Management , Fachartikel

Einsatz von Softwarelösungen zum Aufbau und Betrieb eines ISMS

Einsatz von Softwarelösungen zum Aufbau und Betrieb eines ISMS

Aufbau, Unterhalt und Steuerung eines Managementsystems zur Informationssicherheit (ISMS) erzeugen je nach Größe einen erheblichen Dokumentationsaufwand. Ausgehend von der Erfassung von informationellen Werten, der Risikobewertung bis hin zu unterstützenden Prozessen wie dem Incident-Management und der Durchführung von Audits fallen Daten an, die mit üblichen Bordmitteln wie Excel oder Word nur noch schwer zu beherrschen sind. Dieser Artikel soll zeigen, in welchen Fällen dedizierte Anwendungen genutzt werden können, um ein ISMS effizient dokumentieren und darüber hinaus sinnvoll steuern zu können.

Es ist hilfreich, sich die Idee eines ISMS als Trichter vorzustellen, welcher mit der Erfassung der informationellen Werte (auch als Assets bezeichnet) beginnt und mittels einer Risikobewertung zu einem konzentrierten Ergebnis, den Maßnahmen, gelangt. Ausgehend von der Frage, was ein Unternehmen besitzt, also hin zu der Frage, was es tun muss, um die Informationssicherheit verbessern zu können. Unterstützende Prozesse wie das Incident-Management (hier bezeichnet ein Incident einen sicherheitsrelevanten Vorfall) und die regelmäßige Auditierung der Assets dienen dem Abgleich der geschätzten mit der tatsächlichen Sicherheit und sind somit Ausgangspunkt für eine regelmäßige Verbesserung der Risikobewertungen und letztlich auch der eingesetzten Maßnahmen. 

Die gennannten Schritte und Prozesse stellen die Basis eines ISMS dar, die sich auch in nationalen und internationalen Standards wie dem IT-Grundschutz des BSI oder der ISO/IEC Normen-Familie 27000 wiederfinden. Dieser Artikel versucht, den sinnvollen Aufbau und die Steuerung eines ISMS weitestgehend unabhängig von der gewählten Methodik zu beschreiben. In den folgenden Abschnitten „Asset-Erfassung“, „Risikobewertung“ und „unterstützende Prozesse“ soll beschrieben werden, welche Herausforderungen an die Dokumentation und Steuerung eines ISMS bestehen sowie inwiefern der Einsatz von Software, die über einfache Office-Anwendungen wie Excel oder Word hinausgehen, sinnvoll und nützlich sein kann. Anschließend werden grundlegende Anforderungen an eine solche Software beschrieben und abschließend exemplarisch eine Lösung vorgestellt.

Asset-Erfassung

Die Erfassung der informationellen Werte stellt die Grundlage eines ISMS dar. Als Ausgangspunkt sollte hier zunächst ein sinnvoller Geltungsbereich für das ISMS gewählt werden. Dieser Geltungsbereich legt die Innen- sowie die Außengrenzen des ISMS fest. So könnte ein ISMS etwa nur Kerngeschäftsprozesse eines Unternehmens umfassen oder explizit auf Schnittstellen zu zentralen Dienstleistern verweisen, beispielsweise im Falle eines IT-Outsourcings. 

Nachdem der Geltungsbereich festgelegt wurde, können die informationellen Werte des Unternehmens erfasst und beschrieben werden. Hierbei sollte nicht die Abbildung eines Betriebsinventars angestrebt werden, das heißt, eine Erfassung jeder einzelnen IT-Komponente als eigenes Asset. Vielmehr sollte im Rahmen der Erfassung versucht werden, diese sinnvoll zu gruppieren. Assets können in diesem Zusammenhang zum Beispiel Infrastrukturen und Fachanwendungen im Eigenbetrieb, eingekaufte Dienstleistungen und auch angebotene Dienstleistungen umfassen. 

<< Erste < Vorherige 1 2 3 4 5 6 7 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Paul Laufer, Dr. Nikola Milanovic

Sichere Systeme – Security beim Hardwaredesign

Als eines der kritischen Systeme ist unser Straßenverkehr zu sehen. Jeder kennt es: In dicht besiedelten und infrastrukturell gut ausgestatteten Regionen reicht ein Kfz mit Defekt, um große Teile des Straßenverkehrs zu stören oder gar zum Erliegen zu bringen. Dies, und vorrangig die...

Heartbleed-Rückblick

Was ist Heartbleed? Die Beschreibung von Heartbleed ist relativ einfach. Um sicherzustellen, dass eine TLS-Session noch fehlerfrei besteht, sendet ein SSL-Client regelmäßige Heartbeats an den Server, der dann entsprechend darauf reagiert. Die Heartbeat-Anfrage enthält, vereinfacht gesagt,...

IPsec versus SSL VPN

Der Grundgedanke hinter einem „Virtual Private Network“ ist schnell erläutert. Es besteht der Wunsch, ein privates Netzwerk über ein unsicheres Medium, wie beispielweise das Internet, aufzubauen. Die Nutzung von fremden, bereits bestehenden Netzwerken ist so attraktiv, da sie eine überaus...

BSI veröffentlicht "ICS Security Kompendium"

Das Kompendium beinhaltet Erläuterungen der notwendigen Grundlagen der IT-Sicherheit, der ICS-Abläufe und der relevanten Normen und Standards. Darüber hinaus enthält das Kompendium eine Sammlung von Empfehlungen und Best Practices zur Cyber-Sicherheit, die angesichts der aktuellen Bedrohungslage...

Schwachstellen-Analyse mit OpenSSL

SSL/TLS (Secure Sockets Layer / Transport Layer Security) ist für die sichere Datenübertragung im Internet unverzichtbar, sei es bei der Verschlüsselung von sensiblen Bankdaten oder Login-Vorgängen über HTTP, der Anbindung ganzer Unternehmensteile mittels SSL-VPN oder als Allheilmittel zur...

Analyse einer Android-Malware

Seit der Vorstellung des ersten Android-Smartphones im Oktober 2008 hat sich Googles Mobile-Betriebssystem zum Platzhirsch unter den Smartphone-Systemen entwickelt. Das Marktforschungsunternehmen IDC hat ermittelt, dass 79,3% aller im zweiten Quartal 2013 ausgelieferten Smartphones mit Android...

DDoS-Attacken werden immer gefährlicher

Praktisch jedes Unternehmen hängt heute mehr oder weniger von einer gut funktionierenden Internet-Anbindung ab. Webplattformen werden genutzt, um Produkte zu vertreiben und Kunden mit wichtigen Informationen zu versorgen, eigene Mitarbeiter sind für ihre geschäftliche Kommunikation und Recherchen...

Passen die Passwörter noch?

Die Verwendung „geheimer Worte“ zum Nachweis der Berechtigung einer Person für bestimmte Aktionen ist bereits uralt („Sesam öffne dich“) und spätestens seit Zeiten des römischen Imperiums auch belegbar. Seit Beginn des Computerzeitalters in den 60-ern Jahren des vorigen Jahrhunderts kennt man den...

Datenschutzkonforme Archivierung in der Cloud

Kleine Unternehmen scheuen nicht so sehr die Lizenzkosten einer Softwarelösung zur Archivierung, sondern vor allem die Kosten für die Installation und die Schulung der Mitarbeiter. Datenschutzrechtlich ist zu befürchten, dass bei einer zentralen Archivierungslösung gleichzeitig die Möglichkeiten...

Möglichkeiten der Prüfung von Netzwerkkomponenten

Netzwerkseitige Sicherheitsprüfungen sind in der Regel dienstspezifisch. Dementsprechend sollten im ersten Schritt die Kommunikationsschnittstellen des Systems ermittelt werden. Eine Kommunikation im Sinne von TCP/IP findet immer zwischen den beteiligten IP-Adressen und den dazugehörigen Ports...

Rechtliche Fallstricke bei Bring Your Own Device

Smartphones und Tablets sind nicht wie Blackberrys im Hinblick auf dienstliche Nutzung unter Berücksichtigung von IT-Sicherheit und einfacher zentraler Verwaltung über einen Server wie den Blackberry Enterprise Server konzipiert worden, sondern im Hinblick auf besonders komfortable Bedienung und...