Klassifizierung von Informationen nach ISO/IEC 27001 — schnelle Umsetzung

Sie sind hier:>, Blog, ISMS Tools>Klassifizierung von Informationen nach ISO/IEC 27001 — schnelle Umsetzung

Klassifizierung von Informationen nach ISO/IEC 27001 — schnelle Umsetzung

Unternehmen die sich nach ISO/IEC 27001 zer­ti­fizieren, oder ein ISMS nach 27001 auf­bauen möcht­en, haben die Her­aus­forderun­gen die Maß­nah­men der Klas­si­fizierung A.8.2 des Anhang A umzuset­zen. Zusam­menge­fasst sind diese Anforderun­gen, dass:

  1. Infor­ma­tio­nen ein angemessenes Schutzniveau entsprechend Ihrer Wer­tigkeit erhal­ten;
  2. Infor­ma­tio­nen gemäß exter­nen und inter­nen Anforderun­gen klas­si­fiziert wer­den;
  3. Infor­ma­tio­nen entsprechend einem Klas­si­fizierungss­chema gekennze­ich­net wer­den;
  4. es Ver­fahren für die Hand­habung gemäß dem Klas­si­fizierungss­chema gibt.

Ref­erenz Englisch: A.8.2 Infor­ma­tion clas­si­fi­ca­tion, A.8.2.1 Clas­si­fi­ca­tion of infor­ma­tion, A.8.2.2 Labelling of infor­ma­tion, A.8.2.3 Han­dling of assets

Ref­erenz Deutsch: A.8.2 Infor­ma­tion­sklas­si­fizierung, A.8.2.1 Klas­si­fizierung von Infor­ma­tio­nen, A.8.2.2 Kennze­ich­nung von Infor­ma­tio­nen, A.8.2.3 Hand­habung von Werten.

Die Klassifizierung von Informationen

Die Ver­gan­gen­heit hat uns gezeigt, dass das klas­sis­che Klas­si­fizierungss­chema „Öffentlich“, „Intern“, „Ver­traulich“ und „Streng Ver­traulich“ in der Prax­is schlecht funk­tion­iert, hier ein Überblick über das Schema.

ÖffentlichInternVer­traulichStreng Ver­traulich
Dat­en sind für jed­er­mann, auch außer­halb der Fir­ma, zugänglich.Interne Dat­en wer­den lediglich den eige­nen Mitar­beit­ern zugänglich gemacht.Ver­traulich definierte Dat­en sind lediglich ein­er begren­zten Anzahl an Mitar­beit­ern zugänglich, z.B. Per­son­al­dat­en, Kun­den­lis­ten, Kalku­la­tio­nen.Streng ver­trauliche Dat­en sind punk­tuell und auss­chließlich bes­timmten definierten Per­so­n­en zugänglich. Eine Weit­er­gabe kann das Unternehmen nach­haltig schädi­gen.

Die Schwächen des klas­sis­chen Klas­si­fizierungss­chemas sind:

  1. Mitar­beit­er sind mit der Kennze­ich­nung aller Doku­mente über­fordert, bei einem Audit find­et der Audi­tor ton­nen­weise ungekennze­ich­nete „Interne“ Infor­ma­tio­nen.
  2. Mitar­beit­er ver­ste­hen den Unter­schied zwis­chen „Öffentlich“ und „Intern“ nicht.
  3. Beson­ders fleißige Mitar­beit­er erken­nen in Ihren Arbeits­doku­menten schnell „Ver­trauliche“ oder „Streng Ver­trauliche“ Infor­ma­tio­nen und verur­sachen so hohen Aufwand und hohe Kosten beim Infor­ma­tion­shan­dling.

Erklärungen zum ISO/IEC 27001 Anhang A – A.8.2 Informationsklassifizierung

Im Ziel dieser Kon­trolle steckt die Anforderung, dass Unternehmen ihren Infor­ma­tio­nen ein Schutzniveau bieten müssen. Dabei ist zu berück­sichti­gen, dass unter­schiedliche Infor­ma­tio­nen ver­schiedene Wer­tigkeit­en für das Unternehmen haben. So sind Mitar­bei­t­er­dat­en, Kun­den­dat­en und Entwick­lungs­dat­en typ­is­cher­weise bess­er zu schützen als Pro­duk­t­in­for­ma­tio­nen.

Erklärung zu A.8.2.1 Klassifizierung von Informationen

Mit der Maß­nahme möchte die Norm erre­ichen, dass Infor­ma­tio­nen zu jed­er Zeit klas­si­fiziert sind, wobei die Klas­si­fizierungsstufe aus geset­zlichen Anforderun­gen, oder dem Wert bzw. der Kri­tikalität abgeleit­et wer­den müssen.

Erklärung zu A.8.2.2 Kennzeichnung von Informationen

Über die Kennze­ich­nung von Infor­ma­tio­nen soll erre­icht wer­den, dass Benutzer ein­fach erken­nen kön­nen welche Infor­ma­tion­sklas­si­fizierungsstufe die jew­eili­gen Dat­en tra­gen. Diese Kennze­ichung muss sowohl elek­tro­n­isch gespre­icherte Dat­en abdeck­en, als auch aus­ge­druck­te und archivierte Infor­ma­tio­nen.

Erklärung zu A.8.2.3 Handhabung von Werten

Zu der Kennze­ichung der Infor­ma­tio­nen gemäß dem Infor­ma­tion­sklas­si­fizierungss­chema benöti­gen die Benutzer ver­ständliche Anweisun­gen für die Hand­habung mit den Dat­en. Hier hat sich eine Matrix bewährt mit den wichtig­sten Arten wie mit Infor­ma­tio­nen umge­gan­gen bzw. wo diese gespe­ichert wer­den kön­nen:

  1. Wie ist zu Kennze­ich­nen?
  2. Wo dür­fen die Infor­ma­tio­nen gespe­ichert wer­den? (am Client, auf welchen Servern)
  3. Dür­fen die Infor­ma­tio­nen in der Cloud gespe­ichert wer­den? (wenn ja, in welchen Clouds)
  4. Ist die Spe­icherung auf mobilen Daten­trägern oder dem Smart­phone erlaubt?
  5. Dür­fen Mitar­beit­er klas­si­fizierte Infor­ma­tio­nen per Email versenden, wenn ja mit welchen zusät­zlichen Schutzmeth­o­d­en?
  6. An wen und mit welchen Voraus­set­zun­gen dür­fen klas­si­fizierte Infor­ma­tio­nen weit­ergegeben wer­den? (sowohl elek­tro­n­isch als auch in Papier­form)
  7. Dür­fen Infor­ma­tio­nen der einzel­nen Schutzk­lassen ver­sandt wer­den? Wenn ja, von wem ist eine Autorisierung erforder­lich?
  8. Wie müssen Infor­ma­tio­nen entsorgt wer­den? Speziell gilt das auch für Papier­doku­mente und Spe­icher­me­di­en.

Alle diese Punk­te kön­nen in eine Matrix der zuläs­si­gen Ver­wen­dung zusam­menge­fasst wer­den. Wir empfehlen hier aus­sagekräftige Pik­togramme zu nutzen und stellen gerne die von SEC4YOU entwick­el­ten Grafiken zur Ver­fü­gung.

In der Zuord­nungsta­belle — Zuord­nung ISO/IEC27001 sowie ISO/IEC27002 zum mod­ernisierten IT-Grund­schutz vom deutschen BSI find­et man auf Seite 11 eine Ref­erenz zum BSI-Stan­dard 200–2, Kapi­tel 8.2 Schutzbe­darfs­fest­stel­lung:

ISO 27001 Mapping BSI Standard 200-2

Diese Schutzbe­darfs­fest­stel­lung im BSI Stan­dard 200–2 vere­in­facht das Klas­si­fizierungss­chema deut­lich, indem es auf die Klassen „Öffentlich“ und „Intern“ verzichtet und stattdessen nur drei Kat­e­gorien „nor­mal“ sowie „hoch“ und „sehr hoch“ emp­fiehlt.

nor­malhochsehr hoch
Die Schaden­sauswirkun­gen sind begren­zt und über­schaubar.Die Schaden­sauswirkun­gen kön­nen beträchtlich sein.Die Schaden­sauswirkun­gen kön­nen ein exis­ten­ziell bedrohlich­es, katas­trophales Aus­maß erre­ichen.

Fol­gende Vorteile ergeben sich aus den BSI Kat­e­gorien:

  1. Die oft falsche Nutzung der Klas­si­fizierung „Intern“ ent­fällt.
  2. Die weni­gen Infor­ma­tio­nen die tat­säch­lich „Öffentlich“ sind wer­den nicht berück­sichtigt und vere­in­fachen die Richtlin­ie.
  3. Durch die Nen­nung von katas­trophalem Aus­maß bei der Kat­e­gorie „sehr hoch“ gibt es in der Regel nur wenige Infor­ma­tion­swerte dieser Schutzkat­e­gorie. Dies senkt Kosten für teure tech­nis­che Maß­nah­men.

Die Kennzeichnung von Informationen

Speziell bei dem klas­sis­che Klas­si­fizierungss­chema mit „Öffentlich“, „Intern“, „Ver­traulich“ und „Streng Ver­traulich“ ist die Kennze­ich­nung aller vier Kat­e­gorien eine sehr aufwendi­ge Auf­gabe, speziell da Infor­ma­tion oft auch in Nicht-Office Doku­menten z.B. Grafiken, Text­dateien, Daten­banken gespe­ichert wer­den.

Beispiel ein­er Richtlin­ie für die Kennze­ich­nung von Infor­ma­tio­nen:

Klassifizierung Schutzklassen klassisch nur Kennzeichnung

ISMS Tipp: Verzicht­en Sie auf die für Benutzer ver­wirren­den Klas­si­fizierungskat­e­gorien “ÖFFENTLICH” und “INTERN” und führen stattdessen die bei­den Kat­e­gorien “NICHT KLASSIFIZIERT” und “EINGESCHRÄNGT” (oder auch “NORMAL”) ein. Bei­de Schutzk­lassen kön­nen ohne Kennze­ichungspflicht der Doku­mente einge­führt wer­den.

Durch die SEC4YOU Empfehlung, die auf dem BSI Stan­dard 200–2 auf­baut, kann die diese Richtlin­ie deut­lich ein­fach­er for­muliert wer­den:

Klassifizierung Schutzklassen SEC4YOU Empfehlung nur Kennzeichnung

Geeignete Klassifizierung von Informationswerten für eine TISAX Zertifizierung

Wie man in der Grafik erken­nen kann, ist die BSI Empfehlung ident mit der VDA ISA Empfehlung für die Infor­ma­tion­ssicher­heit in der Auto­mo­bil­branche. Der Ver­band der Auto­mo­bilin­dus­trie (VDA) bietet im Doku­ment Har­mon­isierung der Klas­si­fizierungsstufen, abhängig vom poten­ziellen Schaden, für Unternehmen fol­gende all­ge­meine Schutzk­lassen: „nor­mal“, „hoch“ und „sehr hoch“. Auto­mo­bilzulief­er­er, die eine TISAX Zer­ti­fizierun­gen anstreben, sind gut berat­en die BSI = VDA ISA Schutzk­lassen einzuführen.

Empfehlung: Beschreiben Sie in Ihrer Pol­i­cy, dass „Interne“ Dat­en bzw. Infor­ma­tio­nen der Schutzk­lasse „nor­mal“ keine Kennze­ich­nung benöti­gen. Dies ist auch eine Hand­lungsempfehlung der Norm ISO/IEC 27002 Absatz 8.2.2.

Wichtig bei der Umset­zung der ISO/IEC 27001 ist jedoch bei den Klas­si­fizierun­gen „Ver­traulich“ sowie „Streng Ver­traulich“ (oder nach BSI „hoch“ sowie „sehr hoch“) eine Kennze­ich­nung aller klas­si­fizierten Doku­mente. Dies kann erre­icht wer­den mit:

  • Schulen Sie Ihre Mitar­beit­er für die Erstel­lung von ver­traulichen Doku­menten.
  • Speziellen gekennze­ich­neten Bere­ichen im Intranet mit strik­ter Benutzere­in­schränkung
  • Word, Excel und Pow­er­Point Vor­la­gen für ver­trauliche und streng ver­trauliche Dat­en (bzw. „hoch“ und „sehr hoch“) auf der die Klas­si­fizierung auf jed­er Doku­menten­seite deut­lich sicht­bar ist.
  • Bei der Klasse „streng ver­traulich“ bzw. BSI „sehr hoch“ müssen die erlaubten Empfänger am Anfang des Doku­mentes aufge­lis­tet sein.

Wichtig: Berück­sichti­gen Sie bei der Kennze­ich­nung sowohl elek­tro­n­isch gespe­icherten Doku­menten als auch Papier­aus­drucke dieser Doku­mente.

Die Handhabung von Werten

Die ISO/IEC 27001 ist ver­gle­ich­sweise unkonkret bei der Hand­habung von Infor­ma­tion­swerten, sie fordert jedoch:

Ver­fahren für die Hand­habung von Werten sind entsprechend dem von der Organ­i­sa­tion einge­set­zten Infor­ma­tion­sklas­si­fizierungss­chema entwick­elt und umge­set­zt.“

In der Prax­is wer­den von Unternehmen Richtlin­ien für die fol­gen­den Hand­habungsmeth­o­d­en doku­men­tiert und die Mitar­beit­er darin geschult:

  1. Kennze­ich­nung
  2. Spe­icherung
  3. Spe­icherung in der Cloud
  4. Nutzung von mobilen Geräten und Daten­trägern
  5. Email­nutzung
  6. Weit­er­gabe
  7. Physis­ch­er Ver­sand
  8. Daten­ver­nich­tung

Hier ein Beispiel ein­er Richtlin­ie für die Hand­habung von Infor­ma­tion­swerten im klas­sis­chen Klas­si­fizierungss­chema:

Klassifizierung Schutzklassen klassisch

Über­sichtlich­er ist die Hand­habung für Benutzer beim Ein­satz ein­er eige­nen Klas­si­fizierung “Nicht klas­si­fiziert” und der BSI/TISAX Schutzk­lassen:

Klassifizierung Schutzklassen SEC4YOU Empfehlung mit BSI und TISAX

In unserem ISMS Blog: ISO/IEC 27001 — VDA ISA / TISAX find­en Sie die ver­wen­de­ten Pik­togramme zur freien Ver­wen­dung sowie weit­ere Tipps für Ihr ISMS.

Bei Fra­gen ste­hen wir über unser Kon­tak­t­for­mu­lar gerne jed­erzeit zur Ver­fü­gung.

Weitere Beiträge aus dem ISMS Blog

Schred­der Sicher­heitsstufe P5 — Akten­ver­nichter” — für Ihr ISMS stellen […]

Schred­der mit Kon­trolle — Akten­ver­nichter” — für Ihr ISMS stellen […]

Schred­der — Akten­ver­nichter” — für Ihr ISMS stellen wir gerne […]

Mobile Endgeräte Wech­sel­da­ten­träger ver­schlüs­selt” — für Ihr ISMS stellen wir […]

Mobile Endgeräte Wech­sel­da­ten­träger” — für Ihr ISMS stellen wir gerne […]

Liefer­ung ver­schlüs­selt oder versper­rt mit Kon­trolle” — für Ihr ISMS […]

Liefer­ung” — für Ihr ISMS stellen wir gerne unsere kosten­freie […]

Kennze­ich­nung Inter­nal” — für Ihr ISMS stellen wir gerne unsere […]

Kennze­ich­nung Inter­nal” — für Ihr ISMS stellen wir gerne unsere […]

Kennze­ich­nung” — für Ihr ISMS stellen wir gerne unsere kosten­freie […]

Entsorgung mit Kon­trolle” — “Kon­trol­lierte Entsorgung” — “Entsorgung mit Nach­weis” […]

Entsorgung geschützt und ver­schlossen” — für Ihr ISMS stellen wir […]

Entsorgung geschützt” — für Ihr ISMS stellen wir gerne unsere […]

Entsorgung” — für Ihr ISMS stellen wir gerne unsere kosten­freie […]

Email Ver­schlüs­selung und Kon­trolle” — für Ihr ISMS stellen wir […]

Email Ver­schlüs­selung” — für Ihr ISMS stellen wir gerne unsere […]

Email Trans­port Ver­schlüs­selung” — für Ihr ISMS stellen wir gerne […]

Email Kon­trolle” — für Ihr ISMS stellen wir gerne unsere […]

Email Empfänger Prü­fung” — für Ihr ISMS stellen wir gerne […]

Zwei-Fak­toren Authen­tisierung — 2FA” — für Ihr ISMS stellen wir […]

Weit­er­gabekon­trolle Autorisierung Data-Own­er” — für Ihr ISMS stellen wir gerne […]

Weit­er­gabekon­trolle Autorisierung Dat­en-Ein­gen­tümer” — für Ihr ISMS stellen wir gerne […]

Ver­traulichkeitsvere­in­barung — NDA per­sön­lich” — für Ihr ISMS stellen wir […]

Ver­traulichkeitsvere­in­barung — NDA mit Fir­ma” — für Ihr ISMS stellen […]

Ver­traulichkeitsvere­in­barung — NDA” — für Ihr ISMS stellen wir gerne […]

Ver­boten” — für Ihr ISMS stellen wir gerne unsere kosten­freie […]

Cloud ver­boten” — für Ihr ISMS stellen wir gerne unsere […]

Cloud Kon­trolle” oder “kon­trol­lierte Cloud” — für Ihr ISMS stellen […]

Cloud erlaubt mit 2FA” — für Ihr ISMS stellen wir […]

Cloud erlaubt” — für Ihr ISMS stellen wir gerne unsere […]

Cloud mit 2FA” — für Ihr ISMS stellen wir gerne […]

Spe­icherung Serv­er ver­schlüs­selt mit 2FA” — für Ihr ISMS stellen […]

Cloud” — für Ihr ISMS stellen wir gerne unsere kosten­freie […]

Spe­icherung Serv­er” — für Ihr ISMS stellen wir gerne unsere […]

Spe­icherung Note­book ver­schlüs­selt — Serv­er unver­schlüs­selt mit 2FA” — für […]

Spe­icherung Note­book ver­schlüs­selt — Serv­er ver­schlüs­selt” — für Ihr ISMS […]

Spe­icherung Note­book ver­schlüs­selt — Serv­er unver­schlüs­selt” — für Ihr ISMS […]

Erlaubte Ver­ar­beitung” — für Ihr ISMS stellen wir gerne unsere […]

Kennze­ich­nung Intern” — für Ihr ISMS stellen wir gerne unsere […]

Kennze­ich­nung Eingeschränkt” — für Ihr ISMS stellen wir gerne unsere […]

Kennze­ich­nung sehr hoch” — für Ihr ISMS stellen wir gerne […]

Kennze­ich­nung hoch” — für Ihr ISMS stellen wir gerne unsere […]

Kennze­ich­nung “Con­fi­den­tial” — für Ihr ISMS stellen wir gerne unsere […]

Ohne Kennze­ich­nung” — “ohne Klas­si­fizierung” — für Ihr ISMS stellen […]

Kennze­ich­nung “Streng Ver­traulich” — für Ihr ISMS stellen wir gerne […]

Unternehmen die sich nach ISO/IEC 27001 zer­ti­fizieren, oder ein […]

Kennze­ichung “Ver­traulich” — für Ihr ISMS stellen wir gerne unsere […]

Das Netz- und Infor­ma­tion­ssys­tem­sicher­heits­ge­setz — NISG (siehe Veröf­fentlichung) bet­rifft […]

Mit der ISO 27001 erhal­ten Unternehmen die Möglichkeit Ihre […]

Von |2019-11-13T19:29:02+01:0013.11.2019|Allgemein, Blog, ISMS Tools|

Über den Autor:

Andreas Schuster ist 47 Jahre alt und wohnt in Wien. Vor über 20 Jahren hat er sein Hobby die IT zum Beruf gemacht und arbeitet seit vielen Jahren in der Crypto-Branche. Seit 2015 unterstützt er das SEC4YOU Team. Sein technisches Interesse an allem das ein Kabel hat (exklusive Weißwaren...) bringt immer wieder spannende Blog-Inhalte. Besuchen Sie auch seinen Blog zu Verschlüsselung & IoT unter https://verschlüsselt.IT