Information Security Management System (ISMS)
Nur in Ausnahmefällen wird das ISMS auf der "grünen Wiese" aufgebaut. I.d.R. sind mehrere Sicherheitskomponenten im Einsatz. Der Zugang zum ISMS kann also von unterschiedlichen Seiten erfolgen. Die logischen Zusammenhänge sind aber am einfachsten darzustellen, wenn man gedanklich mit der Risikoanalyse beginnt, daraus die notwendigen Gegenmassnahmen ableitet und später, im Rahmen von Audits, die Umsetzung und Wirksamkeit der Massnahmen überprüft. Aus dem Audit ergeben sich möglicherweise Schwachstellen, die unmittelbar behoben werden (Vulnerabilitymanagement) oder wieder in das Risk Management einfliessen.
Risikoanalyse
Die Risikoanalyse darf als Königsdisziplin im ISMS bezeichnet werden. Dabei wird untersucht, wie weit die Geschäftstätigkeit und der Geschäftserfolg beeinträchtigt werden, falls die IT ausfällt, vertrauliche Daten in falsche Hände gelangen, Daten verfälscht sind usw. Im Bearbeitungsprozess kristallisieren sich Schadensszenarien heraus, Nachvollziehbare Beschreibungen erlauben eine fundierte Einschätzung, primär durch die verantwortliche Unternehmensführung, Bei der anschliessenden Risikobewertung sind relevante Gefahren, bestehende Massnahmen und eventuelle Schwachstellen zu berücksichtigen.
Gegenmassnahmen
Im Grunde werden Gegenmassnahmen immer ergriffen, um die Risiken zu verringern. Viele sind selbstverständlich, wie z.B. Firewall, Zugriffschutz, Virenschutz. Andere Investitionen werden durch die Risikoanalyse explizit begründet ( Intrusionprevention, redundante Systemauslegung etc.). In der Ausprägung scheiden sich häufig die Geister. Viele Experten konzentrieren sich auf formale Vorgabe. IT-Verantwortliche beschränken sich gerne auf die technischen Komponenten. Man überlegt sich leicht, dass für eine wirksame Informationssicherheit alle Ebenen bearbeitet werden müssen.
1. Formale Sicherheit
Mehrere international eingesetzte und anerkannte IT-Security Standards wie ISO, ISF etc. liefern einen gut strukturierten Rahmen mit einer thematisch weitgehenden Vollständigkeit. Deren Nutzung ist unterschiedlich, sie reicht von der selektiven Umsetzung einzelner Massnahmen bis zur unternehmensweiten Zertifizierung. Viele Revisionen arbeiten nach diesen Standards.
Zentrale Themen in den Standards sind u.a. die Managementaufgaben
IT Security Strategie / -Politik / Richtlinien
Hier definiert die Unternehmensführung die grundlegende, strategische Ausrichtung der IT Security und das sicherheitsrelevante Verhalten der Mitarbeiter (Vertiefung in der "Benutzerrichtlinie")
Organisation
Die Aufgaben in der IT Security müssen beschrieben, zugewiesen und kontrolliert werden. Komplexere Aufgaben sollten als Prozesse (siehe unten) ausgestaltet sein.
2. IT Security Konzepte
Die meisten IT Security Lösung sind zu komplex, um sie einfach als "plug & play" betreiben zu können. Beispielhafte Fragestellungen:
- Mit welchen Massnahmen werden die Datenschutzgesetze erfüllt?
- Wie wird sichergestellt, dass auf allen Systemen die aktuellen Sicherheitsupdates installiert und gleichzeitig Softwarekonflikte vermieden werden?
- Wie wird gewährleistet, dass die Unternehmung IT-Ausfälle unbeschadet übersteht?
Dies zeigt, dass in der Regel sorgfältige Vorbereitungen und vielfältige Diskussionen mit allen Beteiligten notwendig sind, um die optimale Lösung zu entwickeln. Das setzt, auch im Hinblick auf die spätere Pflege, wiederum nachvollziehbare Dokumentationen voraus.
3. IT Security Prozesse
In der modernen Unternehmensführung und vor allem in grösseren Unternehmen, sind geordnete Prozesse unverzichtbar. Dies gilt auch für die IT Security. Anders ist kaum zu gewährleisten, dass die organisationsübergreifenden Aufgaben regelmässig und korrekt abgewickelt werden.
Dies wird unter dem Aspekt des Cloudcomputings besonders deutlich. Die IT- / IT-Security-Prozesse müssen u.U. sogar den Spagat zwischen zentraler Kontrolle und dezentraler Nutzung von Cloudservices durch die Fachabteilungen schaffen.
4. IT Security Architektur
Selbst in überschaubaren KMU-Infrastrukturen ist der Überblick über die IT- / IT Security-Komponenten z.T. nur schwer zu gewinnen. Vielleicht gibt es eine Netzwerk- oder Anwendungsarchitektur. Sicherheitsarchitekturen, im Sinne einer ingenieurmässigen Planung und Konstruktion der zusammenhängenden Sicherheitskomponenten und -funktionen, sind ausgesprochen selten.Heutige Angriffe (Cyber Crime, Industriespionage) lassen sich ohne ausgeklügelte, durchgängige Sicherheitsarchitekturen aber nicht mehr abwehren.
5. IT Security Konfiguration
Es ist klar, dass die IT-Security Komponenten (Firewall, WLAN-Accesspoints, uvm.) korrekt administriert werden müssen, damit sie die erwartete Schutzwirkung erreichen. Häufig erfolgt die Konfiguration nach "bestem Wissen". Auch hier ist es besser, die notwendigen Einstellungen an den Konzepten zu orientieren und dokumentierte Vorgaben herauszuarbeiten.
Häufig stehen in der IT Security Administration, die Systemkomponenten wie Netzwerke und Server im Vordergrund. Immer wichtiger wird die Sicherheit aber in den Anwendungen. Das reicht von fundamentalen Sicherheitsfunktionen, z.B. Authentifizierung, bis hin zum sicheren Programmcode.
Audit
Im Rahmen des Audits wird geprüft , ob die Sicherheitsmassnahmen korrekt umgesetzt sind und wirken. Die Audis müssen, adäquat zu den Gegenmassnahmen, letztlich ebenfalls alle Ebenen abdecken. Einzelne Audits erfolgen in der Praxis gezielt, thematisch umrissen. Aus dem Audit ergeben sich i.A. Schwachstellen, die dann entweder unmittelbar behoben werden. (Schwachstellenmanagement) oder wieder in die Risikobewertung einfliessen, womit sich der Kreis schliesst.