800 Einzelanforderungen für ein ISMS nach ISO/IEC 27001

Abbildung 1: kes – Die Zeitschrift für Informationssicherheit (Heft  #1/2021)

Der CycleSEC-Geschäftsführer Sebastian Klipper forscht aktuell am Center for Advanced Internet Studies (CAIS) zur ISO/IEC 27001. In der aktuellen Ausgabe der Fachzeitschrift kes (vgl. Abb. 1) stellt er mit Steffen Hessler erste Ergebnisse vor. [1] Besonders spannend: Die Autoren haben im Zuge ihrer Arbeit die Einzelanforderungen gezählt, die bei der Implementierung eines Managementsystems für die Informationssicherheit (ISMS) zu erfüllen sind.

Die Anforderungen der ISO/IEC 27001

Die Anforderungen für ein ISMS nach ISO/IEC 27001 sind in einem Textteil mit sogenannten Clauses und dem Annex A mit zahlreichen Controls enthalten. Der Textteil ist verbindlich bei jeder Implementierung, während die Anwendbarkeit der Controls aus dem zu erstellenden Statement of Applicability (SoA) hervorgeht.

Die Anforderungen im Textteil und in Annex A sind dabei als komplexe Sätze formuliert, die oft mehrere UND- bzw. ODER-verknüpfte Anforderung und längere Aufzählungen enthalten.

Beispiel aus der ISO/IEC 27001

“A.11.1.4:
Protecting against external and environmental threats

Control: Physical protection against natural disasters, malicious attack or accidents shall be designed and applied.”

ISMS-Teilanforderungen

Control A.11.1.4 enthält die folgenden sechs Teilanforderung:

  1. Physical protection against natural disasters shall be designed.
  2. Physical protection against malicious attack shall be designed.
  3. Physical protection against accidents shall be designed.
  4. Physical protection against natural disasters shall be applied.
  5. Physical protection against malicious attack shall be applied.
  6. Physical protection against accidents shall be applied.

Die Autoren führen zwei Gründe an, warum es sinnvoll ist, Anforderungen auf diese Weise zu zerlegen:

  1. Einzelne Teilanforderungen gehören als Teil eines zyklischen Vorgehens zu verschiedenen oder mehreren Zyklusphasen (vgl. z.B. PDCA-Zyklus).
  1. Die Durchführung der Aufgaben liegen in vielen Organisationen in der Zuständigkeit mehrerer Abteilungen.

Bei der Steuerung eines ISMS ist es also ggf. wichtig zu wissen, in welcher ISMS-Phase sich ein Control aktuell befindet und welche Personen für die Umsetzung rechenschaftspflichtig sind. Das ist insbesondere bei komplexen ISMS-Implementierungen für ein angemessenes Reporting notwendig.

Probleme komplexer Satzstrukturen

Das Problem, das durch die komplexen Satzstrukturen entsteht, beschreiben die Autoren so:

„Die Planung von Schutzmaßnahmen gegen Naturkatastrophen kann bereits fertig konzipiert und in Anwendung sein, während die Konzeption von Schutzmaßnahmen bei Unfällen noch unvollständig ist. Meist spricht man in der Implementierung und bei Audits dann davon, dass ein Control „teilweise erfüllt“ ist. Der Vermerk ist aber ungenau, da nicht klar ist, welche der Teilanforderungen erfüllt sind und welche nicht. In einer relationalen Verknüpfung des Controls mit der Zuständigkeit und dem Erfüllungsgrad gerät man schnell an die Grenzen des Machbaren. In ISMS-Tools wie z. B. verinice, Instant ISMS auf Confluence-Basis oder komplexen Excel-Tabellen führt das zu einem Informationsverlust oder Verzerrungen in der Gesamtbewertung des ISMS.“

Rund 800 Teilanforderungen

Für die durchgeführte Analyse haben Sebastian Klipper und Steffen Hessler wie im Beispiel oben den gesamten Text der ISO/IEC 27001 jeweils in prägnante Teilanforderungen zerlegt. Sie konnten dabei eine erstaunlich hohe Anzahl an Einzelanforderungen ermitteln.

Auf den ersten Blick auf die ISO/IEC 27001 kann beim unbedarften Lesen leicht der falsche Eindruck entstehen. Ohne tiefere Kenntnisse zu den Aufwänden einer Implementierung sehen die 10 Clauses und 114 Controls so aus, als seien diese leicht zu erfüllen. Durch die Zerlegung der ISO/IEC 27001 in Teilanforderungen konnten Klipper und Hessler für den Textteil 321 Anforderungen identifizieren und für Annex A 501, zusammen also über 800 Teilanforderungen. Diese Zahlen übersteigen die vermeintlich geringe Anzahl von 10 Clauses und 114 Controls um ein Vielfaches.

Je nach Scope 1000e von Maßnahmen

Zusätzliche spielt der Scope des ISMS eine wichtige Rolle, wenn man ermitteln will, wie viele Maßnahmen in einem konkreten ISMS zu erfüllen sind. Das liegt darin begründet, dass sich einzelne Controls auf mehrere Zielobjekt wie z. B. Gebäude, Systeme, Prozesse oder Applikationen beziehen.

Umfasst der Scope beispielsweise fünf Produktionsstandorte, wäre das Beispiel-Control A.11.1.4 jeweils für alle fünf Standorte zu betrachten. Auch die Zuständigkeiten und der Stand der Umsetzung könnten jeweils unterschiedlich ausfallen. In der Folge wären im ISMS die meisten Anforderungen mehrfach zu betrachten.

Auch dieses Faktor haben die Autoren im Rahmen der Untersuchungen berücksichtigt. In ihrem Artikel konnten Sie in einer Modellrechnung für ein mittelgroßes ISMS 13.126 Einzelpunkte ermitteln. Davon waren 11.150 auf 43 Teilanforderungen anzuwenden, die jeweils für Personalfälle und Personalveränderungen anzuwenden sind. Es verbleiben rund 2.000 zu betrachtende Einzelpunkte, die nicht direkt von Personalfällen abhängen. Mit der in ihrem Artikel vorgestellten Methode können die Aufwände bei der Implementierung eines ISMS anhand der Anzahl von Einzelmaßnahmen sehr präzise abgeschätzt werden.

Komplexität eines ISMS in der Praxis

Für die Implementierung eines ISMS nach ISO/IEC 27001 haben die Autoren in der Literatur unterschiedliche Zeiträume ermittelt. In Abhängigkeit vom Scope wird üblicherweise ein Zeitansatz von bis zu zwei Jahren angegeben [2][3]. Zusätzlich weisen die Autoren auf die Gefahr gescheiterter Implementierungsprojekte hin, die in weiteren Quellen beschrieben werden.

Laut einer zitierten Studie aus der Energiewirtschaft sind gerade einmal die Hälfte der Befragten selbst in der Umsetzungsphase eines ISMS noch nicht voll und ganz mit den Mindestanforderungen der ISO/IEC 27001 vertraut. Dabei sollten genau diese ja aus einer Lektüre der ISO/IEC 27001 hervorgehen. [4]

Fragebogen zum Sprachgebrauch

In Ihrem Artikel bitten die Autoren Sebastian Klipper und Steffen Hessler darum, an einer Befragung zum Sprachgebrauch in der Informationssicherheit teilzunehmen:



Klicken Sie zur Teilnahme auf den Link:
https://www.soscisurvey.de/CAIS-27001/

(Teilnahmemöglichkeit: 10.02. bis 31.03.2021)


Über das Projekt informiert bleiben

Sobald die Umfrage beendet ist, werden wir auch hier im Blog über die Ergebnisse informieren. Über die Zwischenergebnisse und zu den Hintergründen zum Projekt erfahren Sie mehr in den bisherigen Veröffentlichungen und in unserem Blog oder in den bisherigen Veröffentlichungen.

Bisherige Veröffentlichungen zum Projekt

Hier finden Sie eine Übersicht bisheriger Veröffentlichungen zum Forschungsprojekt:

Mehr Infos in unserem Blog

Wir hatten über das Projekt bereits mehrfach in unserem Blog berichtet:

Literatur

[1] Sebastian Klipper, Steffen Hess, 27001 – Odyssee im Sprachraum, kes – Die Zeitschrift für Informations-Sicherheit, Heft #1/2021

[2] Bundesdruckerei GmbH, Einführung eines Informati- onssicherheits- Management-Systems (ISMS) bei Energie- versorgern, Whitepaper, April 2018, http://www.bundesdruckerei.de/de/whitepaper/download/877/whitepaper-isms.pdf.pdf

[3] Jürgen Mauerer, Das sollten Unternehmen beim Auf- bau eines ISMS beachten, ComputerWeekly TechTarget- Netzwerk, November 2018, https://www.computerweekly.com/de/ratgeber/Das-sollten-Unternehmen-beim-Aufbau-eines-ISMS-beachten

[4] Dirk Stieler, Torsten Beyer, Endspurt! Für Stadtwerke & Co gilt: ISMS-Einführung für Energieversorger ist Pflicht, Februar 2017, https://axxcon.com/einblicke-und-wissen/endspurt-fuer-stadtwerke-co-gilt-isms-einfuehrung-fuer-energieversorger-ist-pflicht/

[5] DIN e. V. (Hrsg.), Wolfgang Böhmer, Knut Haufe, Sebastian Klipper, Thomas Lohre, Rainer Rumpel, Bern- hard C. Witt, Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern, Beuth, Dezember 2017, ISBN 978-3-410- 26032-5

Schreiben Sie einen Kommentar