Informationssicherheit-Management-System

Was ist ein Management-System für die Informationssicherheit?

Der Aufbau eines Infromationssicherheits-Management-Systems (Information Security Management Systems ? ISMS) soll dazu dienen, systematisch und effizient alle sicherheitsrelevanten Informationen zu sammeln. So können Massnahmen ergriffen werden, um ein zuvor festgelegtes Sicherheitsniveau erreichen und erhalten zu können. Das ISMS muss daher das zentrale Element der gesamten Sicherheitsarchitektur eines Unternehmens bilden. Obwohl der Begriff stark durch die Informationstechnologie geprägt ist, so setz ein solches ISMS im Idealfall nicht erst in der IT an, sondern umfasst die gesamte Oranisation. Letzendlich stellt Informationstechnologie lediglich ein Hilfsmittel da, um Unternehmensinformation zu bearbeiten und verwalten, nutzbar werden die Informationen eines Unternehmens erst in der praktischen Verwendung durch die Mitarbeiter einer Organisation. Information werden nicht um ihrere selbst willen verwaltet un Verbeo  

Die nebenstehende PDCA-Grafik zeigt, welche Schritte grundsätzlich notwendig sind, damit ein ISMS geplant, eingeführt, betrieben und verbessert werden kann:

Warum wird ein ISMS benötigt?

Für jede Organisation stellt sich die Notwendigkeit, Informationen sicher zu verarbeiten, aufzubewahren sowie vor ungewollter Veröffentlichung, Verfälschung und Verlust zu schützen. Die Anforderung ist zunächst unabhängig davon, ob Informationstechnologie eingesetzt wird oder nicht. Insofern haben sich die grundsätzlichen Anforderungen nicht geändert. Was sich jedoch in erheblichem Masse geändert hat, sind die zur Verfügung stehenden Werkzeuge. 

Neben dem originären Interesse des Unternehmens an Datensicherheit existieren zahlreiche gesetzliche und regulatorische Bestimmungen, die durch erfüllt werden müssen. Als Beispiel seien hier nur Datenschutzregelungen genannt, die den Persönlichkeitsschutz sicherstellen sollen

Wichtig ist, dass jederzeit ein einheitliches Vorgehen bei der Informationssicherheit gewährleistet ist, da andernfalls die Konsistenz der Massnahmen schnell verloren geht. Wesentliche Gründe hierfür sind:

  • Vorgelagerte Risikoanalysen werden nicht durchgeführt
  • Massnahmen werden von verschiedenen Stellen im Unternehmen ergriffen, aber nicht koordiniert
  • Massnahmen werden ad-hoc und ohne genau definierte Zielsetzung getroffen, sodass auch keine Zielerreichungsprüfung erfolgen kann
  • Die Vollständigkeit der Massnahmen wird nicht überprüft.

Das Ergebnis sind  uneinheitliche Massnahmen mit geringer Akzeptanz. Das daraus resultierende Sicherheitsniveau ist entsprechend niedrig. Die Gefahr für die Organisation wird durch ein solches Vorgehen noch vergrössert, da es sich in trügerischer Sicherheit wähnt ? schliesslich wurden unter Umständen sehr teure Massnahmen ergriffen.

Solchen Entwicklungen kann nur entgegengewirkt werden, wenn Informationssicherheit systematisch bearbeitet wird.

Unsere Dienstleistungen

Der Aufbau eines ISMS ist ein iterativer Vorgang, der durch wiederholtes Durchlaufen der nachfolgenden Prozessabschnitte entsprechend des PDCA Modells zu stetiger Verbesserung des Systems führt:

ISMS aufbauen

  • Definition des Anforderungsprofils
  • Festlegung der Strukturen des Risikoassessments
  • Genaue Kriterien für die Bestimmung der akzeptierbaren Risikomenge
  • Erstellung einer ISMS-Richtlinie zur genauen Definition des Projektumfangs
  • Prüfung und Abstimmung mit der Unternehmensleitung

Implementierung und Betrieb des ISMS

  • Design der Kontrolmechanismen
  • Einführungsplanung
  • Einführung der ausgewählten Kontrollen
  • Einführung von Training- and Awareness-Programmen
  • Verwaltung des Betriebs und Ressourcen-Management

Beobachtung und Review des ISMS

  • Monitoring und interne Überprüfung des Systems
  • Regelmässige Reviews über die Effektivität und Effizienz des Systems
  • Review der akzeptierten Risiken und verbleibender Restrisiken
  • Dokumentation von Aktionen und Ereignissen, die einen Einfluss auf die Effektivität und die Effizienz des ISMS haben könnten

Pflege und Verbesserung des ISMS

  • Übernehmen von Verbesserungen in definierten Zeitintervallen
  • Vornehmen von korrigierenden und vorbeugenden Massnahmen
  • Bericht über die getroffenen Massnahmen
  • Prüfung der Verbesserungsmassnahmen

Zur Gestaltung eines ISMS bieten sich verschiedene Ansätze an, wobei der am weitesten verbreitete Ansatz zur Zeit der ISO 27001 sein dürfte. Eine weitere wichtige Quelle für Standards, die in unsere Arbeit einfliessen, ist das deutsche Bundesamt für Sicherheit in der Informationstechnologie (BSI), insbesondere dessen Grundschutzhandbuch, sowie die Computer Security Division des amerikanischen National Institute of Standards and Technology (NIST).

In Bezug auf konkrete Bedrohungen stützen wir uns zudem auf Informationen der Melde- und Analysestelle Informationssicherheit (MELANI) der Bundesverwaltung, das CERT Coodination Center der Carnegie-Mellon Universität sowie das RUS-CERT der Universität Stuttgart.

Ihr Nutzen

Die Einführung eines ISMS muss sich an betriebswirtschaftlichen Kriterien messen lassen. Ein gutes ISMS bringt folgende qualitative und quantitative Vorteile:

  • Kostensenkung bei Umsetzung von Sicherheitsmassnahmen
  • Konsistenz der Sicherheitsmassnahmen
  • Verbesserte Risikoeinschätzung und -abdeckung
  • Verbesserte Wahrnehmung von Sicherheitsbedürfnissen 
  • Verbesserte Akzeptanz von sicherheitsrelevanten Massnahmen
  • Systematische Integration von Daten- und Informationssicherheit beim Design und der Entwicklung von Systemen.

COREVA kann Sie bei jedem Schritt des ISMS-Prozesses unterstützen. Wir helfen Ihnen bei der Erstellung der Anforderungs- und Risikoprofile genauso wie beim Design und der Implementation Ihres ISMS.Zudem können wir sie bei der Prüfung und praktischen Verbesserung Ihres ISMS unterstützen und Awareness-Programme durchführen, um Ihre Mitarbeiter zu sensibilisieren.