Frameworks für das IT Management. Erste Auflage

Transkript

1 Frameworks für das IT Management Erste Auflage

2 5 ISO Managementsysteme für die Informationssicherheit ISO stellt ein Modell und eine detaillierte Anleitung zur Reduzierung der Gefährdung einer Organisation durch Risiken der Informationssicherheit zur Verfügung, was durch die Implementierung eines Informationssicherheits-Managementsystems (ISMS) geschieht. Organisationen werden im Laufe ihrer Lebensdauer im Umfeld ihres Unternehmens vielen sich verändernden Risikoprofilen der Informationssicherheit begegnen. Ein ISMS, das gemäß der ISO Reihe von Standards implementiert wurde, wächst durch geplante Pflege- und Verbesserungszyklen mit der Organisation mit. Copyrightinhaber: International Standards Organization (ISO): Ursprung/Geschichte: Die ISO Serie entstammt dem BS7799, einem britischen Standard, der aus dem User s Code of Practice (erstmals im Jahr 1989 veröffentlicht) des UK DTI CCSC (Commercial Computer Security Centre) abgeleitet wurde. Die letzte Version aus dem Jahre 1999 wurde als der internationale Standard für Management der Informationssicherheit ISO/IEC 17799:2000 angenommen, der im Jahr 2005 nach Überarbeitungen als ISO/ IEC 17799:2005 neu veröffentlicht wurde (es ist wahrscheinlich, dass er zum ISO/IEC werden wird). Wann: Letzte Version: 2005 Mitglieder des Komitees: International Standards Organization (ISO) Zertifizierungsinstitutionen: ISO Von Jon Hall 5.1 Ursprung/Geschichte Der Ursprung der ISO Reihe von Standards ist der BS7799, ein britischer Standard, der vom User s Code of Practice (erstmals im Jahr 1989 veröffentlicht) des UK DTI CCSC (Commercial Computer Security Centre) abgeleitet wurde. Der BS7799, im Jahr 1995 als BS7799:1995 veröffentlicht, wurde nach umfangreichen Überarbeitungen als BS7799:1999 neu herausgegeben. Nach kleineren Überarbeitungen wurde dieses Dokument als der internationale Standard für das Management der Informationssicherheit ISO/IEC 17799:2000 angenommen, der nach weiteren Überarbeitungen im Jahr 2005 als ISO/IEC 17799:2005 neu veröffentlicht wurde (es ist wahrscheinlich, dass er zum ISO/IEC werden wird). Ein zweiter Teil des Standards, BS7799-2, veröffentlicht im Jahr 1998, wurde hinzugefügt, um eine Richtlinie für die Neueinrichtung von sowie Anforderungen an ein Managementsystem der Informationssicherheit zur Verfügung zu stellen. Zur Angleichung mit anderen Managementsystem-Standards (ISO/IEC 9001:2000 and ISO/IEC 14001:1996) wurde

3 54 Frameworks für das IT Management der BS angepasst, um den Plan-Do-Check-Act-Zyklus (PDCA) einzufügen, der seine Reichweite auf die Etablierung, Implementierung, den Betrieb, die Überwachung, Überprüfung, Pflege und Verbesserung des Managementsystems für Informationssicherheit einer Organisation ausweitete. Dies wurde als BS7799-2:2002 veröffentlicht und wiederum nach einer weiteren Überarbeitung als vollwertiger internationaler Standard ISO/IEC 27001:2005 akzeptiert. Es gab ein interessantes Wechselspiel zwischen den beiden Teilen des Standards: obwohl als unterstützendes Dokument zum ursprünglichen Code of Practice eingeführt, wurde der zweite Teil des Standards schnell das Wichtigere der beiden Dokumente, der Richtlinien für den Aufbau und die Pflege des ISMS einer Organisation zur Verfügung stellte. Deshalb ist das, was Teil 2 war, nun ISO/IEC 27001, und das, was Teil 1 war, wird zum ISO/IEC Wo wird ISO eingesetzt? Ein Informationssicherheits-Managementsystem (ISMS) ist das Instrument, durch welches der Wert jedweder Informationsressource einer Organisation fortwährend geschützt wird. Das heutige Umfeld einer Organisation misst den Informationsressourcen, über die eine Organisation verfügt, einen hohen Wert bei. Es gibt wirtschaftliche Notwendigkeiten, diese Informationsressourcen zu teilen, so dass sie zu größtmöglichster Wertschöpfung genutzt werden können. Durch Regulierung, Gesetzgebung und den Schutz von Wettbewerbsvorteilen gibt es damit konkurrierende Kräfte, die den Schutz von Informationsressourcen fordern. 5.3 Beschreibung und Hauptgrafiken Die ISO Reihe von Standards würdigt, dass viele Facetten des Managements der Informationssicherheit durch die Implementierung und den Betrieb eines ISMS zum Ausdruck gebracht werden sollten: es gibt technische, menschliche, systemische, organisationale und gesellschaftliche Faktoren, von denen jeder zur Komplexität der Thematik beiträgt, und es ist ein differenzierter und ganzheitlicher Ansatz notwendig, um ein für den Zweck geeignetes System zu schaffen. ISO besteht aus zwei Teilen: 1. ISO 27001:2005, Informationstechnologie Sicherheitstechniken Managementsysteme für Informationssicherheit Anforderungen 2. ISO 17799:2005, Informationstechnologie Sicherheitstechniken Code of Practice für das Management der Informationssicherheit ISO 27001:2005 bietet einen Managementansatz für die Synthese eines Managementsystems für Informationssicherheit, das, gemessen an den Anforderungen an die Informationssicherheit und die Erwartungen aller beteiligten Parteien, für seinen Zweck geeignet ist. ISO 17799:2005 ist ein Code of Practice, der in Form von 11 Bereichen und 39 Sicherheitskontrollzielen organisiert ist, die jedes auf einen bestimmten Bereich der Informationssicherheit, dem sich eine Organisation gegenübersieht, gerichtet ist. Für jeden Bereich beschreibt der Code of Practice auf übergeordneter Ebene Ziele der Informationssicherheit und den Steuerungsmechanismus, durch den Risiken im Geltungsbereich des Planziels gehandhabt werden. Darüber hinaus ist eine Anleitung zur Implementierung enthalten.

4 ISO Managementsysteme für die Informationssicherheit 55 ISO 27001:2005 enthält eine Zusammenfassung von ISO 17799:2005 in seinem Anhang A. Sicherheitsbereich Zugriffssteuerung Asset Management Business Continuity Management Kommunikations- und Operations Management Konformität (Compliance) Personalsicherheit Incident Management der Informationssicherheit Beschaffung, Entwicklung und Wartung von Informationssystemen Organisation der Informationssicherheit Sicherheitsgrundsätze Übergeordnetes Ziel Zugriff auf Informationen steuern. Einen angemessenen Schutz der Ressourcen (Assets) der Organisation zu erreichen und aufrecht zu erhalten. Unterbrechungen von Geschäftsaktivitäten entgegenzuwirken und kritische Geschäftsprozesse vor den Folgen größerer Ausfälle der Informationssysteme sowie Katastrophen zu schützen und deren zeitnahe Wiederaufnahme sicherzustellen. Richtigen und sicheren Betrieb der informationsverarbeitenden Anlagen sicherstellen. Verletzungen von Gesetzen, gesetzlicher, regulativer oder vertraglicher Verpflichtungen sowie jedweder Sicherheitsanforderungen zu vermeiden. Sicherzustellen, dass Mitarbeiter, Lieferanten und weitere Anwender: ihre Verantwortlichkeiten und Haftbarkeiten vor, während und nach ihrer Beschäftigung verstehen; sich der Sicherheitsaspekte, welchen die Organisation sich gegenüber sieht, bewusst sind, und in der Lage sind, sie im Rahmen ihrer normalen Aufgaben zu handhaben; das Risiko von Diebstahl, Betrug, unsachgemäßer Nutzung von Anlagen und menschlichen Fehlern reduzieren. Sicherzustellen, dass informationssicherheitsrelevante Ereignisse und Schwachstellen von Informationssystemen: auf eine Weise kommuniziert werden, welche die zeitnahe Aufnahme von korrigierenden Maßnahmen erlaubt; auf eine einheitliche und effektive Weise gehandhabt werden. Sicherzustellen, dass Sicherheit ein integraler Bestandteil der technologischen Basis eingesetzter Informationssysteme ist. Die Informationssicherheit in der Organisation zu managen. Bereitstellung von Managementvorschriften und Unterstützung für die Informationssicherheit, die mit Geschäftsanforderungen und relevanten Gesetzen und Bestimmungen im Einklang stehen. Tabelle 5.1 Sicherheitsbereiche und Ziele auf allgemeiner Ebene 5.4 Ansatz/How-To Das Management der Informationssicherheit nach ISO wird durch die systematische Bewertung der Risiken, denen die Informationsressourcen der Organisation ausgesetzt sind, erreicht und mittels der Handhabung durch Steuerung der in den Systemen, Technologien und Medien existenten Schwachstellen, welche diese für gewöhnlich beinhalten, implementiert.

5 56 Frameworks für das IT Management Interessierte Parteien Plan Etabliere ISMS Interessierte Parteien Do Implementiere und betreibe das ISMS Pflege und verbessere das ISMS Act Anforderungen und Erwartungen an die Informationssicherheit Überwache und reviewe das ISMS Check Gemanagte Informationssicherheit Abbildung 5.1 Der PDCA-Zyklus (Quelle: BS ISO/IEC 27001:2005 BS :2005, BSI) ISO weist als seinen Hauptbestandteil den Plan-Do-Check-Act-Zyklus (PDCA) auf, um die iterative Schaffung, Entwicklung, Betrieb und Pflege des ISMS zu strukturieren. Der PDCA- Zyklus besteht, wie in Abbildung 5.1 gezeigt, aus den vier sich wiederholenden Phasen. Die Abbildung zeigt die Eingangsgrößen für den PDCA-Zyklus, welches die Anforderungen und Erwartungen an die Informationssicherheit der interessierten Parteien sind. Jede vollständige Iteration des PDCA-Zykluses schließt die Lücke zwischen diesen Anforderungen und Erwartungen und der Leistung des betriebenen ISMS. Gemäß den Guidelines for the Security of Information Systems and Networks 1 der Organization for Economic Co-operation and Development (OECD), sollten Organisationen einen umfassenden Ansatz für das Sicherheitsmanagement im Sinne eines Prozesses wählen, der die Vermeidung, Erkennung und Reaktion auf Störungen, fortlaufende Pflege, Bewertung sowie Audit des Systems einschließt und der für alle Grundsätze und betrieblichen Ebenen, welche die Sicherheit von Informationssystemen und netzwerken steuern, gilt. Mit dem PDCA-Zyklus bietet ISO 27001:2005 ein Framework des Managements der Informationssicherheit zur Implementierung der folgenden OECD-Prinzipien: Bewusstsein Verantwortlichkeit Reaktion Risikobewertung Sicherheitsentwurf und -Implementierung Sicherheitsmanagement erneute Bewertung Planung des ISMS ISO organisiert die Planung des Managementsystems der Informationssicherheit in vier Teilen. 1 Verfügbar unter

6 ISO Managementsysteme für die Informationssicherheit 57 Auf der organisationalen Ebene ist es die Vorbereitung der ISMS-Dokumentation, in welcher der Kontext, der Geltungsbereich des ISMS sowie die Grundsätze, gemäß derer es betrieben wird, festgehalten werden. Die Dokumentation ist die Schnittstelle des ISMS zur Geschäftsführung. Es sollte mit vollständiger Unterstützung der Führung entwickelt werden und deren Einstellung zum Management der Informationssicherheit widerspiegeln. Die ISMS-Dokumentation definiert: die Grundsätze der Informationssicherheit (Information Security Policy) der Organisation, die den Dokumentationsprozess einleitet, indem sie die allgemeine Richtung für die Informationssicherheit innerhalb der Organisation vorgibt die Eignungserklärung (Statement of Applicability), die den Dokumentationsprozess beschließt, indem sie die Implementierung des definierten ISMS durch die Organisation näher ausführt. Zwischen diesen beiden liegt die harte Arbeit der Entwicklung des ISMS. Die Anforderungen der Grundsätze der Informationssicherheit werden zuerst beschrieben, gefolgt von der Eignungserklärung. Die Grundsätze der Informationssicherheit Die Grundsätze der Informationssicherheit sollten eine eindeutige Erklärung über die Bekenntnis des Managements zur Informationssicherheit sowie zu dessen Zielsetzung enthalten, welches mit den wirtschaftlichen Zielen der Organisation und allen zutreffenden Vorschriften und Gesetzgebung vereinbar ist. Sie erklären kurz die im Laufe der Entwicklung des ISMS getroffenen Entscheidungen hinsichtlich Sicherheitsgrundsätzen, Prinzipien (einschließlich den OECD-Richtlinien), Standards, Konformitätsanforderungen (Compliance Requirements), organisationalem Lernen zu Sicherheit, Verantwortlichkeiten und Motivation, Business Continuity und dem Berichtswesen für Störungen. Sie geben Kriterien, anhand derer Sicherheitsrisiken für Informationsressourcen bewertet werden können, vor. Sie untermauern das ISMS und tragen zur Nachverfolgbarkeit und Wiederholbarkeit seiner Prozesse bei. Die Grundsätze der Informationssicherheit dokumentieren die Bedeutung der Informationssicherheit für die Organisation im Hinblick auf deren Grenzen, Kontext, Geltungsbereich und Sicherheitsziele. Sie sollte das Framework für die systematischen Herangehensweise der Organisation an die Risikobewertung ein Prozess zur Auswertung der Wahrscheinlichkeit und der Auswirkung einer Verletzung der Sicherheitsanforderungen einer Ressource definieren, einhergehend mit der Definition dessen, was ein akzeptables Risiko darstellt und wie inakzeptable Risiken entschärft werden sollten. Die Grundsätze der Informationssicherheit sollte auf gut verständliche Weise geschrieben werden und jenen bewusst gemacht werden, deren Verhalten in den Geltungsbereich des ISMS fällt, oder etwas allgemeiner, die davon betroffen sind. Ein externer Prüfer wird darüber hinaus aus den Grundsätzen der Informationssicherheit ein Verständnis der Bedeutung von Informationssicherheit für die Organisation im Sinne von Sicherheitsgrundsätzen, Prinzipien, Standards sowie Konformitätsanforderungen, die deren Herangehensweise an Informationssicherheit beeinflussen, erlangen wollen. Ein externer Prüfer wird ebenfalls wissen wollen:

7 58 Frameworks für das IT Management für den Umgang mit welchen gesetzlichen, regulativen und vertraglichen Anforderungen das ISMS entworfen wurde, wie das ISMS innerhalb der Organisation verbreitet werden wird, die Verantwortlichkeiten der involvierten Individuen und die Berichtsstrukturen für die Informationssicherheit betreffende Störungen, die Konsequenzen von Verletzungen der Grundsätze der Informationssicherheit. Review der Grundsätze der Informationssicherheit Die Grundsätze der Informationssicherheit werden einen Zeitplan für ein Managementreview der ISMS einschließlich den Grundsätzen selbst festlegen, um so sicherzustellen, dass Veränderungen im organisationalen Umfeld, der wirtschaftlichen Lage, der rechtlichen Auflagen oder des technischen Umfelds nicht dessen Eignung, Adäquanz und/oder Leistungsfähigkeit mindern. Ressourcen-Identifikation, Risikobewertung und Risikohandhabung Im Sinne des Standards zeichnet sich eine Organisation durch den Geschäfts- oder Servicebereich, in welchem sie angesiedelt ist, ihren Standort, ihre Ressourcen und ihre Technologie aus. Diese Variablen bedingen die Bedrohungen der Informationssicherheit, denen die Organisation sich gegenübersieht. Die Beziehung der geschützten Bereiche zum Rest der Organisation und dem Geschäftsumfeld bildet den Kontext des ISMS. Im Rahmen des Kontextes des ISMS legt der Anwendungsbereich des ISMS die Informationsressourcen, die einen Schutz gemäß dem ISMS benötigen, fest. Nach der Definition der Grundsätze der Informationssicherheit können drei Maßnahmen einsetzen, die in allen Einheiten der Organisation, die unter den Kontext und den Geltungsbereich des ISMS fallen, sequenziell vollzogen werden: Ressourcen-Identifikation Risikobewertung Risikohandhabung. Die Komponenten dieser separaten Phasen sind in Abbildung 5.2 zu sehen. Ressourcen-Identifikation Phase T.1: Identifizierung die gefährdeten Ressourcen. Für jede Ressource, die unter den Kontext und den Geltungsbereich des ISMS fällt, werden deren Sicherheitsanforderungen im Hinblick auf die Notwendigkeit, ihre Vertraulichkeit, Integrität und Verfügbarkeit zu bewahren analysiert. Jede Ressource sollte einem Eigner zugeordnet werden, in dessen Verantwortungsbereich die Informationssicherheit dieser Ressource fällt. Es sollte ein Ressourceninventar oder -verzeichnis aufgestellt und gepflegt werden, in welchem der Eigner, der Wert, Anforderungen an die Informationssicherheit (im Hinblick auf die Vertraulichkeit, Integrität und Verfügbarkeit) sowie die Speicherstelle erfasst werden; jegliche Prozesse, die diese Ressource schützen, sollten einschließlich dessen, was unter akzeptable Nutzung fällt, definiert werden.

8 ISO Managementsysteme für die Informationssicherheit 59 Ressourcen-Identifikation Phase T.1 Ressourcen-Identifikation Risikobewertung Phase T.2 Ermittlung der Bedrohungen Phase T.3 Identifizierung der Schwachstellen Phase T.4 Bewertung der Auswirkung einer Verletzung der Sicherheit Phase T.5 Bewertung der Risiken Phase T.6 Identifizierung und Bewertung von Möglichkeiten der Handhabung Risikohandhabung Phase T.7 Auswahl von Steuerungsmaßnahmen Abbildung 5.2 Prozess der Ressourcen-Identifikation, Risikobewertung und Risikohandhabung Risikobewertung Das Ziel der Risikobewertung ist die Identifizierung, Quantifizierung und Priorisierung der Risiken, so sie für die identifizierten Ressourcen zutreffen, um so mit der Herangehensweise der Organisation an Risiken, wie sie in den Grundsätzen der Informationssicherheit dokumentiert ist, im Einklang zu sein. Phase T.2: Analyse der Bedrohungen. Es sollte einen systematischen Ansatz zur Ermittlung der möglichen Bedrohungen der Informationsressourcen geben. Eine Bedrohung ist eine nicht immer eintretende Möglichkeit, die bezüglich der Verletzung einer Anforderung an die Informationssicherheit einer Informationsressource vorhanden ist.

9 60 Frameworks für das IT Management Phase T.3: Analyse der Schwachstellen. Eine Schwachstelle liefert einer Bedrohung einen Weg, um zu einem erfolgreichen Angriff auf die Ressource zu werden. Eine Schwachstelle ist eine Schwäche in der Verteidigung einer Ressource, die durch den Einsatz von Steuerungsmaßnahmen abgedeckt werden sollte. Phase T.4: Bewertung der Auswirkungen. Sollten die Anforderungen der Informationssicherheit einer Ressource durch einen erfolgreichen Angriff verletzt worden sein, wird der Ressource Schaden zugefügt werden. Für jede Anforderung der Informationssicherheit der Ressource sollte die Auswirkung der Verletzung bestimmt werden. Phase T.5: Bewertung des Risikos. Sollten die Anforderungen an die Informationssicherheit einer Ressource durch einen erfolgreichen Angriff verletzt worden sein, wird der Ressource ein Schaden zugefügt. Dieser kann anhand zweier Dimensionen charakterisiert werden: Auswirkung: die Kosten der Verletzung für die Organisation, basierend auf der Auswirkung des Schadens aus der vorangegangenen Phase Wahrscheinlichkeit: die Wahrscheinlichkeit eines erfolgreichen Angriffs Das Risiko für die Organisation ist das Produkt aus der Wahrscheinlichkeit und der Auswirkung. Phase T.6: Identifikation und Beurteilung von Möglichkeiten der Risikohandhabung. Von der, in den Grundsätzen der Informationssicherheit niedergelegten, erklärten Haltung gegenüber dem Risiko kann auf die akzeptablen Risiken für Informationsressourcen geschlossen werden. Darüber hinaus können für jene, deren Risiko nicht akzeptabel ist, die Möglichkeiten für die Risikohandhabung bestimmt werden. Die Alternativen sind: Vermeidung oder Überwälzung des Risikos: beispielsweise, indem die Ressource, für die das Risiko besteht, veräußert oder gegen das Risiko versichert wird selbstverständlich könnte eine Veräußerung unmöglich sein Steuerung des Risikos: das bedeutet, das Risiko für die Ressource zu senken, indem Maßnahmen ergriffen werden, um die Verwundbarkeit der Ressource abzubauen. In diesem Fall wird dem Risiko eine Prioritätsstufe für die Handhabung zugewiesen. Dokumente, die im Rahmen der Risikobewertung erstellt werden, sollten den Nachweis erbringen, dass jedes reale Risiko bewertet wurde, einhergehend mit einer Rechtfertigung des Ergebnisses Akzeptierung, Vermeidung, Überwälzung oder Steuerung einer jeden individuellen Bewertung. Risikohandhabung Phase T.7: Wahl von Steuerungszielen und Steuerungsmaßnahmen. Bei der Risikohandhabung wird für jedes priorisierte Risiko, für welche das Risiko gesenkt werden soll, die Wahl des Steuerungsziels vorgenommen: das Steuerungsziel sagt aus, wie die dem Risiko zugrunde liegende Schwachstelle geflickt werden soll. Für jedes Steuerungsziel wird eine Steuerungsmaßnahme (eine Gegenmaßnahme) welches dieses umsetzt, gewählt. Es gibt 39 Steuerungsziele und über 150 Steuerungsmaßnahmen, aus denen

10 ISO Managementsysteme für die Informationssicherheit 61 in ISO 27001:2005 gewählt werden kann. Steuerungsmaßnahmen sollten aus dieser Gruppe oder von anderer Stelle gewählt werden. Die Risiken sollten in der Reihenfolge ihrer Priorität behandelt werden. Als Teil der Auswahl der Steuerungsmaßnahme sollten im Sinne einer Überprüfung ein Wartungsplan sowie Kriterien festgelegt werden, anhand derer die Wirksamkeit der Steuerungsmaßnahme beurteilt werden kann. Das Management sollte die Ergebnisse der Ressourcen-Identifikation, Risikobewertung und Risikohandhabung abzeichnen; besondere Aufmerksamkeit muss der Bewertung der übrigen Risiken geschenkt werden. Die Ermächtigung des Managements für die Implementierung und den Betrieb des ISMS sollte angestrebt werden. Die Eignungserklärung Die Eignungserklärung dokumentiert formell: die bezüglich der Auswahl von Steuerungszielen und maßnahmen getroffenen Entscheidungen, samt einer Begründung, warum diese gewählt wurden; welche Steuerungsmaßnahmen derzeit implementiert sind und wirken; welche Steuerungsmaßnahmen des Standards nicht implementiert wurden, samt der Begründung einer jeden Entscheidung. Der Wortlaut der Eignungserklärung sollte für jede Steuerungsmaßnahme eine Beschreibung der Steuerungsanforderung sein, welche hinreichend detailliert ist, um einen unabhängigen Auditor in die Lage zu versetzen, zu verstehen, was zu tun die Organisation warum entschieden hat. Es kann darüber hinaus angebracht sein, Material zur Argumentation und der Hintergründe beizufügen; Verweise auf die zugrunde liegende Dokumentation, welche die Argumentationslinie/ Hintergründe enthält, sollten eingefügt werden Die Do-Phase Jetzt kann in die Do-Phase des PDCA-Zykluses eingetreten werden. Am Ende dieser Phase wird die Organisation ein ISMS implementiert haben, das die Risiken für kritische Informationsressourcen senkt. Hier wird die Theorie, welche in der Eignungserklärung ausgeführt wird, in die Praxis überführt. Um dies zu erreichen, wird die Organisation einen Plan zur Risikohandhabung formulieren und implementieren, der die angemessenen Managementmaßnahmen, Ressourcen, Verantwortlichkeiten und Prioritäten zum Management von Risiken der Informationssicherheit identifiziert, indem sie die in der serviceorientierten Architektur (SOA) gewählten Steuerungsmaßnahmen zur Erreichung der Steuerungsziele implementiert. Die Organisation wird festlegen müssen, wie sie die Wirksamkeit der Risikohandhabung verfolgen möchte. Dies geht in die Check-Phase des PDCA-Zyklus ein. Die Organisation wird Schulungs- und Awareness-Programme in allen Bereichen, welche die Implementierung der Steuerungsmaßnahmen berührt, durchführen müssen. Die Organisation wird Prozeduren und andere Steuerungsmaßnahmen implementieren, die in der Lage sind, die Aufdeckung von Sicherheitsvorfällen und die Reaktion auf Sicherheitszwischenfälle zu ermöglichen (siehe 5.4.3).

11 62 Frameworks für das IT Management Die Check-Phase Am Ende der Check-Phase wird dem Management ein Bericht über die Leistungsfähigkeit und die Zweckmäßigkeit des in Betrieb befindlichen ISMS (aus der Do-Phase) zur Überprüfung der Wirksamkeit des Systems vorgelegt. Die Prozessleistung des Systems wird anhand der ISMS-Grundsätze, der Ziele und nach einem Durchlauf des PDCA-Zyklus anhand praktischer Erfahrungswerte bezüglich des Verhaltens des Systems gemessen Die Act-Phase Nach dem Managementreview werden korrigierende und präventive Maßnahmen basierend auf den Ergebnissen des internen ISMS-Audits, dem Managementreview oder anderen relevanten Informationen vorgenommen, um eine kontinuierliche Verbesserung des ISMS zu erzielen (übernommen aus dem ISO 27001, Seite vi). 5.5 Relevanz für das IT Management Die ISO Reihe von Standards ist ein Schlüsselfaktor für das IT Management einer jeden Organisation. Durch den Standard wird der Wert der Informationen, die eine Organisation nutzt, gewürdigt. Viele dieser Informationsressourcen, die für eine Organisation von Wert sind, werden in IT-Systemen gespeichert, und viele der Schwachstellen, welche ihren Wert zu mindern drohen, existieren aufgrund von IT-Systemen. Tatsächlich werden viele der Maßnahmen, die zum Management der Risiken ergriffen werden, das IT Management betreffen. Das Management der Informationssicherheit ist jedoch nicht nur eine Sache des IT Managements, und es so zu behandeln wäre ein Fehler, da viele der Schwachstellen der Informationssicherheit, denen sich Organisationen gegenüber sehen, sich nicht in der IT-Infrastruktur, sondern auf der sozialen Seite des soziotechnischen Systems der Organisation befinden. Ressourcenidentifikation und die Schritte der Risikoeinschätzung sollten daher organisationsweit stattfinden. Auf der Seite der Risikosteuerung beeinflussen viele Steuerungsmaßnahmen das Management der IT, und deren Überprüfung und Pflege eine notwendige Komponente des ISMS werden sich genau im Rahmen dieser Funktion ereignen. 5.6 Stärken und Schwächen Die ISO Reihe von Standards stellt eine detaillierte Leitlinie für die Synthese eines zweckmäßigen Managementsystems für die Informationssicherheit, welches anhand des Risikoprofils der Organisation gemessen wird, zur Verfügung. Das System wird anhand von Durchläufen durch den PDCA-Zyklus aufgebaut, jeder Zyklus verbessert die Leistungsfähigkeit des Systems. Im Code of Practice für das ISMS gibt es eine außergewöhnliche Fülle von Leitlinien und der Umfang implementierter Systeme ist sehr gut. Es mag der Eindruck entstehen, dass der Fokus des Standards auf Vertraulichkeit, Integrität und Verfügbarkeit angesichts der Komplexität moderner Computersysteme recht beschränkt ist. Tatsächlich ist Vertraulichkeit, Integrität und Verfügbarkeit genau die richtige Ebene, um mit der Analyse der Informationssicherheitsbedürfnisse für eine Ressource zu starten; sie decken in

12 ISO Managementsysteme für die Informationssicherheit 63 ihrer Bandbreite die Notwendigkeit ab, aus einer Ressource innerhalb des Geltungsbereichs des ISMS möglichst großen Nutzen zu schlagen, und sie außerhalb des Geltungsbereichs knapp zu halten. Aspekte wie Authentifizierung sind tatsächlich Teil der Steuerungsmaßnahmen für Schwachstellen, welche die Anforderungen der Informationssicherheit für eine Ressource schützen. Eines der Hauptprobleme bei der Implementierung eines ISMS ist die beträchtliche Zahl von Ressourcen, die einer Organisation zur Verfügung stehen. Eine Größenordnung von tausend Ressourcen ist nicht ungewöhnlich; der Standard weist darauf hin, dass alle diese Ressourcen im Hinblick auf ihre Anforderungen der Informationssicherheit anhand jeder denkbaren Bedrohung beurteilt werden. Die große Zahl von Ressourcen/Bedrohungs-Kombinationen stellt eine große Herausforderung für den ersten Durchlauf durch den PDCA-Zyklus dar. Moderne Organisationen brauchen den Informationsaustausch mit Partnerorganisationen außerhalb ihrer eigenen, physischen Grenzen. Das Festlegen des Geltungsbereichs und des Kontextes des ISMS wird aufgrund der Möglichkeit schwierig, dass zwei oder mehr Organisationen ihm unterliegen sollen. Eine externe Bewertung aller beteiligten Organisationen gemäß dem Standard kann dieses Problem entschärfen und weiterhin wird die Vereinbarung einer relativ geringen Zahl von Details wie Informationssicherheitslevels helfen. 5.7 Querverweise/Beziehungen ISO ist sowohl eng (im Hinblick auf Dokumentstruktur und Absicht) an ISO 9001:2000 (ISO 9001:2000, Qualitätsmanagementsysteme Anforderungen) als auch an ISO 14001:2004 (Umweltmanagementsysteme Anforderungen mit Anleitung zur Nutzung) ausgerichtet. Die Absicht bei diesen Managementstandards besteht darin, die einheitliche und integrierte Implementierung und den Betrieb zu unterstützen, so dass ein einziges organisationales Managementsystem jedem dieser drei Standards genügen kann. 5.8 Links und Literatur Bücher und Artikel über ISO Calder, A. (2006). Information Security based on ISO 27001/ISO A Management Guide. Zaltbommel: Van Haren Publishing. ISO 17799:2005, Information technology Security techniques Code of practice for information security management. (2005). Genf: International Organization for Standardization. ISO 27001:2005, Information technology Security techniques Information Security management Systems Requirements. (2005). Genf: International Organization for Standardization Webseiten über ISO Weitere Informationen über die ISO Reihe von Standards ist über viele nationale Standardisierungsorganisationen abrufbar, zum Beispiel com für Großbritannien. Weitere Informationen über ISO-Standards im Allgemeinen.

13 IV Impressum Titel: Eine Veröffentlichung von: Redaktion: Verlag: Frameworks für das IT Management itsmf International Jan van Bon (Chefredakteur) Tieneke Verheijen (Redakteurin) Van Haren Publishing, Zaltbommel, ISBN(13): Auflage: Design und Layout: Druck: Originalversion in Englische Sprache Frameworks for IT Management Erste Ausgabe, erste Auflage, September 2006 Erste Ausgabe, zweite Auflage, November 2006 Deutsche Übersetzung: Erste Ausgabe, erste Auflage, September 2007 CO2 Premedia, Amersfoort - NL Wilco, Amersfoort - NL Für weitere Informationen über Van Haren Publishing senden Sie bitte eine an: info@vanharen.net Das itsmf International hat durch ihr International Publications Executive Sub Committee (IPESC), das sich aus einem Ausschuss von Mitgliedern globaler itsmf-landesverbände zusammensetzt, diesem Buch die formale Befürwortung des itsmf International zuteil werden lassen. itsmf International 2006 Alle Rechte vorbehalten. Kein Teil dieses Werkes darf in irgendeiner Form, sei es durch Druck, Fotokopie, Mikrofilm oder in einem anderen Verfahren ohne vorherige schriftliche Genehmigung des Verlages reproduziert oder verarbeitet, übersetzt, vervielfältigt oder verbreitet werden. Obwohl diese Veröffentlichung mit großer Sorgfalt zusammengestellt wurde, übernehmen weder die Autoren noch die Herausgeber oder der Verlag eine Haftung für Schäden, die infolge von eventuellen Fehlern oder Unvollständigkeiten in dieser Veröffentlichung entstehen. HINWEISE AUF EINGETRAGENE WARENZEICHEN PRINCE2, M_o_R and ITIL sind Registered Trade Marks und Registered Community Trade Marks des Office of Government Commerce und sind im U.S. Patent and Trademark Office registriert. CobiT ist ein eingetragenes Warenzeichen der/des Information Systems Audit and Control Association (ISACA)/IT Governance Institute (ITGI). Das PMBoK ist ein eingetragenes Warenzeichen des Project Management Institute (PMI). etom ist ein eingetragenes Warenzeichen des TeleManagement Forum.