Information Security Management System: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(140 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Ein ISMS ('''I'''nformation '''S'''ecurity '''M'''anagement '''S'''ystem („Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die [[Informationssicherheit]] dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
'''Information Security Management System''' (ISMS) - [[Managementsystem]] für [[Informationssicherheit]]


* Der Begriff wird im Standard [[ISO/IEC 27002]] definiert.
== Beschreibung ==
* [[ISO/IEC 27001]] definiert ein ISMS.
; IT-Sicherheitsmanagement
* Der deutsche Anteil an dieser Normungsarbeit wird vom [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut.
[[Prozess]] zur Gewährleistung der [[IT-Sicherheit]]


== Zertifizierung ==
; Aufgaben
* Je nach Branche und Gesetz muss eine Organisation ein zertifiziertes ISMS betreiben – oft mit jährlichen externen Audit.
* Systematische Absicherung eines informationsverarbeitenden IT-Verbundes
* Neben der Zertifizierung direkt auf die [[ISO/IEC-27000-Reihe]] gibt es in Deutschland drei typische Varianten:
* Gefahren für die [[Informationssicherheit]] oder Bedrohungen des [[Datenschutz]]es eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden
* Die Auswahl und Umsetzung von ''IT-Sicherheitsmaßnahmen'' für die jeweiligen Geschäftsprozesse eines Unternehmens zählt zu den Tätigkeiten des IT-Sicherheitsmanagements
* Eine normierte Vorgehensweise wird durch das Verwenden von ''IT-Standards'' ermöglicht


=== ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz ===
; Begriffsherkunft
* Das ''[[Bundesamt für Sicherheit in der Informationstechnik]]'' (BSI) brachte mit dem [[IT-Grundschutz]] 2006 ein Konzept für die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) heraus.
Der Begriff des ''IT-Sicherheitsmanagements'' taucht erstmals mit der Veröffentlichung der ''Green Books'' im Jahre 1989 auf
* Der IT-Grundschutz bietet mit seinen drei Standards 200-1, 200-2 und 200-3 in Kombination mit den ''[[IT-Grundschutzkatalog]]en'' (bis 2006 ''IT-Grundschutzhandbuch'' genannt) Hilfestellungen bei der Einführung und Aufrechterhaltung eines ISMS.
* Aus einem Teil der Green Books entwickelte sich die [[BS 7799#Entstehungsgeschichte|BS-7799]]-Norm für Informationssicherheit
* Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm [[ISO/IEC 27001]] angepasst.
* Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er-Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet
* Dieses System gilt als Quasi-Standard in deutschen Behörden.
* In den 1980er-Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema ''computer abuse and security'' und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte


Das BSI legt dabei besonderen Wert auf die drei Bereiche
=== Sicherheitstechnik ===
* [[Vertraulichkeit]]
; Institutionen nutzt Sicherheitstechnik
* [[Integrität]]
Beispielsweise um sich vor Gefahren aus dem Internet abzusichern
* [[Verfügbarkeit]]
* Virenschutzprogramme
von Informationen.
* Spamfilter
* gestaffelte Firewalls
* Software zur Angriffserkennung


=== Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ===
=== Sicherheitsorganisation ===
ISMS nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des BSI stellen aus verschiedenen Gründen oft große Hürden für Unternehmen des Mittelstands ([[Kleine und mittlere Unternehmen|Kleine und mittlere Unternehmen (KMU)]]) dar, vor allem wenn diese nicht in der IT-Branche tätig sind. [https://www.zdnet.de/41557734/isis-12-management-der-informationssicherheit-fuer-den-mittelstand/ ZDNet-Artikel vom 7. November 2011]  Schwierigkeiten bestehen erfahrungsgemäß unter anderem darin, ausreichend ausgebildetes Personal in den meist kleinen IT-Abteilungen abstellen zu können. Weiterhin stellt die in dem ISO/IEC 27001-Standard geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor unlösbare Aufgaben. Das sogenannte „Netz für Informationssicherheit im Mittelstand (NIM)“ (Mitglieder u. a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg)  entwickelte daher – aus IT-Grundschutz und ISO/IEC 27001 abgeleitet – ein wissenschaftlich abgestütztes Modell zur Einführung eines ISMS in 12 konkreten Schritten. Wesentliches Augenmerk wurde darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.
; Organisatorische Maßnahme
Richtlinien
* Benutzung mobiler Systeme erlassen oder die ihre Mitarbeiter über Gefahren im Internet informieren


=== VdS Richtlinien 10000 (VdS 10000) ===
; Fehlende Konzeption
Die Richtlinien „VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ [https://vds.de/fileadmin/vds_publikationen/vds_10000_web.pdf ''Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)''] (PDF; 275K)  der [[VdS Schadenverhütung]] GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen. Sie sind speziell für [[Kleine und mittlere Unternehmen|KMU]] sowie für kleinere und mittlere Institutionen und Behörden ausgelegt. Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann. Die VdS 10000 ist der Nachfolger der VdS 3473.
* Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle


== Allgemeine Ansätze ==
; Isolierte Maßnahmen
In der Praxis lassen sich die Eigenschaften und Ziele eines ISMS wie folgt definieren:
Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß, allerdings weder effektiv noch effizient
# Verankerung in der Organisation: Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.
* Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden
# Verbindliche Ziele: Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
# Richtlinien: Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management.
# Personalmanagement: Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
# Aktualität des Wissens: Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
# Qualifikation und Fortbildung: Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
# Adaptive Sicherheit: Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst ([[Kontinuierlicher Verbesserungsprozess]]).
# Vorbereitung: Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet.


== Informationssicherheit und Datenschutz ==
; Ein solches '''Managementsystem für Informationssicherheit (ISMS) '''besteht aus folgenden Komponenten
Der Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) haben teilweise überschneidende Zuständigkeiten, müssen aber personell getrennt wahrgenommen werden. Mit der neuen Norm ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert, so dass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können. {{Literatur
* '''Managementprinzipien''', etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
| Autor=Sebastian Krüsmann
* '''Ressourcen und Mitarbeitern''', dies umfasst die Steuerung des Einsatzes von Technik und Personal sowie
| Titel=Nachbarschaftlich verbunden
* der Beschreibung eines '''Sicherheitsprozesses'''
| Sammelwerk=[[iX]]
| Nummer=7
| Datum=2020
| Seiten=54-59
| Online=https://www.heise.de/select/ix/2020/7/2009808322640295303
| Kommentar=Stand 2020-08-09: Durch einen heise-Bug zur Zeit kein Einzelartikel-Kauf-Link verfügbar
| Abruf=2020-08-09
}}


== Weblinks ==
; Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?
* [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-1-Managementsysteme-fuer-Informationssicherheit/bsi-standard-200-1-managementsysteme-fuer-informationssicherheit_node.html BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)] (PDF-Datei)
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html BSI-Standard 200-1: Managementsysteme für Informationssicherheit]
* [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-2-IT-Grundschutz-Methodik/bsi-standard-200-2-it-grundschutz-methodik_node.html BSI-Standard 200-2: <abbr>IT</abbr>-Grundschutz-Methodik] (PDF-Dateien; deutsch und englisch)
* Die dort genannten Empfehlungen werden im [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html -Standard 200-2: -Grundschutz-Methodik] konkretisiert
* [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz]
* In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist
* [https://service.vds.de/fileadmin/vds_publikationen/cyber/V10000_low.pdf VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)] (PDF; 706&nbsp;kB)


= Links =
; Aspekte des Managements von Informationssicherheit gemäß IT-Grundschutz
== Intern ==
{| class="wikitable options"
== Extern ==
|-
! Aspekt !! Beschreibung
|-
| [[IT-Grundschutz/Sicherheitsprozess|Sicherheitsprozess]] ||
|-
| [[IT-Grundschutz/Managementprinzipien|Managementprinzipien]] ||
|-
| [[IT-Grundschutz/Sicherheitsorganisation|Sicherheitsorganisation]] ||
|-
| [[IT-Grundschutz/Sicherheitsleitlinie|Sicherheitsleitlinie]] ||
|-
| [[IT-Grundschutz/Sicherheitskonzept|Sicherheitskonzept]] ||
|-
| [[IT-Grundschutz/Dokumentation|Dokumentation]] ||
|}


[[category:Sicherheit]]
== Aufgabe ==
[[Kategorie:Informationssicherheit]]
; Systematische Absicherung eines [[IT-Grundschutz/Informationsverbund|Informationsverbund]]s
* Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden
* Die Auswahl und Umsetzung von ''IT-Sicherheitsstandards'' zählt zu den Aufgaben des IT-Sicherheitsmanagements
 
== Standards ==
; [[IT-Grundschutz]] des [[BSI]]
* Die [[IT-Grundschutz-Kataloge]] definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen
* Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren
* Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor
 
; [[ISO/IEC 27001]]
: Norm für Informationssicherheitsmanagementsysteme (ISMS)
; [[ISO/IEC 27002]]
: Leitfaden für das Informationssicherheitsmanagement
 
Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm
 
; Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet
Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm
 
{|class="wikitable options"
| [[IT-Grundschutz]] des [[BSI]] || [[IT-Grundschutz-Kataloge]] definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Anforderungen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen ([[Waschzettel#Öffentlichkeitsarbeit, Public Relations, Marketing|Waschzettel]])
|-
| Für Systeme mit hohem Schutzbedarf || geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren
|-
| Die Grundschutz-Kataloge sind primär in Deutschland bekannt || liegen allerdings auch englischsprachig vor
|-
| [[ISO/IEC 27001]] || Norm für Informationsicherheitsmanagementsysteme (ISMS)
|-
| [[ISO/IEC 27002]] || Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
|-
| [[BS 7799]]-1 und BS 7799-2 || Vorgänger der ISO/IEC 27001 und ISO/IEC 27002
|}
 
; Weitere Standards mit IT-Sicherheitsaspekten
{|class="wikitable options"
| [[ITIL]] || Best-Practices-Sammlung für das IT-Servicemanagement
|-
| [[ISO/IEC 20000]] || die ISO/IEC-Norm für IT-Servicemanagement
|-
| [[BS 15000]] || Britischer Standard für IT-Servicemanagement
|-
| [[COBIT]] || IT-Governance-Framework
|-
| [[ISO/IEC 13335]] || Ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik
|-
| [[EN ISO 27799]] || Medizinische Informatik – Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich)
|-
| [[VdS 10005]] || Richtlinie für IT-Sicherheit im kleinen Mittelstand
|-
| [[Payment Card Industry Data Security Standard]] (PCI-DSS) || Regelwerk für die Abwicklung von Kreditkartentransaktionen
|-
| Benchmarks des [[Center for Internet Security]] ||
|-
| [[Federal Information Processing Standard]]s (FIPS) || weitere des US [[National Institute of Standards and Technology]] (NIST)
|}
 
== Verfahren und Regeln ==
; Verfahren und Regeln innerhalb einer Organisation
; [[Informationssicherheit]]
* definieren
* steuern
* kontrollieren
* aufrechterhalten
* fortlaufend verbessern
 
; Begriff wird im Standard [[ISO/IEC 27002]] definiert
* [[ISO/IEC 27001]] beschreibt ein ISMS
 
; Deutscher Anteil an dieser Normungsarbeit
* [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]]
 
=== Informationssicherheit und Datenschutz ===
; Überschneidende Zuständigkeiten
; Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB)
* Sollten personell getrennt wahrgenommen werden
 
; ISO/IEC 27701
Mit der ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert
* Sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können
 
=== Allgemeine Ansätze ===
{| class="wikitable options"
|-
! Ansatz !! Beschreibung
|-
| Verankerung in der Organisation || Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen
* Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt)
* Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt
|-
| Verbindliche Ziele || Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
|-
| Richtlinien || Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management
|-
| Personalmanagement || Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
|-
| Aktualität des Wissens || Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
|-
| Qualifikation und Fortbildung || Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
|-
| Adaptive Sicherheit || Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst ([[Kontinuierlicher Verbesserungsprozess]])
|-
| Vorbereitung || Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet
|}
 
=== Zertifizierung ===
[[IT-Grundschutz/Zertifizierung]]
 
<noinclude>
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Managementsystem}}
----
* [[ISMS.1 Sicherheitsmanagement]]
* [[Information Security Management System]]
* [[Security Engineering]]
 
 
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-1-Managementsysteme-fuer-Informationssicherheit/bsi-standard-200-1-managementsysteme-fuer-informationssicherheit_node.html BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-2-IT-Grundschutz-Methodik/bsi-standard-200-2-it-grundschutz-methodik_node.html BSI-Standard 200-2: [[IT]] -Grundschutz-Methodik]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz]
# [https://service.vds.de/fileadmin/vds_publikationen/cyber/V10000_low.pdf VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)]
 
 
 
==== Links ====
===== Weblinks =====
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-1-Managementsysteme-fuer-Informationssicherheit/bsi-standard-200-1-managementsysteme-fuer-informationssicherheit_node.html BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-2-IT-Grundschutz-Methodik/bsi-standard-200-2-it-grundschutz-methodik_node.html BSI-Standard 200-2: [[IT]] -Grundschutz-Methodik]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz]
# [https://service.vds.de/fileadmin/vds_publikationen/cyber/V10000_low.pdf VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)]
 
[[Kategorie:ISMS]]
</noinclude>

Aktuelle Version vom 20. November 2024, 11:53 Uhr

Information Security Management System (ISMS) - Managementsystem für Informationssicherheit

Beschreibung

IT-Sicherheitsmanagement

Prozess zur Gewährleistung der IT-Sicherheit

Aufgaben
  • Systematische Absicherung eines informationsverarbeitenden IT-Verbundes
  • Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden
  • Die Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens zählt zu den Tätigkeiten des IT-Sicherheitsmanagements
  • Eine normierte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht
Begriffsherkunft

Der Begriff des IT-Sicherheitsmanagements taucht erstmals mit der Veröffentlichung der Green Books im Jahre 1989 auf

  • Aus einem Teil der Green Books entwickelte sich die BS-7799-Norm für Informationssicherheit
  • Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er-Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet
  • In den 1980er-Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema computer abuse and security und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte

Sicherheitstechnik

Institutionen nutzt Sicherheitstechnik

Beispielsweise um sich vor Gefahren aus dem Internet abzusichern

  • Virenschutzprogramme
  • Spamfilter
  • gestaffelte Firewalls
  • Software zur Angriffserkennung

Sicherheitsorganisation

Organisatorische Maßnahme

Richtlinien

  • Benutzung mobiler Systeme erlassen oder die ihre Mitarbeiter über Gefahren im Internet informieren
Fehlende Konzeption
  • Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle
Isolierte Maßnahmen

Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß, allerdings weder effektiv noch effizient

  • Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden
Ein solches Managementsystem für Informationssicherheit (ISMS) besteht aus folgenden Komponenten
  • Managementprinzipien, etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
  • Ressourcen und Mitarbeitern, dies umfasst die Steuerung des Einsatzes von Technik und Personal sowie
  • der Beschreibung eines Sicherheitsprozesses
Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?

BSI-Standard 200-1: Managementsysteme für Informationssicherheit

  • Die dort genannten Empfehlungen werden im -Standard 200-2: -Grundschutz-Methodik konkretisiert
  • In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist
Aspekte des Managements von Informationssicherheit gemäß IT-Grundschutz
Aspekt Beschreibung
Sicherheitsprozess
Managementprinzipien
Sicherheitsorganisation
Sicherheitsleitlinie
Sicherheitskonzept
Dokumentation

Aufgabe

Systematische Absicherung eines Informationsverbunds
  • Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden
  • Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements

Standards

IT-Grundschutz des BSI
  • Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen
  • Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren
  • Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor
ISO/IEC 27001
Norm für Informationssicherheitsmanagementsysteme (ISMS)
ISO/IEC 27002
Leitfaden für das Informationssicherheitsmanagement

Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm

Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet

Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm

IT-Grundschutz des BSI IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Anforderungen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel)
Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren
Die Grundschutz-Kataloge sind primär in Deutschland bekannt liegen allerdings auch englischsprachig vor
ISO/IEC 27001 Norm für Informationsicherheitsmanagementsysteme (ISMS)
ISO/IEC 27002 Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
BS 7799-1 und BS 7799-2 Vorgänger der ISO/IEC 27001 und ISO/IEC 27002
Weitere Standards mit IT-Sicherheitsaspekten
ITIL Best-Practices-Sammlung für das IT-Servicemanagement
ISO/IEC 20000 die ISO/IEC-Norm für IT-Servicemanagement
BS 15000 Britischer Standard für IT-Servicemanagement
COBIT IT-Governance-Framework
ISO/IEC 13335 Ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik
EN ISO 27799 Medizinische Informatik – Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich)
VdS 10005 Richtlinie für IT-Sicherheit im kleinen Mittelstand
Payment Card Industry Data Security Standard (PCI-DSS) Regelwerk für die Abwicklung von Kreditkartentransaktionen
Benchmarks des Center for Internet Security
Federal Information Processing Standards (FIPS) weitere des US National Institute of Standards and Technology (NIST)

Verfahren und Regeln

Verfahren und Regeln innerhalb einer Organisation
Informationssicherheit
  • definieren
  • steuern
  • kontrollieren
  • aufrechterhalten
  • fortlaufend verbessern
Begriff wird im Standard ISO/IEC 27002 definiert
Deutscher Anteil an dieser Normungsarbeit

Informationssicherheit und Datenschutz

Überschneidende Zuständigkeiten
Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB)
  • Sollten personell getrennt wahrgenommen werden
ISO/IEC 27701

Mit der ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert

  • Sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können

Allgemeine Ansätze

Ansatz Beschreibung
Verankerung in der Organisation Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen
  • Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt)
  • Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt
Verbindliche Ziele Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
Richtlinien Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management
Personalmanagement Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
Aktualität des Wissens Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
Qualifikation und Fortbildung Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
Adaptive Sicherheit Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess)
Vorbereitung Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet

Zertifizierung

IT-Grundschutz/Zertifizierung


Anhang

Siehe auch



  1. BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
  2. BSI-Standard 200-2: IT -Grundschutz-Methodik
  3. BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
  4. VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)


Links

Weblinks
  1. BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
  2. BSI-Standard 200-2: IT -Grundschutz-Methodik
  3. BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
  4. VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)