Frameworks für das IT Management. Erste Auflage



Ähnliche Dokumente
Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

ISMS Teil 3 Der Startschuss

ITIL & IT-Sicherheit. Michael Storz CN8

Dieter Brunner ISO in der betrieblichen Praxis

BCM Schnellcheck. Referent Jürgen Vischer

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Information zur Revision der ISO Sehr geehrte Damen und Herren,

The AuditFactory. Copyright by The AuditFactory

Managementbewertung Managementbewertung

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit

Informationssicherheit als Outsourcing Kandidat

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

9001 weitere (kleinere) Änderungen


Änderung der ISO/IEC Anpassung an ISO 9001: 2000

Referent: Mathias Notheis Kontakt:

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Übungsbeispiele für die mündliche Prüfung

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Änderungen ISO 27001: 2013

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

IT-Governance und COBIT. DI Eberhard Binder

SDD System Design Document

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Vorlesung Hochschule Esslingen IT-Winter School 2013

Herzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe Klaus Dolch

Georg Grzonka. Prozesse im Unternehmen strukturieren und darstellen. - Leseprobe -

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Technische Aspekte der ISO-27001

Informations- / IT-Sicherheit Standards

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

IT-Revision als Chance für das IT- Management

Leseauszug DGQ-Band 14-26

Safety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx /09/2012

IT-Grundschutz nach BSI 100-1/-4

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Mit prozessorientiertem Qualitätsmanagement zum Erfolg - Wer das Ziel kennt, wird den Weg finden -

2008 Nokia. Alle Rechte vorbehalten. Nokia, Nokia Connecting People und Nseries sind Marken oder eingetragene Marken der Nokia Corporation.

Anleitung zum DKM-Computercheck Windows Defender aktivieren

Wir organisieren Ihre Sicherheit

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Management von Beschwerden und Einsprüchen

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

Entwurf. Anwendungsbeginn E DIN EN (VDE ): Anwendungsbeginn dieser Norm ist...

Software-Validierung im Testsystem

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

SF-RB. Modul Provisionsabrechnung & Planung Reiseagentenprovisionsabrechnung & Planung. SF-Software Touristiksoftware

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Skriptum. zum st. Galler

Die DQS Benchmarking Initiative

ÜBER DIE ANWENDUNG DER GRUNDSÄTZE DER SUBSIDIARITÄT UND DER VERHÄLTNISMÄSSIGKEIT

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Microsoft Office 365 Domainbestätigung

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

IT-Controlling in der Sparkasse Hildesheim

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Maintenance & Re-Zertifizierung

GPP Projekte gemeinsam zum Erfolg führen

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Frühwarnsysteme im Unternehmen

Managed Reseller im Partner Incentives-Portal. Erste Schritte: Anzeigen von Einnahmen

DIN EN ISO 9001:2015

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

UpToNet Workflow Workflow-Designer und WebClient Anwendung

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Das Pflichtenheft. Dipl.- Ing. Dipl.-Informatiker Dieter Klapproth Ains A-Systemhaus GmbH Berlin

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Risikoanalyse mit der OCTAVE-Methode

Dok.-Nr.: Seite 1 von 6

2. Psychologische Fragen. Nicht genannt.

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Fortbildungsangebote Qualitätsmanagement 2014

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

9001 Kontext der Organisation

D.3.3. Betriebsleitfaden zur Zuweisung/Vergabe von ECVET Krediten. EUCoopC. PROJEKT Nr.: LLP IT-LEONARDO-LMP


Studie über die Bewertung von Wissen in kleinen und mittleren Unternehmen in Schleswig-Holstein

Auditcheckliste. für Systemaudits nach ISO/TS 16949:2009 DIN EN ISO 9001 ISO/TS Martin Zander

Aufgabenlandkarte der Schweiz

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Transkript:

Frameworks für das IT Management Erste Auflage

5 ISO 27001 Managementsysteme für die Informationssicherheit ISO 27001 stellt ein Modell und eine detaillierte Anleitung zur Reduzierung der Gefährdung einer Organisation durch Risiken der Informationssicherheit zur Verfügung, was durch die Implementierung eines Informationssicherheits-Managementsystems (ISMS) geschieht. Organisationen werden im Laufe ihrer Lebensdauer im Umfeld ihres Unternehmens vielen sich verändernden Risikoprofilen der Informationssicherheit begegnen. Ein ISMS, das gemäß der ISO 27001-Reihe von Standards implementiert wurde, wächst durch geplante Pflege- und Verbesserungszyklen mit der Organisation mit. Copyrightinhaber: International Standards Organization (ISO): www.iso.org Ursprung/Geschichte: Die ISO 27001-Serie entstammt dem BS7799, einem britischen Standard, der aus dem User s Code of Practice (erstmals im Jahr 1989 veröffentlicht) des UK DTI CCSC (Commercial Computer Security Centre) abgeleitet wurde. Die letzte Version aus dem Jahre 1999 wurde als der internationale Standard für Management der Informationssicherheit ISO/IEC 17799:2000 angenommen, der im Jahr 2005 nach Überarbeitungen als ISO/ IEC 17799:2005 neu veröffentlicht wurde (es ist wahrscheinlich, dass er zum ISO/IEC 27002 werden wird). Wann: Letzte Version: 2005 Mitglieder des Komitees: International Standards Organization (ISO) Zertifizierungsinstitutionen: ISO Von Jon Hall 5.1 Ursprung/Geschichte Der Ursprung der ISO 27001-Reihe von Standards ist der BS7799, ein britischer Standard, der vom User s Code of Practice (erstmals im Jahr 1989 veröffentlicht) des UK DTI CCSC (Commercial Computer Security Centre) abgeleitet wurde. Der BS7799, im Jahr 1995 als BS7799:1995 veröffentlicht, wurde nach umfangreichen Überarbeitungen als BS7799:1999 neu herausgegeben. Nach kleineren Überarbeitungen wurde dieses Dokument als der internationale Standard für das Management der Informationssicherheit ISO/IEC 17799:2000 angenommen, der nach weiteren Überarbeitungen im Jahr 2005 als ISO/IEC 17799:2005 neu veröffentlicht wurde (es ist wahrscheinlich, dass er zum ISO/IEC 27002 werden wird). Ein zweiter Teil des Standards, BS7799-2, veröffentlicht im Jahr 1998, wurde hinzugefügt, um eine Richtlinie für die Neueinrichtung von sowie Anforderungen an ein Managementsystem der Informationssicherheit zur Verfügung zu stellen. Zur Angleichung mit anderen Managementsystem-Standards (ISO/IEC 9001:2000 and ISO/IEC 14001:1996) wurde

54 Frameworks für das IT Management der BS7799-2 angepasst, um den Plan-Do-Check-Act-Zyklus (PDCA) einzufügen, der seine Reichweite auf die Etablierung, Implementierung, den Betrieb, die Überwachung, Überprüfung, Pflege und Verbesserung des Managementsystems für Informationssicherheit einer Organisation ausweitete. Dies wurde als BS7799-2:2002 veröffentlicht und wiederum nach einer weiteren Überarbeitung als vollwertiger internationaler Standard ISO/IEC 27001:2005 akzeptiert. Es gab ein interessantes Wechselspiel zwischen den beiden Teilen des Standards: obwohl als unterstützendes Dokument zum ursprünglichen Code of Practice eingeführt, wurde der zweite Teil des Standards schnell das Wichtigere der beiden Dokumente, der Richtlinien für den Aufbau und die Pflege des ISMS einer Organisation zur Verfügung stellte. Deshalb ist das, was Teil 2 war, nun ISO/IEC 27001, und das, was Teil 1 war, wird zum ISO/IEC 27002. 5.2 Wo wird ISO 27001 eingesetzt? Ein Informationssicherheits-Managementsystem (ISMS) ist das Instrument, durch welches der Wert jedweder Informationsressource einer Organisation fortwährend geschützt wird. Das heutige Umfeld einer Organisation misst den Informationsressourcen, über die eine Organisation verfügt, einen hohen Wert bei. Es gibt wirtschaftliche Notwendigkeiten, diese Informationsressourcen zu teilen, so dass sie zu größtmöglichster Wertschöpfung genutzt werden können. Durch Regulierung, Gesetzgebung und den Schutz von Wettbewerbsvorteilen gibt es damit konkurrierende Kräfte, die den Schutz von Informationsressourcen fordern. 5.3 Beschreibung und Hauptgrafiken Die ISO 27001-Reihe von Standards würdigt, dass viele Facetten des Managements der Informationssicherheit durch die Implementierung und den Betrieb eines ISMS zum Ausdruck gebracht werden sollten: es gibt technische, menschliche, systemische, organisationale und gesellschaftliche Faktoren, von denen jeder zur Komplexität der Thematik beiträgt, und es ist ein differenzierter und ganzheitlicher Ansatz notwendig, um ein für den Zweck geeignetes System zu schaffen. ISO 27001 besteht aus zwei Teilen: 1. ISO 27001:2005, Informationstechnologie Sicherheitstechniken Managementsysteme für Informationssicherheit Anforderungen 2. ISO 17799:2005, Informationstechnologie Sicherheitstechniken Code of Practice für das Management der Informationssicherheit ISO 27001:2005 bietet einen Managementansatz für die Synthese eines Managementsystems für Informationssicherheit, das, gemessen an den Anforderungen an die Informationssicherheit und die Erwartungen aller beteiligten Parteien, für seinen Zweck geeignet ist. ISO 17799:2005 ist ein Code of Practice, der in Form von 11 Bereichen und 39 Sicherheitskontrollzielen organisiert ist, die jedes auf einen bestimmten Bereich der Informationssicherheit, dem sich eine Organisation gegenübersieht, gerichtet ist. Für jeden Bereich beschreibt der Code of Practice auf übergeordneter Ebene Ziele der Informationssicherheit und den Steuerungsmechanismus, durch den Risiken im Geltungsbereich des Planziels gehandhabt werden. Darüber hinaus ist eine Anleitung zur Implementierung enthalten.

ISO 27001 Managementsysteme für die Informationssicherheit 55 ISO 27001:2005 enthält eine Zusammenfassung von ISO 17799:2005 in seinem Anhang A. Sicherheitsbereich Zugriffssteuerung Asset Management Business Continuity Management Kommunikations- und Operations Management Konformität (Compliance) Personalsicherheit Incident Management der Informationssicherheit Beschaffung, Entwicklung und Wartung von Informationssystemen Organisation der Informationssicherheit Sicherheitsgrundsätze Übergeordnetes Ziel Zugriff auf Informationen steuern. Einen angemessenen Schutz der Ressourcen (Assets) der Organisation zu erreichen und aufrecht zu erhalten. Unterbrechungen von Geschäftsaktivitäten entgegenzuwirken und kritische Geschäftsprozesse vor den Folgen größerer Ausfälle der Informationssysteme sowie Katastrophen zu schützen und deren zeitnahe Wiederaufnahme sicherzustellen. Richtigen und sicheren Betrieb der informationsverarbeitenden Anlagen sicherstellen. Verletzungen von Gesetzen, gesetzlicher, regulativer oder vertraglicher Verpflichtungen sowie jedweder Sicherheitsanforderungen zu vermeiden. Sicherzustellen, dass Mitarbeiter, Lieferanten und weitere Anwender: ihre Verantwortlichkeiten und Haftbarkeiten vor, während und nach ihrer Beschäftigung verstehen; sich der Sicherheitsaspekte, welchen die Organisation sich gegenüber sieht, bewusst sind, und in der Lage sind, sie im Rahmen ihrer normalen Aufgaben zu handhaben; das Risiko von Diebstahl, Betrug, unsachgemäßer Nutzung von Anlagen und menschlichen Fehlern reduzieren. Sicherzustellen, dass informationssicherheitsrelevante Ereignisse und Schwachstellen von Informationssystemen: auf eine Weise kommuniziert werden, welche die zeitnahe Aufnahme von korrigierenden Maßnahmen erlaubt; auf eine einheitliche und effektive Weise gehandhabt werden. Sicherzustellen, dass Sicherheit ein integraler Bestandteil der technologischen Basis eingesetzter Informationssysteme ist. Die Informationssicherheit in der Organisation zu managen. Bereitstellung von Managementvorschriften und Unterstützung für die Informationssicherheit, die mit Geschäftsanforderungen und relevanten Gesetzen und Bestimmungen im Einklang stehen. Tabelle 5.1 Sicherheitsbereiche und Ziele auf allgemeiner Ebene 5.4 Ansatz/How-To Das Management der Informationssicherheit nach ISO 27001 wird durch die systematische Bewertung der Risiken, denen die Informationsressourcen der Organisation ausgesetzt sind, erreicht und mittels der Handhabung durch Steuerung der in den Systemen, Technologien und Medien existenten Schwachstellen, welche diese für gewöhnlich beinhalten, implementiert.

56 Frameworks für das IT Management Interessierte Parteien Plan Etabliere ISMS Interessierte Parteien Do Implementiere und betreibe das ISMS Pflege und verbessere das ISMS Act Anforderungen und Erwartungen an die Informationssicherheit Überwache und reviewe das ISMS Check Gemanagte Informationssicherheit Abbildung 5.1 Der PDCA-Zyklus (Quelle: BS ISO/IEC 27001:2005 BS 7799-2:2005, BSI) ISO 27001 weist als seinen Hauptbestandteil den Plan-Do-Check-Act-Zyklus (PDCA) auf, um die iterative Schaffung, Entwicklung, Betrieb und Pflege des ISMS zu strukturieren. Der PDCA- Zyklus besteht, wie in Abbildung 5.1 gezeigt, aus den vier sich wiederholenden Phasen. Die Abbildung zeigt die Eingangsgrößen für den PDCA-Zyklus, welches die Anforderungen und Erwartungen an die Informationssicherheit der interessierten Parteien sind. Jede vollständige Iteration des PDCA-Zykluses schließt die Lücke zwischen diesen Anforderungen und Erwartungen und der Leistung des betriebenen ISMS. Gemäß den Guidelines for the Security of Information Systems and Networks 1 der Organization for Economic Co-operation and Development (OECD), sollten Organisationen einen umfassenden Ansatz für das Sicherheitsmanagement im Sinne eines Prozesses wählen, der die Vermeidung, Erkennung und Reaktion auf Störungen, fortlaufende Pflege, Bewertung sowie Audit des Systems einschließt und der für alle Grundsätze und betrieblichen Ebenen, welche die Sicherheit von Informationssystemen und netzwerken steuern, gilt. Mit dem PDCA-Zyklus bietet ISO 27001:2005 ein Framework des Managements der Informationssicherheit zur Implementierung der folgenden OECD-Prinzipien: Bewusstsein Verantwortlichkeit Reaktion Risikobewertung Sicherheitsentwurf und -Implementierung Sicherheitsmanagement erneute Bewertung. 5.4.1 Planung des ISMS ISO 27001 organisiert die Planung des Managementsystems der Informationssicherheit in vier Teilen. 1 Verfügbar unter www.ftc.gov/bcp/conline/edcams/infosecurity/popups/oecd_guidelines.pdf

ISO 27001 Managementsysteme für die Informationssicherheit 57 Auf der organisationalen Ebene ist es die Vorbereitung der ISMS-Dokumentation, in welcher der Kontext, der Geltungsbereich des ISMS sowie die Grundsätze, gemäß derer es betrieben wird, festgehalten werden. Die Dokumentation ist die Schnittstelle des ISMS zur Geschäftsführung. Es sollte mit vollständiger Unterstützung der Führung entwickelt werden und deren Einstellung zum Management der Informationssicherheit widerspiegeln. Die ISMS-Dokumentation definiert: die Grundsätze der Informationssicherheit (Information Security Policy) der Organisation, die den Dokumentationsprozess einleitet, indem sie die allgemeine Richtung für die Informationssicherheit innerhalb der Organisation vorgibt die Eignungserklärung (Statement of Applicability), die den Dokumentationsprozess beschließt, indem sie die Implementierung des definierten ISMS durch die Organisation näher ausführt. Zwischen diesen beiden liegt die harte Arbeit der Entwicklung des ISMS. Die Anforderungen der Grundsätze der Informationssicherheit werden zuerst beschrieben, gefolgt von der Eignungserklärung. Die Grundsätze der Informationssicherheit Die Grundsätze der Informationssicherheit sollten eine eindeutige Erklärung über die Bekenntnis des Managements zur Informationssicherheit sowie zu dessen Zielsetzung enthalten, welches mit den wirtschaftlichen Zielen der Organisation und allen zutreffenden Vorschriften und Gesetzgebung vereinbar ist. Sie erklären kurz die im Laufe der Entwicklung des ISMS getroffenen Entscheidungen hinsichtlich Sicherheitsgrundsätzen, Prinzipien (einschließlich den OECD-Richtlinien), Standards, Konformitätsanforderungen (Compliance Requirements), organisationalem Lernen zu Sicherheit, Verantwortlichkeiten und Motivation, Business Continuity und dem Berichtswesen für Störungen. Sie geben Kriterien, anhand derer Sicherheitsrisiken für Informationsressourcen bewertet werden können, vor. Sie untermauern das ISMS und tragen zur Nachverfolgbarkeit und Wiederholbarkeit seiner Prozesse bei. Die Grundsätze der Informationssicherheit dokumentieren die Bedeutung der Informationssicherheit für die Organisation im Hinblick auf deren Grenzen, Kontext, Geltungsbereich und Sicherheitsziele. Sie sollte das Framework für die systematischen Herangehensweise der Organisation an die Risikobewertung ein Prozess zur Auswertung der Wahrscheinlichkeit und der Auswirkung einer Verletzung der Sicherheitsanforderungen einer Ressource definieren, einhergehend mit der Definition dessen, was ein akzeptables Risiko darstellt und wie inakzeptable Risiken entschärft werden sollten. Die Grundsätze der Informationssicherheit sollte auf gut verständliche Weise geschrieben werden und jenen bewusst gemacht werden, deren Verhalten in den Geltungsbereich des ISMS fällt, oder etwas allgemeiner, die davon betroffen sind. Ein externer Prüfer wird darüber hinaus aus den Grundsätzen der Informationssicherheit ein Verständnis der Bedeutung von Informationssicherheit für die Organisation im Sinne von Sicherheitsgrundsätzen, Prinzipien, Standards sowie Konformitätsanforderungen, die deren Herangehensweise an Informationssicherheit beeinflussen, erlangen wollen. Ein externer Prüfer wird ebenfalls wissen wollen:

58 Frameworks für das IT Management für den Umgang mit welchen gesetzlichen, regulativen und vertraglichen Anforderungen das ISMS entworfen wurde, wie das ISMS innerhalb der Organisation verbreitet werden wird, die Verantwortlichkeiten der involvierten Individuen und die Berichtsstrukturen für die Informationssicherheit betreffende Störungen, die Konsequenzen von Verletzungen der Grundsätze der Informationssicherheit. Review der Grundsätze der Informationssicherheit Die Grundsätze der Informationssicherheit werden einen Zeitplan für ein Managementreview der ISMS einschließlich den Grundsätzen selbst festlegen, um so sicherzustellen, dass Veränderungen im organisationalen Umfeld, der wirtschaftlichen Lage, der rechtlichen Auflagen oder des technischen Umfelds nicht dessen Eignung, Adäquanz und/oder Leistungsfähigkeit mindern. Ressourcen-Identifikation, Risikobewertung und Risikohandhabung Im Sinne des Standards zeichnet sich eine Organisation durch den Geschäfts- oder Servicebereich, in welchem sie angesiedelt ist, ihren Standort, ihre Ressourcen und ihre Technologie aus. Diese Variablen bedingen die Bedrohungen der Informationssicherheit, denen die Organisation sich gegenübersieht. Die Beziehung der geschützten Bereiche zum Rest der Organisation und dem Geschäftsumfeld bildet den Kontext des ISMS. Im Rahmen des Kontextes des ISMS legt der Anwendungsbereich des ISMS die Informationsressourcen, die einen Schutz gemäß dem ISMS benötigen, fest. Nach der Definition der Grundsätze der Informationssicherheit können drei Maßnahmen einsetzen, die in allen Einheiten der Organisation, die unter den Kontext und den Geltungsbereich des ISMS fallen, sequenziell vollzogen werden: Ressourcen-Identifikation Risikobewertung Risikohandhabung. Die Komponenten dieser separaten Phasen sind in Abbildung 5.2 zu sehen. Ressourcen-Identifikation Phase T.1: Identifizierung die gefährdeten Ressourcen. Für jede Ressource, die unter den Kontext und den Geltungsbereich des ISMS fällt, werden deren Sicherheitsanforderungen im Hinblick auf die Notwendigkeit, ihre Vertraulichkeit, Integrität und Verfügbarkeit zu bewahren analysiert. Jede Ressource sollte einem Eigner zugeordnet werden, in dessen Verantwortungsbereich die Informationssicherheit dieser Ressource fällt. Es sollte ein Ressourceninventar oder -verzeichnis aufgestellt und gepflegt werden, in welchem der Eigner, der Wert, Anforderungen an die Informationssicherheit (im Hinblick auf die Vertraulichkeit, Integrität und Verfügbarkeit) sowie die Speicherstelle erfasst werden; jegliche Prozesse, die diese Ressource schützen, sollten einschließlich dessen, was unter akzeptable Nutzung fällt, definiert werden.

ISO 27001 Managementsysteme für die Informationssicherheit 59 Ressourcen-Identifikation Phase T.1 Ressourcen-Identifikation Risikobewertung Phase T.2 Ermittlung der Bedrohungen Phase T.3 Identifizierung der Schwachstellen Phase T.4 Bewertung der Auswirkung einer Verletzung der Sicherheit Phase T.5 Bewertung der Risiken Phase T.6 Identifizierung und Bewertung von Möglichkeiten der Handhabung Risikohandhabung Phase T.7 Auswahl von Steuerungsmaßnahmen Abbildung 5.2 Prozess der Ressourcen-Identifikation, Risikobewertung und Risikohandhabung Risikobewertung Das Ziel der Risikobewertung ist die Identifizierung, Quantifizierung und Priorisierung der Risiken, so sie für die identifizierten Ressourcen zutreffen, um so mit der Herangehensweise der Organisation an Risiken, wie sie in den Grundsätzen der Informationssicherheit dokumentiert ist, im Einklang zu sein. Phase T.2: Analyse der Bedrohungen. Es sollte einen systematischen Ansatz zur Ermittlung der möglichen Bedrohungen der Informationsressourcen geben. Eine Bedrohung ist eine nicht immer eintretende Möglichkeit, die bezüglich der Verletzung einer Anforderung an die Informationssicherheit einer Informationsressource vorhanden ist.

60 Frameworks für das IT Management Phase T.3: Analyse der Schwachstellen. Eine Schwachstelle liefert einer Bedrohung einen Weg, um zu einem erfolgreichen Angriff auf die Ressource zu werden. Eine Schwachstelle ist eine Schwäche in der Verteidigung einer Ressource, die durch den Einsatz von Steuerungsmaßnahmen abgedeckt werden sollte. Phase T.4: Bewertung der Auswirkungen. Sollten die Anforderungen der Informationssicherheit einer Ressource durch einen erfolgreichen Angriff verletzt worden sein, wird der Ressource Schaden zugefügt werden. Für jede Anforderung der Informationssicherheit der Ressource sollte die Auswirkung der Verletzung bestimmt werden. Phase T.5: Bewertung des Risikos. Sollten die Anforderungen an die Informationssicherheit einer Ressource durch einen erfolgreichen Angriff verletzt worden sein, wird der Ressource ein Schaden zugefügt. Dieser kann anhand zweier Dimensionen charakterisiert werden: Auswirkung: die Kosten der Verletzung für die Organisation, basierend auf der Auswirkung des Schadens aus der vorangegangenen Phase Wahrscheinlichkeit: die Wahrscheinlichkeit eines erfolgreichen Angriffs Das Risiko für die Organisation ist das Produkt aus der Wahrscheinlichkeit und der Auswirkung. Phase T.6: Identifikation und Beurteilung von Möglichkeiten der Risikohandhabung. Von der, in den Grundsätzen der Informationssicherheit niedergelegten, erklärten Haltung gegenüber dem Risiko kann auf die akzeptablen Risiken für Informationsressourcen geschlossen werden. Darüber hinaus können für jene, deren Risiko nicht akzeptabel ist, die Möglichkeiten für die Risikohandhabung bestimmt werden. Die Alternativen sind: Vermeidung oder Überwälzung des Risikos: beispielsweise, indem die Ressource, für die das Risiko besteht, veräußert oder gegen das Risiko versichert wird selbstverständlich könnte eine Veräußerung unmöglich sein Steuerung des Risikos: das bedeutet, das Risiko für die Ressource zu senken, indem Maßnahmen ergriffen werden, um die Verwundbarkeit der Ressource abzubauen. In diesem Fall wird dem Risiko eine Prioritätsstufe für die Handhabung zugewiesen. Dokumente, die im Rahmen der Risikobewertung erstellt werden, sollten den Nachweis erbringen, dass jedes reale Risiko bewertet wurde, einhergehend mit einer Rechtfertigung des Ergebnisses Akzeptierung, Vermeidung, Überwälzung oder Steuerung einer jeden individuellen Bewertung. Risikohandhabung Phase T.7: Wahl von Steuerungszielen und Steuerungsmaßnahmen. Bei der Risikohandhabung wird für jedes priorisierte Risiko, für welche das Risiko gesenkt werden soll, die Wahl des Steuerungsziels vorgenommen: das Steuerungsziel sagt aus, wie die dem Risiko zugrunde liegende Schwachstelle geflickt werden soll. Für jedes Steuerungsziel wird eine Steuerungsmaßnahme (eine Gegenmaßnahme) welches dieses umsetzt, gewählt. Es gibt 39 Steuerungsziele und über 150 Steuerungsmaßnahmen, aus denen

ISO 27001 Managementsysteme für die Informationssicherheit 61 in ISO 27001:2005 gewählt werden kann. Steuerungsmaßnahmen sollten aus dieser Gruppe oder von anderer Stelle gewählt werden. Die Risiken sollten in der Reihenfolge ihrer Priorität behandelt werden. Als Teil der Auswahl der Steuerungsmaßnahme sollten im Sinne einer Überprüfung ein Wartungsplan sowie Kriterien festgelegt werden, anhand derer die Wirksamkeit der Steuerungsmaßnahme beurteilt werden kann. Das Management sollte die Ergebnisse der Ressourcen-Identifikation, Risikobewertung und Risikohandhabung abzeichnen; besondere Aufmerksamkeit muss der Bewertung der übrigen Risiken geschenkt werden. Die Ermächtigung des Managements für die Implementierung und den Betrieb des ISMS sollte angestrebt werden. Die Eignungserklärung Die Eignungserklärung dokumentiert formell: die bezüglich der Auswahl von Steuerungszielen und maßnahmen getroffenen Entscheidungen, samt einer Begründung, warum diese gewählt wurden; welche Steuerungsmaßnahmen derzeit implementiert sind und wirken; welche Steuerungsmaßnahmen des Standards nicht implementiert wurden, samt der Begründung einer jeden Entscheidung. Der Wortlaut der Eignungserklärung sollte für jede Steuerungsmaßnahme eine Beschreibung der Steuerungsanforderung sein, welche hinreichend detailliert ist, um einen unabhängigen Auditor in die Lage zu versetzen, zu verstehen, was zu tun die Organisation warum entschieden hat. Es kann darüber hinaus angebracht sein, Material zur Argumentation und der Hintergründe beizufügen; Verweise auf die zugrunde liegende Dokumentation, welche die Argumentationslinie/ Hintergründe enthält, sollten eingefügt werden. 5.4.2 Die Do-Phase Jetzt kann in die Do-Phase des PDCA-Zykluses eingetreten werden. Am Ende dieser Phase wird die Organisation ein ISMS implementiert haben, das die Risiken für kritische Informationsressourcen senkt. Hier wird die Theorie, welche in der Eignungserklärung ausgeführt wird, in die Praxis überführt. Um dies zu erreichen, wird die Organisation einen Plan zur Risikohandhabung formulieren und implementieren, der die angemessenen Managementmaßnahmen, Ressourcen, Verantwortlichkeiten und Prioritäten zum Management von Risiken der Informationssicherheit identifiziert, indem sie die in der serviceorientierten Architektur (SOA) gewählten Steuerungsmaßnahmen zur Erreichung der Steuerungsziele implementiert. Die Organisation wird festlegen müssen, wie sie die Wirksamkeit der Risikohandhabung verfolgen möchte. Dies geht in die Check-Phase des PDCA-Zyklus ein. Die Organisation wird Schulungs- und Awareness-Programme in allen Bereichen, welche die Implementierung der Steuerungsmaßnahmen berührt, durchführen müssen. Die Organisation wird Prozeduren und andere Steuerungsmaßnahmen implementieren, die in der Lage sind, die Aufdeckung von Sicherheitsvorfällen und die Reaktion auf Sicherheitszwischenfälle zu ermöglichen (siehe 5.4.3).

62 Frameworks für das IT Management 5.4.3 Die Check-Phase Am Ende der Check-Phase wird dem Management ein Bericht über die Leistungsfähigkeit und die Zweckmäßigkeit des in Betrieb befindlichen ISMS (aus der Do-Phase) zur Überprüfung der Wirksamkeit des Systems vorgelegt. Die Prozessleistung des Systems wird anhand der ISMS-Grundsätze, der Ziele und nach einem Durchlauf des PDCA-Zyklus anhand praktischer Erfahrungswerte bezüglich des Verhaltens des Systems gemessen. 5.4.4 Die Act-Phase Nach dem Managementreview werden korrigierende und präventive Maßnahmen basierend auf den Ergebnissen des internen ISMS-Audits, dem Managementreview oder anderen relevanten Informationen vorgenommen, um eine kontinuierliche Verbesserung des ISMS zu erzielen (übernommen aus dem ISO 27001, Seite vi). 5.5 Relevanz für das IT Management Die ISO 27001-Reihe von Standards ist ein Schlüsselfaktor für das IT Management einer jeden Organisation. Durch den Standard wird der Wert der Informationen, die eine Organisation nutzt, gewürdigt. Viele dieser Informationsressourcen, die für eine Organisation von Wert sind, werden in IT-Systemen gespeichert, und viele der Schwachstellen, welche ihren Wert zu mindern drohen, existieren aufgrund von IT-Systemen. Tatsächlich werden viele der Maßnahmen, die zum Management der Risiken ergriffen werden, das IT Management betreffen. Das Management der Informationssicherheit ist jedoch nicht nur eine Sache des IT Managements, und es so zu behandeln wäre ein Fehler, da viele der Schwachstellen der Informationssicherheit, denen sich Organisationen gegenüber sehen, sich nicht in der IT-Infrastruktur, sondern auf der sozialen Seite des soziotechnischen Systems der Organisation befinden. Ressourcenidentifikation und die Schritte der Risikoeinschätzung sollten daher organisationsweit stattfinden. Auf der Seite der Risikosteuerung beeinflussen viele Steuerungsmaßnahmen das Management der IT, und deren Überprüfung und Pflege eine notwendige Komponente des ISMS werden sich genau im Rahmen dieser Funktion ereignen. 5.6 Stärken und Schwächen Die ISO 27001-Reihe von Standards stellt eine detaillierte Leitlinie für die Synthese eines zweckmäßigen Managementsystems für die Informationssicherheit, welches anhand des Risikoprofils der Organisation gemessen wird, zur Verfügung. Das System wird anhand von Durchläufen durch den PDCA-Zyklus aufgebaut, jeder Zyklus verbessert die Leistungsfähigkeit des Systems. Im Code of Practice für das ISMS gibt es eine außergewöhnliche Fülle von Leitlinien und der Umfang implementierter Systeme ist sehr gut. Es mag der Eindruck entstehen, dass der Fokus des Standards auf Vertraulichkeit, Integrität und Verfügbarkeit angesichts der Komplexität moderner Computersysteme recht beschränkt ist. Tatsächlich ist Vertraulichkeit, Integrität und Verfügbarkeit genau die richtige Ebene, um mit der Analyse der Informationssicherheitsbedürfnisse für eine Ressource zu starten; sie decken in

ISO 27001 Managementsysteme für die Informationssicherheit 63 ihrer Bandbreite die Notwendigkeit ab, aus einer Ressource innerhalb des Geltungsbereichs des ISMS möglichst großen Nutzen zu schlagen, und sie außerhalb des Geltungsbereichs knapp zu halten. Aspekte wie Authentifizierung sind tatsächlich Teil der Steuerungsmaßnahmen für Schwachstellen, welche die Anforderungen der Informationssicherheit für eine Ressource schützen. Eines der Hauptprobleme bei der Implementierung eines ISMS ist die beträchtliche Zahl von Ressourcen, die einer Organisation zur Verfügung stehen. Eine Größenordnung von tausend Ressourcen ist nicht ungewöhnlich; der Standard weist darauf hin, dass alle diese Ressourcen im Hinblick auf ihre Anforderungen der Informationssicherheit anhand jeder denkbaren Bedrohung beurteilt werden. Die große Zahl von Ressourcen/Bedrohungs-Kombinationen stellt eine große Herausforderung für den ersten Durchlauf durch den PDCA-Zyklus dar. Moderne Organisationen brauchen den Informationsaustausch mit Partnerorganisationen außerhalb ihrer eigenen, physischen Grenzen. Das Festlegen des Geltungsbereichs und des Kontextes des ISMS wird aufgrund der Möglichkeit schwierig, dass zwei oder mehr Organisationen ihm unterliegen sollen. Eine externe Bewertung aller beteiligten Organisationen gemäß dem Standard kann dieses Problem entschärfen und weiterhin wird die Vereinbarung einer relativ geringen Zahl von Details wie Informationssicherheitslevels helfen. 5.7 Querverweise/Beziehungen ISO 27001 ist sowohl eng (im Hinblick auf Dokumentstruktur und Absicht) an ISO 9001:2000 (ISO 9001:2000, Qualitätsmanagementsysteme Anforderungen) als auch an ISO 14001:2004 (Umweltmanagementsysteme Anforderungen mit Anleitung zur Nutzung) ausgerichtet. Die Absicht bei diesen Managementstandards besteht darin, die einheitliche und integrierte Implementierung und den Betrieb zu unterstützen, so dass ein einziges organisationales Managementsystem jedem dieser drei Standards genügen kann. 5.8 Links und Literatur 5.8.1 Bücher und Artikel über ISO 27000 Calder, A. (2006). Information Security based on ISO 27001/ISO 17799 - A Management Guide. Zaltbommel: Van Haren Publishing. ISO 17799:2005, Information technology Security techniques Code of practice for information security management. (2005). Genf: International Organization for Standardization. ISO 27001:2005, Information technology Security techniques Information Security management Systems Requirements. (2005). Genf: International Organization for Standardization. 5.8.2 Webseiten über ISO 27000 www.bsi-global.com Weitere Informationen über die ISO 27000-Reihe von Standards ist über viele nationale Standardisierungsorganisationen abrufbar, zum Beispiel www.bsi-global. com für Großbritannien. www.iso.org Weitere Informationen über ISO-Standards im Allgemeinen.

IV Impressum Titel: Eine Veröffentlichung von: Redaktion: Verlag: Frameworks für das IT Management itsmf International Jan van Bon (Chefredakteur) Tieneke Verheijen (Redakteurin) Van Haren Publishing, Zaltbommel, www.vanharen.net ISBN(13): 978 90 8753 086 0 Auflage: Design und Layout: Druck: Originalversion in Englische Sprache Frameworks for IT Management Erste Ausgabe, erste Auflage, September 2006 Erste Ausgabe, zweite Auflage, November 2006 Deutsche Übersetzung: Erste Ausgabe, erste Auflage, September 2007 CO2 Premedia, Amersfoort - NL Wilco, Amersfoort - NL Für weitere Informationen über Van Haren Publishing senden Sie bitte eine E-Mail an: info@vanharen.net Das itsmf International hat durch ihr International Publications Executive Sub Committee (IPESC), das sich aus einem Ausschuss von Mitgliedern globaler itsmf-landesverbände zusammensetzt, diesem Buch die formale Befürwortung des itsmf International zuteil werden lassen. itsmf International 2006 Alle Rechte vorbehalten. Kein Teil dieses Werkes darf in irgendeiner Form, sei es durch Druck, Fotokopie, Mikrofilm oder in einem anderen Verfahren ohne vorherige schriftliche Genehmigung des Verlages reproduziert oder verarbeitet, übersetzt, vervielfältigt oder verbreitet werden. Obwohl diese Veröffentlichung mit großer Sorgfalt zusammengestellt wurde, übernehmen weder die Autoren noch die Herausgeber oder der Verlag eine Haftung für Schäden, die infolge von eventuellen Fehlern oder Unvollständigkeiten in dieser Veröffentlichung entstehen. HINWEISE AUF EINGETRAGENE WARENZEICHEN PRINCE2, M_o_R and ITIL sind Registered Trade Marks und Registered Community Trade Marks des Office of Government Commerce und sind im U.S. Patent and Trademark Office registriert. CobiT ist ein eingetragenes Warenzeichen der/des Information Systems Audit and Control Association (ISACA)/IT Governance Institute (ITGI). Das PMBoK ist ein eingetragenes Warenzeichen des Project Management Institute (PMI). etom ist ein eingetragenes Warenzeichen des TeleManagement Forum.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback