Information. Sicherheit. Management.
Informationen bestimmen verstärkt unseren Alltag. Sie stellen insbesondere für den Geschäftsbetrieb einer Organisationen im zunehmenden Maße einen Wert dar. Dabei umfasst der Begriff „Information“ ein schier unbegrenztes Feld. Seien es nun Informationen zur Steuerung von Anlagen, Vertragsdaten, personenbezogene Informationen, Zahlungsverkehrsdaten oder auch Crypto-Währungen, allesamt sind einer wachsenden Anzahl von Bedrohungen ausgesetzt und unterliegen damit auch einem steigendem Schutzbedarf. Dabei erstreckt sich dieser Schutzbedarf neben den Informationen auch auf deren übertragende, speichernde oder verarbeitende Komponenten.
Aus dieser Bedrohungslage erwächst der vermehrte Bedarf und Wunsch nach Gewährleistung der Sicherheit der Informationen. Durch den Umfang der zu schützenden Werte und der damit verbundenen Komponenten ist zur Steuerung und Überwachung der Informationssicherheit der Einsatz eines Managementsystems ratsam.
Ein solches Managmentsystem für die Einhaltung und Gewährleistung der Informationssicherheit soll dabei helfen, Lösungen zu den wichtigsten Kernfragen zu finden.
Welche Daten unterliegen welchem Schutzbedarf? Ist die Datenschutzverordnung bei personenbezogenen Informationen einzuhalten? Geht es um die Vertraulichkeit (confidentiality) wie zum Beispiel bei Vertrags- oder Patientendaten? Muss unter Umständen auch die Integrität (integrity) sichergestellt werden wie es bei Vertrags- oder auch Zahlungsverkehrsdaten der Fall ist? Und wie sieht es mit der gewünschten oder zu gewährleistenden Verfügbarkeit (availability) aus? Müssen weitere Sicherheitsanforderungen wie etwa Nicht-Abstreitbarkeit oder auch Authentizität berücksichtigt werden?
Wo sind diese Informationen überall zu finden? Welche Systemkomponenten oder auch Personen sind dabei involviert? Wer ist für die Informationen und ihren Schutz zuständig? Werden zunehmende oder neue Bedrohungen erkannt und ihnen ausreichend mit einer Anpassung der Schutzmaßnahmen begegnet?
Es kommt hinzu, dass die steigende Anzahl von externen Anforderungen an Organisationen immer häufiger auch den Nachweis eines geeigneten Informationssicherheitsmanagementsystems (ISMS) beinhalten.
Eine Möglichkeit hierfür bietet die Normreihe ISO/IEC 27000 – im Kern die prozessorientierte Norm ISO/IEC 27001, welche die Anforderungen an ein ISMS definiert und insbesondere ergänzt wird von:
-
ISO/IEC 27000: Grundlagen und Überblick
-
ISO/IEC 27002: Leitfaden für das ISMS
-
ISO/IEC 27003: Umsetzungsempfehlungen
-
ISO/IEC 27004: Messungen
-
ISO/IEC 27005: Risikomanagement
Im Zentrum des ISMS nach ISO/IEC 27001 stehen die zu schützenden Informations-Werte (sogenannte „Information Assets“) sowie das Identifizieren der damit einhergehenden Sicherheitsanforderungen und Risiken. Als Basis für den Schutz der Werte und die Erfüllung der Sicherheitsanforderungen ist ein Regelwerk bestehend aus Richtlinien, Prozessen und Verfahren zu erstellen. Die so definierten Maßnahmen können ihre (schützende) Wirkung aber nur entfalten, wenn deren Anwendung auch kontrolliert und durchgesetzt wird. Ein wichtiger Bestandteil zur Umsetzung und Kontrolle der Managementprozesse ist die Zuweisung von Verantwortlichkeiten, bspw. durch die Definition von Rollen und deren Zuweisung zu Personen. Abgerundet wird der Prozess durch die Festlegung und Umsetzung von angemessenen Maßnahmen zur Erreichung der gesteckten Ziele.
Um eine Verbesserung des ISMS zu forcieren, unterliegt dieses gemäß der Norm einem stetigen Überprüfungs- und Anpassungsprozess, welcher gerne mit der sogenannten Plan-Do-Check-Act-Methodik dargestellt wird.