Informationssicherheitsmanagementsystem (ISMS)
Die Anwendung geeigneter organisatorischer Verfahren ermöglicht die Erreichung der Informationssicherheit. Es ist unerlässlich, über Verfahren zu verfügen, um ein gewünschtes Sicherheitsniveau auszuwählen, Mängel zu finden, festzulegen, wie und mit welchen Produkten sie zu beheben sind, Fristen zu setzen, die für die Abhilfemaßnahmen verantwortlichen Personen zu benennen, die Mitarbeiter zu schulen und die implementierten Lösungen zu warten.
Anforderungen an Informationssicherheit
Ein Unternehmen, das über die Installation von Drehkreuzen für den Zugang zu den Büros nachdenkt, wird zunächst feststellen wollen, ob diese das gewünschte Sicherheitsniveau bieten, welche Technologien unter Berücksichtigung der einschlägigen Gesetze und Vorschriften eingesetzt werden sollen, welcher Anbieter mit der Installation beauftragt werden soll, welche Art von Verträgen für die Wartung abgeschlossen werden soll, wie der Zugang der Mitarbeiter aktiviert und deaktiviert werden kann und was im Falle eines Ausfalls der Drehkreuze zu tun ist. Es dürfte nicht überraschen, dass der Kauf hochwertiger Sicherheitseinrichtungen nicht automatisch die gewünschten Ergebnisse bringt.
Es gibt zahlreiche Fälle, in denen Geräte angeschafft werden, die jedoch nie zum Einsatz kommen, weil sie nicht in die bereits in Betrieb befindlichen Systeme integriert werden können oder weil es niemanden gibt, der für die Installation und Wartung der erworbenen Geräte entsprechend qualifiziert ist. Diese Prozesse sind nicht getrennt und unabhängig voneinander, sondern sie sind miteinander verbunden und beeinflussen sich gegenseitig. Um auf das Beispiel der Drehkreuze zurückzukommen: Es wird immer deutlicher, dass eine Risikoanalyse für die Bedarfsanalyse und die Investitionen in Management und Schulung unerlässlich ist.
Interaktion
Dies ist dann der Fall, wenn mehrere Prozesse miteinander interagieren. Zutrittskontrolle, Personalmanagement zur Festlegung der Zutrittsberechtigung, Lieferantenmanagement für Wartungstätigkeiten, Störungsmanagement im Falle einer Störung oder eines Alarms und die regelmäßige Überprüfung der Eignung der Drehkreuze sind einige der Prozesse, die bei aktiven Drehkreuzen zusätzlich zu den oben beschriebenen Prozessen beteiligt sind. Sowohl Managementsysteme als auch Informationssicherheits-Managementsysteme werden in diesem Kapitel mit eigenen Definitionen versehen.
Planung der Informationssicherheit
Darüber hinaus werden verschiedene Aspekte der Planung und Durchführung ihres Einsatzes erörtert. 3.1 Managementsystem Die Tatsache, dass diese Prozesse, wie soeben erläutert, miteinander verbunden sind und in Wechselwirkung stehen, trägt dazu bei, die folgende Definition aus ISO/IEC 27000 zu verstehen.
Strategien und Ziele
Managementsystem: eine Reihe von Elementen einer Organisation, die miteinander verbunden sind oder miteinander interagieren, um Strategien und Ziele zu entwickeln, sowie Verfahren, die miteinander verbunden sind oder miteinander interagieren, um diese Ziele zu erreichen. Dies bedeutet, dass bei der Entwicklung von Strategien, Zielen und Verfahren sowie bei der Sicherstellung der Zielerreichung Planung erforderlich ist. Von der obersten Führungsebene wird erwartet, dass sie Strategien, Ziele und Verfahren festlegt und sich aktiv an deren Umsetzung und Durchführbarkeit beteiligt. Wenn wir uns von der Theorie verabschieden und zur Praxis zurückkehren, können wir Folgendes feststellen: Jede Organisation hat einen Zweck (Mission); das Managementsystem einer Organisation ist die Gesamtheit der organisatorischen Praktiken (Prozesse) und Instrumente zur Erreichung des Zwecks; diese Prozesse und Instrumente sind miteinander verknüpft; jede organisatorische Veränderung, auch wenn sie relativ unbedeutend sein mag, kann aufgrund der Wechselbeziehungen zwischen den verschiedenen Teilen der Organisation Auswirkungen auf viele Bereiche der Organisation selbst sowie auf ihre Kunden, ihre Lieferanten und ihre Partner haben. 3. 2 Managementsystem für den Schutz sensibler Informationen Innerhalb einer Organisation sind nicht alle Maßnahmen auf die Wahrung der Vertraulichkeit von Informationen ausgerichtet oder verpflichtet. Schauen Sie sich doch einmal die Definition an, die in der ISO 9000 entwickelt wurde.
Managementsysteme
Die Qualität, die Umwelt, die Sicherheit und die Gesundheit der Arbeitnehmer können alle in das Managementsystem eines Unternehmens einbezogen werden. Um zu vermeiden, dass irrelevante Themen behandelt werden oder unnötigerweise doppelter Aufwand betrieben wird, ist es unerlässlich, den Umfang der einzelnen Managementsysteme sowie ihre Wechselwirkungen untereinander und die Bereiche, in denen sie sich überschneiden, zu ermitteln. Die Informationssicherheit umfasst nicht oder nur in sehr begrenztem Umfang das Kreditrisiko, den Schutz der Unternehmensmarken, die physische Sicherheit oder die Sicherheit der Mitarbeiter. Es handelt sich hierbei um unterschiedliche Fachgebiete, die jeweils eigene Fähigkeiten erfordern und von unterschiedlichen Managementstrukturen geleitet werden. Bei der Informationssicherheit, der physischen Sicherheit, dem Umweltschutz und der Sicherheit und Gesundheit der Arbeitnehmer ist die Brandverhütung ein zentrales Thema. Daher ist es von entscheidender Bedeutung, dieses Thema so anzugehen, dass nicht mehr Arbeit als nötig anfällt und dass die getroffenen Maßnahmen den Anforderungen aller Beteiligten gerecht werden.
Oberste Leitung der Organisation
Da die oberste Leitung der Eigentümer des ISMS ist, ist ihre Funktion innerhalb des Systems von größter Bedeutung. Sie muss eine Führungsrolle übernehmen und das System als Instrument nutzen, um die Kontrolle über die unzähligen miteinander verbundenen und voneinander abhängigen Komponenten zu behalten und sicherzustellen, dass es effizient ist (d. h. die Ziele der Informationssicherheit erreicht).
Zuverlässigkeit
Wie können wir sicher sein, dass zuverlässige Produkte und Dienstleistungen verwendet wurden, dass die Mitarbeiter angemessen geschult wurden und dass die implementierten Prozesse angemessen sind? Um Antworten auf diese Fragen zu finden, müssen Bewertungen von einer unparteiischen dritten Partei durchgeführt werden, und diese Bewertungen müssen von angesehenen Behörden beaufsichtigt werden. Um etwas unparteiisch und in Übereinstimmung mit den Leitlinien zu bewerten, müssen bei den Bewertungen Beweise gesammelt und geprüft werden. Das Ergebnis hat das Potenzial, zertifiziert zu werden. Im Zusammenhang mit der Informationssicherheit gibt es Zertifizierungssysteme für Prozesse (das wichtigste basiert auf ISO/IEC 27001, das in Anhang A ausführlicher beschrieben wird), Produkte (das wichtigste basiert auf ISO/IEC 15408, Gemeinsame Kriterien), Dienstleistungen und individuelle Zertifizierungen. Das wichtigste Zertifizierungsprogramm für Prozesse basiert auf ISO/IEC 27001. Anhang A enthält eine ausführlichere Beschreibung dieses Zertifizierungssystems.
Zertifizierung
Die Zertifizierung soll ein angemessenes Maß an Sicherheit bieten, dass Folgendes zutrifft: Die Entscheidungen werden von sachkundigem Personal getroffen; die Mitarbeiter verwenden Elemente, die validiert und als vertrauenswürdig eingestuft wurden; und die implementierten Prozesse sind verlässlich. Wenn wir relativ sicher sein wollen, dass die Dinge in die richtige Richtung gehen, können wir dies nur erreichen, indem wir den Grad des Vertrauens in ein bestimmtes Produkt, eine Dienstleistung, eine Person oder eine Technik überprüfen. Das Zertifizierungssystem hat aber auch seine Schwachstellen. Die erste besteht darin, dass die Organisationen, die die Zertifizierung durchführen, von denselben Organisationen bezahlt werden, die die Zertifizierung benötigen. Es lässt sich nicht leugnen, dass diese Systeme zu einem höheren Maß an Sicherheit beitragen.