|
|
Rubrik: Fachbeiträge/Grundlagen Best Practice-Vorgehen: Information Security Management System (ISMS), gemäß ISO2700x Effektive Informationssicherheit - mit Best Practice zur Effizienz (
Anzeige
Von Dr. Thomas Störtkuhl, Secaron AG Dabei ist ein Best Practice-Vorgehen, das Information Security Management System (ISMS), gemäß ISO2700x schon längst bekannt und erprobt. Nur wird es meist unzulänglich umgesetzt: Informationssicherheit muss jedoch mit der gleichen Professionalität und strategischen Planung angegangen und umgesetzt werden, wie mittlerweile Angreifer ihrer Attacken ausführen. Auch sollte nicht vergessen werden, dass die Angriffe immer öfter von wirtschaftlich starken Gruppen mit massiven politischen oder kommerziellen Eigeninteressen ausgehen und die Angreiferszene mittlerweile hochgradig professionalisiert ist. Nach unserer Erfahrung mit unseren Kunden aus den Branchen wie Automotive, Telekommunikation, Chemie, Banken und Versicherungen haben nur die Unternehmen eine Chance im Kampf gegen die Hacker gleichzuziehen, die eine strategisch geplante Steuerung für Informationssicherheit, orientiert an den wirtschaftlichen Interessen des eigenen Unternehmens aufbauen. Die Herausforderung besteht also darin, eine effektive Informationssicherheit mit hoher Effizienz umzusetzen. Die Lösung für diese Herausforderung soll im Folgenden skizziert werden. Elemente eines ISMS Ein Information Security Management System (ISMS) muss folgende wesentliche Elemente aufweisen: · Management Commitment · Organisationsstruktur mit definierten Rollen und Verantwortlichkeiten · kontinuierlicher Verbesserungsprozess · Risikomanagement · Umsetzung der vom Standard geforderten Controls Diese Elemente und alle wesentlichen Aktivitäten sind zu dokumentieren, um das Funktionieren des Managementsystems belegen zu können. Zudem muss das ISMS risikoorientiert aufgebaut werden. Management Commitment Für den Aufbau und Betrieb eines ISMS ist die Unterstützung des Top-Managements unabdingbar. Häufig jedoch fehlt ein explizites Management Commitment, wenn durch Verantwortliche die Informationssicherheit strategisch und geplant angegangen wird. Daraus erwächst dann sofort das Problem, dass Mitarbeiter z.B. Aufgaben bzgl. Informationssicherheit zu niedrig priorisieren mit der Konsequenz, dass wichtige Vorhaben bzgl. Informationssicherheit zu langsam vorankommen oder gar nicht erledigt werden. Daher wird empfohlen, ein Management Commitment explizit einzuholen und in einer Security Policy schriftlich festzuhalten. Das Top Management sollte die Informationssicherheit als ein sehr wichtiges Unternehmensziel an die Mitarbeiter kommunizieren. Organisation In einer Security Policy werden auch die Grundzüge des ISMS mit Organisation, Prozessen und zugehörigen Verantwortlichkeiten definiert. Meist werden gerade zu Beginn des Aufbaus der Informationssicherheit die Verantwortlichkeiten nicht klar definiert, sie "wachsen" historisch. Dies führt dann vielfach zu Reibungsverlusten und Frustrationen bei den Verantwortlichen. Zudem werden Aufgaben nicht korrekt koordiniert, so dass Redundanzen oder Lücken im Managementsystem für Informationssicherheit entstehen. Daher ist es besonders wichtig alle Beteiligten von Anfang in den Prozess für den Aufbau des ISMS mit einzubeziehen und die Verantwortlichkeiten, Rollen und zugehörigen organisatorischen Schnittstellen klar zu definieren. Zudem muss das Management für die Aufgaben des ISMS die nötigen Ressourcen (Budget, Mitarbeiter) bereitstellen. Dokumentation Ein ISMS wird erst dann wirklich effektiv und effizient, wenn die wesentlichen Elemente und Aktivitäten dokumentiert werden. Unsere Erfahrung zeigt aber, dass gerade die Dokumentation sehr oft stark vernachlässigt wird und insbesondere nicht definiert wurde, welche Dokumente mit welcher Struktur und mit welcher Detailtiefe benötigt werden. Ziel muss es sein, eine Dokumentation für das ISMS zu erstellen, mit dem sowohl das Management als auch der Betrieb arbeiten können. Lösung ist hier eine Dokumentenhierarchie mit Security Policy, Sicherheitsrichtlinien und -Konzepten (siehe Abbildung 1), die den Ansprüchen des Managements oder des Betriebs genügt und durchgängig die Sicherheitsanforderungen in der Hierarchie ableitbar macht. Die Sicherheitsrichtlinien definieren dabei die grundlegenden Sicherheitsanforderungen des Unternehmens, die dann in den Sicherheitskonzepten konkretisiert werden (sowohl technisch als auch organisatorisch). Ergänzt wird die Dokumentation durch Protokollierung von organisatorischen und technischen Aktivitäten, die zur Umsetzung der Informationssicherheit ausgeführt werden. Diese müssen als Nachweise für die korrekte Umsetzung vorliegen und sind ebenfalls Voraussetzung für eine erfolgreiche Zertifizierung gemäß ISO27001.
Kontinuierlicher Verbesserungsprozess Nach dem Aufbau eines ISMS ist für Nachhaltigkeit zu sorgen. Nachhaltigkeit kann aber nur durch einen kontinuierlichen Verbesserungsprozess erreicht werden, der in Unternehmen nach unserer Erfahrung sehr schwer zu realisieren ist und häufig nicht wirklich umgesetzt wird. Die Hauptgründe hierfür sind: Ressourcen werden nicht oder nur unzureichend zur Verfügung gestellt; es ist nicht klar, wie denn die Güte/der Reifegrad des ISMS gemessen werden soll, d.h. man kann nicht erkennen, wo Defizite bestehen; das Know-How für die kontinuierliche Verbesserung fehlt. Folgende Lösungen sind hier zu empfehlen: Der ISO27001-Standard sieht für die Realisierung des kontinuierlichen Verbesserungsprozesses interne Audits und sogenannte Management Reviews vor. Diese Audits und Reviews sind in Inhalt und Organisation zu planen. Ein allgemeines Audit-Verfahren wird z.B. im ISO19011 als Best Practice definiert. Als Grundlage für die Audits dienen zunächst einmal die Sicherheitsrichtlinien und -Konzepte gegen die inhaltlich geprüft werden kann. Weiter müssen aber auch Kennzahlen definiert werden, die eine Steuerung und Kontrolle des ISMS ermöglichen. Dies kann z.B. auf der Grundlage des COBIT erfolgen, in dem die im COBIT beschriebenen Prozesse und Kennzahlen auf das ISMS übertragen werden. Hierbei kann auch eine Strukturierung der Kennzahlen gemäß einer Balanced Scorecard erfolgen. Ein Beispiel für ein mögliches Kennzahlensystem für ein ISMS ist in folgender Abbildung 2 dargestellt:
Alternativ kann ein Kennzahlensystem auf der Basis des Control-Katalogs des ISO27001 verwendet werden. Hier ermittelt man regelmäßig inwieweit die Controls des ISO27001 erfüllt werden (Compliance-Check gegen den ISO27001-Standard). Der Erfüllungsgrad der ersten Ebene der Controls kann dann als Kennzahl verwendet werden. Eine weitere Kennzahl ist natürlich das Risiko, dass es gemäß Vorgaben des Managements zu reduzieren gilt. Risikomanagement Um mit der Kennzahl "Risiko" arbeiten zu können, muss ein Risikomanagement etabliert werden, durch das in einem definierten Vorgehen operative Risiken der IT identifiziert, bewertet, behandelt und kontrolliert werden. Vielen Unternehmen und Institutionen fehlt hierzu nach unseren Erfahrungen für den Bereich der IT das notwendige Know-how für ein strukturiertes und effizientes Vorgehen. Eine Anleitung für den Aufbau eines Risikomanagementsystems wird im ISO27005 gegeben. Jedoch muss dieser Standard mit Leben gefüllt und an das jeweilige Unternehmen angepasst werden. Zudem muss hier besonders auf Effizienz geachtet werden, da man sonst sehr große Aufwände für Risikoanalysen generiert. Ein mögliches Vorgehen: Definition und Abstimmung einer Methodik für Risikoanalyse und -management mit den zugehörigen wesentlichen Hilfsmitteln wie Bedrohungskatalog, Klassen von Schäden und Eintrittswahrscheinlichkeiten gemäß den Geschäftszielen; Durchführung einer ersten Risikoanalyse für einen kritischen Geschäftsprozess oder eine kritische Anwendung; Verbesserung der Methodik auf der Basis der Erfahrungen der ersten Analyse; Durchführung weiterer Risikoanalysen kritischer Komponenten; Erstellung eines ersten Risikoberichtes, der die Schnittstelle zum Risiko-management des Unternehmens bedient und als Input für ein Management Review dienen kann. Eine Herausforderung stellt für viele Unternehmen die Beschreibung und Dokumentation kritischer Komponenten dar. Zum Beispiel ist nicht klar, welche Detailtiefe für die Beschreibung eines Geschäfts-prozesses gewählt werden soll und welche Attribute eine kritische Komponente ausreichend beschreiben. Hier gilt die Regel, dass man zunächst mit einer Grobbeschreibung beginnen sollte, die dann sukzessive verfeinert werden kann. Bei der Durchführung der Risikoanalyse wird sich nämlich herausstellen, welche Detailtiefe geeignet ausreichend ist und welche Attribute unbedingt zu erfassen sind. Durch das beschriebene Vorgehen kommt man relativ schnell zu ersten Ergebnissen und Korrekturen. So gewinnt man die Mitarbeiter und das Management für weitere Arbeiten bzgl. des Risikomanage-ments und kann Maßnahmen bzgl. der Informationssicherheit gegenüber dem Management plausibel machen. Zu beachten ist zudem, dass durch den Einsatz eines Tools, Risikoanalysen standardisiert, rationalisiert und nachverfolgt werden können und so die Effizienz gesteigert werden kann. In vielen Fällen ist der Einsatz eines Tools unbedingt anzuraten, da ansonsten die Vielzahl der Risikoanalysen weder verwaltet noch übergreifend ausgewertet werden kann. Umsetzung der Maßnahmen Gemäß kontinuierlichem Verbesserungsprozess und Risikomanagement sind Verbesserungs-maßnahmen umzusetzen. Die Umsetzung erfolgt hier jedoch vielfach nicht mit im Unternehmen definierten Projektmanagementmethoden, sondern mit unabgestimmten Vorgehensweisen. Dies führt zwangsläufig zu Reibungsverlusten, Nichteinhaltung von Budgets und Terminen und damit zu einem Imageverlust der Informationssicherheit innerhalb des Unternehmens. Zudem wird häufig keine ausreichende Requirements-Analyse durchgeführt, die Anforderungen der Mitarbeiter, der Fach-abteilungen und des IT-Betriebs berücksichtigen. Um die Umsetzung von Sicherheitsmaßnahmen erfolgreich und effizient zu gestalten, sollte man also die Projektmanagementmethoden einsetzen, die man mit hoher Professionalität auch bei Kundenprojekten einsetzt. Zusammenfassend: Umsetzungen von Sicherheitsmaßnahmen sollten durch interne, professionell gesteuerte Projekte erfolgen. Fazit Der vorgestellte Best Practice-Ansatz für das Management für Informationssicherheit gemäß ISO 27001 kann effektiv und effizient gestaltet werden, wenn folgende Grundregeln eingehalten werden: Risikomanagement, Anlehnung an die Methodik des Balanced Scorecard und Aufbau des Kennzahlensystems gemäß der Methodik von COBIT folgende Vorteile: 1. Das Management erklärt die Informationssicherheit zu einem wichtigen Unternehmensziel. 2. Einbeziehung aller verantwortlichen Mitarbeiter von Anfang an und klare Zuweisung von Rollen und Verantwortlichkeiten in Bezug auf die Informationssicherheit. 3. Verbesserung und Steuerung des ISMS mit Hilfe von messbaren Kennzahlen und durch einen definierten kontinuierlichen Verbesserungsprozess. 4. Die Angemessenheit des Sicherheitsniveaus wird durch die Orientierung an operativen Risiken und Geschäftszielen gewährleistet (Business Alignment). 5. Die Umsetzung von Sicherheitsmaßnahmen erfolgt durch interne, professionell gesteuerte Projekte. (Secaron: ma) |
||||
|
