| |
|
|
|
|
| |
Newsletter
02/08 | rt-solutions.de |
|
|
|
| |
|
|
|
|
Risiken im Griff? –
Risikoorientierte Steuerung der Informationssicherheit nach ISO 27001
Informations- oder IT-Sicherheit sind nun
schon seit geraumer Zeit ein Dauerthema. Viele Unternehmen haben in
dieser Zeit mit erheblichem Aufwand verschiedene Generationen
von Sicherheitstechnik zum Einsatz gebracht und durchaus
umfängliche Sicherheitsrichtlinien erlassen. Dennoch
blieben Fragen offen, die nunmehr zu einer Revision und
Neuausrichtung der Herangehensweise an das Thema führen.
Warum ein ISMS?
Aus unserer Erfahrung wird diese
Neuausrichtung häufig durch Fragen wie die folgenden
motiviert:
- Ergeben die bisher zum Einsatz gebrachten
Sicherheitslösungen ein in sich schlüssiges
Gesamtkonzept,
das den Sicherheitsanforderungen des Unternehmens und den
tatsächlichen Risiken angemessen ist?
- Entspricht das eigene
Vorgehen anerkannten Standards und Best Practices?
- Wie ist der aktuelle
Stand
der Schutzmaßnahmen und wie die aktuelle Risikolage?
Lässt
sich beides messen und knapp und klar der Unternehmensleitung oder
externen Prüfern kommunizieren?
- Wie können
ressourceneffizient aber dennoch fundiert Meldverpflichtungen in
konzernweite Risikomanagementprozesse erfüllt werden?
- Wie kann die
Maßnahmenauswahl systematisch, transparent, nachvollziehbar
und
effizient erfolgen und zwar so, dass eine angemessene
Sicherheit
dauerhaft erreicht wird?
Den Kontext für
diese und weitere Fragen bildet die zunehmende Bedeutung, die die
Einhaltung rechtlicher
Vorgaben für die Informationssicherheit gewinnen, und damit verbunden die Notwendigkeit, das Vorhandensein effektiver
Maßnahmen nachweisen
zu müssen. Aus ähnlichen Gründen werden
vermehrt Risikomanagementsysteme in den Unternehmen installiert, in die
auch die IT-Risiken zu melden sind. Die nachhaltige Ausrichtung der IT
an den Geschäftszwecken und die Unterstützung der
Geschäftsprozesse durch die Bereitstellung sicherer
Dienste wird vermehrt als eine Managementaufgabe wahrgenommen, die nur
durch geeignete Lenkungsprozesse dauerhaft erfüllt werden
kann.
Was ist ein ISMS?
Informationsicherheits-Managementsysteme
(Information Security
Management Systems) bieten solche Lenkungsprozesse auf Grundlage von
anerkannten Best Practices (ISO 27001 und 27002), so dass sich die oben
genannten Fragestellungen auf dem Boden bestehender Erfahrungen und
nach dem aktuellen Stand der Technik adressieren lassen.
Ein Information Security Management
System (ISMS) ist ein System von Managementprozessen zur
Steuerung aller Maßnahmen der Informationssicherheit mit dem
Ziel, dauerhaft eine den Geschäftszielen, den
Sicherheitsanforderungen und der Risikobereitschaft eines Unternehmens
angemessene Informationssicherheit zu erreichen und zu erhalten.
Sicherheitsanforderungen schließen dabei auch Anforderungen
aus gesetzlichen, aufsichtsrechtlichen und vertraglichen
Verpflichtungen mit ein. ISMS sind im ISO Standard 27001 beschrieben,
der auch eine Zertifizierung ermöglicht. Prozesse sind
dabei, wie auch in COBIT oder der ISO 9000, nach dem Lebenszyklusmodel
(auch Plan-Do-Check-Act/PDCA) organisiert und beschreiben die
Planung, Umsetzung, Messung, Beobachtung
und kontinuierliche
Verbesserung und Anpassung der Informationssicherheit.
Die Maßnahmenauswahl erfolgt
nach einem
risikomanagementbasierten Ansatz, der Risiken systematisch
identifiziert und bewertet. Die bewerteten
Risiken bilden die Grundlage für die Auswahl und
Priorisierung der Sicherheitsmaßnahmen. Sie
ermöglichen eine Einschätzung des Nutzwertes der
Sicherheitsmaßnahmen und die Darstellung der Sicherheitslage
in
Form von Kennzahlen. Die Auswahl der
Sicherheitsmaßnahmen erfolgt auf Basis von Best Practices.
Die Zugrundelegung von Best
Practices bietet dabei den Vorteil, existierende Erfahrungen
für das Unternehmen nutzbar zu machen, die
Vollständigkeit der Betrachtung zu erhöhen und
rechtlichen
Anforderungen an eine nach anerkannten Methoden genügende
Informationssicherheit gerecht zu werden.
Da dem ISMS das Prinzip der kontinuierlichen Verbesserung zu Grunde
liegt, sind nach der Auswahl der Maßnahmen das Management
der Maßnahmenumsetzung, die Definition von
Kenngrößen zur Bewertung der Maßnahmeneffektivität, sowie die
Etablierung
von Prozessen zur Behandlung von Sicherheitsvorfällen
wesentliche
Kernpunkte eines ISMS. Ingesamt ergibt sich
durch die Identifizierung und Bewertung der Risiken, die
Überwachung der Maßnahmenumsetzung, durch
Leistungsindikatoren und die Auswertung von
Sicherheitsvorfällen ein System von
Kenngrößen, das die Steuerung des
Sicherheitsprozesses
ermöglicht und dessen Status und Entwicklung messbar macht.
Da interne und externe
Überprüfungen integraler Bestandteil des
ISMS sind, wird von Anfang an eine geeignete
Dokumentation und Belegbarkeit von Prozessen, Entscheidungen, Maßnahmen des ISMS
mitberücksichtigt; eine Herangehensweise, die sich vor allem
auch bei externen Audits als lohnend erweist. Es gilt aber
grundsätzlich, dass die Formulierung und Festlegung
überprüfbarer und belegbarer Maßnahmen,
immer auch die Maßnahmenumsetzung und -einhaltung positiv
beeinflussen wird.
ISMS in der Praxis
In der Praxis ist wesentlich, die Prozesse so zu entwickeln, dass ihre
Durchführung handhabbar und kontrollierbar ist. Dies bedeutet
zum einen,
dass der Aufwand der Durchführung die für das ISMS
verfügbaren Ressourcen nicht
überschreiten darf. Zum anderen müssen die organisatorische
Gestaltung, Befugnisse und verfügbaren Ressourcen auch eine
Kontrolle und Durchsetzung der Maßnahmenumsetzung
erlauben. Der erste Schritt hierfür ist die Wahl
eines
geeigneten
„Geltungsbereich“ für das ISMS. Nicht immer ist hier
die umfassendste Lösung die beste. Ein kleinerer aber
handhabbarer und kontrollierbarer Gegenstand erhöht oft die
Erfolgsaussichten und damit auch letztendlich die Chance einer
konfliktfreien Umsetzung. Ein geeigneter Geltungsbereich hängt u.a. von
folgenden
Faktoren ab:
- Von der
Organisationstruktur des Konzerns und den damit verbunden
Verantwortlichkeiten und Weisungsstrukturen,
- von den zur
Verfügung stehenden Ressourcen,
- von der
Unterstützung des Managements, was sich zum einen
auf die verfügbaren Ressourcen bezieht, zum anderen aber auch
auf die Unterstützung bei der Durchsetzung von
Maßnahmen und der Zuordnung von Verantwortlichkeiten und
- von der Struktur der
IT-Landschaft und den
Informationsflüssen, weil der betrachtete Gegenstand gegen
nicht betrachtete Teile abgegrenzt
und auch geschützt werden muß.
Für die
Handhabbarkeit der Prozesse ist weiterhin ein geeigneter
Abstraktionsgrad der Betrachtung wichtig.
Beispielsweise werden Risikoanalysen typischerweise nicht auf der
Ebene einzelner Informationswerte, sondern auf der Basis von Klassen
oder Gruppen von Informationswerten durchgeführt, um so zu
einer überschaubaren Anzahl betrachteter Werte zu kommen.
Schließlich ist eine Integration in
bestehende Prozesse und ein Rückgriff auf bestehende
Datenbestände und Applikationen von großer Bedeutung
für die Effizienz der Umsetzung. Beispielsweise wird
für die Inventarisierung der Informationswerte oft auf
bestehende Inventare aus der
Vermögensverwaltung, dem Configuration Management oder der
IT-Architekturplanung zurückgegriffen; aus bestehenden
Managementsystemen z.B. zur Qualitätssicherung sind u.U.
schon Prozesse zur Strukturierung und Lenkung von Dokumenten vorhanden;
Auditfunktionen und -prozesse sind häufig bereits schon
vorhanden und schließlich wurden wie oben erwähnt in
den Unternehmen oft in den letzten Jahren Prozesse zum Management von
Risiken etabliert. Die Integration in solche Prozesse stellt auch
sicher, dass Ergebnisse des ISMS, z.B. das Risikoinventar, in anderen
Prozessen wie dem konzernweiten Risikomanagement wiederverwendet
werden
können und dass durch die Verwendung bereits etablierter
Begrifflichkeiten, z.B. der Skalen der
Risikobewertung, Prozesse und Ergebnisse einfacher kommunizierbar sind.
Die Einhaltung rechtlicher Vorgaben wird durch die Einführung
eines ISMS in mehrfacher Weise unterstützt. Die
Maßnahmenauswahl erfolgt systematisch und belegbar auf
der Grundlage anerkannter Best Practices. Risiken
werden bewertet
und gemanagt. Die Identifizierung rechtlicher Anforderungen und der
daraus folgenden Sicherheitsmaßnahmen sind Bestandteil des
ISMS,
wie auch die regelmäßige
Überprüfung der Maßnahmenumsetzung und
-effektivität. Ebenso werden Dokumentationsanforderungen von
Anfang an berücksichtigt. Zu beachten ist, dass externe
Prüfer teilweise
bevorzugt auf alternative Prüfstandards
zurückgreifen. Namentlich findet bei
Wirtschaftsprüfern häufig COBIT Anwendung, etwa im
Kontext
von SAS 70-Audits. Bei der Entwicklung der
Prozesse des ISMS sollten daher auch die Vorgaben von COBIT mit zu
Rate gezogen werden, so dass die resultierenden Verfahren auch
Prüfungen gegen diese Standards standhalten.
Fazit
ISMS stellen für die Neuausrichtung der
Informationssicherheit im Unternehmen ein Werkzeug dar, das
Lenkungsprozesse für die strategische
Ausrichtung und die
Erreichung der Sicherheitsziele bietet, die Einhaltung rechtlicher
Anforderungen unterstützt und ein wichtiges Werkzeug
für das Management von Risiken darstellt. Als internationale
und anerkannte Standards sind die ISO 27001 und 27002 bei gelungener Anpassung
an die jeweilige Organisation dabei sowohl für
mittelständische Unternehmen als auch
für weltweit agierende Konzerne die geeignete Wahl. In der
praktischen Umsetzung ist es wichtig Geltungsbereich, Prozesse,
Verantwortlichkeiten und Maßnahmen auf das jeweilige
Unternehmen genau zuzuschneiden und eine gute Integration mit
bestehenden Managementsystemen, Prozessen und Werkzeugen zu erreichen.
Das einfache Überstülpen einer vorgefertigten
Musterlösung wird in der Umsetzung letztendlich scheitern.
Standardkonform und integriert wird ein ISMS jedoch zu einer
effizienten Verwendung der verfügbaren Mittel zur Erreichung
der Sicherheitsziele erheblich beitragen.
Über
rt-solutions.de
rt-solutions.de ist ein international agierendes High-Tech Unternehmen,
das 2000 von erfolgreichen Wissenschaftlern und Unternehmern mit dem
Ziel gegründet wurde, leistungsfähige Netzwerke und
sichere IT- Infrastrukturen als Basis für Ihre
Unternehmensprozesse zu realisieren. Wir bieten hochqualifizierte und
motivierte Mitarbeiter und die Kompetenz anerkannter Fachleute aus
Forschung und Praxis mit nahezu 20-jähriger Berufserfahrung.
Unser Leistungsportfolio umfasst Security Consulting, Application
Performance Engineering und Advanced Wireless in den
Anwendungsszenarien Office, Automation und VoIP.
|
| |
|
Dr.-Ing. Stefan Schemmer (schemmer@rt-solutions.de)
• rt-solutions.de GmbH • Oberländer Ufer
190a • 50968 Köln • Tel.: +49 (0)221/93724.0
Fax: +49 (0)221/93724.50 • http://www.rt-solutions.de
|
|
|