Information Security Management System: Unterschied zwischen den Versionen
| Zeile 7: | Zeile 7: | ||
* Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle. | * Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle. | ||
Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß allerdings weder effektiv noch effizient. | ; Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß allerdings weder effektiv noch effizient. | ||
* Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden. | * Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden. | ||
| Zeile 37: | Zeile 37: | ||
| [[Grundschutz/Dokumentation|Dokumentation]] || | | [[Grundschutz/Dokumentation|Dokumentation]] || | ||
|} | |} | ||
== Aufgabe des IT-Sicherheitsmanagements == | == Aufgabe des IT-Sicherheitsmanagements == | ||
* Systematische Absicherung eines informationsverarbeitenden IT-Verbundes | * Systematische Absicherung eines informationsverarbeitenden IT-Verbundes | ||
Version vom 28. August 2023, 10:46 Uhr
Ein Information Security Management System (ISMS) ist ein Managementsystem für Informationssicherheit
Beschreibung
- Jede Institution benutzt heute Sicherheitstechnik, um sich vor Gefahren aus dem Internet abzusichern
- Dazu gehören fast immer Virenschutzprogramme und Spamfilter, oft aber auch komplexere Lösungen wie gestaffelte Firewalls und Software zur Angriffserkennung.
- Darüber hinaus ergreifen Behörden und Unternehmen organisatorische Maßnahmen, etwa indem sie Richtlinien für die Benutzung mobiler Systeme erlassen oder die ihre Mitarbeiter über Gefahren im Internet informieren.
- Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle.
- Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß allerdings weder effektiv noch effizient.
- Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden.
Ein solches Managementsystem für Informationssicherheit (ISMS) besteht aus folgenden Komponenten:
- Managementprinzipien,etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
- Ressourcen und Mitarbeitern,dies umfasst die Steuerung des Einsatzes von Technik und Personal sowie
- der Beschreibung eines Sicherheitsprozesses.
- Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?
Antworten hierzu finden Sie im -Standard 200-1: Managementsysteme für Informationssicherheit ().
- Die dort genannten Empfehlungen werden im -Standard 200-2: -Grundschutz-Methodik konkretisiert.
- In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist.
- Aspekte des Managements von Informationssicherheit gemäß -Grundschutz
| Aspekt | Beschreibung |
|---|---|
| Sicherheitsprozess | |
| Managementprinzipien | |
| Sicherheitsorganisation | |
| Sicherheitsleitlinie | |
| Sicherheitskonzept | |
| Dokumentation |
Aufgabe des IT-Sicherheitsmanagements
- Systematische Absicherung eines informationsverarbeitenden IT-Verbundes
- Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
- Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.
- Standards des IT-Sicherheitsmanagements
- IT-Grundschutz des BSI
- Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel).
- Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
- Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
- ISO/IEC 27001: Norm für Informationssicherheitsmanagementsysteme (ISMS)
- ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
- Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm
- Weitere Standards sind zu finden im Vorlage:Hauptartikel
- Verfahren und Regeln innerhalb einer Organisation zur Informationssicherheit
- definieren
- steuern
- kontrollieren
- aufrechterhalten
- fortlaufend verbessern
- Begriff wird im Standard ISO/IEC 27002 definiert
- ISO/IEC 27001 beschreibt ein ISMS
- Deutscher Anteil an dieser Normungsarbeit
Informationssicherheit und Datenschutz
- Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) haben überschneidende Zuständigkeiten
- Sollten personell getrennt wahrgenommen werden.
- ISO/IEC 27701
Mit der ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert
- sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können.
Allgemeine Ansätze
| Ansatz | Beschreibung |
|---|---|
| Verankerung in der Organisation | Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen.
|
| Verbindliche Ziele | Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. |
| Richtlinien | Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management. |
| Personalmanagement | Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. |
| Aktualität des Wissens | Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt. |
| Qualifikation und Fortbildung | Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. |
| Adaptive Sicherheit | Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess). |
| Vorbereitung | Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet. |
Zertifizierung
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
- BSI-Standard 200-2: IT-Grundschutz-Methodik
- BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
- VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)
Anhang
Siehe auch
Dokumentation
Links
Einzelnachweise
Projekt
Weblinks
Testfragen
Welches Modell liegt dem in -Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?
A ein Zyklus aus den Schritten Plan, Do, Check und Act B ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus C ein auf stetige Verbesserung angelegtes Modell D ein Modell aus technischen Sicherheitsmaßnahmen
Die Antworten A und C sind richtig.
Was sollte eine Leitlinie zur Informationssicherheit enthalten?
A detaillierte technische Vorgaben für die Konfiguration wichtiger -Systeme B Aussagen zur Bedeutung der Informationssicherheit für die betroffene Institution C grundlegende Regelungen zur Organisation der Informationssicherheit D konkrete Verhaltensregelungen für den Umgang mit vertraulichen Informationen
Die Antworten B und C sind richtig.
Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte?
A die Entwicklung von Sicherheitskonzepten zu koordinieren B die eingesetzte Sicherheitstechnik zu konfigurieren C der Leitungsebene über den Stand der Informationssicherheit zu berichten D Presseanfragen zum Stand der Informationssicherheit im Unternehmen zu beantworten
Die Antworten A und C sind richtig.
Wie setzt sich ein -Management-Team geeignet zusammen?
A Aus jeder Abteilung des Unternehmens oder der Behörde werden Mitarbeiter entsandt, damit alle Bereiche gut vertreten sind. B Nur der -Leiter ordnet einige Mitarbeiter in das Team ab. C Die Zusammensetzung sollte auf Freiwilligkeit beruhen. Jeder der Interesse hat, wird aufgenommen. D Die Geschäftsleitung setzt das Team aus Verantwortlichen für bestimmte -Systeme, Anwendungen, Datenschutz und -Service und (sofern vorhanden) dem - zusammen.
Die Antwort D ist richtig.
Wer ist für die Freigabe der Leitlinie zur Informationssicherheit verantwortlich?
A das -Management-Team B der C die Unternehmens- oder Behördenleitung D die Öffentlichkeitsabteilung eines Unternehmens oder einer Behörde
Die Antwort C ist richtig.
Warum kann es sinnvoll sein, sich für eine Sicherheitskonzeption gemäß der Basis-Absicherung zu entscheiden?
A Die Erfüllung der zugehörigen Anforderungen reicht in der Regel für ein normales Unternehmen völlig aus. B Weil schnell Informationssicherheit umgesetzt werden muss und die Basis-Absicherung hierfür einen geeigneten Einstieg bietet. C Weil Informationssicherheit Schritt für Schritt umgesetzt werden soll. Mittelfristig kann das Sicherheitskonzept nach Standard-Absicherung ausgebaut werden. D Weil die hochwertigen Informationen dringend geschützt werden müssen. Die Basis-Absicherung sorgt für den angemessenen Schutz der „Kronjuwelen“ einer Institution.
Die Antworten B und C sind richtig.