Erklärung zur Anwendbarkeit (SoA) – 114 notwendige Fragen an Ihr ISMS
Eine wesentliche Grundlage jedes ISMS ist die sogenannte Erklärung zur Anwendbarkeit oder englisch: statement of applicability – SoA
In dieser Erklärung zur Anwendbarkeit sind alle globalen Maßnahmen aufgeführt, die die Organisation als wichtig für die Aufrecherhaltung der Informationssicherheit eingeordnet hat. Die Auswahl ist dabei nicht willkürlich, sondern muss mindestens alle im Anhang zur ISO/IEC 27001 aufgeführten Maßnahmen einschließen.
Dabei ist es natürlich möglich, die Umsetzung bestimmter Maßnahmen mit einer entsprechenden Begründung auszuschließen – sofern die zu Grunde liegenden Aktivitäten nicht ausgeführt werden.
Allerdings darf dieser Ausschluß nicht zu umfangreich angewendet werden, denn häufig liegen z.B. mindestens Teile eigentlich ausgelagerter Aktivitäten doch im Verantwortungsbereich der eigenen Organisation. In diesen Fällen wird die Prüfung der SoA im Audit ein Korrektur notwendig machen.
Besonders häufig betreffen Ausschlüsse das Kapitel A.14 Anschaffung, Entwicklung und Instandhalten von Systemen. Hier hat die DAkkS in der letzten Geschäftsstellenbegutachtung ihre Interpretation noch weiter verschärft und der GUTcert die Auflage erteilt, Ausschlüsse aus dem Kapitel A.14 strenger zu beurteilen.
Welche Ausschlüsse sind hier nun ausgeschlossen bzw. nur unter sehr eingeschränkten Bedingungen möglich:
A.14.1.1 Analyse, Spezifikation von IS-Anforderungen
Maßnahme: Die Anforderungen, die sich auf Informationssicherheit beziehen, sollten in die Anforderungen an neue Informationssysteme oder die Verbesserungen bestehender Informationssysteme aufgenommen werden.
Begründung: Informationssysteme sind immer Änderungen (siehe dazu auch A.12.1.2) und Verbesserungen (z.B. durch Maßnahmen zur Risikominimierung) unterworfen. Sie arbeiten in einer von der Organisation selbst bereitgestellten Umgebung, die auch einen Einfluß auf die Informationssicherheit des gesamten Systems ausübt. Auch wenn Systeme (oder Komponenten) extern eingekauft werden, müssen die Anforderungen an diese System aus diesen Überlegungen heraus ermittelt werden.
A.14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen
Das Maßnahmeziel A.14.2 ist generell immer dann anzuwenden, wenn Systeme geändert oder neu eingerichtet werden. Das ist praktisch immer einschlägig, denn alle Maßnahmen zur Verbesserung (auch des Umfelds) zählen dann als Weiterentwicklung des Systems.
Als Entwicklung ist dabei aber auch z.B. die Programmierung von Admin-Scripten zu betrachten (z.B. für die Konversion von Datenbanken oder das Einrichten neuer Konten etc.)
Zur Bewertung der einzelnen Maßnahmen siehe nachfolgende Ausführungen.
14.2.2 Verfahren zur Verwaltung von Systemänderungen
Maßnahme: Änderungen an Systemen innerhalb des Entwicklungszyklus sollten durch formale Verfahren zur Verwaltung von Änderungen gesteuert werden.
Begründung: Zu den „Systemen“ gehört neben den eigentlichen IT-Systemen (also Hard- und Software) auch die Umgebung, in die diese eingebettet sind. Auch später anfallende Wartungsarbeiten an Systemen sind hier eingeschlossen.
Die in der 27002 unter 14.2.2 aufgeführten Anleitungspunkte sind auch für die Systemwartung relevant und an anderer Stelle (z.B. 12.1.2 Änderungssteuerung) so nicht zu finden.
14.2.3 Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform
Maßnahme: Bei Änderungen an Betriebsplattformen, sollten geschäftskritische Anwendungen überprüft und getestet werden, um sicherzustellen, dass es keine negativen Auswirkungen auf die Organisationstätigkeiten oder Organisationssicherheit gibt.
Begründung: Praktisch für alle IT-Systeme müssen auch Updates bereitgestellt und installiert werden. Diese können auch Auswirkungen auf die Umgebung dieser Systeme haben.
14.2.4 Beschränkung von Änderungen an Softwarepaketen
Maßnahme: Änderungen an Softwarepaketen sollten nicht gefördert werden, auf das Erforderliche beschränkt sein und alle Änderungen sollten einer strikten Steuerung unterliegen.
Begründung: Ein Ausschluss ist nicht möglich, denn entweder werden Änderungen durchgeführt oder es gibt die Regelung, dass Änderungen zulässig sind.
14.2.5 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
Maßnahme: Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme sollten festgelegt, dokumentiert, aktuell gehalten und bei jedem Umsetzungsvorhaben eines Informationssystems angewendet werden.
Begründung: Ein Ausschluss ist sehr unwahrscheinlich, denn
- Umsetzungsvorhaben beinhaltent auch Vorgaben an die Software (siehe 14.1.1)
- auch Lieferanten müssen diese Grundsätze einhalten
- auch die Pflege von Systemen ist enthalten – also die Art und Weise, wie später Änderungen durchgeführt werden
14.2.9 Systemabnahmetest
Maßnahme: Für neue Informationssysteme, Aktualisierungen und neue Versionen sollten Abnahmetestprogramme und dazugehörige Kriterien festgelegt werden.
Begründung: Es geht hier um Informationssysteme (siehe 14.2), das ist also auch bei eingekauften Systemen relevant (die in die eigene Umgebung integriert werden).
Natürlich ist auch ein Ausschluß weiterer Maßnahmen möglich, das ist aber in jedem Einzelfall zu beurteilen. Auch dabei ist immer ein strenger Maßstab anzulegen, z.B. ist ja schon die Festlegung, dass bestimmte Aktivitäten nicht durchgeführt werden (bspw. die Verwendung von Mobilgeräten) eine Maßnahme, entsprechende Risiken zu vermeiden.
Die GUTcert wird die Umsetzung dieser Anforderungen spätestens im nächsten Audit prüfen und ggf. Korrekturen fordern. Zur Vorbereitung darauf sollte aber jeder Anwender der ISO/IEC 27001 die hier beschriebenen Anforderungen selbständig prüfen und Änderungen der Erklärung zur Anwendbarkeit vorbereiten.
Ansprechpartner
Alle weiteren Fragen zum Zertifizierungsprozess nach ISO/IEC 27001 beantwortet Ihnen Andreas Lemke.