15.09.2005, 19:18 Uhr
Konzepte für eine Sicherheitsstrategie
Die wichtigste Anforderung beim Bau eines Security-Frameworks ist seine Lebbarkeit. Dementsprechend ist sorgfältige Planung unumgänglich.
Diese Grundanforderung nach der Lebbarkeit einer Strategie bedeutet nichts anderes, als praktische, sinnvolle und realisierbare Sicherheitslösungen zu bauen. Dahinter steht ein Security-Konzept, das unternehmensweit durch und durch gut ist, das strategisch abgestützt ist, manage- und lebbar ist. Was heisst das konkret?
Strategisch betrachtet, verfolgt jede Aktion im Unternehmen die Unternehmensziele. Folglich müssen Sicherheitsmass-nahmen respektive das Sicherheitskonzept diese Ziele unterstützen. Eine Stufe detaillierter sind die verschiedenen Unternehmensprozesse. Sinnvollerweise zielt Informationssicherheit darauf ab, diese Prozesse sicher zu machen. Verknüpfungen zu Mensch und Umwelt sind dabei genauso wichtig wie die Gesetzeinhaltung. Die vier wichtigen Aspekte eines künftigen Security-Frameworks sind Mensch, Organisation, Technik, Gesetz. Wie geht man nun sinnvoller weise vor, und startet man auf der grünen Wiese, oder hält man sich an gängige Standards?
Strategisch betrachtet, verfolgt jede Aktion im Unternehmen die Unternehmensziele. Folglich müssen Sicherheitsmass-nahmen respektive das Sicherheitskonzept diese Ziele unterstützen. Eine Stufe detaillierter sind die verschiedenen Unternehmensprozesse. Sinnvollerweise zielt Informationssicherheit darauf ab, diese Prozesse sicher zu machen. Verknüpfungen zu Mensch und Umwelt sind dabei genauso wichtig wie die Gesetzeinhaltung. Die vier wichtigen Aspekte eines künftigen Security-Frameworks sind Mensch, Organisation, Technik, Gesetz. Wie geht man nun sinnvoller weise vor, und startet man auf der grünen Wiese, oder hält man sich an gängige Standards?
Adaptierbare Standards
Zunächst muss geprüft werden, welche Standards für das Unternehmen von Bedeutung sind. Regulatorien sind grundsätzlich von aussen getrieben. Daher ist es mehr ein Zusammentragen von Informationen und Tatsachen. Je mehr Regulatorien berücksichtigt werden müssen, je höher ist die Komplexität und je höher auch die Anforderung an das geplante Sicherheitsmanagementsystem.
Herausfordernd wird diese Aufgabe, wenn das Unternehmen europaweit oder gar weltweit verteilte Standorte zu betreuen hat. Das Managementsystem muss entsprechend aufgebaut sein, um ein aggregieren der einzelnen Standorte auf der Basis von Divisionen, Geschäftsbereichen oder Kontinenten zu ermöglichen.
Verschiedene Regulatorien, die in den letzten Jahren erlassen wurden, haben Einfluss auf das Informationssicherheitsmanagement - von Basel II bis zum aktuellsten Sarbanes-Oxley Act (SOX). Section 404 aus dem SOX fordert vom Management, ein anerkanntes und etabliertes Framework für interne Kontrollen einzusetzen. Das Ziel ist klar: mehr Transparenz. Entsprechend muss das Reporting zeigen, was effektiv vorhanden ist und was gelebt wird - so zumindest die Theorie. Die Praxis zeigt ungemessene Bilder mit Reportings, die keinerlei Auskunft geben über die Einhaltung von Sicherheitsvorgaben.
Basel II fokussiert auf der Erhöhung der Risiko Sensibilisierung und der Verbesserung des Risk Managements - für die In-formationssicherheit wesentlich der Teil Operational Risk Management. Auch hier die Forderung, dass der Verwaltungsrat im Bild sein soll über die wichtigen operationellen Risiken des Unternehmens. Der Verwaltungsrat soll zudem sicherstellen, dass ein effektives und umfassendes Framework für interne Audits vorhanden ist und dass diese von kompetenten Personen ausgeführt werden.
Herausfordernd wird diese Aufgabe, wenn das Unternehmen europaweit oder gar weltweit verteilte Standorte zu betreuen hat. Das Managementsystem muss entsprechend aufgebaut sein, um ein aggregieren der einzelnen Standorte auf der Basis von Divisionen, Geschäftsbereichen oder Kontinenten zu ermöglichen.
Verschiedene Regulatorien, die in den letzten Jahren erlassen wurden, haben Einfluss auf das Informationssicherheitsmanagement - von Basel II bis zum aktuellsten Sarbanes-Oxley Act (SOX). Section 404 aus dem SOX fordert vom Management, ein anerkanntes und etabliertes Framework für interne Kontrollen einzusetzen. Das Ziel ist klar: mehr Transparenz. Entsprechend muss das Reporting zeigen, was effektiv vorhanden ist und was gelebt wird - so zumindest die Theorie. Die Praxis zeigt ungemessene Bilder mit Reportings, die keinerlei Auskunft geben über die Einhaltung von Sicherheitsvorgaben.
Basel II fokussiert auf der Erhöhung der Risiko Sensibilisierung und der Verbesserung des Risk Managements - für die In-formationssicherheit wesentlich der Teil Operational Risk Management. Auch hier die Forderung, dass der Verwaltungsrat im Bild sein soll über die wichtigen operationellen Risiken des Unternehmens. Der Verwaltungsrat soll zudem sicherstellen, dass ein effektives und umfassendes Framework für interne Audits vorhanden ist und dass diese von kompetenten Personen ausgeführt werden.
Steuermethodik zum Framework
Ein prozessorientiertes Information-Security-Managementsystem (ISMS) bildet die Grundlage, um festzustellen, wo ein Unternehmen bezüglich Informationssicherheit steht. Ein prozessorientierter Ansatz ermutigt die Benutzer, die Wichtigkeit der folgenden Punkte zu betonen:
- Verständnis der geschäftlichen Anforderungen an die Informationssicherheit sowie des Bedarfs, Politiken und Ziele für die Informationssicherheit zu etablieren
- Implementierung und Betrieb von Kont-rollen im Kontext des übergeordneten geschäftlichen Risikomanagements einer Organisation
- Überwachung und Prüfung der Leistung und Effektivität des ISMS
- fortlaufende Verbesserung auf der Basis objektiver Messungen.
Eine Organisation muss zahlreiche Aktivitäten identifizieren und verwalten, um effek-tiv zu funktionieren. Jegliche Aktivität, die Ressourcen verwendet und verwaltet, um Inputs in Outputs zu transformieren, kann als Prozess betrachtet werden. Oft formt der Output eines Prozesses direkt den Input des folgenden Prozesses. Die Anwendung eines Systems von Prozessen innerhalb einer Organisation kann zusammen mit der Identifikation und Interaktion dieser Prozesse sowie ihrer Verwaltung als «prozessorientierter Ansatz» bezeichnet werden.
Norm mit Leben füllen
Die Norm selber formuliert die einzelnen Prozesse nicht aus, sondern beschränkt sich auf die Formulierung, was zu tun ist. Damit Mitarbeiter wirklich unterstützt werden in ihrer täglichen Arbeit, müssen die einzelnen Prozesse ausformuliert werden. Vorsicht sollte man indes beim Detaillierungsgrad walten lassen - nicht, dass Mitarbeiter vor lauter Prozesse nicht mehr wissen, was sie tun sollen.
Bei der Entwicklung der Prozesse ist davon auszugehen, dass Mitarbeiter gut ausgebildet sind, ihre Arbeit kennen, in einzelnen Punkten Unterstützung brauchen. Diese wird ihnen mit dem prozessorientierten Ansatz gegeben. Die überarbeitete Version des BS7799 zeigt etwas mehr Prozessorientierung, aber keinesfalls soviel, dass Prozessansätze in den einzelnen Detailbereichen sichtbar wären.
Die Aufnahme eines ISMS in die Organisation muss eine strategische Entscheidung sein. Das Design und die Implementierung eines ISMS innerhalb der Organisation werden durch geschäftliche Anforderungen und Ziele ebenso bestimmt wie durch daraus resultierende Sicherheitsanforderungen, durch die eingesetzten Prozesse und die Struktur der Organisation.
Bei der Entwicklung der Prozesse ist davon auszugehen, dass Mitarbeiter gut ausgebildet sind, ihre Arbeit kennen, in einzelnen Punkten Unterstützung brauchen. Diese wird ihnen mit dem prozessorientierten Ansatz gegeben. Die überarbeitete Version des BS7799 zeigt etwas mehr Prozessorientierung, aber keinesfalls soviel, dass Prozessansätze in den einzelnen Detailbereichen sichtbar wären.
Die Aufnahme eines ISMS in die Organisation muss eine strategische Entscheidung sein. Das Design und die Implementierung eines ISMS innerhalb der Organisation werden durch geschäftliche Anforderungen und Ziele ebenso bestimmt wie durch daraus resultierende Sicherheitsanforderungen, durch die eingesetzten Prozesse und die Struktur der Organisation.
Es ist zu erwarten, dass diese und die sie unterstüt-zenden Systeme sich im Verlauf der Zeit verändern. Ferner ist zu beachten, dass einfache Situationen einfache ISMS-Lösungen erfordern. Die Komplexität des Unternehmens soll also im ISMS gespiegelt werden.
Die Norm unterstützt die Verwendung eines prozessorientierten Ansatzes für Einführung, Implementierung, Betrieb, Überwachung, Wartung und Verbesserung der Effektivität des ISMS einer Organisation. Die Strategie, welche aus der Umsetzung nach BS7799 resultiert, muss in der Informations- und IT-Sicherheitspolitik («warum?») und den Functional Policies («was?») klar ersichtlich sein. Die Integration in das bestehende Prozessmodell ist durch Zuweisung klarer Aktivitäten respektive Prozessschritte («wie?») zu gewährleisten. Mit der Strukturierung des ISMS nach Themen und Prozessen, welche die Abhängigkeit aber auch Synergien aufzeigen, wird das ISMS nachhaltig lebbar.
Das nach BS7799 konforme ISMS liefert strategische Grundlagen zu Zugangs-
respektive Zugriffskontrolle, physischer Sicherheit, persönlicher Security, Systemsicherheit, Business-Continuity-Management, Compliance- sowie rechtliche Aspekte und ISMS-Instrumente.
respektive Zugriffskontrolle, physischer Sicherheit, persönlicher Security, Systemsicherheit, Business-Continuity-Management, Compliance- sowie rechtliche Aspekte und ISMS-Instrumente.
Das ISMS ist nach diesen Themen strukturiert und bildet in einem Schichtenmodell die Informations- und IT-Sicherheitspolitik ab. Der Vorteil dieser Strukturierung ist zudem in dem Wegfallen von Redundanzen und Inkonsistenzen mehrerer Dokumente auf Detail-ebenen zu sehen. Die Anwender finden sich mit dieser Angleichung der sicherheitsrelevanten Themen an die Prozessstruktur des Security-Managements wesentlich einfacher zurecht, womit die Grundlage für die effiziente Entwicklung und Umsetzung von Informationssicherheit für alle Betroffenen gesetzt wird.
Faktor Mensch
Wer führt überhaupt Unternehmensprozesse aus? Wer administriert die Firewall? Wer ist Träger von Unternehmensinformationen? Eines ist klar: Informationssicherheit findet beim Menschen statt, die Mitarbeiter setzen sie in ihrer täglichen Arbeit um. Das heisst für Informationssicherheit, dass sie in die tägliche Arbeit eingebracht werden muss. Das Fazit: Die Verknüpfung von Kontrollen und täglich umgesetzten Prozessen muss sichergestellt sein.
Marco Marchesi
