Vorgaben von BSI und COBIT zur IT-Sicherheit PTI983 Management von Sicherheit Maik Schürer, Marek Kretzschmar Westsächsische Hochschule Zwickau (FH) 15. Juni 2010
Übersicht 1. Einleitung 2. Das COBIT-Framework 3. Vorgaben des BSI zur IT-Sicherheit 4. BSI und COBIT 2
Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 3
Einleitung: Warum IT-Sicherheit? Globale Vernetzung, zunehmende Verteilung von IT-Systemen, wachsende Mobilität sowie verstärkte Verwendung drahtloser Technologien erzeugen ständig neue Bedrohungsszenarien Entstehung von Wettbewerbsnachteilen für das Unternehmen durch Ausfall von IT-Systemen oder durch Datendiebstahl Handlungsverpflichtungen oder sogar Haftungsrisiken für Unternehmensführung aufgrund bestehender Rechtsvorschriften Ein Vorstand haftet persönlich, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt. ( 91 Abs. 2 KonTraG) [Grün2009] 4
Einleitung: IT im Unternehmen IT wird zur Unterstützung von Geschäftsprozessen benötigt IT hilft bei der Erreichung der Unternehmensziele bzw. macht dies überhaut erst möglich Informationen und die unterstützenden Technologien repräsentieren meist einen wertvollen Vermögensgegenstand Daraus ergeben sich auch Anforderungen an Sicherheit der Informationen Die IT soll helfen, die Unternehmensziele zu erreichen, was durch eine Struktur für Beziehungen und Prozesse besser gesteuert werden kann Stichwort: IT-Governance 5
IT-Governance Definition IT-Governance ist die Verantwortung von Führungskräften und Aufsichtsräten und besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Unternehmens-IT dazu beiträgt, die Organisationsstrategie und -ziele zu erreichen und zu erweitern. [COBIT4.0] S. 6 6
IT-Governance Was? Wozu? Wer? Wie? Eine Struktur für Beziehungen und Prozesse um eine Organisation dahingehend zu steuern, die Organisationsziele zu erreichen Stellt sicher, dass die Informationen und die damit verbundene Technologie des Unternehmens die Unternehmensziele unterstützt Verantwortung : Vorstand bzw. Geschäftsführung Einige Modelle und Initiativen: COSO, ITIL, COBIT MOF (Microsoft Operational Framework), SOF (Siemens Operational Framework) 7
Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 8
COBIT: Was ist COBIT? Control Objectives for Information and related Technology Weltweit verbreitetes und international standardisiertes Rahmenwerk und Best Practice Ansatz für die IT-Governance Integriert globale Standards wie z.b. ITIL, CMMI und ISO 17799 Wurde von gemeinnützigem, unabhängigen Institut ISACF, dem Forschungsinstitut der ISACA (Information Audit and Control Association) entwickelt 1996 erstmals veröffentlicht, 2005 wesentlich überarbeitet (v4.0) Aktuell: Version 4.1 (Stand 2010) Informationen: http://www.isaca.org/cobit 9
COBIT: Produkte Gegliedert in Produkte für drei Unternehmensebenen zur Unterstützung der Bereiche: Strategische Ebene (Geschäftsführung, Aufsichtsrat) z.b. Board Briefing on IT-Governance Unternehmens- und IT-Management z.b. Management Guidelines Fachbereiche Governance, Assurance, Control und Security z.b. IT-Governance Implementation Guide COBIT Quickstart COBIT Security Baseline (kostenpflichtig) 10
COBIT: Begriffe und Struktur Kontrollen (Controls, eigentlich Steuerung ) Konzepte, Verfahren, Praktiken und Organisationsstrukturen, welche eine angemessene Gewissheit verschaffen, dass die Geschäftsziele erreicht und unerwünschte Ereignisse verhindert bzw. erkannt und korrigiert werden Kontrollziele (Control Objectives) Aussagen zu einem gewünschten Resultat das mit Kontrollen erreicht werden soll IT-Ressourcen Personal, Informationen, Infrastruktur und Anwendungssysteme 11
COBIT: Begriffe und Struktur Die sieben Information Criteria: Qualitätsanforderungen 1. Effectiveness (Wirksamkeit, Effektivität) 2. Efficiency (Wirtschaftlichkeit, Effizienz) Sicherheitsanforderungen 3. Confidentiality (Vertraulichkeit) 4. Integrity (Integrität) 5. Availability (Verfügbarkeit) Anforderung an die Ordnungsmäßigkeit 6. Compliance (Regelkonformität) 7. Reliability (Zuverlässigkeit) Verschlüsselung Hash-Funktion 12
COBIT: Begriffe und Struktur Hierarchische Gliederung in drei Ebenen für das Management der IT-Ressourcen: Domänen, Prozesse, Aktivitäten Erste Ebene repräsentiert vier Domänen PO (Planung und Organisation) AI (Beschaffung und Einführung) DS (Betrieb und Unterstützung) ME (Überwachung und Beurteilung) Prozessmodell mit 34 Prozessen, aufgeteilt auf die Domänen Jeder Prozess enthält eine Abfolge von Aktivitäten 13
COBIT: Dimensionen Erweiterung der ersten Dimension (COBIT-Struktur) um Geschäftsanforderungen die Dimensionen (Information Criteria) Geschäftsanforderungen (Information Criteria) IT-Ressourcen IT-Prozesse Domänen Prozesse Aktivitäten Personal Informationen Infrastruktur Anwendungssysteme COBIT-Würfel (nach [Gol2006] S. ) 14
Geschäfts- und Governanceziele Themen ME Regelmäßige Beurteilung aller IT-Prozesse Einhaltung und Qualität der Kontrollen IT-Governance organisieren Monitoring & Evaluierung Information Information Criteria Effizienz Effektivität Vertraulichkeit Integrität Verfügbarkeit Compliance Zuverlässigkeit Themen PO Strategie und Taktik für die IT-Unterstützung Erfüllung der Geschäftsanforderungen Ausreichende Planung, Kommunikation und Steuerung Korrekte organisatorische und technische Infrastruktur Planung & Organisation Themen DS Delivery & Support Effektive Ablieferung benötigter Dienstleistungen Wirklich sicherer Betrieb inkl. Training Aufstellung von Unternehmensprozessen Effektive Datenverarbeitung durch Anwendungen IT-Ressourcen Daten Anwendungen Technologien Anlagen Personal Akquisition & Implementierung Themen AI Realisierung der IT-Strategie Lösungen identifiziert, entwickelt oder beschafft und implementiert Lösungen in den Geschäftsprozess integriert Änderung und Unterhalt von Systemen Gesamtübersicht über das COBIT Framework [Gol2006] 15
COBIT: Prozesse Jeder der 34 COBIT Prozesse besitzt Control Objectives (Kontrollanforderungen) ein übergeordnetes High Level Control Objective, als Wasserfallmodell dargestellt mehrere detaillierte Control Objectives (z.b. Prozess DS5 enthält elf detaillierte Kontrollanforderungen DS5.1 bis DS5.11) 17
COBIT: Prozesse Ein Prozess wird in vier Abschnitten gegliedert: 1. Prozessbeschreibung, High Level Control, Verknüpfung mit den Information Criteria, IT-Ressourcen und IT- Governance Domänen 2. Detaillierte Control Objectives 3. Prozessinputs- und Outputs, RACI-Charts, Ziele und Metriken 4. Reifegradmodell für den Prozess Jeder Prozess enthält eine Abfolge von Tätigkeiten (im RACI- Chart definiert), welche aus gegebenen Eingangsgrößen (Input) ein Ergebnis (Output) erzeugen 18
COBIT: Aktivitäten Aktivitäten werden mittels RACI-Chart dargestellt R Responsible Rollen A Accountable C Consulted I Informed Aktivitäten CEO Aktivität 1 I C A Aktivität 2 Aktivität n CFO Rollen sind für alle Prozesse gleich definiert CIO Projektbüro R I C I A R 19
COBIT: Reifegradmodelle Sind ein Bild davon, wie die IT im Unternehmen gemanagt wird Reifegrade als Profile für alle 34 Prozesse vorgegeben Grafische Darstellung des Reifegradmodells nach [COBIT4.0] 20
COBIT: Zusammenfassung Prozessinputs sind Informationen, die ein Prozesseigner von anderen benötigt Die Prozessbeschreibungen der Kontrollanforderungen beschreiben, was der Prozesseigner tun muss Der Prozessoutput beschreibt, was der Prozessverantwortliche zu liefern hat Die Ziele und Metriken zeigen, wie der Prozess gemessen werden soll Das RACI-Chart definiert, was an wen delegiert werden muss Das Reifegradmodell zeigt, was zur Verbesserung gemacht werden muss 21
COBIT: Navigation Verbindung zu den Information Criteria High Level Control Objective, als Wasserfallmodell dargestellt Domänenzuordnung Verbindung zu IT- Gouvernance IT_Ressourcen [COBIT4.0] 22
COBIT: IT-Sicherheitsprozesse Prozesse, die mit sicherheitsrelevanten Information Criteria verbunden sind: PO (Planung und Organisation): PO2 Definiere die Informationsarchitektur (Integrität, Vertraulichkeit) PO9 Beurteile und Manage IT-Risiken (Vertraulichkeit, Integrität und Verfügbarkeit) AI (Beschaffung und Einführung): Nur sekundäre Verbindungen einiger Prozesse 23
COBIT: IT-Sicherheitsprozesse DS (Betrieb und Unterstützung): DS4 Stelle den kontinuierlichen Betrieb sicher (Verfügbarkeit) DS5 Stelle Security von Systemen sicher (Vertraulichkeit, Integrität) DS11 Manage Daten (Integrität) DS12 Manage die physische Umgebung (Integrität, Verfügbarkeit) DS13 Manage den Betrieb (Integrität,Verfügbarkeit) ME (Überwachung und Beurteilung): Nur sekundäre Verbindungen einiger Prozesse 24
Beispiel: Prozess DS5 High Level Control Objective DS5 Ensure Systems Security (Stelle Security von Systemen sicher) Die Notwendigkeit, die Integrität von Informationen zu erhalten sowie die ITbezogenen Vermögenswerte zu schützen, erfordert einen Security Management- Prozess. Dieser Prozess umfasst die Erstellung und Aufrechterhaltung von Rollen, Verantwortlichkeiten, Richtlinien, Standards und Verfahren für die IT-Sicherheit. Security Management umfasst ebenfalls die Überwachung und den periodischen Test sowie die Umsetzung korrektiver Maßnahmen für erkannte Schwachstellen oder Vorfälle. Wirksames Security Management schützt alle IT-bezogenen Vermögenswerte, um die Auswirkungen auf das Kerngeschäft durch Schwachstellen oder Vorfälle zu minimieren. 25
Bsp. DS5 Ensure Systems Security Verknüpfung des Prozesses DS5 mit den Information Criteria P Primäre Verbindung S Sekundäre Verbindung [COBIT4.0] S.131 Verknüpfung mit IT-Ressourcen 26
Bsp. DS5 Ensure Systems Security Kontrolle über den IT-Prozess Ensure Systems Security (Stelle Security von Systemen sicher) der die Anforderung des Unternehmens an die IT bezüglich der Aufrechterhaltung der Integrität von Informationen und der Infrastruktur der Informationsverarbeitung und der Minimierung der Auswirkungen von Sicherheitsschwachstellen und Incidents durch die Konzentration auf die Festlegung von IT-Sicherheitsrichtlinien, Verfahren und Standards sowie die Überwachung, Erkennung, Berichterstattung und Lösung von Sicherheitsschwachstellen und -Incidents, zufrieden stellt, wird erreicht durch - Verstehen der Sicherheitsanforderungen, -schwachstellen und -Incidents - Management von Benutzerkennungen und -berechtigungen in standardisierter Art - Regelmäßiges Testen der Sicherheit und gemessen durch - Anzahl der Vorfälle die dem Ruf des Unternehmens in der Öffentlichkeit schaden - Anzahl der Systeme, die den Sicherheitsanforderungen nicht entsprechen - Anzahl der Verstöße gegen die Funktionstrennung 27
Bsp. DS5 Ensure Systems Security Kontrollanforderungen, auf die sich die Kontrolle bezieht: DS5.1 Management der IT-Sicherheit Manage die IT-Sicherheit auf der höchstmöglichen organisatorischen Ebene, so dass das Management von sicherheitsrelevanten Aktivitäten in Einklang steht mit den Unternehmensanforderungen. DS5.2 DS5.3 DS5.4 DS5.5 DS5.6 DS5.7 IT-Sicherheitsplan Identitätsmanagement Management von Benutzerkonten Testen, Beobachtung und Überwachung der Sicherheit Definition von Security Incidents Schutz von Sicherheitseinrichtungen 28
Bsp. DS5 Ensure Systems Security DS5.8 Verwaltung kryptographischer Schlüssel DS5.9 Schutz vor sowie Erkennung und Beseitigung von bösartiger Software DS5.10 Netzwerk-Sicherheit DS5.11 Austausch sensitiver Daten Stelle sicher, dass sensitive Transaktionsdaten nur über einen vertrauenswürdigen Pfad oder ein Medium ausgetauscht werden mit (den notwendigen) Maßnahmen, um die Authentizität des Inhalts, den Beweis der Aufgabe und des Empfangs und Nichtabstreitbarkeit der Quelle zu bieten 29
Bsp. DS5 Ensure Systems Security Prozess-Inputs von DS5 Prozess-Outputs von DS5 30
Bsp. DS5 Ensure Systems Security RACI-Chart zu DS5 aus [COBIT4.0] 31
Bsp. DS5 Ensure Systems Security Ziele und Metriken zu DS5 aus [COBIT4.0] 32
COBIT: Authentizität Authentizität ist vor allem in zwei COBIT-Prozessen ein entscheidendes Thema: DS5 Ensure Systems Security (Stelle Security von Systemen sicher) DS11 Manage Data (Manage Daten) 33
COBIT: Weitere Publikationen COBIT online http://www.controlit.org ISCA http://www.isca.org IT-Governance-Portal http://www.itgi.org 34
Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 35
BSI Definition Bundesamt für Sicherheit in der Informationstechnik (BSI) ist zentraler IT- Sicherheitsdienstleister des Bundes Sensibilisiert für Unternehmenssicherheit bietet Informationen und Dienstleistungen für Privatanwender und Unternehmen zum Schutz von IT-Landschaften IT Governance COBIT BSI COBIT&BSI 36
Sicherheit - Wozu Gesetzliche Verpflichtung Vorstand verantwortlich: Ein Vorstand haftet persönlich, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt ( 91/ 93 AktG) Datenschutzgesetze Verbraucherschutzgesetze IT Governance COBIT BSI COBIT&BSI 37
Sicherheit - Wozu Vorteile für das Unternehmen [Leitf09] Wettbewerbsvorteil Zuverlässigere Arbeiter Kostenersparnis Bekannte Vorfälle [Grün2009] Befragung des Kriminalamtes in Schleswig- Holstein: Von 2000 Unternehmen 39% Angriffsopfer Erheblicher Teil mit Datenverlusten IT Governance COBIT BSI COBIT&BSI 38
Sicherheit - Wozu Verbreitung von Angriffsmethoden in deutschen und schweizerischen Unternehmen (Quelle: BSI) IT Governance COBIT BSI COBIT&BSI 39
Sicherheit Herausforderungen steigende Komplexität [IT-Kat09, S14] Steigender Vernetzungsgrad IT-Verbreitung und Durchdringung Verschwinden von Netzgrenzen Angriffe kommen schneller Höhere Interaktion von Anwendungen Verantwortung der Nutzer IT Governance COBIT BSI COBIT&BSI 40
Sicherheit - Probleme geringes Sicherheitsbewusstsein Fehlende Ressourcen Knappe Budgets Vielzahl an Bedrohungen Vielzahl an Sicherheitslösungen Sicherheit ist Prozess IT Governance COBIT BSI COBIT&BSI 41
Sicherheit Lösung (1) Risikoanalyse Ziel: Erstellung eines Sicherheitskonzeptes Ermittlung schützenswerter Objekte Untersuchung der Bedrohungen / Schadensausmaß Erarbeitung Notwendiger Maßnahmen Teuer, da externe Sicherheitsfirma notwendig IT Governance COBIT BSI COBIT&BSI 42
Sicherheit Lösung (2) Selbstständiger Aufbau einer Sicherheitsorganisation mittels IT- Grundschutz des BSI BSI bietet verschiedene Hilfen Informationen Schulungen Zertifizierung IT Governance COBIT BSI COBIT&BSI 43
BSI IT-Grundschutz IT-Grundschutz bietet eine einfache Methode, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Das BSI stellt zahlreiche Werkzeuge zur Verfügung, um ein angemessenes Sicherheitsniveau zu erreichen. [bsi.de] jährlich aktualisiert praxisorientiert technikorientiert (im Gegensatz zu COBIT/ITIL) IT Governance COBIT BSI COBIT&BSI 44
BSI IT-Grundschutz Leitfaden IT-Sicherheit 50 Seiten Broschüre für kleine und mittlere Institutionen mit beschränkten finanziellen und personellen Möglichkeiten leicht überschaubaren Einstieg in die Thematik Veranschaulichung von Gefahren durch Praxisbeispiele Überblick über die wichtigsten IT- Sicherheitsmaßnahmen IT Governance COBIT BSI COBIT&BSI 45
Szenario: Kein Backup Eine Anwaltskanzlei betreibt ein kleines Netz mit einem zentralen Server, auf dem alle Daten gespeichert werden. Der Server enthält ein Bandlaufwerk, auf das in regelmäßigen Abständen eine Sicherungskopie gespeichert wird. Der Administrator bewahrt die Sicherungsbänder in einem verschlossenen Schrank in seinem Büro auf. Als eines Tages der Server durch einen Festplattendefekt ausfällt, sollen die Daten vom Sicherungsband wieder eingespielt werden. 46
Szenario: Kein Backup Dabei stellt sich jedoch heraus, dass das Bandlaufwerk offenbar bereits längere Zeit defekt war und gar keine Daten auf die Sicherungsbänder geschrieben hatte. Das einzige noch funktionstüchtige Sicherungsband ist mehr als fünf Jahre alt. Alle Daten der letzten Jahre sind damit verloren. Der Administrator hat bei der Planung der Datensicherung eine weitere potentielle Gefahr übersehen: Selbst wenn das Bandlaufwerk funktioniert hätte, wären bei einem Feuer oder ähnlichen Katastrophen neben den Originaldaten auch die Sicherungsmedien in seinem Schrank mit vernichtet worden! 47
Szenario: Kein Backup Maßnahmen regelmäßige Überprüfung der Backup-Bänder Rücksicherung prüfen und üben Lagerung von Sicherungsbändern außerhalb der eigenen Büroräume, beispielsweise in einem Bankschließfach aus [Leitf09] 48
BSI IT-Grundschutz IT-Gundschutz-Standards (ca. 250 Seiten): Umsetzung der ISO 2700x Vorgaben Methoden, Prozesse, Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit 1. Anforderungen an ein Managementsystem für Informationssicherheit (MSIS) 2. Schritt für Schritt Anleitung, wie ein MSIS in der Praxis aufgebaut und betrieben werden kann 3. Standards zur Risikoanalyse 4. Aufbau eines Notfallmanagements IT Governance COBIT BSI COBIT&BSI 49
BSI IT-Grundschutz IT-Grundschutz-Katalog Umfangreiche Sammlung von konkreten Anleitungen, auf die sich die Grundschutz- Standards beziehen 4100 Seiten beinhalten Baustein-, Maßnahmenund Gefährdungskataloge Anpassbar an eigene IT-Umgebung einfach und arbeitsökonomisch IT Governance COBIT BSI COBIT&BSI 50
BSI IT-Grundschutz Katalog beschreibt detailliert Standard- Sicherheitsmaßnahmen, die für jedes IT-System zu beachten sind "normaler" Schutzbedarf z.b. Ärzte/Banken: gesonderte Anforderungen Baukastenprinzip Bausteine spiegeln typische Abläufe von Geschäftsprozessen und Bereiche des IT-Einsatzes jeder Baustein: zu erwartende Gefährdungslage beschrieben Grundlage für spezifisches Maßnahmenbündel IT Governance COBIT BSI COBIT&BSI 51
BSI IT-Grundschutz Katalog Bausteine B 1: Übergreifende Aspekte der Informationssicherheit B 2: Sicherheit der Infrastruktur B 3: Sicherheit der IT-Systeme B 4: Sicherheit in Netzen B 5: Sicherheit in Anwendungen Folgt Schichtenmodell je tiefer, desto detaillierter IT Governance COBIT BSI COBIT&BSI 52
BSI IT-Grundschutz Katalog Gefährdungskataloge G 1: Höhere Gewalt G 2: Organisatorische Mängel G 3: Menschliche Fehlhandlungen G 4: Technisches Versagen G 5: Vorsätzliche Handlungen IT Governance COBIT BSI COBIT&BSI 53
BSI IT-Grundschutz Katalog Maßnahmenkataloge M 1: Infrastruktur M 2: Organisation M 3: Personal M 4: Hard- und Software M 5: Kommunikation M 6: Notfallvorsorge IT Governance COBIT BSI COBIT&BSI 54
BSI IT-Grundschutz Katalog Weitere Einteilungen der Maßnahmen: Bearbeitungsphase (z.b. Beschaffung, Betrieb) Qualifizierungsstufe (essentiell, Zusätzlich, nur für Zertifizierung) Abschluss der Maßnahme Prüffragen (Checklisten) Basis für Revision und Zertifizierung IT Governance COBIT BSI COBIT&BSI 55
BSI Beispiel - Gefahren B 3.208 Internet-PC Höhere Gewalt: G 1.2 Ausfall von IT-Systemen Organisatorische Mängel: G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern Menschliche Fehlhandlungen: G 3.38 Konfigurations- und Bedienungsfehler Vorsätzliche Handlungen: G 5.1 Manipulation oder Zerstörung von Geräten/Zubehör G 5.21 Trojanische Pferde IT Governance COBIT BSI COBIT&BSI 56
BSI Beispiel - Maßnahmen B 3.208 Internet-PC Planung und Konzeption M 2.235 Richtlinien für die Nutzung von Internet-PCs M 5.66 Verwendung von TLS/SSL Umsetzung M 5.91 Einsatz von Personal Firewalls für Internet-PCs M 5.98 Schutz vor Missbrauch kostenpfl. Einwahlnummern Notfallvorsorge M 6.79 (A) Datensicherung beim Einsatz von Internet-PCs IT Governance COBIT BSI COBIT&BSI 57
BSI Beispiel - M 5.59 Schutz vor DNS- Spoofing Verantwortlich für Initiierung: Leiter IT, IT- Sicherheitsmanagement Verantwortlich für Umsetzung: Administrator Gefahr durch DNS-Spoofing besteht dann, wenn eine Authentisierung anhand eines Rechnernamens durchgeführt wird. Eine hostbasierte Authentisierung, d. h. Rechte werden anhand eines Rechnernamens oder IP- Adresse gewährt, sollte durch eine der folgenden Konfigurationen (auch in Kombination) erschwert werden: 1. Es sollten IP-Adressen, keine Hostnamen verwendet werden. 2. Wenn Hostnamen verwendet werden, sollten alle Namen lokal aufgelöst werden (Einträge in der Datei /etc/hosts) [ ] IT Governance COBIT BSI COBIT&BSI 58
BSI Beispiel - M 5.59 Schutz vor DNS- Spoofing Ergänzende Kontrollfragen: Wird eine Zugriffssteuerung anhand von Rechnernamen durchgeführt? Falls ja: Welche Methode zum Schutz vor DNS- Spoofing wird eingesetzt? IT Governance COBIT BSI COBIT&BSI 59
BSI IT-Grundschutz Möglichkeit der Zertifizierung: Nachweis der Organisation über Sicherheitsstandards BSI bietet ISO 27001-Zertifizierung auf Basis von IT-Grundschutz Cobit richtet sich nach ISO 27002, somit erfüllt IT-Grundschutz Cobit-Kriterien Keine Zertifizierung, sondern Richtlinie IT Governance COBIT BSI COBIT&BSI 60
Einleitung Das COBIT-Framework Vorgaben des BSI zur IT-Sicherheit BSI und COBIT 61
BSI und COBIT Themenblöcke, zu dem ein Sicherheitsframework vorgaben machen muss: Schutz von Daten Sicherheitsmanagement IT-Betrieb IT-Systeme Verankerung der IT-Sicherheit im Unternehmen Service Management IT Continuity 62
IT-Sicherheitsrichtline Drei-Ebenen-Modell Grundlegende Policy Hauptdokument IT Sicherheitsmanagement Organisationshandbuch Richtlinie zum Datenschutz Datensicherungskonzept Ergänzende themenbezogene Richtlinien - Arbeitsanweisungen - Prozessbeschreibungen - System- und Anwendungsdokumentationen operative Dokumente 63
IT-Sicherheitsrichtline Inhalt einer Datenschutzrichtlinie: Absicht der Richtlinie Rollen und Verantwortliche Prozesse und Ausnahmebehandlungen Ansatz zur Compliance Referenzen zu Maßnahmen und Verfahren Standards Anleitungen 64
Beispiel: Schutz von Daten Primäres Thema: Schutz von Unternehmens-, Mitarbeiter- und Kundendaten vor Verlust oder Veränderung Zielvorgaben durch COBIT in den Domains Planung & Organisation (PO) Delivery & Support (DS) Monitoring & Evaluation (ME) PO ME DS AI 66
Beispiel: Schutz von Daten PO - Planung und Organisation Klassifikationsschema als Basis für Controls einrichten (z.b. öffentlich, vertraulich, geheim) Richtlinien Unterstützung der IT-Strategie entwickeln und unterhalten Inhalt Absicht der Richtlinie Rollen und Verantwortliche Prozesse zur Ausnahmebehandlung Referenzen zu Verfahren, Standards u. Anleitungen ME PO DS AI 67
Beispiel: Schutz von Daten Domäne DS - Delivery und Support Regelung der Zugriffsberechtigung Festlegung von Benutzerberechtigungen Benutzerkennungen Benutzerkontenverwaltung PO ME AI DS Techn. Sicherheitsmaßnahmen Vollständige Verfügbarkeit von relevante Daten Verfahren für Datenspeicherung und -archivierung 68
Fazit Die Kombination aus strategischer Prozesssteuerung nach COBIT und taktischer Maßnahmenvorgabe durch BSI Grundschutz bildet eine umfangreiche Basis für die Erstellung einer maßgeschneiderten Unternehmens-Policy zur IT- Sicherheit. Ein Beispiel eines solchen Regelwerkes ist in Das IT-Gesetz: Compliance in der IT-Sicherheit [Grün2009] zu finden 69
Quellen [Gol2006] Goltsche, Wolfgang: COBIT kompakt und verständlich, Vieweg Verlag, Wiesbaden, 2006, ISBN 978-3-8348-0141-8 [Grün2009] Ralf-T. Grünendahl, Andreas F. Steinbacher, Peter H.L.Will: Das IT-Gesetz: Compliance in der IT-Sicherheit, Vieweg+Teubner, Wiesbaden, 2009, ISBN 978-3-8348-0598-0 70
Quellen [COBIT4.0] IT Governance Institute / KPMG: COBIT 4.0 Deutsche Ausgabe (COBIT 4.0 Deutsch.pdf) 2005 IT Governance Institute [COBIT4.1] IT Governance Institute: COBIT 4.1 Framework, Control Objectives, Management Guidelines, Maturing Models (COBIT_4.1_English.pdf, www.isaca.org/cobit) 71
Quellen [Leitf09] Bundesamt für Sicherheit in der Informationstechnik: Leitfaden Informationssicherheit, Bundesanzeiger-Verlag, 2009 [IT-Kat09] Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kataloge 11. Ergänzungslieferung, Bundesanzeiger-Verlag, 2009, ISBN 978-3-88784-915-3 72