In diesem Artikel gehe ich auf das ISMS Scoping gemäß ISO 27001, TISAX® und KRITIS ein.
Abhängig von der Grundlage, gibt es anerkannte Best Practices, Leitfäden und/oder konkrete Vorgaben, die zwingend eingehalten werden müssen und die ich im Folgenden benenne.
ISO 27001
Das ISACA Germany Chapter hat einen umfassenden Implementierungsleitfaden für die ISO/IEC 27001:2022 veröffentlicht, der sich speziell an Organisationen richtet, die bereits ein Informationssicherheitsmanagementsystem (ISMS) gemäß dieser internationalen Norm betreiben oder die Einführung eines solchen planen. Dieser Leitfaden zeichnet sich durch seine praxisnahen Empfehlungen und detaillierten Anweisungen aus, die Unternehmen dabei unterstützen, die komplexen Anforderungen der ISO/IEC 27001 effektiv zu erfüllen.
Im Zusammenhang mit dem Geltungsbereich eines ISMS, einem wesentlichen Teil der ISO 27001 Implementierung, betont der Leitfaden die Wichtigkeit einer genauen Definition. Der Geltungsbereich eines ISMS, oft als ISMS Scope bezeichnet, ist entscheidend, da er den Anwendungsbereich des ISMS innerhalb der Organisation festlegt. Er bestimmt, welche Unternehmensbereiche, Informationen, Standorte, Vermögenswerte und Technologien vom ISMS umfasst werden. Eine präzise und umfassende Festlegung des ISMS Scope ist unerlässlich, um sicherzustellen, dass alle relevanten Teile des Unternehmens angemessen geschützt sind.
In diesem Kontext führt der Leitfaden folgendes aus:
3.1 Context of the Organization
Eine der ersten Aufgaben bei der Implementierung eines ISMS ist die Festlegung des konkreten Anwendungs- bzw. Geltungsbereichs (engl.: scope) des Managementsystems sowie die Durchführung einer Anforderungs- und Umfeldanalyse im Hinblick auf die Organisation und deren Stakeholder. Durch die Berücksichtigung des Kontexts der Organisation kann eine Organisation sicherstellen, dass ihre Informationssicherheitsmaßnahmen an ihre spezifischen Bedürfnisse und Umstände angepasst und somit effektiv sind. ISO/IEC 27001 fordert daher von Organisationen, dass sie den Kontext der Organisation sorgfältig analysieren und in ihre Informationssicherheitsplanung und -umsetzung einbeziehen.
Festlegung des Geltungsbereichs
Der Geltungsbereich muss laut Norm dokumentiert vorliegen und beschreibt den Umfang des ISMS innerhalb eines Unternehmens, d. h., er legt die Grenzen fest und definiert, welche Assets (Prozesse, Geschäftsbereiche, Standorte, Anwendungen etc.) sich innerhalb und welche sich außerhalb des Geltungsbereichs befinden.
Die Identifizierung des Geltungsbereichs wird üblicherweise mithilfe einer Umfeld- und Anforderungsanalyse durchgeführt.
Das Scope-Dokument ist im Wesentlichen ein Dokument für die Stakeholder des Managementsystems und sollte bei entsprechender Aufforderung für diese bereitgestellt werden, da die Stakeholder, z. B. Kunden, nur so prüfen können, ob die für sie relevanten Prozesse, Infrastrukturen, Themen oder Anforderungen durch das ISMS abgedeckt sind.
In der Praxis verweisen Organisationen bei Anfragen oft auf evtl. vorhandene ISO/IEC-27001-Zertifikate, die dann – bei genauerer Betrachtung – oftmals gar nicht für die Anfrage relevant bzw. hinreichend sind, da der angefragte Prozess nicht oder nur teilweise durch das ISMS abgedeckt ist. Zur Vermeidung böser Überraschungen sollte daher zusätzlich zu einem Zertifikat immer das Scope-Dokument bzw. eine genaue Beschreibung des Geltungsbereichs angefordert werden.
Ein weiteres relevantes Dokument zur Darstellung des Scopes und des Umfangs eines ISMS ist die normativ geforderte Erklärung zur Anwendbarkeit (engl.: Statement begründeten Entscheidungen zur Umsetzung der Maßnahmen (engl.: controls) aus Annex A dokumentiert, d. h., ob die jeweilige Maßnahme innerhalb des ISMS zur Anwendung kommt oder nicht, inklusive der jeweiligen Begründung für die Anwendung oder die Nichtanwendung.
Es ist üblich, dass in der Information Security Policy (Informationssicherheitsleitlinie) der Scope zumindest grob umrissen wird. Im Gegensatz zum Scope-Dokument sind die Security Policy und das SoA in der Regel interne Dokumente und nicht für die Weitergabe an externe Parteien vorgesehen. Allerdings sollte im Rahmen von Dienstleisterbeziehungen und ggf. Dienstleisteraudits auf die genaue Scope-Definition und die Inhalte des SoA geachtet werden.
Umfeldanalyse
Die Umfeldanalyse dient der Einordnung des ISMS in das Gesamtumfeld für den betreffenden Scope. Sie sollte neben den für das ISMS relevanten organisatorischen und technischen Schnittstellen insbesondere auch branchentypische bzw. standorttypische Gegebenheiten beschreiben. Hierbei müssen sowohl das Umfeld im Innenverhältnis, z. B. andere Managementsysteme (ISO 9001:2015, ISO 22301:2019 etc.), Schnittstellen zu anderen wichtigen Abteilungen wie Risikomanagement, Personalabteilung, Datenschutz, Facility-Management, Revision und Recht, falls nicht Bestandteil des vorliegenden Geltungsbereichs, sowie das Umfeld im Außenverhältnis, z. B. wichtige Lieferanten und Dienstleister, strategische Partner und ggf. andere Organisationen, betrachtet werden.
Anforderungsanalyse
Die für das Managementsystem verantwortlichen Personen benötigen einen klaren Überblick darüber, welche Interessengruppen (engl.: stakeholder) existieren und welche Anforderungen diese an die Organisation und das Managementsystem haben. Die Anforderungen interessierter Parteien können gesetzliche und amtliche Vorgaben (z. B. EU-DSGVO, UWG, TMG, Regulierungsbehörden), aber z. B. auch vertragliche Verpflichtungen beinhalten. Die Organisation selbst (oder evtl. eine in der Hierarchie übergeordnete Organisation) könnte ebenfalls über Entscheidungs- und/oder Richtlinienkompetenzen verfügen, was entsprechend zu beachten ist.
Erfolgsfaktoren aus der Praxis
Da die Festlegung des Geltungsbereichs der erste und entscheidende Schritt für den Aufbau und Betrieb eines ISMS ist, sollte diese Phase besonders sorgfältig durchgeführt werden. Das Verständnis des Kontexts ist die Grundlage für alle weiteren Handlungen (z. B. Aufbau und Ablauf der Risikoanalyse, Organisationsstruktur, Definition von Arbeitspaketen und deren Priorisierung, Projektplanung) und ist zudem auch betriebswirtschaftlich eine wesentliche Voraussetzung zur Abschätzung der Machbarkeit und des Aufwands (Ressourcen, Budget, Zeit) für den Aufbau und späteren Betrieb des ISMS.
In ISO 31000:2018, Abschnitt 5.4.1 »Understanding the organization and its context« werden Listen angeboten, mit denen die Vollständigkeit der Darstellung erreicht werden kann.
Der notwendige Detaillierungsgrad zur Definition des Geltungsbereichs ergibt sich in der Regel aus den internen und externen Anforderungen an die Informationssicherheit der Organisation. Es hat sich in der Praxis als hilfreich erwiesen, die vom ISMS maßgeblich betroffenen Bereiche ausreichend detailliert im Geltungsbereich zu beschreiben, da diese Beschreibung ein wichtiges Steuerungswerkzeug darstellt und bei Strategieentscheidungen und (späteren) Abstimmungen relevant sein wird.
Die gemäß Abschnitt 4.2 der Norm erforderliche Identifikation der Interessengruppen (und deren Anforderungen) ist in jedem Fall sorgfältig und umfassend durchzuführen, denn nur so können klare Ziele und Inhalte des ISMS festgelegt und der bestmögliche Nutzen erreicht werden. Beispiele für Interessengruppen sind: Eigentümer, Anteilseigner, Aufsichtsrat, Betriebsrat, Regulierungsbehörden bzw. Gesetzgeber, Kunden, Klienten, Lieferanten bzw. Zulieferer, Dienstleister, Angestellte etc.
Als Basis der Erhebung relevanter interner und externer Anforderungen können u. a. Business-Pläne, Verträge sowie Vorgaben von Aufsichtsbehörden und Gesetzgebern zu den betroffenen Geschäftsprozessen dienen. Dies wird in der Praxis oft durch eine Compliance- bzw. IT-Compliance- Funktion wahrgenommen, die bei der Erhebung der Anforderungen unterstützen kann.
Anforderungen an die Dokumentation
Gemäß ISO/IEC 27001:2022 bestehen folgende Mindestanforderungen an die Dokumentation:
Geltungsbereich des ISMS (Abschnitt 4.3)
Erklärung zur Anwendbarkeit (Abschnitt 6.1.3 d)
Übersicht aller relevanten gesetzlichen, regulatorischen und vertraglichen Anforderungen, die einen Einfluss auf die Informationssicherheitsstrategie und das ISMS haben (Abschnitt 18.1)
Übersicht aller für den konkreten Geltungsbereich des ISMS relevanten Interessengruppen (Stakeholder)
Darüber hinaus hat sich in der Praxis folgendes Dokument als zielführend etabliert:
Schnittstellenvereinbarungen zwischen dem ISMS-Geltungsbereich und den das ISMS unterstützenden internen Bereichen (zur Sicherstellung, dass die Zusammenarbeit mit dem internen Bereich in Übereinstimmung mit ISO/IEC 27001:2022 und den relevanten IS-Anforderungen der Organisation erfolgt). Beispiel: Schnittstellenvereinbarungen mit dem Personalbereich.
Referenzen
SO/IEC 27001:2022 – Abschnitte 4.3 und 6.1.3 ISO/IEC TR 27023:2015 ISO 22301:2019 ISO 31000:2018 ISO 9001:2015
TISAX® (Trusted Information Security Assessment Exchange)
Im Kontext der Informationssicherheit bietet die ISO 27001 Unternehmen eine große Flexibilität bei der Definition ihres Informationssicherheitsmanagementsystems (ISMS). Doch wenn wir den Blick von der ISO 27001 auf TISAX® richten, stoßen wir auf eine andere Herangehensweise. TISAX® ist ein Standard speziell für die Automobilindustrie und besitzt eine konkrete Vorgabe für den Prüf-Scope, der im Umkehrschluss den minimal Scope des ISMS für die Unternehmen vorgibt. Dies stellt eine signifikante Abweichung von der flexiblen Gestaltung des ISMS Scopes dar, wie sie bei der ISO 27001 möglich ist.
In diesem Kontext führt das TISAX® Teilnehmerhandbuch folgendes aus:
"4.3.2. Der TISAX-Prüf-Scope TISAX-Teilnehmerhandbuch (Linkdatum 04.12.2023)
“Im zweiten Schritt des TISAX-Prozesses führt einer unserer TISAX-Prüfdienstleister die Informationssicherheitsprüfung durch. Er muss wissen, wo er anfangen und wo er aufhören soll. Deshalb müssen Sie einen „Prüf-Scope“ (Scope = Umfang; Assessment scope) definieren.
Der „Prüf-Scope“ beschreibt den Umfang der Informationssicherheitsprüfung. Einfach ausgedrückt ist jeder Teil Ihres Unternehmens, der mit vertraulichen Informationen Ihres Partners umgeht, Teil des Prüf-Scopes. Sie können ihn als ein wesentliches Element der Aufgabenbeschreibung des Prüfdienstleisters betrachten. Er gibt vor, was der Prüfdienstleister zu prüfen hat.
Der Prüf-Scope ist aus zwei Gründen wichtig:
Ein Prüfergebnis erfüllt nur dann die Anforderungen Ihres Partners, wenn der jeweilige Prüf-Scope alle Teile Ihres Unternehmens umfasst, die mit Informationen Ihres Partners umgehen.
Ein genau definierter Prüf-Scope ist eine wesentliche Voraussetzung für aussagekräftige Kostenkalkulationen durch unsere TISAX-Prüfdienstleister.
Wichtiger Hinweis
ISO/IEC 27001 vs. TISAX
Zunächst müssen wir zwischen zwei Arten von Scopes unterscheiden:
dem Scope Ihres Informationssicherheitsmanagementsystems (ISMS) und
dem Scope der Prüfung.
Diese beiden sind nicht unbedingt identisch.
Für die ISO/IEC 27001-Zertifizierung definieren Sie den Scope Ihres ISMS (im „Scope-Statement“). Bei der Definition des Scopes Ihres ISMS sind Sie völlig frei. Der Scope der Prüfung (auch „Audit-Scope“ genannt) muss jedoch mit dem Scope Ihres ISMS identisch sein.
Für TISAX müssen Sie ebenfalls Ihr ISMS definieren. Der Scope der Prüfung kann jedoch unterschiedlich sein.
Bei der ISO/IEC 27001-Zertifizierung können Sie den Scope der Prüfung durch die Art und Weise, wie Sie den Scope Ihres ISMS definieren, frei gestalten.
Im Gegensatz dazu ist bei TISAX der Scope der Prüfung vordefiniert. Der Scope der Prüfung kann kleiner sein als der Scope Ihres ISMS. Er muss aber innerhalb des Scopes Ihres ISMS liegen.”
4.3.2.2. Standard-Scope TISAX-Teilnehmerhandbuch (Linkdatum 04.12.2023)
“Die Beschreibung des Standard-Scope ist die Grundlage für eine TISAX-Prüfung. Andere TISAX-Teilnehmer akzeptieren nur Prüfergebnisse, die auf der Beschreibung des Standard-Scope basieren.
Die Beschreibung des Standard-Scope ist vordefiniert und kann nicht von Ihnen geändert werden.
Einen Standard-Scope zu haben hat für Sie den bedeutenden Vorteil, dass Sie sich keine eigene Definition überlegen müssen.
Dies ist die Beschreibung des „Standard scope“ (Version 2.0):
Der TISAX Scope definiert den Umfang der Prüfung. Die Prüfung umfasst alle Prozesse, Verfahren und beteiligte Ressourcen, die unter der Verantwortung der zu prüfenden Organisation stehen und die für die Sicherheit der in den genannten Prüfzielen definierten Schutzobjekte und deren Schutzziele an den aufgeführten Standorten relevant sind. Die Prüfung wird mindestens im höchsten Assessment-Level durchgeführt, das in einem der aufgeführten Prüfziele gefordert ist. Alle in den aufgelisteten Prüfzielen geforderten Kriterien sind Gegenstand der Prüfung.
Wir empfehlen dringend, den Standard-Scope zu wählen. Alle TISAX-Teilnehmer akzeptieren die Ergebnisse der Informationssicherheitsprüfung auf Basis des Standard-Scopes.”
Vorschlag für den Mindestumfang des ISMS Scopes bei TISAX®:
Der ISMS-Scope umfasst alle Prozesse, Verfahren und beteiligte Ressourcen der Mustermann GmbH an folgenden Standorten:
Mustermann GmbH
Musterstrasse 1
12345 Musterstadt
Wenn das ISMS-Scope-Dokument des Unternehmens diese Vorgabe setzt und sie nicht unterschreitet, kann die weitergehende Beschreibung des Scopes den Best Practices, wie z.B. dem Implementierungsleitfaden des ISACA Germany Chapters, folgen.
Hinsichtlich des Prüfumfangs ist ferner zu beachten, dass das Unternehmen den folgenden Hinweis aus dem Handbuch nicht ignorieren und vollständig erfüllen sollte:
Ein Prüfergebnis erfüllt nur dann die Anforderungen Ihres Partners, wenn der jeweilige Prüf-Scope alle Teile Ihres Unternehmens umfasst, die mit Informationen Ihres Partners umgehen.TISAX® ist eine eingetragene Marke der ENX Association. Die AUDIT MANUFAKTUR steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt.
Wahl des Geltungsbereiches bei Kritischen Infrastrukturen (KRITIS)
Auch im Kontext von KRITIS gibt der Prüfumfang den Mindestumfang des ISMS-Scopes vor. Für eine erfolgreiche Prüfung, die die gesetzlichen Vorgaben erfüllt, ist eine sorgfältige und präzise Bestimmung sowie Beschreibung des Geltungsbereichs erforderlich. Dieser Prozess benötigt eine tiefgehende Analyse und Bewertung verschiedener Aspekte, um sicherzustellen, dass alle relevanten informationstechnischen Systeme, Komponenten und Prozesse, die zur Kritischen Infrastruktur gehören, umfassend berücksichtigt werden. Die folgenden Ausführungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zielen darauf ab, die grundlegenden Prinzipien und Methoden zu erläutern, die für eine adäquate Definition und Darstellung des Geltungsbereiches in der Prüfungsvorbereitung unerlässlich sind:
Wahl des Geltungsbereiches
Informationen zur Wahl des Geltungsbereiches (Linkdatum 04.12.2023)
"Insbesondere ist die Überprüfung, ob der Geltungsbereich richtig gewählt wurde, für die Eignung des Nachweises sehr wichtig. Der Prüfer muss sich hierzu die Prüffrage stellen, ob die Wahl des Geltungsbereiches korrekt ist und auch vollständig die informationstechnischen Systeme, Komponenten und Prozesse umfasst, die zu der zu überprüfenden Anlage der Kritischen Infrastruktur gehören, sowie diejenigen, die auf die Kritische Infrastruktur Einfluss haben.
Dabei muss der Prüfer den Geltungsbereich unter den Prüfaspekten
der Funktionsfähigkeit der kritischen Dienstleistung,
der Eignung und Erforderlichkeit und
der Vollständigkeit bewerten und überprüfen.
Die Beschreibung der Anlage und der zugehörigen Teile der kritischen Dienstleistung muss nachvollziehbar sein und in ihren Merkmalen mit der registrierten Anlagenkategorie übereinstimmen. Der Geltungsbereich muss grafisch dargestellt und, soweit zum Verständnis erforderlich, schriftlich beschrieben werden. Die grafische Darstellung soll eine schnell zu erfassende Übersicht darstellen, während die textuelle Beschreibung diese Übersicht mit der nötigen Tiefe an Informationen ergänzt. Sollten Abhängigkeiten oder Schnittstellen zu außerhalb des Geltungsbereiches liegenden Bereichen oder Systemen bestehen, müssen diese in der grafischen Übersicht erkennbar sein und nachvollziehbar beschrieben werden. Gleiches gilt für Teile der kritischen Dienstleistung, die durch Dritte im Auftrag des Betreibers erbracht werden.
Ist die Darstellung des Geltungsbereiches in eine Darstellung eines größeren Bereiches oder Gesamtnetzes eingebettet, müssen die Grenzen des Geltungsbereiches klar kenntlich gemacht sein.
Netzstrukturplan
Zentrales Element der grafischen Darstellung ist der Netzstrukturplan. In seiner Funktion als Übersicht muss er alle Bereiche der Kritischen Infrastruktur abbilden, sowie Kommunikationsschnittstellen und Abhängigkeiten nach außen aufzeigen. Aus ihm muss hervorgehen, inwiefern einzelne Elemente für die kritische Dienstleistung relevant sind. Die Wahl eines passenden Abstraktionsniveaus ist hierfür unerlässlich. Insbesondere erfasst der Netzstrukturplan alle Systeme, Komponenten und gegebenenfalls Applikationen, die maßgeblich für die Funktionsfähigkeit der kritischen Dienstleistung sind. Zugehörige Prozesse können im Netzstrukturplan erfasst oder separat dargestellt werden. In jedem Fall muss aber eine Zuordnung zwischen Prozessen und zugehörigen notwendigen IT-Systemen, Komponenten und Applikationen möglich sein. Hier ist zudem wichtig, dass die Interaktion der wesentlichen Komponenten miteinander und mit Dritten deutlich wird.
Ähnliche Objekte sollten sinnvoll zu Gruppen zusammengefasst werden, damit der Netzstrukturplan übersichtlich bleibt.
Objekte können dann ein und derselben Gruppe zugeordnet werden, wenn die Objekte alle
vom gleichen Typ sind,
ähnliche Aufgaben haben,
ähnlichen Rahmenbedingungen unterliegen und
den gleichen Schutzbedarf aufweisen.
Falls die Systeme, Komponenten oder sonstige Bereiche der Kritischen Infrastruktur auf mehrere Standorte verteilt sind, muss der Geltungsbereich diese Aufteilung widerspiegeln und die Standorte konkret benennen. Ebenso muss er die Anbindungen zwischen den Standorten darstellen. Ausgelagerte Teile der kritischen Dienstleistung müssen im Geltungsbereich erkennbar sein, ebenso wie die verwendeten Kommunikationsschnittstellen. Zu ihnen zählen auch Wartungsschnittstellen, sofern sie dauerhaft freigeschaltet sind.
Das bedeutet, dass im Netzstrukturplan zumindest die folgenden Schnittstellen dargestellt werden müssen:
Kommunikationsschnittstellen zu externen Netzen
Kommunikationsschnittstellen zu Netzen anderer Standorte
Wartungsschnittstellen, so sie dauerhaft freigeschaltet sind
Schnittstellen zu ausgelagerten Teilen der Dienstleistung
Für den Fall, dass Elemente des Netzstrukturplans zur Verbesserung der Übersichtlichkeit durch Symbole dargestellt werden, müssen die verwendeten Elemente in einer Legende erläutert werden. Auch für die Anforderungen an die Darstellung des Geltungsbereiches durch einen Netzstrukturplan kann für eine bessere Übersicht auf eine Listenform zurückgegriffen werden.
Anforderungen an die Beschreibung und Darstellung des Geltungsbereiches
G01: Die Anlage ist erkennbar und nachvollziehbar beschrieben.
G02: Die vom Betreiber erbrachten Teile der kDL sind erkennbar und nachvollziehbar beschrieben.
G03: Die Darstellung enthält alle wesentlichen Merkmale der Anlagenkategorie.
G04: Alle für die kDL maßgeblichen Prozesse sind erfasst.
G05: Alle für die kDL maßgeblichen Systeme, Komponenten und ggf. Applikationen sind erfasst.
G06: Alle Bereiche der KRITIS gehen aus dem eingereichten Geltungsbereich hervor.
G07: Die Grenzen des Geltungsbereiches sind klar erkennbar.
G08: Die Schnittstellen zu außerhalb des Geltungsbereich liegenden Prozessen, Systemen, Komponenten und ggf. Applikationen sind erkennbar und nachvollziehbar beschrieben.
G09: Die Abhängigkeiten zu außerhalb des Geltungsbereich liegenden Prozessen, Systemen, Komponenten und ggf. Applikationen sind erkennbar und nachvollziehbar beschrieben.
G10: Durch Dritte betriebene Teile der KRITIS sind erkennbar und nachvollziehbar beschrieben.
G11: Der Geltungsbereich ermöglicht eine Zuordnung zwischen Prozessen und zugehörigen notwendigen Systemen, Komponenten und ggf. Applikationen.
G12: Der Geltungsbereich ist in einem Netzstrukturplan dargestellt.
G13: Zum Verständnis notwendige schriftliche Ergänzungen zum Netzstrukturplan wurden vorgenommen.
Anforderungen an die Darstellung des Geltungsbereiches durch einen Netzstrukturplan
N01: Der Netzstrukturplan bietet einen Überblick über den Geltungsbereich.
N02: Alle maßgeblichen Systeme, Komponenten und ggf. Applikationen sind dargestellt.
N03: Das Abstraktionsniveau ist passend gewählt worden.
N04: Die Relevanz einzelner Elemente des Netzstrukturplans für die kDL ist ersichtlich.
N05: Alle Kommunikationsschnittstellen nach außen sind dargestellt.
N06: Wartungsschnittstellen sind abgebildet, sofern sie dauerhaft freigeschaltet sind.
N07: Der Netzstrukturplan gibt eine ggf. existierende Aufteilung in Standorte wieder.
N08: Die IT-Anbindungen verschiedener Standorte zueinander sind dargestellt.
N09: Ausgelagerte Dienstleistungen sind dargestellt.
N10: Funktionale Bezeichnungen und Legenden liegen nötigenfalls vor und sind verständlich."
