Die Entstehung von ISO 17799
Im Jahr 1995 veröffentlichte das BSI (British Standards Institute – in diesem Zusammenhang nicht zu verwechseln mit dem Bundesamt für Sicherheit in der Informationstechnik) den ersten Sicherheitsstandard, BS 7799, der darauf ausgerichtet war, die Sicherheitsaspekte im Zusammenhang mit e-Commerce abzudecken. Kritiker beurteilten damals BS 7799 als zu inflexibel und er wurde nur vereinzelt anerkannt bzw. umgesetzt.

Im Mai 1999 legte das BSI deshalb eine grundlegend
überarbeitete Version des BS 7799 vor, der sich in zwei Teile gliedert (BS 7799-1:1999 und BS 7799-2:1999). Der erste Teil von BS 7799 umfaßt jene Kriterien, die die Basis des Standards bilden, während der zweite Teil den Bereich der Umsetzung abdeckt.     Security5

Die Version von 1999 enthielt viele Verbesserungen und Änderungen gegenüber seinem Vorgänger. Die ISO (International Organization for Standardization) fand Interesse daran und begann mit dessen Übernahme als ISO-Norm. Im Dezember 2000 nahm die ISO den ersten Teil von BS 7799 an und veröffentlichte diesen unter der Bezeichnung ISO 17799 (Information technology -- Code of practice for information security management). Etwa zeitgleich wurde ein formelles Anerkennungs- und Zertifizierungsverfahren für die Einhaltung des Standards eingeführt.

Die Übernahme von BS 7799-1 durch die ISO sorgte dafür, dass die ersten weltweit akzeptierten Sicherheitsstandards für IT-Infrastrukturen definiert wurden. Seit seiner Einführung hat sich die ISO
17799 zum weltweit am häufigsten anerkannten IT-Sicherheitsstandard entwickelt. Die ISO arbeitet derzeit weiter an 17799, um deren Akzeptanz noch weiter zu fördern und leichter realisierbar zu machen. ISO 17799 hat einen wegweisenden Standard vorgegeben und die darin
enthaltenen Empfehlungen und Anregungen werden als Basis für zukünftige Erweiterungen und Überarbeitungen dienen.

Der aktuelle ISO 17799-Standard ist eine Sammlung von Empfehlungen für Informationssicherheitsverfahren und -methoden, die sich in der Praxis bewährt haben (Best Practices). Diese können von Unternehmen oder Organisationen beliebiger Größe in allen Industrieund Geschäftsbereichen eingesetzt werden. Die konkrete Umsetzung der Prinzipien wurde bewußt
nicht in den Standard aufgenommen: ISO 17799 ist bewusst flexibel ausgelegt und empfiehlt keine konkreten Sicherheitslösungen oder rät von bestimmten Alternativlösungen ab. Die Empfehlungen im
Rahmen der ISO 17799 sind unvoreingenommen im Hinblick auf Technologien oder bestimmte Produkte. Dies veranlasste Kritiker dazu, den ISO 17799-Standard als zu vage und wenig aussagekräftig zu bewerten. Die Flexibilität und offene Auslegung der ISO 17799 ist jedoch durchaus beabsichtigt, da es kaum möglich ist, einen Standard zu definieren, der auf die meisten IT-Umgebungen anwendbar ist und mit dem technologischen Fortschritt Schritt halten kann.

ISO 17799 bietet sich als Grundlage und Richtlinie zur Definition und Implementierung eines effektiven und klar umrissenen Sicherheitsmanagements Ihrer IT-Infrastruktur an. Der Standard bietet ein Rahmenwerk und fordert die Umsetzung bestimmter Prinzipien. In der Praxis werden für detailiertere Richtlinien weitere Standards hinzugezogen, wie zum Beispiel das IT-Grundschutzhandbuch des
Bundesamtes für Sicherheit in der Informationstechnik oder die ISO 13335 für die Risikoanalyse.

ISO 17799 gliedert sich in zehn Abschnitte:

1. Richtlinien
ISO 17799 fordert die Definition von Richtlinien für den Umgang mit der IT-Infrastruktur auf verschiedenen Unternehmensebenen. Richtlinien sind erforderlich, um die von Unternehmen angestrebte Sicherheit festzulegen. Darüber hinaus bieten sie der Management-Ebene Anhaltspunkte und Unterstützung bei Entscheidungen. Die Richtlinien können auch als Basis für kontinuierliche Überprüfung und Bewertung der ITSicherheit verwendet werden.

2. Verteilung der Sicherheitsaufgaben
ISO 17799 fordert die Definition einer Verwaltungsstruktur für den Umgang mit IT-Sicherheit innerhalb
des Unternehmens oder der Organisation. Diese legt fest, wer für welche Sicherheitsbereiche zuständig ist und definiert ein Verfahren, wie Vorfälle behandelt werden sollen.

3. Klassifizierung und Kontrolle unternehmenskritischer Daten
ISO 17799 fordert die Inventarisierung des Datenbestandes, dessen Klassifizierung anhand der Wichtigkeit für das Unternehmen und die Definition von Schutzmassnahmen für die einzelnen Klassen.
Dadurch können Schutzmassnahmen zielgerichtet aufgebaut und eingesetzt werden.

4. Mitarbeitersicherheit
ISO 17799 fordert die Einbeziehung der Mitarbeiter in die IT-Sicherheitsmassnahmen und weist auf die Notwendigkeit hin, derzeitige und zukünftige Mitarbeiter darüber zu informieren, was im Hinblick
auf Sicherheits- und Vertraulichkeitsfragen von ihnen erwartet wird und welche Rolle sie im Sicherheitsgefüge spielen.

5. Physikalische Sicherheit und Schutz der IT-Bereiche
ISO 17799 fordert Massnahmen zur Geräte- und Gebäudesicherheit.

6. Kommunikations- und Operationsmanagement
ISO 17799 fordert Massnahmen zur Umsetzung folgender Zielsetzungen:
Korrekte und sichere Verwendung von Informationsverarbeitungssystemen
Minimierung von potentiellen Systemausfällen
Integritätssicherung von Software und Informationen
Erhalt der Integrität und Verfügbarkeit der gesamten Informationsverarbeitung und Kommunikation
Schutz von Informationen in Netzwerken sowie Sicherung der unterstützenden Infrastrukturen
Schutz von unternehmenskritischen Daten und Sicherung der Geschäftsabläufe
Verhindern von Verlust, Veränderung oder Missbrauch von Informationen, die zwischen Unternehmen oder Organisationen ausgetauscht werden

7. Zugriffskontrolle
ISO 17799 fordert Kontroll- und Überwachungsmaßnahmen für den Zugriff auf Netzwerke und Anwendungsressourcen zum Schutz vor internem Missbrauch und externen Systemeindringlingen.

8. Systementwicklung und -wartung
ISO 17799 fordert die Einbeziehung des Sicherheitsaspektes in sämtliche Phasen des IT-Lifecycles
(Planung, Installation, Wartung, Fortentwicklung und Deinstallation).

9. Desaster-Management
ISO 17799 fordert die Analyse von Risiken für die IT-Infrastruktur und die Entwicklung von Massnahmen für den Ausfall von kritschen Teilen der IT-Infrastruktur.

10. Richtlinieneinhaltung
ISO 17799 fordert zu überprüfen, inwiefern in Bezug auf die IT-Sicherheit rechtliche Richtlinien vom Unternehmen umgesetzt werden müssen. Dieser Abschnitt hebt außerdem hervor, regelmäßig
Sicherheitsrichtlinien und deren technische Umsetzung zu überprüfen, damit sdie IT-Sicherheit neuen technischen, organisatorischen und rechtlichen Anforderungen anpasst werden kann.

ISO 17799 bietet die Möglichkeit, IT-Sicherheit nach dem Motto “So viel wie nötig, so wenig wie möglich” zu implementieren: Dieser Standard fordert die Umsetzung von Richtlinien, die darauf abzielen, den Datenbestand und die IT-Infrastruktur zu erfassen, zu klassifizieren, die jeweils geeigneten Schutzmassnahmen zu entwickeln und umzusetzen. Zusätzlich sorgt ISO 17799 für weitreichenden Investitionsschutz: ISO 17799 sieht die IT-Infrastruktur eines Unternehmens als lebendiges System an, dass Veränderungen rechtlicher, organisatorischer und technischer Natur unterliegt. Deshalb fordert ISO 17799 die Implementierung eines Managements, um die IT-Sicherheit den Veränderungen anzupassen.

Mit einer Zertifizierung teilen Sie Kunden und Geschäftspartnern mit, dass Sie IT-Sicherheit als essentiellen Bestandteil Ihrer Geschäftsabläufe ansehen. Unternehmen, die sich nach der ISO 17799
zertifizieren lassen, können bei der Vergabe von Aufträgen vor anderen Unternehmen ohne ISOZertifizierung bevorzugt werden. Immer häufer kann man z.B. bei Ausschreibungen die Forderung
nach nachgewiesener Informationssicherheit feststellen. Insbesondere gilt dies bei Projekten, die den Umgang mit sensiblen Kundendaten beinhalten.

Wenn die IT-Infrastruktur ein unternehmenskritischer Bestandteil Ihres Unternehmens ist, haben Sie ggf. die Möglichkeit, durch eine ISO-Zertifizierung eine höheres Rating bei Ihrer Bank zu erhalten
(Stichwort Basel-II). Schon dadurch kann sich eine Zertifizierung amortisieren.