Information Security Management System: Unterschied zwischen den Versionen
K Textersetzung - „===== Weblinks =====“ durch „==== Weblinks ====“ |
K Textersetzung - „–“ durch „-“ |
||
| Zeile 120: | Zeile 120: | ||
| [[ISO/IEC 13335]] || Ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik | | [[ISO/IEC 13335]] || Ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik | ||
|- | |- | ||
| [[EN ISO 27799]] || Medizinische Informatik | | [[EN ISO 27799]] || Medizinische Informatik - Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich) | ||
|- | |- | ||
| [[VdS 10005]] || Richtlinie für IT-Sicherheit im kleinen Mittelstand | | [[VdS 10005]] || Richtlinie für IT-Sicherheit im kleinen Mittelstand | ||
Aktuelle Version vom 11. Mai 2025, 20:56 Uhr
Information Security Management System (ISMS) - Managementsystem für Informationssicherheit
Beschreibung
- IT-Sicherheitsmanagement
Managementsystem zur Gewährleistung der Informationssicherheit/IT-Sicherheit
- Aufgaben
- Systematische Absicherung eines IT-Verbundes
- Gefahren und Bedrohungen abwehren
- Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen
- für Geschäftsprozesse
- Vorgehensweise
- Eine normierte Vorgehensweise durch Verwenden von IT-Standards ermöglichen
- Begriffsherkunft
Der Begriff des IT-Sicherheitsmanagements taucht erstmals mit der Veröffentlichung der Green Books im Jahre 1989 auf
- Aus einem Teil der Green Books entwickelte sich die BS-7799-Norm für Informationssicherheit
- Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er-Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet
- In den 1980er-Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema computer abuse and security und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte
Sicherheitstechnik
- Institutionen nutzt Sicherheitstechnik
Beispielsweise um sich vor Gefahren aus dem Internet abzusichern
- Virenschutzprogramme
- Spamfilter
- gestaffelte Firewalls
- Software zur Angriffserkennung
Sicherheitsorganisation
- Organisatorische Maßnahme
Richtlinien
- Für die Benutzung mobiler Systeme
- Mitarbeiter über Gefahren im Internet informieren
- ...
- Fehlende Konzeption
Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle
- Isolierte Maßnahmen
Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß, allerdings weder effektiv noch effizient
- Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden
- Komponenten eines Managementsystem für Informationssicherheit
- Managementprinzipien
- etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
- Ressourcen und Mitarbeitern
- Steuerung des Einsatzes von Technik und Personal
- Beschreibung des Sicherheitsprozesses
- Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?
BSI-Standard 200-1: Managementsysteme für Informationssicherheit
- Die dort genannten Empfehlungen werden im -Standard 200-2: -Grundschutz-Methodik konkretisiert
- In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist
- Aspekte des Managements von Informationssicherheit gemäß IT-Grundschutz
| Aspekt | Beschreibung |
|---|---|
| Sicherheitsprozess | |
| Managementprinzipien | |
| Sicherheitsorganisation | |
| Sicherheitsleitlinie | |
| Sicherheitskonzept | |
| Dokumentation |
Aufgabe
- Systematische Absicherung eines Informationsverbunds
- Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden
- Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements
Standards
- IT-Grundschutz des BSI
- Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen
- Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren
- Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor
- ISO/IEC 27001
- Norm für Informationssicherheitsmanagementsysteme (ISMS)
- ISO/IEC 27002
- Leitfaden für das Informationssicherheitsmanagement
Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm
- Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet
Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm
| IT-Grundschutz des BSI | IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Anforderungen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel) |
| Für Systeme mit hohem Schutzbedarf | geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren |
| Die Grundschutz-Kataloge sind primär in Deutschland bekannt | liegen allerdings auch englischsprachig vor |
| ISO/IEC 27001 | Norm für Informationsicherheitsmanagementsysteme (ISMS) |
| ISO/IEC 27002 | Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005) |
| BS 7799-1 und BS 7799-2 | Vorgänger der ISO/IEC 27001 und ISO/IEC 27002 |
- Weitere Standards mit IT-Sicherheitsaspekten
| ITIL | Best-Practices-Sammlung für das IT-Servicemanagement |
| ISO/IEC 20000 | die ISO/IEC-Norm für IT-Servicemanagement |
| BS 15000 | Britischer Standard für IT-Servicemanagement |
| COBIT | IT-Governance-Framework |
| ISO/IEC 13335 | Ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik |
| EN ISO 27799 | Medizinische Informatik - Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich) |
| VdS 10005 | Richtlinie für IT-Sicherheit im kleinen Mittelstand |
| Payment Card Industry Data Security Standard (PCI-DSS) | Regelwerk für die Abwicklung von Kreditkartentransaktionen |
| Benchmarks des Center for Internet Security | |
| Federal Information Processing Standards (FIPS) | weitere des US National Institute of Standards and Technology (NIST) |
Verfahren und Regeln
- Verfahren und Regeln innerhalb einer Organisation
- Informationssicherheit
- definieren
- steuern
- kontrollieren
- aufrechterhalten
- fortlaufend verbessern
- Begriff wird im Standard ISO/IEC 27002 definiert
- ISO/IEC 27001 beschreibt ein ISMS
- Deutscher Anteil an dieser Normungsarbeit
Informationssicherheit und Datenschutz
- Überschneidende Zuständigkeiten
- Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB)
- Sollten personell getrennt wahrgenommen werden
- ISO/IEC 27701
Mit der ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert
- Sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können
Allgemeine Ansätze
| Ansatz | Beschreibung |
|---|---|
| Verankerung in der Organisation | Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen
|
| Verbindliche Ziele | Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. |
| Richtlinien | Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management |
| Personalmanagement | Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. |
| Aktualität des Wissens | Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt. |
| Qualifikation und Fortbildung | Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. |
| Adaptive Sicherheit | Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess) |
| Vorbereitung | Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet |
Zertifizierung
Anhang
Siehe auch
- ISMS.1 Sicherheitsmanagement
- ISMS/Audit und Zertifizierungen
- ISMS/Beauftragte
- ISMS/Geschichte
- ISMS/Glossar
- ISMS/Massnahmen
- ISMS/Massnahmen/Übersicht
- ISMS/Rahmenbedingungen
- ISMS/Recht
- ISMS/Recht/Grundlagen
- ISMS/Recht/Haftung
- ISMS/Recht/Strafrecht
- ISMS/Richtlinie
- ISMS/Standard
- ISMS/Umsetzungsbereiche
- ISMS/Verfahren
- ISMS Management-Team