11.06.2014

ISMS: Informationsrisiken minimieren

Der Wert von Informationen und Informationssystemen nimmt laufend zu. Im Zeitalter von YouTube und Facebook stehen Verantwortliche vor gewaltigen Aufgaben, Personen- oder Betriebsdaten zu schützen. Hinzu kommen immer komplexer werdende Informationssysteme, deren Ausfall oft massive und teils irreparable Schäden für die Organisation verursachen. Kein Wunder, dass Gesetzgeber und Aufsichtsbehörden, aber auch Geschäftspartner ihre Anforderungen an den sicheren Umgang mit Daten immer deutlicher artikulieren und durchsetzen. Fach- und Führungskräfte dürfen daher das Thema Informationssicherheit nicht ignorieren! Ein ISMS hilft, die Vielfalt dieser Herausforderungen systematisch in den Griff zu bekommen.

Von: Rebecca Buob, Harmen H. Frobeen   Drucken Teilen   Kommentieren  

Dr. Rebecca Buob

.

Harmen H. Frobeen

.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
ISMS

Organisatorische und prozedurale Massnahmen gewinnen an Gewicht

Mit der klassischen IT-Sicherheit werden meist produkt- oder systemspezifische Aufgaben verbunden, z.B. der Schutz der technischen Infrastruktur mittels primär technischen Komponenten und Methoden wie Virenschutz, Firewalls, etc. Das Aufgabengebiet der Informationssicherheit besteht darin, sämtliche Informationsrisiken zu minimieren bzw. auf ein akzeptables Mass zu reduzieren. Dabei ist Informationssicherheit sehr umfassend, da sie neben den technischen und IT-basierten auch organisatorische, strategische und teilweise rechtliche Elemente abdeckt (siehe auch Textbox 1). Informationssicherheit bezweckt eine nachhaltige Vermeidung von betriebs- und geschäftsschädigenden Sicherheitsvorfällen, sowie die Erfüllung relevanter Gesetze, Regularien und Vorschriften. Drei Dimensionen haben sich als allgemein anerkannte Grundziele der Informationssicherheit durchgesetzt:

  • Vertraulichkeit, d.h. Informationen dürfen nur autorisierten Personen zugänglich gemacht werden.
  • Verfügbarkeit, d.h. Informationen stehen bedarfsgerecht zur Verfügung.
  • Integrität, d.h. Informationen sind vollständig und korrekt.

Im Unterschied zur klassischen IT-Sicherheit ist die Informationssicherheit grundsätzlich eher prozess- und risikoorientiert.

ISMS und ISO 27001

Unter ISMS (Informationssicherheits-Managementsystem) versteht man gemeinhin das systematische und koordinierte Planen, Steuern und Kontrollieren aller auf die Informationssicherheits-Ziele ausgerichteten Aufgaben. Ein ISMS umfasst das gesamte Regel- und Steuerungssystem, welches mit Informationssicherheit zu tun hat und das auf die Informationssicherheit ausgerichtet ist. Analog zum Standard für Qualitäts-Managementsysteme nach ISO 9001 hat sich als Standard für ISMS die Normenfamilie um den ISO 27001 durchgesetzt. Während ISO 27001 die Grundlage für eine formelle Zertifizierung eines ISMS darstellt, wird mit der Richtlinie ISO 27002 – eine Sammlung von Good Practices – deren Umsetzung unterstützt. Der normgerechte Aufbau eines ISMS folgt dem auch als Deming-Zyklus bekannten PDCA-Zyklus (Plan-Do-Check-Act).

Risiken lauern überall

Die meisten Menschen treffen im persönlichen Leben eine angemessene und individuelle Risiko-Vorsorge z.B. über gesunde Lebensweise, Versicherungen, umsichtiges Verhalten im Strassenverkehr, Benutzen von Sicherheitsschlössern, etc. Ein Verzicht auf diesen intuitiv praktizierten Schutz gilt für viele als absolute Tabuzone. In Fragen der Informationssicherheit gilt es, einen analogen Grundschutz zu gewährleisten. Das Ignorieren derartiger Schutzmassnahmen, z.B. Virenschutz auf PCs, gilt heutzutage als fahrlässig. Nicht zuletzt kann eine leichtsinnige Nichtgewährleistung eines Minimal-Schutzes aus straf-, gesellschafts- und zivilrechtlicher Sicht gravierende Konsequenzen nach sich ziehen. Allzu oft wird Sicherheit auch heute noch aus einer Mischung aus vermeintlich gesundem Menschenverstand und ad hoc Zwängen betrieben: Neben der Schaffung eines meist geringen Schutzniveaus wird erst reagiert, sobald es einen Sicherheitsvorfall gegeben hat. Dieser reaktive Ansatz birgt die Gefahr, dass wichtige Schutz-Bereiche übersehen werden und die Organisation entsprechende Sicherheitslöcher aufweist. Angemessener ist ein bewusster Umgang mit Informationssicherheit, wobei das Unternehmen über die intuitive und reaktive Behandlung der Sicherheit hinauswächst und durch Definieren von Sicherheitszielen und -prozessen korrigierend und lenkend auf ihr Sicherheitsdispositiv wirken kann. Für das Erreichen eines elementaren Sicherheitsniveaus empfiehlt es sich, Sicherheitsregularien zu beachten und zu befolgen. Besser noch ist es, wenn die Informationssicherheit in der Organisation regelmässig gemessen, überwacht und laufend verbessert wird. In einem optimierten Sicherheitszustand ist Sicherheit in sämtliche Abläufe integriert. Dieser Zustand stellt das strategische Ziel dar: Sicherheit wird von allen Mitgliedern der Organisation gelebt.

Ziel: Angemessene Sicherheit

Es stellt sich für jede Organisation grundsätzlich die Frage nach dem richtigen Sicherheitslevel. Im Allgemeinen fügt man Sicherheitszielen Attribute wie unzureichend, wirksam oder angemessen zu. Es gilt, hier eine gute Balance zwischen effektivem Schutz und betrieblicher Produktivität zu finden. Eine hundertprozentige Sicherheit ist weder technisch und organisatorisch möglich, noch aus wirtschaftlicher Sicht erstrebenswert. Ein Zuviel an Sicherheit wirkt sich gemeinhin produktivitätshemmend aus, ebenso wie sich ein zuwenig an Sicherheit in Form von Sicherheitsvorfällen und damit verbundenen Kosten direkter und indirekter Natur auswirkt. Naturgemäss ist die Entscheidungsfindung, welches Niveau nun angestrebt werden soll oder muss, für jede Organisation individuell verschieden, ist doch jede Organisation einem eigenen Kontext, regulatorischen Umfeld und eigenen Wertevorstellungen unterworfen. Um dieses vorgängig definierte Sicherheits-Level zu erreichen, ist ein risikobasierter Ansatz unerlässlich. Das für ein ISMS fundamentale Risikomanagement erlaubt es, die richtige Balance zwischen notwendigem Schutz und ausreichend gewährleisteter Produktivität zu finden.

Themengebiete des ISO 27001/ISO 27002:
- Sicherheitsleitlinie
- Organisation der Informationssicherheit
- Management von organisationseigenen Werten

- Personalsicherheit

- Physische und umgebungsbezogene Sicherheit

- Betriebs- und Kommunikationsmanagement

- Zugangskontrolle

- Beschaffung, Entwicklung und Wartung von Informationssystemen

- Umgang mit Informationssicherheitsvorfällen

- Sicherstellung des Geschäftsbetriebs (Business Continuity Management)

- Einhaltung von Vorgaben (Compliance)
(Textbox 1)

Umsetzung eines ISMS

Der Aufbau eines ISMS stellt je nach Komplexität und Grösse der Organisation besondere Herausforderungen. Die Textbox 2 gibt einen möglichen groben Fahrplan einer Implementierung vor. Oft sind notwendige Elemente bereits vorhanden, z.B. Policies, Prozesse und Sicherheitsmassnahmen, die im Einsatz sind und sich bewährt haben. Meistens genügt es, diese anzupassen oder zu ergänzen, um eine Übereinstimmung mit dem ISO 27001 Standard zu erreichen. Was aber auch bei bereits vorhandenen Dokumenten eine zentrale Bedeutung zukommt, ist die sorgfältige Analyse vorhandener Informations-Risiken. Als erfolgskritischer Faktor für die erfolgreiche Einführung und Umsetzung eines ISMS hat sich das Management Commitment und die notwendige Ausstattung mit Ressourcen erwiesen. Zudem lassen sich Zeit, Kosten und Nerven sparen durch die Verwendung bewährter Vorlagen und Templates, sowie durch das Hinzuziehen spezialisierter und erfahrener Berater.

ISMS erstellen:
- Definition Geltungsbereich
- Formulieren der ISMS-Policy
- Durchführung Risikoanalyse
- Festlegung Strategie zur Risiko-Behandlung
- Definition Massnahmen zur Risiko-Minderung
- Akzeptieren der verbleibende Risiken (formell)
- Formulierung Anwendbarkeits-Erklärung (Statement of Applicability)
- Einführung ISMS, resp. gewählte Massnahmen
- Monitoring, Messen und Weiterentwicklung ISMS
(Textbox 2)

Integrale Herangehensweise ermöglicht Einsparungen

Viele Organisationen verfügen bereits über ein Managementsystem, z.B. ein QMS nach ISO 9001 oder ein UMS nach ISO 14001. Durch den Aufbau auf Vorhandenem und der Einführung von zusätzlichen Massnahmen in bereits existierende und erprobte Prozesse lassen sich deutliche Einsparpotenziale realisieren. Auch hier gilt: das Rad muss nicht neu erfunden werden! Ein weiteres Synergiepotenzial ergibt sich daraus, dass sich verwandte Management-Aufgaben, insbesondere das Business Continuity Management (BCM) hervorragend in einem Atemzug mit dem ISMS bewerkstelligen lassen. Auch datenschutzrechtliche Aspekte lassen sich sehr gut integrieren. Notwendige Aufgaben wie Inventarisierung der Prozess-Landschaft und Klassifizierung von Informations-Werten brauchen dann lediglich einmal in Angriff genommen werden und können künftig gemeinsam gepflegt werden.

Die Kür: Zertifizierung nach ISO 27001

Die Erstellung eines ISO konformen ISMS ist ein sinnvoller Schritt, was auch die zunehmende Anzahl der nach ISO 27001 zertifizierten Organisationen belegt. Voraussetzung für eine erfolgreiche Zertifizierung ist neben der Einhaltung der formalen Aspekte, dass das ISMS in der Organisation über alle Hierarchiestufen hinweg gelebt wird. Aufgepasst: Informationssicherheit resp. Risikomanagement ist Chefsache! Das Management muss nachweisen, dass es seinen Verpflichtungen für die Festlegung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung des ISMS nachkommt. Dieses lässt sich am einfachsten und am kosteneffizientesten mit einem Zertifikat belegen.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 19. Juni 2018

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Datenschutz PRAXIS

    Datenschutz PRAXIS

    Das Fachmagazin für Datenschutzbeauftragte.

    Mehr Infos

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos