Historie ISO 1779 Standard
Der globale Sicherheitsstandard ISO 17799
Seit der Einführung durch die International Standards Organization (ISO) im Dezember 2000 hat sich der ISO 17799 zum weltweit am häufigsten anerkannten IT-Sicherheitsstandard entwickelt. Der ISO 17799 wird definiert als "umfassende Auswahl an Kontrollmechanismen, die auf Methoden und Verfahren basieren, die sich für die IT-Sicherheit bewährt haben."
Die Anfänge von ISO 17799
Seit mehr als 100 Jahren legen das British Standards Institute (BSI) und die International Organization for Standardization (ISO) globale Richtlinien für Standards in den Bereichen Betrieb, Produktion und Leistung in Unternehmen, fest. Ein Bereich, für den das BSI und die ISO lange Zeit keine Standards definiert hatte, war die Informationssicherheit.
Im Jahr 1995 veröffentlichte daher das BSI den ersten Sicherheitsstandard, BS 7799, der darauf ausgerichtet war, die Sicherheitsaspekte im Zusammenhang mit E-Commerce abzudecken. Aufgaben wie Y2K entwickelten sich jedoch ab 1997 zu den gravierendsten Problemen überhaupt. Zu allem Überfluss wurde der BS 7799 als zu inflexibel beurteilt und nur vereinzelt anerkannt. Der Zeitpunkt war offensichtlich nicht der richtige und Sicherheitsaspekte standen nicht im Fokus des Interesses.
Im Mai 1999 legte das BSI mit der zweiten, grundlegend überarbeiteten Version von BS 7799 einen erneuten Vorschlag vor. Diese Ausgabe enthielt viele Verbesserungen und Änderungen gegenüber der Version von 1995. Die ISO fand Interesse daran und begann mit der Überarbeitung von BS 7799.
Im Dezember 2000 nahm die International Standards Organization (ISO) den ersten Teil von BS 7799 an und veröffentlichte diesen unter der Bezeichnung ISO 17799. Etwa zeitgleich wurde ein formelles Anerkennungs- und Zertifizierungsverfahren für die Einhaltung des Standards eingeführt. Für Y2K, EMU und ähnliche Probleme hatten sich bis 2000 Lösungen und entschärfende Maßnahmen gefunden und die allgemeine Qualität des Standards hatte sich erheblich verbessert. Die Annahme des ersten Teils von BS 7799 (der erste Teil umfasst jene Kriterien, die die Basis des Standards bilden) durch die ISO sorgte dafür, dass man sich endlich auf weltweit gültige Sicherheitsstandards einigte.
Rahmenwerk empfohlener Richtlinien
Der ISO 17799-Standard umfasst jedoch nicht den zweiten Teil von BS 7799, der den Bereich der Umsetzung abdeckt. Der aktuelle ISO 17799-Standard ist eine Sammlung von Empfehlungen für IT-Sicherheitsverfahren und -methoden, die sich in der Praxis bewährt haben (Best Practices). Diese können von Unternehmen oder Organisationen beliebiger Größe in allen Industrie- und Geschäftsbereichen eingesetzt werden. Der Standard ist bewusst flexibel ausgelegt und empfiehlt keine konkreten Sicherheitslösungen oder rät von bestimmten Alternativlösungen ab. Die Empfehlungen im Rahmen von ISO 17799 sind unvoreingenommen im Hinblick auf Technologien oder bestimmte Produkte und bieten keinerlei Hilfe bei der Bewertung oder Überprüfung bestehender Sicherheitsmaßnahmen. So wird beispielsweise die Notwendigkeit von Firewalls erörtert, es wird jedoch nicht näher auf die drei verschiedenen Arten von Firewalls und deren Verwendung eingegangen. Dies veranlasste Kritiker dazu, den ISO 17799-Standard als zu vage und wenig aussagekräftig zu bewerten.
Die Flexibilität und offene Auslegung des ISO 17799 ist jedoch durchaus beabsichtigt, da es kaum möglich ist, einen Standard zu definieren, der auf die meisten IT-Umgebungen anwendbar ist und mit dem technologischen Fortschritt Schritt halten kann. Er bietet lediglich ein Rahmenwerk für einen Bereich, in dem es vorher keinerlei Richtlinien gab.
Quelle:
Symantec
www.symantec.de
(C) 2004 - 2005 ASCOM-Consult - Alle Rechte vorbehalten