahl von zu prüfenden Kriterien existieren. Das Vorgehen muss eindeutig definiert sein.
Vollständige Prüfung Die aufgestellten Anforderungen müssen vollständig geprüft werden. Es sollten keine Ausnahmen zugelassen werden bzw. es sollte nicht auf der Basis von Stichproben auditiert werden.
22
Direkte Prüfung durch Auditoren
Die Anforderungen sind direkt durch Auditoren zu überprüfen – nicht durch Dritte oder mündliche Auskunft Dritter.
3.3.1.8 Was ist genau die Aussage eines Audits
Die Aussage des Audits ist wiederum mit dem zugrundeliegenden Kriterienkatalog verbunden. Die Aussage kann nur lauten, dass die Anforderungen des zugrunde gelegten Kriterienkatalogs für das im Zertifikat beschriebene Objekt vollständig umgesetzt sind. Diese Aussage sollte zeitlich eingeschränkt werden.
Weitergehende Folgerungen können aus der Zertifikatsaussage nicht abgeleitet werden.
3.3.1.9 Anforderungen der Rezertifizierung
Nach Ablauf des Gültigkeitszeitraums wird eine Rezertifizierung notwendig, wenn ein Zertifikat weiterhin gewünscht wird.
Um eine glaubwürdige und zuverlässige Entscheidung treffen zu können, ob die Anforderungen weiterhin erfüllt werden, ist eine vollständige Wiederholung der Auditierung notwendig. Dies stellt hinsichtlich der Glaubwürdigkeit eine Maximalanforderung dar!
Eine Abschwächung oder Reduzierung der Durchführung würde einen Verlust an Glaubwürdigkeit bedeuten, der nicht im Sinne der Zertifizierung steht.
Alternativ könnten diese Anforderungen zugunsten einer regelmäßigen Prüfung in kürzeren Abständen abgeschwächt werden. Diese Variante hätte den Vorteil, dass das zertifizierte Objekt häufiger kontrolliert wird und so eine gleichbleibende Qualität eher sichergestellt werden kann.
3.3.1.10 Gestaffelte Anforderungen und Zertifikatsklassen
Um den zeitlichen und finanziellen Aufwand für zertifizierungswillige Organisationen flexibel zu gestalten und damit individuellere Anforderungen eher erfüllen zu können, wäre die Einführung gestaffelter Zertifikatsklassen denkbar.
Das bedeutet, das es z.B. drei in den Anforderungen ansteigende Kataloge gäbe, bei deren Erfüllung jeweils ein Zertifikat mit einer qualitativ entsprechend angepassten Aussage (niedriger oder höher) erworben werden könnte.
3.3.2 Einzelne Interessen und deren Wechselwirkungen
Es gibt für den Erfolg und die allgemeine Verbreitung sowohl eines intern durchgeführten wie auch extern beauftragten Audits –vor allem aber der Zertifizierung eines Objektes im wesentlichen vier Faktoren bzw. Interessen, die miteinander wechselwirken:
Glaubwürdigkeit:
Die Glaubwürdigkeit ist das Maß, wie stark das Vertrauen einer Organisation in eine fremde Organisation dadurch steigt, dass diese zu einem definierten Thema (z.B. ISMS, GSHB oder auch Qualitätsmanagement) ein Zertifikat vorweisen kann.
23
Akzeptanz:
Die Akzeptanz ist ein Maß, wie stark eine Organisation glaubt, ihre Glaubwürdigkeit bei fremden Organisationen durch das Vorweisen von Zertifikaten zu verbessern.
Aufwand:
Der Aufwand ist ein Maß für den notwendigen Einsatz von Personal, Zeit und Geräten und damit letztlich finanzielle Ressourcen einer Organisation, um ein Zertifikat zu erhalten.
Wirtschaftlichkeit:
Die Wirtschaftlichkeit ist ein Maß für die Differenz zwischen dem zusätzlichen Gewinn durch ein erworbenes Zertifikat und dem dazu notwendigen Aufwand.
Die Abbildung 2 stellt prinzipiell die Wechselbeziehung der vier wesentlichen Größen Glaubwürdigkeit, Aufwand, Akzeptanz und Wirtschaftlichkeit graphisch dar. Die Art der Darstellung soll dabei ausschließlich Tendenzen der Zusammenhänge zweier Größen darstellen und keinen mathematisch exakten und formellen Zusammenhang herstellen.
Abbildung 2: Wechselbeziehungen zwischen Glaubwürdigkeit, Aufwand, Akzeptanz und
Wirtschaftlichkeit
24
Zu betonen ist, dass die hier dargestellten Zusammenhänge nur dann ihre Wechselwirkung entfalten, wenn das „System Zertifizierung“ sich im freien und ungezwungenen Raum der marktwirtschaftlichen Gesetzmäßigkeiten befindet.
Würden von außen Regelungen und Anforderungen per Richtlinie oder Gesetz aufoktroyiert, entfielen die dargestellten Zusammenhänge vollständig. Die Interessen „Akzeptanz“, „Glaubwürdigkeit“ und „Wirtschaftlichkeit“ hätten keinerlei Bedeutung mehr und der Aufwand wäre per Richtlinie oder Gesetz vorgegeben.
Glaubwürdigkeit gegen Akzeptanz:
Je höher die Glaubwürdigkeit eines Zertifikats bei Organisationen ist, desto höher ist prinzipiell die Akzeptanz bei anderen Organisationen, Aufwand zu betreiben um ein Zertifikat zu erhalten.
Aufwand gegen Glaubwürdigkeit:
Je höher der Aufwand ist, ein Zertifikat zu erhalten, desto höher ist die Glaubwürdigkeit, die damit erzielt werden kann.
Aufwand gegen Akzeptanz:
Je höher der Aufwand wird, ein Zertifikat zu erhalten, desto geringer wird prinzipiell die Akzeptanz, die dazu notwendigen Ressourcen aufzuwenden.
Wirtschaftlichkeit gegen Akzeptanz:
Je höher der Gewinn ist, der mit Hilfe eines Zertifikats erzielt werden kann, desto höher ist prinzipiell die Akzeptanz, eines zu erwerben.
Aufwand gegen Wirtschaftlichkeit:
Es ist ein gewisser Aufwand notwendig, um eine nennenswerte Wirtschaftlichkeit zu erzielen. Es wird aber erwartet, dass bei sehr hohem Aufwand die Wirtschaftlichkeit geringer wird – sogar negativ werden kann.
Wirtschaftlichkeit gegen Glaubwürdigkeit:
Zwischen diesen Größen besteht eine eher vage Beziehung. Es wird aber davon ausgegangen, dass bei wachsender Wirtschaftlichkeit eines Zertifikats dessen Glaubwürdigkeit eher steigt.
Es bleibt fest zu stellen, dass sich einzelne Anforderungen prinzipiell gegenseitig ausschließen – nicht alle der dargestellten Interessen lassen sich gleichzeitig maximieren.
Die Aufgabe besteht darin, den Maximalwert der Wirtschaftlichkeit zu finden, so dass im Verhältnis mit dem dazu notwendigen Aufwand die Glaubwürdigkeit und gleichzeitig die Akzeptanz einen möglichst hohen Wert erzielen.
3.3.3 Vergleich der Audit- und Zertifizierungsprozesse
Im Rahmen des Zertifizierungsprozesses wird der zu zertifizierende Gegenstand anhand der zu-grundegelegten Kriterien durch hierzu autorisiertes Personal geprüft. Genügt das Ergebnis dieser Prüfung den gestellten Anforderungen, wird ein Zertifikat durch eine entsprechend zugelassene Autorität vergeben.
25
Dokumentation
IT-Verbund
Antrag
Aud
it-R
epor
t
Che
cklis
te Prüfung
Prüfung
formal inhaltlich
Vor Ort
Prüfung Zertifikat
Entscheidung
Abbildung 3: Zertifizierungsprozess
Der Zertifizierungsprozess, lässt sich durch folgende Teilprozesse beschreiben:
�� Initiierung
�� Vorarbeiten – Realisierung der dokumentierten Anforderungen
�� Auditierung
�� Dokumentation der Auditierung
�� Prüfung der Auditierung auf Korrektheit
�� Entscheidung über Zertifikatvergabe
�� Veröffentlichung des Zertifikats
�� Rezertifizierung
Anhand dieser Teilprozesse werden die beiden Schemen zur GSHB und BS 7799-2 Zertifizierung miteinander verglichen.
3.3.3.1 Initiierung
Die Initiierung beschreibt die Schritte, die von Seiten der antragstellenden Organisation notwendig sind, um den gesamten Zertifizierungsprozess einzuleiten.
GSHB BS 7799-2
Allgemeine Informationen
“A detailed description of the assessment and certification/ registration procedure, the documents containing the requirements for certification/ registration and documents describing the rights and duties of certified/ registered organisations, shall be maintained up-to-date as specified in 2.1.7.1. and shall be provided to applicants and certified/ registered organisations.”
[EA-7/03, Seite 28, Kap. 3.1.1.1]
26
Antragstellung zur Erteilung eines Zertifikates
"Die Erteilung eines IT-Grundschutz-Zertifikats setzt einen förmlichen Antrag beim BSI voraus. Der Antrag muss mindestens folgende Informationen umfassen:
Vollständiger Name und Adresse der Institution sowie Benennung eines Ansprechpartners.
Beschreibung des Untersuchungsgegenstands, für den die Zertifizierung beantragt wird sowie einer kurzen Beschreibung des IT-Verbunds, der den Untersuchungsgegenstand unterstützt [...].
Die Angabe, ob es sich um eine erstmalige Zertifizierung oder um eine Re-Zertifizierung handelt.
Die Erklärung des Antragstellers, die Zertifizierungsanforderungen zu erfüllen und alle für die Zertifizierung erforderlichen Informationen zur Verfügung zu stellen.
Der Antrag muss von einem zeichnungsbefugten Mitarbeiter der Institution bzw. einem bevollmächtigten Vertreter des Antragstellers unterzeichnet sein, beispielsweise von der Geschäftsführung.
Der Antragsteller muss für den Untersuchungsgegenstand verfügungsberechtigt sein."
[Zertif. nach IT-GS, Seite 6, Kap. 2]
“The certification/ registration body shall require an official application form, duly completed, and signed by a duly authorised representative of the applicant, in which or attached to which:
a) the scope of the desired certification/ registration is defined;
b) the applicant agrees to comply with the requirements for certification/ registration and to supply any information needed for its evaluation.
[EA-7/03, Seite 29, Kap. 3.1.2.1]
At least the following information shall be provided by the applicant prior to the onsite assessment:
a) the general features of the applicant, such as corporate entity, name, addresses, legal status, and, where relevant, human and technical resources;
b) general information concerning the ISMS and the activities it covers;
c) a description of the systems to be certified/ registered and the standards or other normative documents applicable to each;
d) a copy of the ISMS manual and, where required, the associated documentation.
The information gathered from the application documentation and the review of the ISMS documentation may be used for the preparation of the on-site assessment and shall be treated with appropriate confidentiality.”
[EA-7/03, Seite 29, Kap. 3.1.2.2]
Abgrenzung des Untersuchungsgegenstands
„Definition des Untersuchungsgegenstands:
Auditierbar sind eine oder mehrere Fachaufgaben, Geschäftsprozesse oder Organisationseinheiten. Die Gesamtheit der informationstechnischen Komponenten, die den Untersuchungsgegenstand unterstützen, heißt IT-Verbund.“
[Prüfschema für Auditoren, Seite 6, Kap. 1]
”Organizations shall define the scope of their ISMS. It is the role of the certification body to confirm this scope in order to ensure that organizations do not exclude from the scope of their ISMS elements of their operation or business, which they should have properly be included under it.”
[PD 3001:2002, Seite 21, Kap. 4.2.1]
”Where multiple sites are covered by a single ISMS, a certificate may be issued by the certification body to cover all such sites provided that:
- all sites are operated under the same ISMS
27
control, which is centrally administered, managed and audited and subject to central management review
- all sites have been audited in accordance with the organization’s internal security review procedures.”
[PD 3001:2002, Seite 22, Kap. 4.2.2]
Planung und Beauftragung eines Auditors
Die für die Vergabe eines IT-Grundschutz-Zertifikats erforderliche Überprüfung des Untersuchungsgegenstands und die Dokumentation der Prüfergebnisse im Auditreport erfolgt durch einen IT-Grundschutz-Auditor. Hierzu erteilt der Antragsteller einen entsprechenden Auftrag an einen Auditor. Der Auditor muss beim BSI für IT-Grundschutz-Audits lizenziert sein. Das Audit erfolgt gemäß den im "Prüfschema für Auditoren" festgelegten Richtlinien.
Der Auditreport dokumentiert die Grundlagen, die Durchführung und die Ergebnisse des Audits. Auf der Basis des Auditreports wird über die Vergabe eines IT-Grundschutz-Zertifikats entschieden.
[Zertif. nach IT-GSHB, Seite 7, Kap. 3]
“Before proceeding with the assessment, the certification/ registration body shall conduct, and maintain records of, a review of the request for certification/ registration to ensure that
a) the requirements for certification/ registration are clearly defined, documented and understood;
b) any difference in understanding between the certification/ registration body and the applicant is resolved;
c) the certification/ registration body has the capability to perform the certification/ registration service with respect to the scope of the certification/ registration sought, the location of the applicant's operations and any special requirements such as the language used by the applicant.”
[EA-7/03, Seite 29, Kap. 3.2.1]
“The certification/ registration body shall prepare a plan for its assessment activities to allow for the necessary arrangements to be made.”
[EA-7/03, Seite 29, Kap. 3.2.2]
“The certification/ registration body shall nominate a qualified audit team to evaluate all material collected from the applicant and to conduct the audit on its behalf. Experts in the areas to be assessed may be attached to the certification/ registration body's team as advisers.”
[EA-7/03, Seite 29, Kap. 3.2.3]
“The organisation shall be informed of the names of the members of the audit team who will carry out the assessment, with sufficient notice to appeal against the appointment of any particular auditors or experts.”
[EA-7/03, Seite 30, Kap. 3.2.4]
28
“The audit team shall be formally appointed and provided with the appropriate working documents. The plan for and the date of the audit shall be agreed to with the organisation. The mandate given to the audit team shall be clearly defined and made known to the organisation, and shall require the audit team to examine the structure, policies and procedures of the organisation, and confirm that these meet all the requirements relevant to the scope of certification/ registration and that the procedures are implemented and are such as to give confidence in the ISMS of the organisation.”
[EA-7/03, Seite 30, Kap. 3.2.5]
Bewertung:
Allgemeine Informationen:
Im Schema zur GSHB Zertifizierung wird kein expliziter Hinweis darauf gegeben, dass der zu auditierenden Organisation die aktuellen Zertifizierungsdokumente zur Verfügung zu stellen sind.
Im Falle des BSIs ist dieser Hinweis nicht notwendig, da alle wesentlichen, beschreibenden Dokumente zur Zertifizierung frei verfügbar sind. Im Falle der BS 7799-2 Zertifizierung sind konkrete, beschreibende Dokumente, mit Ausnahme der übergeordneten Richtlinie EA 7/03, nur gegen eine Gebühr erhältlich. Somit ist dieser Hinweis bei der BS 7799-2 Zertifizierung an dieser Stelle wichtig und notwendig.
Antragstellung zur Erteilung eines Zertifikates:
Die Anforderungen bei der Antragstellung sind größtenteils identisch. Ein Unterschied besteht lediglich darin, dass bei der BS 7799-2 Zertifizierung schon bei der Antragstellung Kopien der relevanten Dokumentation zum Zertifizierungsobjekt der Zertifizierungsinstanz übergeben werden müssen. Hierdurch ergibt sich jedoch kein qualitativer Unterschied zwischen beiden Zertifizierungsschemata.
Abgrenzung des Untersuchungsgegenstands:
In beiden Fällen wird eine Abgrenzung des Untersuchungsgegenstandes bei Antragstellung verlangt. Hier werden keine wesentlichen Unterschiede gesehen.
Planung und Beauftragung eines Auditors:
Die Planung und Beauftragung des Auditors weicht bei den beiden dargestellten Verfahren voneinander ab. Bei der IT-Grundschutz-Zertifizierung muss der Antragsteller selbst einen vom BSI lizenzierten IT-Grundschutz-Auditor mit der Durchführung des Audits beauftragen, wohingegen bei einem Audit nach BS 7799-2 der Auditor durch die zertifizierende Instanz (einvernehmlich mit dem Antragsteller) beauftragt wird.
Dieser Unterschied beruht auf den unterschiedlichen, zugrundeliegenden Lizenzierungs- und Akkreditierungsmodellen. Hierzu erfolgt eine genauere Betrachtung in den Kapiteln 3.3.4 und 3.3.5.
3.3.3.2 Vorarbeiten – Realisierung der dokumentierten Anforderungen
Der Untersuchungsgegenstand selber ist in diesem Stadium einer Zertifizierung bereits festgelegt. Die Art des Untersuchungsgegenstandes ist allerdings in hohem Maße abhängig vom zugrundeliegenden Anforderungskatalog: GSHB oder BS 7799-2, d. h. auf der einen Seite ein IT-Verbund, IT-System oder IT-Anwendung und auf der anderen Seite ein Management-System.
29
GSHB BS 7799-2
Allgemeine Anforderungen
“The certification/ registration body shall require that an organisation:
a) always complies with the relevant provisions of the certification/ registration programme;
b) makes all necessary arrangements for the conduct of the assessment, including provision for examining documentation and the access to all areas, records (including internal audit reports and reports of independent reviews of information security) and personnel for the purposes of assessment, reassessment and resolution of complaints; […]
c) uses certification/ registration only to indicate that the ISMS is in conformity with specified standards or other normative documents, and does not use its certification/ registration to imply that a product or service is approved by the certification/ registration body; […]”
[EA-7/03, Seite 28, Kap. 3.1.1.2]
Bereitstellung der notwendigen Dokumentation
„Die folgenden Referenzdokumente, die von der Institution, die eine Selbsterklärung oder ein IT-Grundschutz-Zertifikat anstrebt, vorgelegt werden müssen, bilden die Grundlage für die Auditierung. Falls die Auditierung im Rahmen einer Re-Zertifizierung erfolgt, sollte in jedem Referenzdokument herausgestellt werden, welche Veränderungen sich gegenüber der vorhergehenden Zertifizierung ergeben haben. Die Referenzdokumente A.1 bis A.3 sind Bestandteil des Auditreports.“
[Prüfschema für Auditoren, Seite 6, Kap. 1]
IT-Strukturanalyse:
„In diesem Dokument wird der zu untersuchende IT-Verbund dargestellt.“
[Prüfschema für Auditoren, Seite 6, Kap. A.1]
Schutzbedarfsfeststellung:
„Dieses Dokument beschreibt die Ergebnisse der Schutzbedarfsfeststellung, wie sie in Kapitel 2.2 des IT-Grundschutzhandbuchs beschrieben sind.“
[Prüfschema für Auditoren, Seite 7, Kap. A.2]
At least the following information shall be provided by the applicant prior to the onsite assessment:
a) the general features of the applicant, such as corporate entity, name, addresses, legal status, and, where relevant, human and technical resources;
b) general information concerning the ISMS and the activities it covers;
c) a description of the systems to be certified/ registered and the standards or other normative documents applicable to each;
d) a copy of the ISMS manual and, where required, the associated documentation.
The information gathered from the application documentation and the review of the ISMS documentation may be used for the preparation of the on-site assessment and shall be treated with appropriate confidentiality.
[EA-7/03, Seite 29, Kap. 3.1.2.2]
30
Modellierung des IT-Verbunds:
„Die Modellierung des IT-Verbunds legt fest, welche Bausteine des IT-Grundschutzhandbuchs auf welche Zielobjekte im betrachteten IT-Verbund angewandt werden. Diese Zuordnung erfolgt individuell für den betrachteten IT-Verbund in Form einer Tabelle.“
[Prüfschema für Auditoren, Seite 7, Kap. A.3]
Ergebnis des Basis-Sicherheitschecks:
„Für jede Maßnahme, die in den für die Modellierung herangezogenen Bausteinen enthalten ist, ist der Umsetzungsstatus ("entbehrlich", "ja", "teilweise" oder "nein") vermerkt. Für jede Maßnahme mit Umsetzungsstatus "entbehrlich" muss außerdem eine Begründung aufgeführt sein.“
[Prüfschema für Auditoren, Seite 8, Kap. A.4]
In this stage of the audit, the certification/ registration body should obtain documentation on the design of the ISMS covering at least the organisation's analysis of information security related risks, the Statement of Applicability, and the core elements of the ISMS.
[EA-7/03, Seite 32, Kap. IS.9.1]
Bewertung:
Allgemeine Anforderungen:
Anforderungen hinsichtlich weitergehender Dokumentation sind ausschließlich bei der BS 7799-2 Zertifizierung in dieser Form explizit dokumentiert. Beim Vorgehen zur GSHB Zertifizierung fehlt ein derartiger Hinweis.
Die GSHB Zertifizierung basiert auf dem GSHB, so dass bei der Überprüfung einzelner, konkreter Maßnahmen vor Ort weitere, gesonderte Dokumente zu prüfen sind, die aber nicht dem Auditreport beizufügen sind.
Bereitstellung der notwendigen Dokumentation:
Die an dieser Stelle deutlich unterschiedlichen Anforderungen hinsichtlich der geforderten Dokumentation basieren auf den zugrundeliegenden Anforderungskatalogen – auf der einen Seite das GSHB und auf der anderen Seite der BS 7799-2. Somit besteht an dieser Stelle kein Unterschied in den Zertifizierungsschemata an sich.
3.3.3.3 Audit
Das Audit umfasst die gesamte Prüfung – sowohl des Zertifizierungsgegenstandes vor Ort – als auch der – gemäß Anforderungen – zugrundeliegenden Dokumentation anhand vorgegebener Kriterien.
GSHB BS 7799-2
Prüfung der vorgelegten Dokumentation
„Die vorgelegten Referenzdokumente werden gesichtet und [...] bewertet. Alle Bewertungen der Referenzdokumente werden in den Auditreport übernommen.“
[Prüfschema für Auditoren, Seite 9, Kap. 2]
„IT-Strukturanalyse:
1. Nachvollziehbarkeit der Abgrenzung des IT-
”The guidance in EA 7/03 states that the certification body should perform its audit of an organization’s ISMS in at least two stages at the organization’s site(s), unless it can justify an alternative approach, e.g. this might be the case with the adaptation of the certification process to the needs of very small organizations”
[PD 3001:2002, Seite 23, Kap. 4.2.3]
31
Verbunds [...]
2. Aktualität der Version des IT-Grundschutz-handbuches [...]
3. Identifizierbarkeit der Komponenten im bereinigten Netzplan [...]
4. Umfang der Liste der IT-Systeme [...]
5. Konformität der Liste der IT-Systeme mit dem Netzplan [...]
6. Umfang der Liste der IT-Anwendungen [...]“
[Prüfschema für Auditoren, Seite 9ff, Kap. 2.1]
„Schutzbedarfsfeststellung:
1. Plausibilität der Definition der Schutzbedarfskategorien [...]
2. Vollständigkeit der Schutzbedarfsfeststellung der IT-Anwendungen [...]
3. Vollständigkeit der Schutzbedarfsfeststellung der IT-Systeme [...]
4. Plausibilität der Schutzbedarfsfeststellung der IT-Systeme [...]
5. Kritikalität der Kommunikationsverbindungen [...]
6. Plausibilität der Schutzbedarfsfeststellung der IT-Räume“
[Prüfschema für Auditoren, Seite 12f, Kap. 2.2]
„Modellierung des IT-Verbunds:
1. Nachvollziehbarkeit der Modellierung [...]
2. Anwendbarkeit des IT-Grundschutzhandbuchs [...]
Der überwiegende Teil des IT-Verbunds muss direkt durch entsprechende Bausteine des IT-Grundschutzhandbuchs modelliert sein.
Der Schutzbedarf derjenigen Komponenten, die nicht direkt durch entsprechende Bausteine modelliert werden können, muss "niedrig bis mittel" oder "hoch" (nicht "sehr hoch") sein.
Ähnliche oder generische Bausteine, die für solche Komponenten ersatzweise herangezogen wurden, müssen korrekt angewandt sein. [...]
3. Korrektheit der Gruppenbildung [...]“
[Prüfschema für Auditoren, Seite 13f, Kap. 2.3]
“The audit team shall assess the ISMS of the organisation covered by the defined scope against all applicable certification/ registration requirements.“
[EA-7/03, Seite 30, Kap. 3.3]
“Audit Methodology:
A certification/ registration body should perform its audit of an organisation’s ISMS in at least two stages at the organisation’s site(s), unless it can justify an alternative approach. Adaptation of the certification/ registration process to the needs of very small organisations may provide justification in particular circumstances. For the purposes of this guidance, two stages are described as ‘audit (stage 1)’ and ‘audit (stage 2)’. The key objectives of each, together with the minimum coverage, are described below. […]
Audit (stage 1)
[…], the certification/ registration body should obtain documentation on the ISMS covering at least the organisation’s analysis of information security related risks, the Statement of Applicability, and the core elements of the ISMS.
The objectives of the audit (stage 1) are to provide a focus for planning the audit (stage 2) by gaining an understanding of the ISMS in the context of the organisation’s security policy and objectives, and, in particular, of the organisation’s state of preparedness for the audit.
The audit (stage 1) include, but should not be restricted to, the document review. […]
The results of the audit (stage 1) should be documented in a written report. […]
[EA-7/03, Seite 32f, Kap. IS.9]
32
„Ergebnis des Basis-Sicherheitschecks:
1. Konformität zur Modellierung
Die beim Basis-Sicherheitscheck verwendeten Bausteine des GSHBs müssen mit denen in der Modellierung übereinstimmen. [...]
2. Transparenz der Interviewpartner
Für jeden Baustein im Basis-Sicherheitscheck muss erkennbar sein, welche Personen zur Ermittlung des Umsetzungsstatus befragt worden sind und wer die Befragung durchgeführt hat. [...]
3. Umsetzungsgrad der IT-Grundschutz-Maßnahmen
Alle im Basis-Sicherheitscheck bearbeiteten Maßnahmen müssen folgende Kriterien erfüllen:
�� Die Basis-Sicherheitscheck bearbeiteten Maßnahmen müssen alle Maßnahmen umfassen, die das GSHB für den jeweiligen Baustein vorsieht. [...]
�� Konkretisierungen (d. h. Anpassungen von Maßnahmen) liegen außerhalb der Überprüfung. Die Prüfung muss anhand der Original-Maßnahmen aus dem IT-Grundschutzhandbuch erfolgen.
�� Für jede Maßnahme muss in der Erhebung der Umsetzungsstatus [...] vermerkt sein.
�� Für jede Maßnahme mit Umsetzungsstatus „entbehrlich“ ist eine plausible Begründung erforderlich. [...]
�� Je nach angestrebter Ausprägung der Qualifizierung bzw. Zertifizierung nach IT-Grundschutz muss sichergestellt sein, dass der Umsetzungsstatus der Maßnahmen ausreichend ist. Eine Maßnahme gilt dabei als umgesetzt, wenn sie entweder den Status "ja" oder den Status "entbehrlich" hat.“
[Prüfschema für Auditoren, Seite 15ff, Kap. 2.4]
Überprüfung der Realisierung vor Ort
Verifikation des Netzplans:
„Es muss sichergestellt sein, dass die im bereinigten Netzplan dargestellten Komponenten und deren Kommunikationsverbindungen der tatsächlichen Netzstruktur entsprechen und dass der bereinigte Netzplan auf dem aktuellen Stand ist. [...]
Der Auditor wählt hierzu Komponenten und
”The Stage 2 Audit is based on the findings given in the Stage 1 Audit report. The certification body produces an audit plan for the carrying out the Stage 2 Audit based on these findings. The Stage 2 Audit takes place at the site(s) of the organization where the ISMS is located.
The Stage 2 Audit should cover:
1) Confirmation that the organization is acting in 33
Kommunikationsverbindungen aus dem bereinigten Netzplan als Stichproben aus und überprüft vor Ort, ob sie sich in der gleichen Struktur im real existierenden Netz wiederfinden. Umgekehrt wählt der Auditor stichprobenartig reale Komponenten und Kommunikationsverbindungen aus den beteiligten Teilnetzen aus und prüft, ob sie dem betrachteten IT-Verbund zuzurechnen sind und ob sie sich im bereinigten Netzplan wiederfinden [...].“
[Prüfschema für Auditoren, Seite 18, Kap. 3.1]
Verifikation der Liste der IT-Systeme:
„Es muss sichergestellt sein, dass die in A.1 aufgeführten Eigenschaften der IT-Systeme mit den tatsächlichen Gegebenheiten übereinstimmen, beispielsweise das jeweils verwendete Betriebssystem und der Aufstellungsort. [...]
Der Auditor wählt hierzu aus der Liste der IT-Systeme zehn Stichproben aus und überzeugt sich jeweils am Gerät davon, dass die in der Liste der IT-Systeme aufgeführten Eigenschaften mit den tatsächlichen Eigenschaften übereinstimmen.“
[Prüfschema für Auditoren, Seite 18f, Kap. 3.2]
Verifikation des Basis-Sicherheitschecks:
„Beim Basis-Sicherheitscheck wird jeder Maßnahme, die in den für die Modellierung herangezogenen Bausteinen enthalten ist, für das jeweilige Zielobjekt der Umsetzungsstatus ("entbehrlich", "ja", "teilweise" oder "nein") zugeordnet. Die Ergebnisse liegen als Basis-Sicherheitscheck (A.4) vor. Es muss sichergestellt sein, dass die hier dokumentierten Ergebnisse mit dem tatsächlich vorhandenen IT-Sicherheitszustand des jeweiligen Zielobjekts übereinstimmen. [...]
1. Der Auditor überprüft vor Ort die Umsetzung aller Maßnahmen des Bausteins „IT-Sicherheitsmanagement“ für den IT-Verbund.
2. Zusätzlich zur Überprüfung des Management-Bausteines sind Stichproben aus den fünf Schichten "Übergeordnete Aspekte", "Infrastruktur", "IT-Systeme", "Netze" und "Anwendungen" zu wählen. Dabei ist pro Schicht jeweils eine Bausteinzuordnung zufällig zu wählen [...].
3. Danach bestimmt der Auditor weitere vier Bausteinzuordnungen nach eigenem Ermessen. Die Auswahl muss begründet werden.“
accordance with its own policies, objectives, and procedures;
2) Confirmation that the ISMS conforms with all the requirements of the BS 7799-2 standard and is achieving the organization’s policy objectives […];
Specifically the Stage 2 Audit should focus on how the organization is dealing with:
- Assessment of information security related risks and the resulting design of its ISMS;
�� The approach to risk assessment,
�� Identification of the risks
�� Assessment of the risks
�� Treatment of risks
�� Selection control objectives and controls for the treatment of risks
�� Prepare a Statement of Applicability
- Checking objectives and targets derived from this process;
- Performance monitoring, measuring, reporting and reviewing against the objectives and targets. […]
�� Monitor and review the ISMS
�� Management review of the ISMS
�� ISMS improvement
- Security and management reviews […]
�� Monitor and review the ISMS
�� Management review of the ISMS
- Management responsibility for the information security policy […]
�� Monitor and review the ISMS
�� Management responsibility
�� Management review of the ISMS
- Links between policy, the results of information security risk assessment, objectives and targets, responsibilities, programmes, procedures, performance data, and security reviews) […]”.
[PD 3001:2002, Seite 24f, Kap. 4.2.3.2]
34
[Prüfschema für Auditoren, Seite 19, Kap. 3.3]
Nachbesserungen / Korrekturen
„Sowohl bei der ersten Sichtung der Referenzdokumente als auch bei der ersten Inspektion vor Ort werden sich in vielen Fällen Mängel ergeben. Im Hinblick auf die Selbsterklärung bzw. Zertifikatsvergabe müssen diese Mängel sachgerecht behoben werden.
[...]
Bei Abweichungen im Basis-Sicherheitscheck wählt der Auditor zur Nachprüfung zusätzlich nach eigenem Ermessen drei weitere Bausteinzuordnungen als Stichproben aus [...].
[...]
Falls sich auch nach der ersten Nachbesserung noch Defizite ergeben, kann die Institution erneut nachbessern. Dabei wird wie bei der ersten Nachbesserung verfahren. Falls auch nach der zweiten Nachbesserung noch Defizite bestehen, muss die Auditierung vollständig wiederholt werden. Eine dritte Nachbesserung ist somit ausgeschlossen.“
[Prüfschema für Auditoren, Seite 22f, Kap. 4]
“The certification/ registration body shall invite the organisation to comment on the report and to describe the specific actions taken, or planned to be taken within a defined time, to remedy any nonconformity with the certification/ registration requirements identified during the assessment, and shall inform the organisation of the need for full or partial reassessment or whether a written declaration to be confirmed during surveillance will be considered adequate;
[EA-7/03, Seite 34, Kap. 3.4.1.d)]
Bewertung:
Prüfung der vorgelegten Dokumentation:
In beiden Fällen beginnt das Audit mit einer Sichtung der vorgelegten Dokumentation.
Bei der GSHB Zertifizierung werden die vorgelegten Dokumente inhaltlich nach vorgegebenen Kriterien bewertet. Derartige Kriterien werden für die BS 7799-2 Zertifizierung nicht angegeben und unterliegen damit offenbar den durch die Zertifizierungsstelle definierten Anforderungen. Die Prüfung der vorzulegenden Dokumentation erscheint im Falle der GSHB Zertifizierung an dieser Stelle transparenter und nachvollziehbarer.
Überprüfung vor Ort:
Bei der GSHB Zertifizierung wird die Umsetzung einzelner Anforderungen stichprobenartig – nach Maßgabe des Auditors – durchgeführt. Bei der BS 7799-2 Zertifizierung werden dagegen alle Anforderungen geprüft.
Umfang und Wertigkeit der Prüfungen lassen sich nur schwer vergleichen, da das IT-Grundschutzhandbuch sehr viel mehr Maßnahmen enthält als der britische Standard. Zusätzlich sind die Maßnahmenbeschreibungen des BSI oft wesentlich konkreter und gehen auf technische Details ein. Die Anzahl der zu prüfenden Maßnahmen ist daher in der Praxis bei der IT-Grundschutz-Zertifizierung sogar höher als bei BS 7799-2. Eine Komplettprüfung aller Maßnahmen bei der IT-Grundschutz-Zertifizierung wäre daher ein unvergleichlich höherer Aufwand.
Grundsätzliche Überlegungen zu einer Abwägung von Glaubwürdigkeit, Aufwand, Akzeptanz und Wirtschaftlichkeit der Zertifikate werden im Kapitel 3.3.2 diskutiert.
35
Nachbesserungen / Korrekturen:
Wenn Mängel festgestellt werden, so müssen diese in beiden Fällen vor Erteilung eines Zertifikats behoben und erneut geprüft werden. Bei der GSHB Zertifizierung werden zwei Versuche zur Nachbesserung eingeräumt. Bei Abweichungen im Basis-Sicherheitscheck wählt der Auditor zur Nachprüfung zusätzlich nach eigenem Ermessen drei weitere Bausteinzuordnungen aus. Schlagen diese zwei Versuche fehl, ist das komplette Audit zu wiederholen. Eine solche Begrenzung der Nachbesserungsversuche ist bei der BS 7799-2 Zertifizierung so nicht vorgesehen.
Die Limitierung der Nachbesserungen verbunden mit erweiterten Prüfungen erhöhen den Druck auf zu zertifizierende Organisationen, die geforderten Maßnahmen tatsächlich umgesetzt zu haben. Die Limitierung soll damit die prinzipielle Schwäche der stichprobenartigen Überprüfung gegenüber einer Vollprüfung kompensieren. Dies gelingt jedoch nicht bei der Glaubwürdigkeit gegenüber Dritten, denn hier ist ausschließlich die Aussage „stichprobenartig“ bzw. „vollständige“ Prüfung entscheidend.
3.3.3.4 Auditreport
Der Auditreport ist eine wesentliche Entscheidungsgrundlage für den Zertifizierer.
GSHB BS 7799-2
Auditreport
„Der Auditreport dokumentiert die Grundlagen, die Durchführung und die Ergebnisse der Auditierung. Der Auditreport ist vom Auditor und vom Antragsteller zu unterzeichnen.
Auf der Grundlage des Auditreports wird über die Vergabe eines IT-Grundschutz-Zertifikats entschieden. [...]
Gliederung [...]
Formale Aspekte des Auditreports [...]“
[Prüfschema für Auditoren, Seite 26ff, Kap. 7]
“The certification body is expected to adopt various reporting methods and procedures to convey to the organization the results of the audit. This include a written or oral reports provided during the audit meetings on the organizations premises as well formal reports at the end of the audit. These reports indicate the conformity of the organization’s ISMS to the BS 7799-2 requirements.
Reports given during the audit provide an opportunity for the organization to ask questions about the auditor’s findings and the basis for the findings. It is expected that the certification body will deliver reports to the organization in a timely manner as there may be nonconformities to be dealt with and discharged in order to comply with all of the certification requirements.
The organization is invited to comment on the audit reports and to describe the specific corrective actions it has taken, or it plans to take to remedy any nonconformity identified during the audit. The certification body will inform the organization if there is a need for full or partial reassessment or whether a written declaration to be confirmed during surveillance will be considered adequate to check whether the corrective actions have been cleared.”
[PD 3001:2002, Seite 21, Kap. 4.2.1]
“The certification/ registration body may adopt
36
reporting procedures that suit its needs but as a minimum these procedures shall ensure that:
- a meeting takes place between the audit team and the organisation’s management prior to leaving the premises at which the audit team provides a written or oral indication regarding the conformity of the organisation’s ISMS with the particular certification/ registration requirements[…];
- the audit team provides the certification/ registration body with a report of its findings as to the conformity of the organisation’s ISMS with all of the certification/ registration requirements;
- a report on the outcome of the assessment is promptly brought to the organisation’s attention by the certification/ registration body, identifying any nonconformity to be discharged in order to comply with all of the certification/ registration requirements;
[…]
The report shall contain as a minimum:
i) Date(s) of audit(s),
ii) The names of the person(s) responsible for the report,
iii) The identification of the entities audited,
iv) The assessed scope of certification/ registration or reference there to including reference to the standard or normative document applied,
v) Comments on the conformity of the organisation’s ISMS with the certification/ registration requirements with a clear statement of nonconformity and, where applicable, any useful comparison with the results of previous assessments or the organisation,
vi) An explanation of any differences from the information presented to the body at the closing meeting.“
[EA-7/03, Seite 34, Kap. 3.4]
Ergänzende Berichte des Audit-Teams
In order to provide a basis for the certification/ registration decision, the certification/ registration body will require clear reports, which provide sufficient information to make the decision.
1) Reports from the audit team to the certification/ registration body are required at various stages in the assessment process. In
37
combination with information held on file, these reports should at least contain:
�� an account of the audit including a summary of the document review,
�� an account of the assessment of the organisation's information security risk analysis,
�� total audit time used and detailed specification of time spent on document review, assessment of risk analysis, implementation audit, and audit reporting,
�� clarification of nonconformities,
�� audit enquiries which have been followed, rationale for their selection, and the methodology employed,
�� recommendation on certification/ registration by the audit team to the certification/ registration body;
2) A surveillance report should contain, in particular, information on clearing of nonconformities revealed previously. As a minimum, the reports arising from surveillance should build up to cover in totality the requirement of point a) above.
[EA-7/03, Seite 36, Kap. IS.12]
Votum des Auditors
„Grundlage für die Entscheidung über eine Selbsterklärung bzw. die Vergabe eines IT-Grundschutz-Zertifikats ist die Einschätzung des Auditors, ob der betrachtete Untersuchungsgegenstand die jeweiligen Anforderungen erfüllt.“
[Prüfschema für Auditoren, Seite 24, Kap. 5]
“The decision whether or not to certify/ register an organisation's ISMS shall be taken by the certification/ registration body on the basis of the information gathered during the certification/ registration process and any other relevant information. Those who make the certification/ registration decision shall not have participated in the audit.”
[EA-7/03, Seite 35, Kap. 3.5.1]
“The entity which takes the decision on granting certification should not normally overturn a negative recommendation of the audit team. If such a situation does arise, the certification/ registration body shall document and justify the basis for the decision to overturn the recommendation.”
[EA-7/03, Seite 35, Kap. IS.11]
38
Bewertung:
Auditreport:
Die GSHB Zertifizierung erzeugt genau einen Audit-Report, dem alle anderen wesentlichen Dokumente beigefügt werden. Der Bericht soll alle Schritte und Ergebnisse des Audits dokumentieren und bildet die alleinige Grundlage zur Entscheidung über die Vergabe eines Zertifikats. Dies schafft ein hohes Maß an Transparenz.
Auf der Seite der BS 7799-2 Zertifizierung wird nicht ein spezifischer Bericht hervorgehoben. Statt dessen wird eine intensive Kommunikation (schriftlich und mündlich) zwischen Audit-Team und Zertifizierungsinstanz gefordert, die an dieser Stelle die Grundlage zur Entscheidung über ein Zertifikat bildet. Eine mit der GSHB Zertifizierung vergleichbare Transparenz ist bei der BS 7799-2 Zertifizierung somit nicht gegeben.
Ergänzende Berichte des Audit-Teams:
An dieser Stelle listet das Schema zur BS 7799-2 Zertifizierung ergänzende Anforderungen der Berichterstattung an die Zertifizierungsinstanz auf. Insbesondere wird eine Empfehlung des Audit-Teams an die Zertifizierungsinstanz hervorgehoben.
An dieser Stelle wird das eingefordert, was bei der GSHB Zertifizierung bereits im Audit-Report gefordert wird.
Insgesamt wird auf diese Weise ein inhaltlich prinzipiell vergleichbares Reporting als Grundlage für eine Zertifikatsvergabe gefordert, wenngleich beim Schema zur BS 7799-2 Zertifizierung keine genauen Kriterien zur ergänzenden Dokumentation angegeben sind.
Votum des Auditors:
Bei der GSHB Zertifizierung trifft der Auditor die Entscheidungsempfehlung, der dann die Zertifizierungsinstanz, wenn keine schwerwiegenden Gründe dagegen sprechen, folgen sollte.
Bei der BS 7799-2 Zertifizierung entscheidet ebenfalls die zuständige Zertifizierungsinstanz auf der Grundlage der erhaltenen Informationen und einer optionalen Empfehlung der Auditoren über die Vergabe eines Zertifikats.
Somit bestehen hier vergleichbare Verfahren.
3.3.3.5 Prüfung der Korrektheit des Audits
Anhand des Auditreports wird die formale Korrektheit des Audits überprüft.
GSHB BS 7799-2
Prüfung des Auditreports
„Die Zertifizierungsstelle prüft, ob der Auditreport den formalen und inhaltlichen Anforderungen genügt. Die Überprüfung muss anhand der folgenden Checkliste erfolgen:“
[Zertif. nach IT-GSHB, Seite 8, Kap. 4]
39
Bewertung:
Prüfung des Auditreports:
Die Prüfung des Auditreports ist in dieser Form ausschließlich bei der GSHB Zertifizierung wesentlicher Bestandteil der Zertifizierung. Dies ist notwendig, da die zertifizierende Instanz ausschließlich den Auditreport erhält und auf dieser Basis eine Entscheidung fällen muss.
Für die BS 7799-2 Zertifizierung ist dies nicht notwendig, da hier nach außen eine Instanz operiert, die beide Funktionen, unabhängig voneinander, wahr nimmt. Es ist auch kein Dokument vorgeschrieben, dass eine entsprechend exponierte Stellung für die Entscheidungsfindung einnimmt, um separat geprüft werden zu müssen.
3.3.3.6 Entscheidung über Zertifikatsvergabe
Auf der Grundlage aller gesammelten Informationen wird über die Vergabe eines Zertifikats entschieden.
GSHB BS 7799-2
Entscheidung über die Zertifikatsvergabe
„Grundlage für die Entscheidung des BSI, ob für den betrachteten Untersuchungsgegenstand ein Zertifikat vergeben wird, ist der vorgelegte Auditreport, insbesondere das Gesamtvotum des Auditors.
Entscheidet das BSI, dass Teile des Auditreports noch unvollständig oder nicht nachvollziehbar dokumentiert sind, erhält der Auditor von der Zertifizierungsstelle einen Kommentar mit Nachforderungen zu den offenen Punkten. Diesen Nachforderungen muss der Auditor in einer vorgegebenen Frist durch Überarbeitung des Auditreports nachkommen. Der überarbeitete Auditreport muss anschließend erneut dem BSI zur Prüfung vorgelegt werden. Falls das BSI nach Sichtung des Auditreports zu einem vom Votum des Auditors abweichenden Ergebnis kommt, wird dies umfassend begründet und dem Antragsteller mitgeteilt.
Falls keine begründeten Zweifel bestehen, dass das Audit sorgfältig und ordnungsgemäß durchgeführt wurde, und falls keine formalen Mängel vorliegen, wird die Zertifizierungsentscheidung dem Votum des Auditors entsprechen. Sowohl die Sichtung des Auditreports als auch die Entscheidung über Zertifikatsvergabe dokumentiert das BSI nachvollziehbar in einem Zertifizierungsvermerk.
Das BSI behält sich vor, die Arbeit des Auditors zu überprüfen, indem sie den Auditor bei der Inspektion vor Ort begleitet, um die einheitlichen Umsetzung der Kriterien sicherzustellen.“
[Zertif. nach IT-GSHB, Seite 10, Kap. 5]
“The decision whether or not to certify/ register an organisation's ISMS shall be taken by the certification/ registration body on the basis of the information gathered during the certification/ registration process and any other relevant information. Those who make the certification/ registration decision shall not have participated in the audit.”
[EA-7/03, Seite 35, Kap. 3.5.1]
40
Ausstellung des Zertifikats
„Kommt das BSI zu einer positiven Zertifizierungsentscheidung, wird ein IT-Grundschutz-Zertifikat erteilt. Das Zertifikat enthält folgende Informationen:
Name und Adresse der Institution (bzw. des Antragstellers),
Name und Lizenznummer des Auditors,
ggf. Name und Adresse des Unternehmens, für das der Auditor tätig ist,
Name und Adresse der Zertifizierungsstelle,
kurze Darstellung des Untersuchungsgegenstands,
Version des IT-Grundschutzhandbuchs (Monat, Jahr), auf dessen Grundlage die IT-Grundschutz-Erhebung durchgeführt wurde,
Beginn der Gültigkeit des Zertifikats (Ausstellungsdatum) und
Ende der Gültigkeit des Zertifikats (2 Jahre nach Ausstellungsdatum).
Das Zertifikat trägt das Logo des IT-Grundschutz-Zertifikates und das Logo des BSI. Unterzeichnet wird das Zertifikat vom Präsidenten des BSI. [...]“
[Zertif. nach IT-GSHB, Seite 11, Kap. 6]
“The certification/ registration body shall provide to each of its organisations whose ISMS is certified/ registered, certification/ registration documents such as a letter or a certificate signed by an officer who has been assigned such responsibility. These documents shall identify for the organisation and each of its information systems covered by the certification/ registration:
- the name and address;
- the scope of the certification/ registration granted, including:
�� the ISMS standards and/or other normative documents to which ISMS are certified/ registered,
�� the organisation's activities with respect to the product, process or service categories;
- the effective date of certification/ registration, and the term for which the certification/ registration is valid;
- reference to the specific version of the statement of applicability;
- appropriate certification/ registration body, accreditation, and other applicable logos or marks.”
[EA-7/03, Seite 35, Kap. 3.5.3]
Bewertung:
Entscheidung über die Zertifikatsvergabe:
Bei der GSHB Zertifizierung wird die Entscheidung ausschließlich auf der Basis der im Audit-Report enthaltenen Informationen getroffen, während bei der BS 7799-2 Zertifizierung die Entscheidung auf der Basis einer deutlich umfangreicheren Information getroffen werden kann.
Die Fokussierung auf eine einzige Entscheidungsgrundlage vergrößert die Transparenz der Entscheidung. Es können auf diese Weise klare Kriterien zur Entscheidung angelegt werden. Die BS 7799-2 Zertifizierung ist an dieser Stelle deutlich unschärfer – allerdings auch flexibler in den Möglichkeiten der Handhabung.
Ausstellung des Zertifikats:
Bei den Inhalten der Zertifikate sind keine wesentlichen Unterschiede zu verzeichnen.
3.3.3.7 Veröffentlichung des Zertifikats
Nach der Vergabe eines Zertifikats besteht die Möglichkeit, dieses zu veröffentlichen bzw. die zertifizierte Organisation kann das erhaltene Zertifikat zu festgelegten Zwecken verwenden.
41
GSHB BS 7799-2
Veröffentlichung
„Auf Wunsch des Antragstellers veröffentlicht das BSI das erteilte Zertifikat. Das Zertifikat trägt das IT-Grundschutz-Logo. Der Antragsteller ist berechtigt, innerhalb der Gültigkeitsdauer des Zertifikats das Logo für seine Zwecke zu verwenden. Der Auditor ist berechtigt, in eigenen Informationsunterlagen die Logos der jeweiligen Zertifikate, für die er das Audit durchgeführt und den Auditreport erstellt hat zu nutzen.
Dem Logo sind folgende Informationen zu entnehmen:
der Gültigkeitszeitraum des Zertifikats und
eine eindeutige Nummer (Zertifizierungs-ID).
Wird das Logo online verwendet, ist es mit dem entsprechenden Server des BSI zu verlinken.
Eine Veröffentlichung der Zertifizierungsaussage durch Dritte erfolgt nur nach Zustimmung des Antragstellers.“
[Zertif. nach IT-GSHB, Seite 12, Kap. 7]
“The certification/ registration body shall exercise proper control over ownership, use and display of its ISMS certification/ registration mark and logos.
If the certification/ registration body confers the right to use a symbol or logo to indicate certification/ registration of an ISMS, the organisation may use the specified symbol or logo only as authorised in writing by the certification/ registration body.
This symbol or logo shall not be used on a product, or in a way that may be interpreted as denoting product conformity.
The certification/ registration body shall take suitable action to deal with incorrect references to the certification/ registration system or misleading use of certificates and logos found in advertisements, catalogues, etc.”
[EA-7/03, Seite 39, Kap. 3.7]
Verstöße gegen zertifizierte Eigenschaften
„[...] Falls dem BSI konkrete Sicherheitsvorfälle oder Unregelmäßigkeiten bei der Durchführung des Audits bekannt werden, die in Zusammenhang mit dem zertifizierten Untersuchungsgegenstand stehen, fordert das BSI den Antragsteller zur Klärung des Sachverhalts und ggf. zur Nachbesserung auf.
[...] Folgende Fragen sollten dabei berücksichtigt werden:
Ist die Gefährdung für das Sicherheitsniveau, auf das das IT-Grundschutzhandbuch ausgerichtet ist, relevant?
Gibt es Anhaltspunkte dafür, dass sich die Schwachstelle, auf die der Sicherheitsvorfall wahrscheinlich zurückzuführen ist, im zertifizierten IT-Verbund befindet?
Enthält das IT-Grundschutzhandbuch geeignete Standard-Sicherheitsmaßnahmen, die der Gefährdung entgegenwirken und bei korrekter Umsetzung den Sicherheitsvorfall wahrscheinlich verhindert hätten?
Sind diese Standard-Sicherheitsmaßnahmen für die Erlangung des Zertifikats relevant?
Falls eine oder mehrere dieser Fragen positiv
42
beantwortet werden, wird vom BSI eine Stellungnahme des Antragstellers angefordert. [...]
Das BSI prüft die Stellungnahme und fordert den Antragsteller auf, die Mängel zu beseitigen und räumt diesem hierzu eine angemessene Frist ein. Spätestens bei Ablauf der Frist berichtet der Antragsteller über die durchgeführten Nachbesserungen. Ergeben sich Hinweise, dass die Institution auch nach wiederholter Aufforderung nicht die notwendigen Nachbesserungen durchgeführt hat, kann das BSI eine Prüfung durch einen lizenzierten Auditor verlangen oder das Zertifikat zurückziehen. Die Entscheidung wird dem Antragsteller schriftlich mitgeteilt. Gleichzeitig wird das entsprechende Zertifikat aus der Liste der IT-Grundschutz-Zertifikate gestrichen.“
[Zertif. nach IT-GSHB, Seite 13, Kap. 8]
Bewertung:
Veröffentlichung:
Im Bereich der Veröffentlichung sind keine nennenswerten Differenzen zwischen den beiden Schemen feststellbar.
Verstöße gegen zertifizierte Eigenschaften:
Bei der Behandlung von Verstößen gegen zertifizierte Eigenschaften werden nur bei der GSHB Zertifizierung eindeutige Sanktionen beim Auftreten von Vorfällen beschrieben.
Die IT-GSHB Zertifizierung beschreibt sehr genau die Anforderungen hinsichtlich auftretender Sicherheitsprobleme im zertifizierten Objekt, während die BS 7799-2 Zertifizierung an dieser Stelle keine Anforderungen stellt.
Die Androhung von Sanktionen bei der GSHB Zertifizierung erscheint fragwürdig vor dem Hintergrund, dass das Audit zum Teil auf Stichproben beruht und somit Teile des Systems gar nicht betrachtet werden. Auch hier muss zwischen Glaubwürdigkeit, Aufwand, Akzeptanz und Wirtschaftlichkeit abgewogen werden.
3.3.3.8 Regelmäßige Wiederholung der Zertifizierung
Jedes Zertifikat weist üblicherweise eine begrenzte Gültigkeit aus. Nach Ablauf dieser Frist ist eine Wiederholung der Prüfungen notwendig, um weiterhin das gewünschte Zertifikat benutzten zu dürfen.
GSHB BS 7799-2
Überwachung und Wiederholung der Prüfung
„Die Gültigkeit von IT-Grundschutz-Zertifikaten ist auf 2 Jahre begrenzt. Nach Ablauf dieses Gültigkeitszeitraums ist eine Re- Zertifizierung des Untersuchungsgegenstands erforderlich. Bestandteil der Re-Zertifizierung ist eine erneute Auditierung um sicherzustellen,
- dass neue Bausteine, die im Rahmen der
“The certification/ registration body shall carry out periodic surveillance and reassessment at sufficiently close intervals to verify that its organisations whose ISMS are certified/ registered continue to comply with the certification/ registration requirements.”
[EA-7/03, Seite 37, Kap. 3.6.1]
43
regelmäßigen Aktualisierung des IT-Grundschutzhandbuchs hinzugekommen sind, in der Modellierung des IT-Verbunds korrekt berücksichtigt sind,
- dass neue oder aktualisierte Maßnahmen des IT-Grundschutzhandbuchs im vorliegenden IT-Verbund korrekt umgesetzt sind,
- dass die seit der vorhergehenden Zertifizierung unveränderten Komponenten des IT-Verbunds weiterhin die Anforderungen des IT-Grundschutz-Zertifikats erfüllen,
- dass durch den Wegfall von Komponenten, beispielsweise Paketfiltern, seit der vorhergehenden Zertifizierung die IT-Sicherheit des IT-Verbunds nicht beeinträchtigt wird,
- dass alle seit der vorhergehenden Zertifizierung neu hinzugekommenen Komponenten im IT-Verbund die Anforderungen des IT-Grundschutz-Zertifikats erfüllen und
- dass die IT-Sicherheit des IT-Verbunds durch Veränderungen in übergeordneten Aspekten, beispielsweise Änderungen der Organisationsstruktur, seit der vorhergehenden Zertifizierung nicht beeinträchtigt wird.“
[Prüfschema für Auditoren, Seite 25, Kap. 6]
“Surveillance and reassessment procedures shall be consistent with those concerning the assessment of the organisation's ISMS […].”
[EA-7/03, Seite 37, Kap. 3.6.2]
“The certification/ registration body shall require each organisation whose ISMS is certified/ registered to make available to the certification/ registration body, when requested, the records of all complaints and corrective action taken in accordance with the requirements of the ISMS standards or other normative documents.”
[EA-7/03, Seite 40, Kap. 3.8]
“The certification body is expected to carry out periodic surveillance audits on the organization’s ISMS. The frequency of these follow-up audits is the responsibility of the certification body but typically an organization might be visited for such an audit every six months. The purpose of these surveillance audits is to verify that the organization who’s ISMS has been certified continues to comply with the certification requirements and the BS 7799-2 standard.
Reassessment of the organization’s ISMS normally takes place every three years i.e. the maximum lifetime of a BS 7799 certificate in normally three years after which the ISMS needs to be re-certified. The purpose of this reassessment is to:
- Verify overall continuing conformity of the organization’s ISMS to the requirements of the BS 7799-2;
- Review of past implementation and continuing maintenance of the system over the period of certification including:
�� Checking that the ISMS has been properly implemented, maintained and improved in accordance with the requirements of BS 7799-2;
�� Reviewing the ISMS documents and the results of regular ISMS audits including internal audits and surveillance audits;
�� Checking the effective interaction between all elements of the ISMS;
�� Checking the overall effectiveness of the ISMS in its entirely taking account changes in the organisation’s business and
44
operations;
�� Verifying a demonstrated commitment to maintain the effectiveness of the ISMS.
[PD 3001:2002, Seite 26, Kap. 4.2.6]
“If, exceptionally, the reassessment period is extended beyond three years, the certification/ registration body should demonstrate that the effectiveness of the complete ISMS has been evaluated on a regular basis, and should have a surveillance frequency that compensates for this in order to maintain the same level of confidence.”
[EA-7/03, Seite 38, Kap. 3.6.7]
Bewertung:
Überwachung und Wiederholung der Prüfung
Beide Zertifizierungsmodelle begrenzen die Aussagekraft der Zertifikate auf einen definierten Zeitraum, was grundsätzlich als sinnvoll bewertet wird. Es werden hierbei unterschiedlich lange Zeiträume zugrundegelegt, was zunächst jedoch nicht als wesentlicher Unterschied zu bewerten ist. Das Zertifikat kann durch eine erneute Prüfung (Reassessment) jeweils um eine weitere Gültigkeitsperiode verlängert werden.
Das Schema zur BS 7799-2 Zertifizierung (PD 3001:2002) sieht darüber hinaus, in Übereinstimmung mit dem EA 7/03, vor, dass innerhalb des Gültigkeitszeitraums regelmäßige Kontrollen (Surveillance) durchzuführen sind.
Der EA 7/03 eröffnet die Möglichkeit einer Verlängerung des jeweiligen Gültigkeitszeitraums unter der Voraussetzung, dass die regelmäßigen Überprüfung entsprechend häufiger durchgeführt werden um eine vergleichbare Glaubwürdigkeit zu erzielen. Für das BS 7799-2 Zertifikat wird diese Möglichkeit im PD 3001:2002 nicht genutzt. Die Dokumentenreihe PD 3000 stellt eine britische Konkretisierung der allgemeinen, europäischen Richtlinie EA 7/03 dar.
Die regelmäßige Überprüfung eines zertifizierten Systems erhöht die Glaubwürdigkeit eines vergebenen Zertifikats deutlich.
Allerdings sind auch hier die Glaubwürdigkeit, Akzeptanz, Aufwand und Wirtschaftlichkeit der Zertifizierung und der regelmäßigen Kontrollen gegeneinander abzuwägen. Eine genauere Betrachtung dieser Aspekte erfolgt im Kapitel 3.3.6.2.
Beispiel:
Innerhalb eines zugrundegelegten 6-Jahres-Zeitraumes ergibt sich hinsichtlich der Häufigkeit der Überprüfungen (Reassessment und Surveillance) das folgende Bild:
�� EA 7/03:
Es muss mindestens zweimal, empfohlenermaßen sechsmal, ein Audit durchgeführt werden.
�� PD 3001:2002:
Es muss mindestens zweimal, empfohlenermaßen zwölfmal, ein Audit durchgeführt werden.
�� GSHB Zertifikat:
Es muss genau dreimal ein Audit durchgeführt werden.
45
3.3.3.9 Abschließende Bewertung des Zertifizierungsprozesses
Bei dem Vergleich der Zertifizierungsprozesse nach GSHB und BS 7799-2 wurden Unterschiede festgestellt, die sich wie folgt klassifizieren lassen:
Abweichende Zertifizierungsschemata:
�� Anforderungen bei der „Antragstellung auf die Erteilung eines Zertifikates“ (Kapitel 3.3.3.1)
�� Vorgehensweise bei der „Prüfung der vorgelegten Dokumentation“ (Kapitel 3.3.3.3)
�� Kriterien und Anforderungen bei der „Überprüfung der Realisierung vor Ort“ (Kapitel 3.3.3.3)
�� Kriterien bei den „Nachbesserungen / Korrekturen“ (Kapitel 3.3.3.3)
�� Anforderungen bei „Verstößen gegen zertifizierte Eigenschaften“ (Kapitel 3.3.3.7)
�� Kriterien für die „Überwachung und Wiederholung der Prüfung“ (Kapitel 3.3.3.8)
Abweichende Lizenzierungs- und Akkreditierungsmodelle:
�� Verfahren zur „Planung und Beauftragung eines Auditors“ (Kapitel 3.3.3.1)
�� Anforderungen an den oder die „Auditreport(s)“ (Kapitel 3.3.3.4)
�� Anforderungen hinsichtlich „Ergänzende Berichte des Audit-Teams“ (Kapitel 3.3.3.4)
�� Verfahren beim „Votum des Auditors“ (Kapitel 3.3.3.4)
�� Verfahren bei der „Prüfung des Auditreports“ (Kapitel 3.3.3.5)
�� Grundlagen bei der „Entscheidung über die Zertifikatsvergabe“ (Kapitel 3.3.3.6)
Unterschiedliche Anforderungskataloge:
�� Anforderungen hinsichtlich der „Bereitstellung der notwendigen Dokumentation“ (Kapitel 3.3.3.2)
Die hier dargestellten Unterschiede basieren somit zum größten Teil auf abweichenden Grundlagen im Zertifizierungsschema selbst oder im zugrundeliegenden Lizenzierungs- und Akkreditierungsmodell. Die Unterschiede auf Grund der unterschiedlichen Anforderungskataloge werden hier nicht weiter betrachtet, da diese nicht Gegenstand des Vergleichs sind.
Näher betrachtet werden sollen an dieser Stelle die Unterschiede, die auf abweichenden Zertifizierungsschemata beruhen. Die Unterschiede im Zusammenhang mit der Lizenzierung und Akkreditierung werden in den Kapiteln 3.3.4 und 3.3.5 näher betrachtet.
„Antragstellung zur Erteilung eines Zertifikates“ (Kapitel 3.3.3.1):
Der derzeitige zeitliche Versatz der Abgabe der zur Zertifizierung relevanten Dokumente wird als nicht wesentliche Differenz zwischen den beiden Zertifizierungsschemen betrachtet.
„Prüfung der vorgelegten Dokumentation“ (Kapitel 3.3.3.3):
Für die zur Zertifizierung vorzulegenden Dokumentation werden bei der GSHB Zertifizierung sehr genaue Kriterien zur Prüfung angegeben. Auf diese Weise wird eine hohe Qualität sowohl der Dokumentation als auch der Prüfung selber erreicht.
„Überprüfung der Realisierung vor Ort“ (Kapitel 3.3.3.3):
Bei der Überprüfung vor Ort wird bei der GSHB Zertifizierung zum einen Teil eine vollständige und zum anderen Teil eine stichprobenartige Prüfung der Anforderungen vorgeschrieben. Als Hauptgrund für die stichprobenartige Prüfung wird eine Reduzierung des Auditaufwands angesehen. Dies mag die Akzeptanz
46
des Prüfschemas erhöhen. Es reduziert aber auf der anderen Seite sehr wahrscheinlich die Glaubwürdigkeit des Zertifikats.
Es erscheint zweideutig, ein System für eine Zertifizierung „nur“ unvollständig zu prüfen. An dieser Stelle sollte eine Staffelung der Anforderung und damit letztlich des Aufwands überlegt werden. Die Konsequenz aus einer derartigen Staffelung wären unterschiedliche Klassifizierungen des Zertifikats.
„Nachbesserungen / Korrekturen“ (Kapitel 3.3.3.3):
Das Schema zur GSHB Zertifizierung erlaubt maximal zwei Nachbesserungen, wenn Mängel beim IT-Grundschutzkonzept oder bei dem umgesetzten Maßnahmen festgestellt werden. Bei BS 7799-2 gibt es keine Beschränkung der Nachbesserungsmöglichkeiten. Ob der "Zwang zur Ehrlichkeit" bei der IT-Grundschutz-Zertifizierung eine sorgfältigere Umsetzung von Maßnahmen zur Folge haben wird, bleibt abzuwarten.
„Verstöße gegen zertifizierte Eigenschaften“ (Kapitel 3.3.3.7):
Im Zertifizierungsschema wird explizit der Vorgang eines Sicherheitsvorfalls im zertifizierten Objekt – einschließlich möglicher Sanktionen – behandelt. Dies ist auf der einen Seite konsequent, da dem Zertifizierer grundsätzlich Möglichkeiten zur Verfügung stehen sollten, auf Verstöße gegen zertifizierte Eigenschaften reagieren zu können.
Auf der anderen Seite erscheinen Sanktionen allerdings hart, wenn man berücksichtigt, dass das GSHB Zertifizierungsschema in Teilen eine stichprobenartige Prüfung vorschreibt bzw. „Joker-Maßnahmen“ erlaubt.
„Überwachung und Wiederholung der Prüfung“ (Kapitel 3.3.3.8):
Das GSHB Zertifizierungsschema sieht einen Gültigkeitszeitraum von zwei Jahren vor. Innerhalb dieses Zeitraums sind keinerlei Überprüfungen vorgesehen. Angesichts der derzeitigen Entwicklungszyklen im IT-Bereich erscheint dieser Gültigkeitszeitraum lang, was somit die Glaubwürdigkeit der Zertifikate reduzieren kann.
Eine regelmäßige Kontrolle, wie in der BS 7799-2 Zertifizierung vorgesehen, könnte die Glaubwürdigkeit der Grundschutz-Zertifizierung steigern – allerdings auch den Aufwand vergrößern, zumal die Anzahl der Wiederholungsprüfungen bei der BS 7799-2 Zertifizierung im Ermessen des Zertifizierers liegt und nicht näher definiert ist.
3.3.4 Vergleich der Lizenzierungsprozesse
Durch den Lizenzierungsprozess wird einer Person (Auditor), wenn sie bestimmte Anforderungen erfüllt, zeitlich befristet die Erlaubnis erteilt, die im Rahmen des Zertifizierungsprozesses vorgesehenen Prüfungen (Audits) durchzuführen. Abbildung 4 zeigt schematisch den Ablauf eines Lizenzierungsprozesses.
3.3.4.1 Lizenzierung von IT-Grundschutz-Auditoren
Der Lizenzierungsprozess für Auditoren, wie in Abbildung 4 dargestellt, existiert ausschließlich im Schema zur GSHB Zertifizierung und wird dort durch folgendes Vorgehen beschrieben:
47
Fachkompetenz
Antrag
Schu
lung
und
Pr
üfun
g
Lizenz
Entscheidung
Projekte IT Erfahrung
formale Prüfung
Prüfung
Abbildung 4: Lizenzierungsprozess
�� Initiierung des Lizenzierungsverfahrens
„Das Lizenzierungsverfahren wird durch formalen Antrag eingeleitet, der nur durch natürliche Personen gestellt werden kann: „Das Lizenzierungsverfahren ist eine Personen-Lizenzierung, die ausschließlich natürlichen Personen vorbehalten ist.“ [Lizenzierungsschema für IT-GS-Auditoren, Kap. 2.1]
Zusätzlich ist der Nachweis der erforderlichen Fachkunde zu erbringen:
„Dem Antrag sind Fachkundenachweise beizulegen, aus denen sich ergibt, dass der Antragsteller über genügend Fachkenntnisse im Bereich IT-Sicherheit und praktische Erfahrung in der Anwendung des IT-Grundschutzhandbuchs besitzt.“ [Lizenzierungsschema für IT-GS-Auditoren, Kap. 2.2]
�� Prüfung der Voraussetzungen
Nach Eingang des Lizenzierungsantrags erfolgt eine erste formale Vorprüfung durch das BSI:
„Das BSI prüft, ob die vorgelegten Fachkundenachweise ausreichend sind. ... Kann die Fachkunde nicht ausreichend nachgewiesen werden, wird der Antragsteller nicht für das Lizenzierungsverfahren zugelassen.“ [Lizenzierungsschema für IT-GS-Auditoren, Seite 5, Kap. 2.3]
�� Zulassung zur Schulung und Prüfung
Die Lizenzierung setzt eine 1,5-tägige Schulung der angehenden Auditoren mit abschließender Prüfung voraus, die durch das BSI durchgeführt und ausgewertet wird.
Schulung, Schulungsinhalte und Prüfung werden im Lizenzierungsschema für IT-Grundschutz-Auditoren geregelt:
„Nach Zulassung zum Lizenzierungsverfahren wird der Antragsteller zur Teilnahme an einer obligatorischen Schulung eingeladen.“ [Lizenzierungsschema für IT-GS-Auditoren, Kap. 2.4]
„Unmittelbar im Anschluss an die 1,5-tätige Schulung findet eine 60-minütige Prüfung über die Anwendungsweise und Inhalte des IT-Grundschutzhandbuchs und insbesondere über das Prüfschema für IT-Grundschutz-Audits statt. ... Die Auswertung erfolgt durch das BSI.“ [Lizenzierungsschema für IT-GS-Auditoren, Seite 6, Kap. 2.5]
48
�� Erteilung der Lizenz
Die Lizenz als IT-Grundschutz-Auditor wird nach erfolgreicher Prüfung durch das BSI erteilt und setzt den Abschluss eines Lizenzierungsvertrags mit dem BSI voraus. Rechte und Pflichten des Auditors, die sich aus dem Vertrag ergeben, sind wie folgt definiert:
„Der Lizenznehmer verpflichtet sich, dass er bei der Durchführung von IT-Grundschutz-Audits die Vorgaben des BSI, insbesondere die im Prüfschema für Auditoren festgelegte Vorgehensweise, zu beachten und diese einzuhalten. Darüber hinaus erklärt er, die Vertraulichkeit der ihm in den Audits zur Kenntnis gelangten Informationen zu wahren sowie keine Audits durchzuführen, die die Unabhängigkeit der Auditergebnisse gefährden könnten.“ [Lizenzierungsschema für IT-GS-Auditoren, Seite 6, Kap. 2.6]
Die Lizenzerteilung wird durch Ausstellen einer entsprechenden Urkunde durch das BSI bestätigt und abgeschlossen:
„Die Lizenzurkunde bestätigt, dass der Lizenznehmer für die Dauer der Gültigkeit befugt ist, IT-Grundschutz-Audits für die Erlangung von IT-Grundschutz-Zertifizierung durchzuführen. Er darf außerdem IT-Grundschutz-Selbsterklärungen (Einstiegsstufe oder Aufbaustufe) durch ein Testat bestätigen.“ [Lizenzierungsschema für IT-GS-Auditoren, Kap. 2.7]
Über die Erteilung der Lizenz hinaus werden folgende weitere Rahmenbedingungen geregelt:
�� Erfahrungsaustausch
„Das BSI lädt jährlich zu einem Auditoren Treffen zwecks Erfahrungsaustausch zwischen den lizenzierten IT-Grundschutz-Auditoren ein. Die Teilnahme an mindestens 3 Terminen im Gültigkeitszeitraum von 5 Jahren ist Pflicht.“ [Lizenzierungsschema für IT-GS-Auditoren, Kap. 2.8]
�� Lizenzverlängerung
„Falls der Auditor im Zeitraum der Gültigkeit seiner Lizenz dem BSI mindestens drei Audit-Berichte gemäß Prüfschema für IT-Grundschutz-Audits vorgelegt hat und in ausreichendem Maße am Erfahrungsaustausch teilgenommen hat, wird die Lizenz nach Ablauf der Gültigkeit verlängert. Erfüllt der Auditor diese Voraussetzung nicht, muss eine neue Lizenzierung beantragt werden.“ [Lizenzierungsschema für IT-GS-Auditoren, Kap. 2.9]
�� Entzug erteilter Lizenzen
„Eine vom BSI erteilte Lizenz kann entzogen werden, wenn: - nach Feststellung des BSI schwerwiegend gegen das Prüfschema für Auditoren oder - gegen die vereinbarte Vertraulichkeit der Ergebnisse verstößt wurde oder - das Vertrauensverhältnis zwischen BSI und Auditor nachhaltig gestört ist oder - festgestellt wird, dass der vorgelegte Lizenzierungsantrag oder Fachkundenachweise unrichtig
waren oder Inkorrektheiten enthalten oder - der Auditor mehrfach am Erfahrungsaustausch nicht teilnimmt.“ [Lizenzierungsschema für IT-GS-Auditoren, Kap. 2.10]
3.3.4.2 Lizenzierung im Zertifizierungsprozess nach BS 7799-2
Bei der Zertifizierung nach BS 7799-2 wird die Lizenzierung von Auditoren nicht beschrieben. Stattdessen wird dort lediglich der Akkreditierungsprozess betrachtet, innerhalb dessen Anforderungen an mögliche Auditoren definiert sind.
49
3.3.5 Vergleich der Akkreditierungsprozesse
Durch eine Akkreditierung wird einer Institution die Erlaubnis erteilt, Zertifizierungen vorzunehmen bzw. über die Vergabe von Zertifikaten zu entscheiden. Die folgende Abbildung zeigt schematisch den Ablauf eines Akkreditierungsverfahrens.
Antrag
Vertrag
Begutachtung
Übe
rwac
hung
sver
fahr
en
Begutachtungs-verfahren
Akkreditierung Antrags-verfahren
Begutachtungs-bericht
Zulassung
Erteilung
Abbildung 5 Akkreditierungsprozess
3.3.5.1 Akkreditierung von BS 7799-2-Zertifizierungsstellen
Die Zertifizierung nach BS 7799-2 setzt eine Akkreditierung der Zertifizierungsstelle nach den in der Euro-Norm EN 45000 definierten Anforderungen voraus. Die Infrastruktur dazu besteht aus nationalen Akkreditierungsstellen, die wiederum von einem europäischen Dachverband „European co-operation for Accreditation“ anerkannt sein müssen.
Abbildung 6: Akkreditierung einzelner Organisationen im europäischen Umfeld
50
Die in Deutschland tätigen Akkreditierungsstellen (es bestehen mehrere nationale Akkreditierungsstellen mit jeweils abgegrenztem Zuständigkeitsbereich) sind im Deutschen Akkreditierungsrat (DAR) zusammengeschlossen, einem Dachverband, zu dessen Aufgaben die „Koordinierung der in Deutschland erfolgenden Tätigkeiten auf dem Gebiet Akkreditierung und Anerkennung von Prüflaboratorien, Kalibrierlaboratorien, Zertifizierungs- und Überwachungsstellen“ gehört. Hierdurch soll sichergestellt werden, dass bei der Akkreditierung nach gleichen Kriterien verfahren wird.
Alle Organisationen, die in Deutschland BS 7799-2-Zertifikate ausstellen wollen, müssen hierzu die Berechtigung in Form der Akkreditierung durch die zuständige nationale Akkreditierungsstelle einholen.
Die europäische Akkreditierungsstruktur ist in Abbildung 6 skizziert.
Die Anforderungen an Zertifizierungsstellen, im Rahmen einer Akkreditierung, sind in den „EA Guidelines for the Accreditation of bodies operating certification/ registration of Information Security Management Systems“ (EA-7/03) der „European co-operation for Accreditation“ geregelt. Wesentliche Punkte hieraus sind nachfolgend aufgeführt:
�� Allgemeine Anforderungen an die Zertifizierungsstelle:
- freier Zugang zu den Zertifizierungsdienstleistungen für alle Antragsteller, ohne übermäßige finanziellen oder andere Hürden:
“The certification/ registration body shall make its services accessible to all applicants. There shall not be undue financial or others conditions.” [EA-7/03, Kap. 2.1.1.2]
- Transparenz und Nachvollziehbarkeit der Zertifizierungsentscheidung sowie Verteilung der Entscheidungsgewalt auf voneinander unabhängig agierende Personen:
“The structure of the certification/ registration body shall be such as to give confidence in its certification/ registrations. In particular, the certification/ registration body shall
��ensure that each decision on certification/ registration is taken by a person or persons different from those who carried out the assessment;
��employ a sufficient number of personnel having the necessary education, training, technical knowledge and experience for performing certification/ registration functions relating to the type, range and volume of work performed, under a responsible senior executive;” [EA-7/03, Kap. 2.1.2]
- Akkreditierung kann nur juristischen Personen gewährt werden
“Accreditation shall only be granted to a body which is a legal entity.” [EA-7/03, Kap. G.2.1.10]
- Auch behördliche Organisationen können als Zertifizierungsinstanz akkreditiert werden
„certification/ registration bodies that are part of government, or are government departments, will be deemed to be legal entities on the basis of their governmental status.
- die Akkreditierung verlangt den Nachweis der Unparteilichkeit und Unabhängigkeit der Zertifizierungsstelle.
Impartiality and independence of the certification/ registration body should be assured at three levels:
��Strategic and policy,
��Decisions on certification/ registration/ registrations;
��Auditing.” [EA-7/03, Kap. G.2.1.12]
- die Unabhängigkeit der Zertifizierungsinstanz bei der Zertifizierungsentscheidung muss gewahrt und auch so dargestellt werden
„Consultancy by a related body and certification/ registration should never be marked together and nothing should be stated in marketing material or presentation, written or oral, to give the impression that the two activities are linked.“ [EA-7/03, Seite 13, Kap. G.2.1.24]
51
“Nothing should be said by a certification/ registration body that would suggest that certification/registration would be simpler, easier or less expensive if any specified consultancy or training services were used.” [EA-7/03, Kap. G.2.1.25]
“Certification/ registration bodies shall demonstrate how they manage their certification/ registration business and any other activities so as to eliminate actual conflict of interest and minimise any identified risk to impartiality.” [EA-7/03, Kap. G.2.1.28]
- Die Qualität der Zertifizierungsdienstleistung ist durch eine Policy zu definieren und deren Einhaltung durch Qualitätsmanagement sicherzustellen.
“The management of the certification/ registration body with executive responsibility for quality shall define and document its policy for quality, including objectives for quality ad its commitment to quality. The management shall ensure that this policy is understood, implemented and maintained at all levels of the certification/ registration body.” [EA-7/03, Kap. 2.1.4.1]
“The certification/ registration body shall operate a quality system in accordance with the relevant elements of this publication and appropriate to the type, range and volume of work performed.” [EA-7/03, Kap. 2.1.4.2]
“The quality system shall be documented in a quality manual and associated quality procedures.” [EA-7/03, Kap. 2.1.4.3]
“The certification/ registration body shall conduct periodic internal audits covering all procedures in a planned and systematic manner, to verify that the quality system is implemented and is effective.” [EA-7/03, Kap. 2.1.6.1]
�� Personelle Anforderungen an die Zertifizierungsstelle:
- Qualifikation und Erfahrung des Personals der Zertifizierungsstelle müssen nachweisbar und abrufbar sein.
“Information on the relevant qualification, training and experience of each member of the personnel involved in the certification/ registration process, shall be maintained by the certification/ registration body. Records of training and experience shall be kept up-to-date.” [EA-7/03, Seite 20, Kap. 2.2.1.2]
- Minimalanforderungen an die Fachkompetenz der in den Zertifizierungsprozess involvierten Personen sind von der jeweiligen Zertifizierungsstelle festzulegen. Auditoren müssen dabei die in den ISO-Dokumenten ISO 10011-1 und ISO 10011-2 definierten Mindestkriterien erfüllen.
“In order to ensure that assessments are carried out effectively and uniformly, the minimum relevant criteria for competence shall be defined by the certification/ registration body.” [EA-7/03, Seite 22, Kap. 2.2.2.1]
“Auditors shall meet the requirements of the appropriate international documentation. For the assessment of an ISMS, relevant guidelines for auditing are found in ISO 10011-1 and relevant criteria for auditors in ISO 10011-2.” [EA-7/03, Kap. 2.2.2.2]
“Persons employed by certification/ registration bodies for performing audits of ISMS by themselves should comply with the following criteria, based on ISO 10011-2. When persons are employed to perform audits of ISMS, these attributes may be divided between the team members.
��Education at university level;
��At least four years full time practical workplace experience in information technology, of which at least two years in a role or function relating to information security;
��Have successfully followed a five day training on the subject of auditing and audit management;
��The candidate should have gained experience in the entire process of assessing information security. This experience should have been gained by participation in a minimum of four assessments for a total of at least 20 days, including review of documentation and risk analysis, implementation assessment and audit reporting;
��All relevant experience should be reasonably current” [sowie weitere Kriterien; EA-7/03, Kap. 2.2.2.3]
52
“When selecting the audit team to be appointed for a specific assessment the certification/ registration body shall ensure that the skills brought the each assignment are appropriate.” [EA-7/03, Seite 24, Kap. 2.2.3.2]
- Audits dürfen nicht durch Personen durchgeführt werden, die in den vergangenen 2 Jahren in Beziehung zum Audit-Gegenstand standen; sei es durch Beschäftigung oder Dienstleistungsverhältnis mit der zu auditierenden Organisation oder deren Geschäftspartner.
“People who have provided consultancy, including those acting in a managerial capacity, should not be employed to conduct an audit as part of the certification/ registration process if they have been involved in any consultancy activities towards the organisation in question, (or any company related to that organisation), within the last two years.” [EA-7/03, Kap. G.2.1.29]
- An Fachexperten, die in den Zertifizierungsprozess involviert sind, werden geringere Anforderungen gestellt.
“Technical experts are not required to comply with criteria for auditors covered in ISO 10011-2. Guidance on their personal attributes may be obtained from ISO 10011-2:1991, clause 7.” [EA-7/03, Seite 22, Kap. 2.2.2.3]
Die genannten Kriterien wurden nur auszugsweise wiedergegeben. Es wird jedoch sichtbar, dass bei der Auswahl und Zulassung von Zertifizierungsstellen wesentliche Kriterien die Unabhängigkeit der Zertifizierungsstelle sowie die Qualifizierung des für das Audit vorgegebenen Personals beschreiben.
Ablauf der Akkreditierung
In Deutschland erfolgt die Akkreditierung auf Basis eines vom Deutschen Akkreditierungsrat (DAR) empfohlenen Akkreditierungsverfahrens. Es ist zu beachten, dass hierdurch nicht die Durchführung der Zertifizierung selbst geregelt wird. Dies ist im Detail den Zertifizierungsstellen überlassen. DAR und Akkreditierungsstellen legen jedoch die Anforderungen an die Zertifizierung im Rahmen der EN 45000 fest.
Das vom DAR empfohlene Akkreditierungsverfahren beinhaltet folgende Verfahrensschritte, wozu die nachfolgend genannten Verfahrensschritte maßgeblich sind (Auszüge aus dem Handbuch des DAR):
�� Antrag auf Akkreditierung
„Der Antrag auf Akkreditierung ist bei der zuständigen Akkreditierungsstelle für den gesetzlich geregelten oder nicht geregelten Bereich zu stellen.“
In Folge des Antrags wird ein Akkreditierungsvertrag zwischen Zertifizierungsstelle und Akkreditierungsstelle abgeschlossen.
�� Begutachtung
Zu Beginn der Begutachtung erfolgt die Auswahl und Beauftragung der Gutachter, einvernehmlich mit dem Antragsteller. Es erfolgt eine Prüfung der Antragsunterlagen sowie eine Prüfung vor Ort, wobei sowohl die Konformität mit der EN 45000-Reihe als auch die fachliche Kompetenz der Akkreditierungsstelle begutachtet werden. Für die einzelnen Bereiche existieren Normen, die unter fortlaufender Numerierung EN 45001, EN 45002, ... erstellt wurden und unter dem Namen EN 45000-Reihe referenziert werden.
„Die Begutachtung erfolgt unter Anwendung der allgemeinen Kriterien zum Begutachten von Prüflaboratorien (DIN EN 45 003) und speziellen technischen Kriterien der Akkreditierungsstelle. Eine Begutachtertätigkeit setzt die Erfüllung bestimmter Anforderungen durch diesen Personenkreis voraus. Die Bestellung von Fachbegutachtern liegt in der Kompetenz der Akkreditierungsstellen. Der Antragsteller hat bei der Benennung von Begutachtern ein Einspruchsrecht.“
53
�� Entscheidung über die Akkreditierung
„Der Beschluss über die Akkreditierung wird im zuständigen Ausschuss der Akkreditierungsstelle (bei gemeinsamer Akkreditierung im zuständigen Ausschuss der beteiligten Akkreditierungsstellen) bzw. von der zuständigen Landes- oder Bundesbehörde gefasst.
Basis der Akkreditierung sind die in der Akkreditierungsstelle vorliegenden Verfahrensunterlagen:
- Antragsunterlagen
- Akkreditierungsvertrag zwischen Akkreditierungsstelle und Antragsteller
- Begutachtungsunterlagen
- Begutachtungsberichte (Einzel- und Abschlußberichte)
- Überwachungsberichte
- Berichte über Verlängerung, Erweiterung, Aussetzung und Beendigung der Akkreditierung
- sonstige Korrespondenz zum Akkreditierungsverfahren.
Die Akkreditierung endet bei Wegfall der vertraglich vereinbarten Voraussetzungen.
Erteilte Akkreditierungen werden von der Akkreditierungsstelle veröffentlicht und der DAR-Geschäftsstelle mitgeteilt.“
�� DAR-Akkreditierungsurkunde
„Die Bestätigung über eine Akkreditierung erfolgt in Form einer einheitlichen Akkreditierungsurkunde des Deutschen Akkreditierungsrates, ausgestellt von der betreffenden Akkreditierungsstelle.“
Der Akkreditierungsstatus besitzt zeitlich begrenzte Gültigkeit und muss daher in regelmäßigen Abständen durch eine erneute Akkreditierung verlängert werden. Die Regelung von Einzelheiten hierzu wird jedoch den Akkreditierungsstellen selbst überlassen: „Die Verfahren und Zeitintervalle zur Überwachung akkreditierter Stellen sowie die Verlängerung der Akkreditierung regeln die Akkreditierungsstellen.“ [Handbuch des DAR]
3.3.5.2 Akkreditierung von IT-Grundschutz-Zertifizierungsstellen
Die Akkreditierung von Zertifizierungsstellen für die GSHB Zertifizierung ist derzeit nicht geregelt. Das BSI ist (implizit) die derzeit einzige Zertifizierungsstelle für IT-Grundschutz-Zertifikate und nimmt damit gleichzeitig die Rolle einer Zertifizierungs-, Lizenzierungs- und Akkreditierungsinstanz für IT-Grundschutz-Zertifikate wahr.
3.3.6 Vergleich der zugrundeliegenden Infrastruktur
3.3.6.1 Analyse der beteiligten Instanzen
Die in den Kapiteln 3.3.3 bis 3.3.5 verglichenen Zertifizierungs-, Lizenzierungs- und Akkreditierungsprozesse setzen insgesamt eine gewisse Infrastruktur voraus. Diese wird in der Abbildung 7 schematisch dargestellt.
54
Antragsteller
Auditor
Zertifizierer
Akkreditierer akkreditiert
zertifiziert
prüft
berichtet
BS 7799-2 Zertifizierung
IT-GSHB Zertifizierung
zertifiziert
lizenziert
Lizenzierer
Abbildung 7: Zugrundeliegende Infrastrukturen.
Die in Abbildung 7 gezeigte Infrastrukturen bestehen aus einer Reihe unterschiedlicher Instanzen innerhalb der Schemata:
�� Der Antragsteller: dieser möchte ein Zertifikat bekommen,
�� Ein Auditor: dieser prüft die Umsetzung der Anforderungen und dokumentiert das Ergebnis,
�� Ein Zertifizierer: dieser erhält das Ergebnis des Audits und entscheidet über die Vergabe des Zertifikats,
�� Ein Lizenzierer: dieser berechtigt Auditoren, ein für die Zertifizierung anerkanntes Audit durchführen zu dürfen.
�� Ein Akkreditierer: dieser erteilt einer Organisation nach vorgegebenen Kriterien die Erlaubnis, Audits nach vorgegebenen Kriterien durchführen zu dürfen sowie basierend auf einem derartigen Audit Zertifikate ausstellen zu dürfen.
Die dargestellten Instanzen „Antragsteller“, „Auditor“, „Zertifizierer“ und „Akkreditierer“ können im BS 7799-2 Zertifizierungsschema eindeutig zugeordnet werden und sind in ihrer Gesamtheit deckungsgleich mit der auf europäischer Ebene durch die „European co-operation for accreditation“ allgemein beschriebenen Infrastruktur zur Akkreditierung und Zertifizierung.
Im GSHB Zertifizierungsschema finden sich ebenfalls die Instanzen „Antragsteller“, „Auditor“ und „Zertifizierer“. Statt des „Akkreditierers“ wird allerdings die Instanz des „Lizenzierers“ beschrieben. Die Infrastruktur weicht somit von der durch die „European co-operation for accreditation“ allgemein beschriebenen Infrastruktur ab.
Gleichwohl ist die durch das BSI dargestellte Infrastruktur für sich genommen schlüssig.
3.3.6.2 Abhängigkeiten zwischen den beteiligten Instanzen
Betrachtet werden an dieser Stelle die im vorigen Kapitel dargestellten Instanzen „Antragsteller“, „Auditor“, „Zertifizierer“, „Lizenzierer“ und „Akkreditierer“.
Im einzelnen werden die folgenden Abhängigkeiten festgestellt:
55
GSHB Zertifizierung:
�� Der Auditor ist abhängig
- vom Antragsteller – er zahlt dem Auditor ein Honorar – möglicherweise ein Erfolgshonorar.
- vom Lizenzierer – dieser vergibt die Erlaubnis an Auditoren, Zertifizierungs-Audits durchführen zu dürfen.
�� Der Antragsteller ist abhängig
- vom Auditor – er erstellt den maßgeblichen Audit-Report.
- vom Zertifizierer – dieser vergibt das beantragte Zertifikat.
�� Der Zertifizierer ist unabhängig.
�� Der Lizenzierer ist unabhängig.
BS 7799-2 Zertifizierung:
�� Der Auditor ist
- per organisatorischer Regelung unabhängig vom Zertifizierer, aber Teil der akkreditierten Organisation. (Die Zertifizierungsstelle ist dafür verantwortlich, dass sie geeignete Auditoren auswählt. Das sie dafür entsprechende Auswahl-Programme hat, wird während des Akkreditierungsverfahrens begutachtet. So gesehen „lizensiert“ die Zertifizierungsstelle den Auditor.)
- prinzipiell unabhängig vom Antragsteller – er ist Teil (Angestellter) der akkreditierten Organisation
�� Der Antragsteller ist abhängig von der akkreditierten Organisation – dort wird über die Zertifikatsvergabe entschieden.
�� Die akkreditierte Organisation ist abhängig vom Antragsteller – sie bekommt ein Honorar – möglicherweise ein Erfolgshonorar.
�� Der Akkreditierer ist unabhängig.
Die GSHB Zertifizierung weist auf den ersten Blick eine deutlich höhere Unabhängigkeit der Zertifikatsentscheidung auf – insbesondere da die Grundlage der Entscheidung (der Audit-Report) eindeutig festgelegt ist. Anfechtbar wird die Unabhängigkeit allerdings dadurch, dass für den Zertifizierer keinerlei Möglichkeit vorgesehen ist, den Inhalt der Entscheidungsgrundlage zu validieren. Insbesondere vor dem Hintergrund, dass der Ersteller der Entscheidungsgrundlage selber von der zu zertifizierenden Organisation abhängig ist.
Die BS 7799-2 Zertifizierung weist dagegen eher offensichtliche Abhängigkeiten auf. Die akkreditierte Organisation ist mehr oder minder direkt wirtschaftlich vom Antragsteller abhängig.
Somit tragen letztlich beide Zertifizierungsschemata Abhängigkeiten in sich, die nur durch einen gesteigerten Aufwand reduziert werden könnten. Damit bewegt man sich wiederum zwischen den Größen Glaubwürdigkeit, Aufwand, Akzeptanz und Wirtschaftlichkeit, die im Kapitel 3.3.2 näher diskutiert wurden.
56
3.4 Gesamtbetrachtung, Empfehlung & Handlungsbedarf
3.4.1 Bewertung Audit & Zertifizierung
Eine erste Bewertung der Audit- und Zertifizierungsprozesse wurde bereits im Kapitel 3.3.3.9 durchgeführt.
An dieser Stelle sollen die wesentlichen Vor- und Nachteile der beiden Zertifizierungsschemen noch einmal zusammen gefasst herausgearbeitet werden. Sie werden dabei neutral – ohne Einschränkung auf bestimmte Interessen oder fokussiert auf bestimmte Instanzen – dargestellt
Vorteile der GSHB Zertifizierung:
1. Die detaillierte Prüfung der erforderlichen Dokumentation nach vorgegebenen Kriterien erzeugt eine hohe Transparenz und Qualität der Prüfung.
↑ Glaubwürdigkeit ↑
2. Der Aufwand des Audits vor Ort wird durch die zum Teil stichprobenartige Prüfung begrenzt und damit besser kalkulierbar für potentielle Antragsteller.
↑ Akzeptanz ↑
3. Durch eine Begrenzung der Nachbesserungen wird ein konkreter Druck auf Antragsteller ausgeübt, mögliche Mängel zu beseitigen.
↑ Akzeptanz ↑
4. Durch die Androhung von Sanktionen bei Verstößen gegen zertifizierte Eigenschaften wird Druck auf zertifizierte Organisationen ausgeübt, die zertifizierten Eigenschaften aufrecht zu erhalten und zu pflegen.
↑ Glaubwürdigkeit ↑
5. Zugunsten eines reduzierten Aufwandes erfolgt keine regelmäßige Überwachung eines zertifizierten Systems innerhalb des Gültigkeitszeitraumes.
↑ Akzeptanz ↑
Nachteile der GSHB Zertifizierung:
1. Der Auditor hat in den Prüfbereichen, in denen Stichprobenprüfungen zugelassen sind, bei der Auswahl der Stichproben einen weitreichenden Ermessensspielraum.
↓ Glaubwürdigkeit ↓
2. Die Realisierung vor Ort wird zugunsten eines geringeren Aufwandes zum Teil nur stichprobenartig durchgeführt. Außerdem erlaubt das Prüfschema sogenannte Joker-Maßnahmen. Obwohl der Antragsteller natürlich dazu verpflichtet ist, alle Anforderungen umgesetzt zu haben, besteht hier prinzipiell ein Qualitätsverlust der Zertifikatsaussage.
↓ Glaubwürdigkeit ↓
3. Die Einschränkungen bei den Nachbesserungen wirken streng und autoritär. Die Randbedingungen für Nachbesserungen erwecken einen ungünstigen Eindruck von Pädagogik und Strafe.
↓ Akzeptanz ↓
4. Innerhalb des Gültigkeitszeitraumes des Zertifikats sind keine regelmäßigen Kontrollen vorgesehen. Ein Zeitraum von zwei Jahren ist angesichts der sich mit hoher Geschwindigkeit entwickelnden
57
Informationstechnologie, verbunden mit dem Druck, Geschäftsprozesse flexibel zu gestalten, sehr lang.
↓ Glaubwürdigkeit ↓
Vorteile der BS 7799-2 Zertifizierung:
1. Ein Audit sollte planvoll durchgeführt werden. Insofern ist ein Hinweis auf den Einsatz der Dokumentation zur Planung wichtig. Die Durchführung des Audits wird damit transparent und gut kalkulierbar.
↑ Glaubwürdigkeit ↑
2. Bei der Auditierung vor Ort werden alle Kriterien geprüft. Die Qualität der Zertifizierung wird so deutlich erhöht.
↑ Glaubwürdigkeit ↑
3. Während des Gültigkeitszeitraumes des Zertifikats werden regelmäßige Kontrollen durchgeführt. Damit wird eine gleichbleibende Qualität der zertifizierten Eigenschaften sicher gestellt.
↑ Glaubwürdigkeit ↑
Nachteile der BS 7799-2 Zertifizierung:
1. Es werden keine Kriterien zur Bewertung der vorzulegenden Dokumentation angegeben. Es bleibt offen, ob und wie die Dokumentation geprüft werden soll. Die Prüfung bleibt somit diffus und unklar.
↓ Glaubwürdigkeit ↓
2. Die Auditierung vor Ort muss alle Kriterien überprüfen. Damit ist zwar der Umfang der Prüfungen kalkulierbar, der Aufwand steigt allerdings stark an bei großen zu zertifizierenden Systemen.
↓ Akzeptanz ↓
3. Die zu überprüfenden Controls sind nur sehr oberflächlich beschrieben, so dass sowohl bei der Umsetzung als auch bei der Kontrolle ein sehr weiter Spielraum besteht.
↓ Glaubwürdigkeit ↓
4. Audits werden durch keinerlei zeitlicher Einschränkungen hinsichtlich Nachbesserungen begrenzt. Hier bestehen Risiken bezüglich sehr langer Audit-Zeiträume und damit verbundenem großen Aufwand für Antragsteller.
↓ Akzeptanz, Glaubwürdigkeit ↓
5. Sanktionen bei Verstößen gegen zertifizierte Eigenschaften sind nicht beschrieben oder vorgesehen. Damit wird auf diesem Weg kein Druck auf Organisationen aufgebaut, die zertifizierten Eigenschaften aufrecht zu erhalten.
↓ Glaubwürdigkeit ↓
6. Es werden "regelmäßige" Prüfungen der zertifizierten Systeme durchgeführt. Der Aufwand ist nicht sicher zu kalkulieren, da die Anzahl der Wiederholungsprüfungen im Ermessen des Zertifizierers liegt.
↓ Akzeptanz ↓
58
Zusammenfassung
Die neutrale Darstellung der wesentlichen Vor- und Nachteile macht deutlich, dass viele Sachverhalte je nach Blickwinkel oder Interessen als Vor- oder als Nachteil gewertet werden können bzw. verstanden werden.
�� Hohe Akzeptanz bedeutet tendenziell geringen Aufwand und dies bedeutet weniger Glaubwürdigkeit.
�� Hohe Glaubwürdigkeit bedeutet hohen Aufwand, was tendenziell geringere Akzeptanz bedeutet.
3.4.2 Bewertung Lizenzierung & Akkreditierung
Bei der Untersuchung der vorgefundenen Dokumentation zur Infrastruktur beim IT-Grundschutz-Zertifikat sowie beim BS 7799-2-Zertifikat fiel auf, dass der Fokus der Regelungen auf unterschiedlichen Teilprozessen liegt.
Die Beschreibung der Infrastruktur zur GSHB Zertifizierung regelt ausschließlich den Lizenzierungsprozess (für die Lizensierung der Auditoren, siehe Kapitel 3.3.4.1) ohne dass auf einen Akkreditierungsprozess eingegangen wird.
Hinsichtlich der Zertifizierung nach BS 7799-2 dagegen ist primär der Akkreditierungsprozess für die Zulassung der Zertifizierungsinstanz geregelt, wogegen der Lizenzierungsprozess nicht beschrieben wird. Es werden lediglich Anforderungen für Auditoren beschrieben, die vergleichbar sind mit denen des Lizenzierungsprozesses der GSHB Zertifizierung. Die konkrete Ausgestaltung wird jedoch der Zertifizierungsinstanz überlassen.
Nach derzeitiger Bewertung sind die dargestellten Infrastrukturen voneinander unabhängig. Keine der beiden beinhaltet die jeweils andere, jedoch soll hier auch darauf eingegangen werden, ob und in wie weit hier Berührungspunkte möglich wären.
Für die Beantwortung der Frage, ob und wie beide Infrastrukturen miteinander kompatibel sind, sollen zunächst Vor- und Nachteile der beiden Infrastrukturen betrachtet werden.
3.4.2.1 Vor- und Nachteile beider Infrastrukturen
GSHB-Zertifizierung
In der derzeitigen Infrastruktur zur GSHB Zertifizierung tritt das BSI in einer Mehrfachrolle auf, ohne dies explizit zu machen. (Hinweis: Mit BSI ist in diesem Abschnitt das Bundesamt für Sicherheit in der Informationstechnik gemeint.)
�� Das BSI tritt als Zertifizierer auf, indem es über die Zertifikatserteilung entscheidet.
�� Das BSI tritt als Lizenzierer auf, indem es über die Zulassung von IT-Grundschutz-Auditoren entscheidet.
�� Das BSI tritt darüber hinaus als Akkreditierer auf, indem es die eigene Organisation zum Zertifizierer erklärt. Dieser Akkreditierungsprozess – vor allem die Akkreditierung weiterer Zertifizierer – ist, im Gegensatz zur BS 7799-2-Zertifizierung, nicht explizit geregelt.
Diese Mehrfachfunktion hat aus Sicht des BSI die folgenden Vorteile:
�� Das BSI behält weitestgehend die Kontrolle über den gesamten Zertifizierungsprozess und dessen zukünftige Entwicklung, da der Zertifizierungsprozess und die notwendigen Instanzen in keine übergeordnete Infrastruktur eingebunden sind.
59
�� Das BSI behält die Kontrolle über die Zulassung (Lizenzierung) der Auditoren, bzw. ggf. die Entziehung der Lizenz, da zwischen Auditoren und BSI ein entsprechender Lizenzvertrag geschlossen wird.
�� Das BSI behält die Kontrolle über die Zulassung (Akkreditierung) von weiteren Zertifizierungsinstanzen. Derzeit gibt es jedoch keine weiteren Zertifizierungsinstanzen außer dem BSI.
Hiermit verbunden sind folgende Nachteile:
�� Die mehrfache Rollenbelegung durch das BSI erschwert eine Abbildung auf die Zertifizierungsinfrastruktur, in die die BS 7799-2 Zertifizierung eingebettet ist.
�� Der nicht explizit geregelte Akkreditierungsprozess verschleiert die Transparenz hinsichtlich möglicher Interessensüberschneidungen zwischen den einzelnen Rollen, da mit der fehlenden Regelung auch keine Kriterien für die Akkreditierung bestehen.
�� Es besteht keine Anbindung an die Akkreditierungsinfrastruktur der „European Co-operation for Accreditation“. Das BSI ist zwar (im Zusammenhang mit der Produktzertifizierung nach Common Criteria) im Deutschen Akkreditierungsrat (DAR) als Akkreditierer verzeichnet, jedoch wird diese Infrastruktur nicht analog für die IT-Grundschutz-Zertifizierung genutzt.
Darüber hinaus kann aufgrund der Rollenüberschneidung nicht geklärt werden, in welcher Rolle die Lizenzierung der IT-Grundschutz-Auditoren vorgenommen wird. Hieraus könnten sich wichtige Rückschlüsse bezüglich der Stellung des Auditors gegenüber den anderen Instanzen ergeben.
�� Wäre der Auditor durch das „BSI in der Rolle des Zertifizierers“ lizenziert, ließe sich eine direkte Zuordnung von Auditoren zu einer (oder mehreren) Zertifizierungsstellen ableiten, d.h. die Zertifizierungsstelle „kontrolliert“ den Auditor, da sie die Regeln für die Bestimmung von Auditoren festlegt. Hierdurch würde die Entwicklung unterschiedlicher „Prüfkulturen“, je nach Zertifizierer, begünstigt, da die Auditoren ausschließlich „ihrer“ Zertifizierungsstelle rechenschaftspflichtig sind. Außerdem würde ein 4-Augen-Prinzip (Gewaltenteilung zwischen Auditor und Zertifizierungsinstanz) vorgetäuscht, das in Wirklichkeit nicht gegeben wäre.
�� Wäre dagegen der Auditor durch das „BSI in der Rolle des Akkreditierers“ lizenziert, so würde sich hierdurch eine Entkopplung von Auditor und Zertifizierer ergeben. Dies böte die Möglichkeit einer zentralen „Qualitätssicherung“ für Auditoren, unabhängig von einer parallel hierzu möglichen Qualitätssicherung für Zertifizierer.
Leider wird aus der vorliegenden Dokumentation nicht deutlich, zu welchem der betreffenden Modelle die IT-Grundschutz-Zertifizierung zuzuordnen ist.
BS 7799-2-Zertifizierung
Die Infrastruktur zur BS 7799-2 Zertifizierung sieht eine strikte Trennung in Akkreditierer, Zertifizierer und Auditor vor.
Zertifizierer werden durch entsprechend zugelassene Instanzen (Akkreditierer) nach vorgegebenen Anforderungen akkreditiert. Die so zugelassenen Instanzen nehmen allerdings sowohl die Funktion des Zertifizierers als auch die des Auditors war. Diese Funktionen müssen aber laut Anforderung (EA 7/03) durch unterschiedliche Personen wahrgenommen werden.
Ein wesentlicher Vorteile dieser Zertifizierungsinfrastruktur besteht in der Transparenz der beiden Prozesse Akkreditierung und Zertifizierung, die insbesondere durch die folgenden Aspekte unterstützt wird:
�� strikte Rollentrennung von Akkreditierer, Zertifizierer und Auditor,
�� detaillierte Regelung des Akkreditierungsprozesses,
60
�� Festlegung der Anforderungen an die Auswahl der Auditoren und
�� Festlegung der Anforderungen an die Zertifizierung.
Ein Nachteil dieser Zertifizierungsinfrastruktur ist durch die organisatorische Zusammengehörigkeit der Auditoren und Zertifizierern innerhalb einer akkreditierten Instanz gegeben. Diese Instanz erhält dadurch Kontrolle über Auditoren und Zertifizierer, indem sie die Regeln für deren Bestimmung festlegt und auf diese Weise selber auswählt. Getrieben durch Marktgegebenheiten kann hierdurch die Entwicklung unterschiedlicher „Prüf- oder Zertifizierkulturen“, je nach Instanz, begünstigt werden, da die Auditoren und Zertifizierer ausschließlich „ihrer“ akkreditierten Instanz rechenschaftspflichtig sind.
Das durch die Aufteilung in zwei Rollen vorgegebene 4-Augen-Prinzip zwischen Auditor (der das Audit durchführt und den Auditbericht erstellt) und Zertifizierer (der die eigentliche Entscheidung trifft), wird hierdurch letztlich fragwürdig, da Auditor und Zertifizierer lediglich per organisatorischer Maßnahmen unabhängig sind.
3.4.2.2 Kompatibilität beider Zertifizierungsinfrastrukturen
IT-Grundschutz-Zertifizierung in Bezug zur BS 7799-2-Zertifizierung
Die IT-Grundschutz-Zertifizierung passt in der derzeitigen Form nicht mit der Zertifizierung nach BS 7799-2 zusammen, da je nach Interpretation
�� eine unterschiedliche Rollenteilung erfolgt, nämlich kein Akkreditierungsprozess im Gegensatz zu BS 7799-2 stattfindet, bzw.
�� eine Rollenvermischung bei der IT-Grundschutz-Zertifizierungsinfrastruktur stattfindet, nämlich das BSI gleichzeitig die Rollen des Akkreditierers, Zertifizierers und Lizenzierers einnimmt.
Zudem ist unklar, welcher Instanz der Lizenzierungsprozess für IT-Grundschutz-Auditoren zugeordnet ist.
Um eine Kompatibilität mit der Zertifizierungsinfrastruktur nach BS 7799-2 herzustellen, sollten folgende Schritte unternommen werden:
�� Explizite Trennung der Rolle des Akkreditierers von der des Zertifizierers und Festlegung von Akkreditierungsrichtlinien für IT-Grundschutz-Zertifizierungseinrichtungen. Um die Rollentrennung transparent zu machen, sollte das BSI dann im Rahmen einer öffentlich verfügbaren Zertifizierung nur noch in einer von beiden Rollen auftreten. Wenn sich behördenintern der Bedarf ergibt, trotzdem beide Rollen auszuüben, so sollte die Unabhängigkeit zwischen den betreffenden Abteilung sichergestellt werden.
�� Anbindung an die Akkreditierungsprozesse, wie sie durch die „European co-operation for accreditation“ dargestellt werden, d.h. Akkreditierung der GSHB-Zertifizierer durch einen (im DAR vertretenen) Akkreditierer. Da das BSI bereits in anderer Situation (Common Criteria) im DAR als Akkreditierer auftritt, sollte es diese Rolle dann auch bei der IT-Grundschutz-Zertifizierung wahrnehmen und einen oder mehrerer Zertifizierer akkreditieren.
�� Zuordnung des Lizenzierungsprozesses zur Zertifizierungsinstanz, d. h. der oder die Zertifizierer müssen dann die formale Lizenzierung der Auditoren in ihrem Bereich vornehmen.
Der letzte Punkt wird nur deswegen empfohlen, weil hier eine Kompatibilität mit der bestehenden BS 7799-2-Zertifizierungsinfrastruktur betrachtet wird. In den vorigen Abschnitten wurde aufgezeigt, dass dies kritisch ist, da hierdurch ein 4-Augen-Prinzip vorgetäuscht wird, das genau durch die hier genannte Zuordnung des Prozesses verletzt wird. Dieser Kritikpunkt trifft insbesondere auch den EA 7/03.
61
BS 7799-2-Zertifizierung in Bezug auf IT-Grundschutz-Zertifizierung
Die Infrastruktur für die BS 7799-2-Zertifizierung ist wesentlich komplexer und umfangreicher definiert als die des IT-Grundschutz-Zertifikats und basiert zudem auf abgestimmten europäischen Richtlinien und Infrastrukturen, die auch in anderen zertifizierungsrelevanten Bereichen genutzt wird. Eine Anpassung mit dem Zweck, das BS 7799-2-Zertifikat in irgendeiner Form kompatibel zum IT-Grundschutz-Zertifikat zu machen, kann daher nur sehr eingeschränkt durch Änderung der dem BS 7799-2-Zertifikat zugrundeliegenden Infrastruktur erfolgen. Es wird für diesen Fall folgende Strategie vorgeschlagen:
�� Explizite Trennung der Rolle des Akkreditierers von der des Zertifizierers und Festlegung von Akkreditierungsrichtlinien für IT-Grundschutz-Zertifizierungseinrichtungen, da dies auch aus Gründen der Transparenz sinnvoll erscheint. Hiermit wird zugleich eine gegenseitige Kompatibilität der Rollen erreicht.
�� Zuordnung eines Lizenzierungsprozesses auf beiden Seiten zum Akkreditierer, d. h. eine „Akkreditierung“ auch der Auditoren anstelle einer Lizenzierung. Hierdurch würde das beabsichtigte 4-Augen-Prinzip bei der Zertifizierung wieder erreicht und damit ebenfalls eine Steigerung der Transparenz und Glaubwürdigkeit der durch die Infrastruktur mitbestimmten IT-Grundschutz- und BS 7799-2-Zertifikate. Dies bedingt auf Seiten des BS 7799-2 eine Änderung des EA 7/03.
62
4 Anhang
4.1 Glossar und Abkürzungen
BS British Standard
BSI Bundesamt für Sicherheit in der Informationstechnik
BPM Baseline Protection Manual
DAR Deutscher Akkreditierungsrat
DATech Deutsche Akkreditierungsstelle Technik
DIBt Deutsches Institut für Bautechnik
EA European co-operation for accreditation
EN Europäische Norm
(IT-)GS IT-Grundschutz
(IT-)GSHB IT-Grundschutzhandbuch
IS Informationssicherheit
ISM Informationssicherheits-Management
ISMS Information Security Management System
IS 17799 (ISO) Internationaler Standard 17799
ISO International Organization for Standardization
KBA Kraftfahrt-Bundesamt
OECD Organisation for Economic Cooperation and Development
PDCA Plan Do Check Act
QM Quality Management
RegTP Regulierungsbehörde für Telekommunikation und Post
4.2 Referenzen
IT-Grundschutzhandbuch und - Zertifizierung
[GSHB] IT-Grundschutzhandbuch (GSHB)
www.bsi.bund.de/gshb
Stand: Mai 2002
[GS PRUEF] Qualifizierung/Zertifizierung nach IT-Grundschutz,
Prüfschema für Auditoren, Stand: 1. Dezember 2003
http://www.bsi.bund.de/gshb/zert/pruef.pdf
[GS ZERT] Zertifizierung nach IT-Grundschutz,
63
Aufgaben des Zertifizierers, Stand: 1. Dezember 2003
http://www.bsi.bund.de/gshb/zert/zertifi.pdf
[GS LIZ] Lizenzierungsschema für IT-Grundschutz-Auditoren,
Stand: 1. Dezember 2003
http://www.bsi.bund.de/gshb/zert/lizenz.pdf
[GS ECK] Qualifizierung/Zertifizierung nach IT-Grundschutz – Eckpunktepapier,
Stand: 25. März 2002
http://www.bsi.bund.de/gshb/zert/eckpunkt.htm
BS 7799 und IS 17799
[IS 17799] [BS 7799-1]
ISO/IEC 17799, Information security management — Code of practice for information security management
ISO/ IEC International Standard IS 17799, Stand: 01. Dez. 2000
gleichlautend mit BS 7799-1
[BS7799-2] BS 7799-2, Information security management systems — Specification with guidance for use
British Standard BS 7799-2:2002, Stand: 05. September 2002
[PD 3001] Preparing for BS 7799-2 Certification,
Guidance requirements for certification, PD 3001:2002,
British Standards Institution, Stand 2002
64
ISO/IEC TR 13335 (GMITS)
[GMITS] ISO/IEC TR 13335, Information technology – Security techniques – Guidelines for the management of IT security (GMITS)
[GMITS-1] ISO/IEC TR 13335-1, Information technology – Security techniques – Guidelines for the management of IT security (GMITS) – Part 1: Concepts and models for managing and planning IT security
Stand: 2002 (Dok-Nr. ISO/IEC JTC 1/SC 27 N3175).
[GMITS-3] ISO/IEC TR 13335-3, Information technology – Security techniques – Guidelines for the management of IT Security (GMITS) – Part 3: Techniques for management of IT Security (revision)
Stand vom 26.05.2002 (Dok-Nr. ISO/IEC JTC 1/SC 27 N3237).
[GMITS-4] ISO/IEC TR 13335-4, Information technology – Security techniques – Guidelines for the management of IT security (GMITS) – Part 4: Selection of safeguards
Stand vom 08.10.1999 (Dok-Nr. ISO/IEC JTC 1/SC 27 N2401).
[GMITS-5] ISO/IEC TR 13335-5, Information technology – Security techniques – Guidelines for the management of IT security (GMITS) – Part 5: Management guidance of network security
Stand vom 27.04.2001 (Dok-Nr. ISO/IEC JTC 1/SC 27 N2868).
[MICTS-1] MICTS (früher: GMITS) - Part 1: Concepts and models for ICT security management (N3321, 08. November 2002)
[MICTS-3] MICTS (früher: GMITS)- Part 3: Techniques for information and communications technology security risk management (N3323, 30. November 2002)
Andere
[ITIL] IT Infrastructure Library – Security Management
The ITIL Story, Pink Elephant North America White Paper, Version 2.9, August 2001
ITIL Security Management, Office of Government Commerce, 1999, ISBN 0 11 330014 X
[COBIT] Control Objectives for Information and related Technology (COBIT)
3rd Edition, Stand: Juli 2000
[TC68] Banking and related financial services – Information security guidelines
TC 68 „Banking and other financial services”
TR 13569 „Information security guidelines”, Stand: 22. April 2002
65
[EA 07/03] EA Guidelines for the Accreditation of bodies operating certification/registration of Information Security Management Systems,
EA-7/03, Stand: Februar 2000
[DAR HDB] Handbuch des DAR (Deutscher Akkreditierungsrat),
Stand: 21 Januar 2003
66
