Information Security Management System: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 47: Zeile 47:


== Allgemeine Ansätze ==
== Allgemeine Ansätze ==
=== Verankerung in der Organisation ===
 
* Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen.  
{| class="wikitable sortable options"
|-
! Ansatz !! Beschreibung
|-
| Verankerung in der Organisation || Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen.
* Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.
* Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.


=== Verbindliche Ziele ===
|-
* Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
| Verbindliche Ziele || Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.


=== Richtlinien ===
|-
* Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management.
| Richtlinien || Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management.


=== Personalmanagement ===
|-
* Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
| Personalmanagement || Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.


=== Aktualität des Wissens ===
|-
* Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
| Aktualität des Wissens || Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.


=== Qualifikation und Fortbildung ===
|-
* Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
| Qualifikation und Fortbildung || Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.


=== Adaptive Sicherheit ===
|-
* Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst ([[Kontinuierlicher Verbesserungsprozess]]).
| Adaptive Sicherheit || Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst ([[Kontinuierlicher Verbesserungsprozess]]).
# Vorbereitung: Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet.
|-
| Vorbereitung || Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet.
|}


== Zertifizierung ==
== Zertifizierung ==

Version vom 6. Mai 2023, 08:54 Uhr

Ein Information Security Management System (ISMS) ist ein Managementsystem für Informationssicherheit

Beschreibung

Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes.

  • Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
  • Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.
  • Standards des IT-Sicherheitsmanagements sind beispielsweise:
  • IT-Grundschutz des BSI
    • Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel).
  • Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
  • Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
  • ISO/IEC 27001: Norm für Informationssicherheitsmanagementsysteme (ISMS)
  • ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)

Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm.

Weitere Standards sind zu finden im Vorlage:Hauptartikel

Verfahren und Regeln innerhalb einer Organisation zur Informationssicherheit
Informationssicherheit
  • definieren
  • steuern
  • kontrollieren
  • aufrechterhalten
  • fortlaufend verbessern
Begriff wird im Standard ISO/IEC 27002 definiert
Deutscher Anteil an dieser Normungsarbeit

Informationssicherheit und Datenschutz

Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) haben teilweise überschneidende Zuständigkeiten, müssen aber personell getrennt wahrgenommen werden.

  • Mit der neuen Norm ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert, sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können. Vorlage:Literatur

Allgemeine Ansätze

Ansatz Beschreibung
Verankerung in der Organisation Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen.
  • Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.
Verbindliche Ziele Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
Richtlinien Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management.
Personalmanagement Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
Aktualität des Wissens Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
Qualifikation und Fortbildung Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
Adaptive Sicherheit Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess).
Vorbereitung Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet.

Zertifizierung

  • Je nach Branche und Gesetz muss eine Organisation ein zertifiziertes ISMS betreiben – oft mit jährlichen externen Audit.
  • Neben der Zertifizierung direkt auf die ISO/IEC-27000-Reihe gibt es in Deutschland drei typische Varianten:

ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) brachte mit dem IT-Grundschutz 2006 ein Konzept für die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) heraus.
  • Der IT-Grundschutz bietet mit seinen drei Standards 200-1, 200-2 und 200-3 in Kombination mit den IT-Grundschutzkatalogen (bis 2006 IT-Grundschutzhandbuch genannt) Hilfestellungen bei der Einführung und Aufrechterhaltung eines ISMS.
  • Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst.
  • Dieses System gilt als Quasi-Standard in deutschen Behörden.

Das BSI legt dabei besonderen Wert auf die drei Bereiche

von Informationen.

Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)

ISMS nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des BSI stellen aus verschiedenen Gründen oft große Hürden für Unternehmen des Mittelstands (Kleine und mittlere Unternehmen (KMU)) dar, vor allem wenn diese nicht in der IT-Branche tätig sind. ZDNet-Artikel vom 7. November 2011

  • Schwierigkeiten bestehen erfahrungsgemäß unter anderem darin, ausreichend ausgebildetes Personal in den meist kleinen IT-Abteilungen abstellen zu können.
  • Weiterhin stellt die in dem ISO/IEC 27001-Standard geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor unlösbare Aufgaben.
  • Das sogenannte „Netz für Informationssicherheit im Mittelstand (NIM)“ (Mitglieder u. a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg) entwickelte daher – aus IT-Grundschutz und ISO/IEC 27001 abgeleitet – ein wissenschaftlich abgestütztes Modell zur Einführung eines ISMS in 12 konkreten Schritten.
  • Wesentliches Augenmerk wurde darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.

VdS Richtlinien 10000 (VdS 10000)

Die Richtlinien „VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) (PDF; 275K) der VdS Schadenverhütung GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.

  • Sie sind speziell für KMU sowie für kleinere und mittlere Institutionen und Behörden ausgelegt.
  • Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.
  • Die VdS 10000 ist der Nachfolger der VdS 3473.

Anwendung

Anhang

Siehe auch

==


Sicherheit

Dokumentation

RFC
Man-Pages
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks
  1. BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) (PDF-Datei)
  2. BSI-Standard 200-2: IT-Grundschutz-Methodik (PDF-Dateien; deutsch und englisch)
  3. BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
  4. VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) (PDF; 706 kB)


Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5