Information Security Management System (ISMS) - Managementsystem für Informationssicherheit

Beschreibung

Der Begriff IT-Sicherheitsmanagement stammt aus dem Bereich der Informationstechnik. Er beschreibt einen fortlaufenden Prozess innerhalb einer Unternehmung oder Organisation zur Gewährleistung der IT-Sicherheit.

Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes. Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden. Die Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens zählt zu den Tätigkeiten des IT-Sicherheitsmanagements. Eine normierte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.

Begriffsherkunft

Der Begriff des IT-Sicherheitsmanagements taucht erstmals mit der Veröffentlichung der Green Books im Jahre 1989 auf.

• Aus einem Teil der Green Books entwickelte sich die BS-7799-Norm für Informationssicherheit.
• Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er-Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet.
• In den 1980er-Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema computer abuse and security und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte.

Sicherheitstechnik

Institutionen nutzt Sicherheitstechnik

Beispielsweise um sich vor Gefahren aus dem Internet abzusichern

• Virenschutzprogramme
• Spamfilter
• gestaffelte Firewalls
• Software zur Angriffserkennung

Sicherheitsorganisation

Organisatorische Maßnahme

Richtlinien

• Benutzung mobiler Systeme erlassen oder die ihre Mitarbeiter über Gefahren im Internet informieren

Fehlende Konzeption

• Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle.

Isolierte Maßnahmen

Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß, allerdings weder effektiv noch effizient.

• Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden.

Ein solches Managementsystem für Informationssicherheit (ISMS) besteht aus folgenden Komponenten

• Managementprinzipien,etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
• Ressourcen und Mitarbeitern,dies umfasst die Steuerung des Einsatzes von Technik und Personal sowie
• der Beschreibung eines Sicherheitsprozesses.

Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?

Antworten hierzu finden Sie im -Standard 200-1: Managementsysteme für Informationssicherheit ().

• Die dort genannten Empfehlungen werden im -Standard 200-2: -Grundschutz-Methodik konkretisiert.
• In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist.

Aspekte des Managements von Informationssicherheit gemäß IT-Grundschutz

Aspekt	Beschreibung
Sicherheitsprozess
Managementprinzipien
Sicherheitsorganisation
Sicherheitsleitlinie
Sicherheitskonzept
Dokumentation

Aufgabe

Systematische Absicherung eines IT-Verbundes

• Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
• Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.

Standards

IT-Grundschutz des BSI

• Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen.
• Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
• Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.

ISO/IEC 27001

Norm für Informationssicherheitsmanagementsysteme (ISMS)

ISO/IEC 27002

Leitfaden für das Informationssicherheitsmanagement

Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm

Standards

Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet

• IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
  • Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel). Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren. Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
• ISO/IEC 27001: Norm für Informationsicherheitsmanagementsysteme (ISMS)
• ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
• BS 7799-1 und BS 7799-2: Vorgänger der ISO/IEC 27002 und ISO/IEC 27001

Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm

Weitere Standards mit IT-Sicherheitsaspekten

• ITIL: Best-Practices-Sammlung für das IT-Servicemanagement
• ISO/IEC 20000: die ISO/IEC-Norm für IT-Servicemanagement
• BS 15000: Britischer Standard für IT-Servicemanagement
• COBIT: IT-Governance-Framework
• ISO/IEC 13335: ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik
• EN ISO 27799: Medizinische Informatik – Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich)
• VdS 10005: Richtlinie für IT-Sicherheit im kleinen Mittelstand

• Payment Card Industry Data Security Standard (PCI-DSS): Regelwerk für die Abwicklung von Kreditkartentransaktionen
• die Benchmarks des Center for Internet Security
• diverse Federal Information Processing Standards (FIPS) und weitere des US National Institute of Standards and Technology (NIST)

Verfahren und Regeln innerhalb einer Organisation

Informationssicherheit

• definieren
• steuern
• kontrollieren
• aufrechterhalten
• fortlaufend verbessern

Begriff wird im Standard ISO/IEC 27002 definiert

• ISO/IEC 27001 beschreibt ein ISMS

Deutscher Anteil an dieser Normungsarbeit

• DIN NIA-01-27 IT-Sicherheitsverfahren

Informationssicherheit und Datenschutz

Überschneidende Zuständigkeiten

Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB)

• Sollten personell getrennt wahrgenommen werden

ISO/IEC 27701

Mit der ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert

• Sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können.

Allgemeine Ansätze

Ansatz	Beschreibung
Verankerung in der Organisation	Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.
Verbindliche Ziele	Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
Richtlinien	Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management.
Personalmanagement	Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
Aktualität des Wissens	Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
Qualifikation und Fortbildung	Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
Adaptive Sicherheit	Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess).
Vorbereitung	Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet.

Zertifizierung

Grundschutz/Zertifizierung

TMP

Anhang

Siehe auch

• Managementsystem
• Managementsystem für Informationssicherheit

---

• ISMS.1 Sicherheitsmanagement
• Information Security Management System
• Security Engineering

Links

Weblinks

1. BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
2. BSI-Standard 200-2: IT-Grundschutz-Methodik
3. BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
4. VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)