:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
ISO 27001:2005 – Einführung in ISMS-Prozesse Geplantes und optimiertes Information Security Management System
Der ISO-Standard 27001:2005 dient der Errichtung eines Managementsystems für Informationssicherheit. Dazu adaptiert die Norm das PDCA-Modell und verwendet es für ihre Belange. Dieser Artikel beschreibt das Modell nach der ISO-Betrachtungsweise und stellt nachfolgend die Überwachungsbereiche vor, die aus dem ISO 17799:2005 einfließen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Für eine anschauliche Betrachtung wurde ein Lebenszyklusmodell verwendet, das bereits bei anderen Normen seine Gültigkeit besitzt. Solch ein Modell ist sinnvoll, weil Sicherheit kein endgültiger Zustand ist, sondern sich sehr dynamisch verändert.
Gemäß der ISO 27001:2005-Norm wird ein so genanntes PDCA-Modell auf ISMS-Prozesse (Information Security Management System) angewendet. PDCA ist ein Lebenszyklusmodell mit den Zuständen „Plan-Do-Check-Act“ (siehe Abbildung 1).
Dieses einfache Konzept ist auf vielfältigste Weise zu verwenden: In Organisationen, Projekten oder in Prozessen.
Für den IT-Sicherheitsprozess kann dieser Zyklus nach PDCA in 4 Phasen aufgeteilt werden:
1. Planung („Plan“) und Konzeption (zum Beispiel das Planen des ISMS)
2. Umsetzung („Do“) der Planung (zum Beispiel das Implementieren des ISMS)
3. Erfolgskontrolle („Check“) durch laufende Überwachung
4. Optimierung („Act“) und beseitigen eventueller Mängel im ISMS
Je nach Sicherheitsanforderung und Beschaffenheit der zu zertifizierenden Organisation muss das Lebenszyklusmodell nach diesem Ablauf erst mit Leben erfüllt werden. Hierfür dienen in der Norm Haupttext und drei Anhänge (Annex A bis C), die allgemeine Informationen zu einem ISMS geben.
Struktur des Standards
ISO 27001:2005 besteht aus den folgenden Komponenten:
- Einem Haupttext mit den Voraussetzungen eines ISMS
- Annex A mit einem Aufgabenkatalog, der vom ISO 17799:2005 übernommen ist
- Annex B mit Informationen über OECD-Prinzipien und dem PDCA-Modell
- Annex C mit Übereinstimmungen mit ISO 9001:2000 (Qualitätsmanagementnorm) und ISO 14001:2004 (Umweltmanagementnorm)
Plan – Grundlegendes planen
Wie bei so vielen Dingen des Business, sollte vor jeder Umsetzung eines Projekts oder einer Aufgabe selbstverständlich eine Planung erfolgen. Da die Beschaffenheit der Organisation wie bereits erwähnt berücksichtigt werden muss, sollten nach diesen Bedürfnissen die Sicherheitskriterien ausgewählt werden. Hierzu zählen insbesondere die Art und Weise der potentiellen Risikobewertung, als auch das Risiko an sich.
ISO 27001 beschreibt an dieser Stelle das „Risk Management” mit dem Verweis auf ISO 13335-3 „Information technology – Guidelines for the management of IT Security – Techniques for the management of IT Security“. Schließlich werden geeignete IT-Sicherheitsmaßnahmen anhand des mitgelieferten Katalogs aus Annex A beziffert. Ein mögliches Szenario wäre zum Beispiel der Ausfall von Daten aufgrund von Bedienungsfehlern oder äußeren Einwirkungen, wie Feuer oder anderen kriminellen Handlungen.
Do – Implementieren und Umsetzen
In der Do-Phase werden die Vorgaben aus der Planungsphase umgesetzt. Hierbei ist zu beachten, dass als Ergebnis ein konkreter Realisierungsplan für das Sicherheitskonzept herauskommt. Zur Umsetzung gehören auch eine Schulung und Sensibilisierung der Firmenleitung und Mitarbeiter.
Check – Überwachung und Erfolgskontrolle
Keine Umsetzung – sei es die Neueinrichtung des ISMS oder eine kleine Änderung – darf ungeprüft bleiben. Hierbei ist eine gewisse Ehrlichkeit wichtig: Ein Lippenbekenntnis reicht nicht! Potentielle Risikofaktoren müssen simuliert werden, damit ein Funktionieren oder eine Fehlfunktion im ISMS lokalisiert werden kann.
Fehlerquellen können bei der Organisation (Firma), der Technologie oder den Geschäftsprozessen liegen. Wenn beispielsweise ein Desaster-Recovery-Plan für einen Datenverlust ausgearbeitet wurde, dann muss auch ein Totalausfall von einigen und allen Geschäftsdaten durchgespielt werden. Nur so lässt sich die Wirksamkeit und Effizienz des Plans dokumentieren. Bei der Auswertung spielen daher Informationen wie Erfolg, Zeitraum der Wiederherstellung und Kosten des Vorfalls eine Rolle.
Act – Optimieren und Warten
Aus den Daten der Überwachung und Erfolgskontrolle können potenzielle Fehler beseitigt werden, um das ISMS laufend zu verbessern. Alle Maßnahmen zur Verbesserung des ISMS-Plans werden getätigt.
Um die Wirksamkeit von Verbesserungen tatsächlich belegen zu können, sollte anschließend bei Bedarf ein Überprüfungszyklus angestoßen werden. Die ISO-Norm verlangt eine kontinuierliche Optimierung von IT-Sicherheitsrichtlinien, Sicherheitszielen oder vorbeugenden Schutzmaßnahmen.
Annex A als Grundlage von ISMS
Der Annex A besteht aus einer Aufgabenliste mit den Paragraphen 5 bis 13. Die Liste entspricht den 11 Überwachungsbereichen, die aus ISO 17799:2005 übernommen sind. Folgende betriebliche Prozesse, die in das PDCA-Modell, bzw. in die Planungsphase einfließen, sind zu beachten:
- Informations-Sicherheitsrichtlinien (Security Policy) für interne Beschäftigte und betreffenden externen Parteien
- Organisation der Informationssicherheit (Organization of Information Security), wie zum Beispiel die Rolle des Firmenmanagement und die Aufgaben der Mitarbeiter
- Vermögensverwaltung (Asset Management), d. h. Schutz des Organisations/Firmen-Vermögens geistiger und materieller Natur vor Beschädigung oder Diebstahl
- Sicherheit des Humankapitals (Human Resources Security), wie beispielsweise eine Sicherheitsüberprüfung für interne und externe Mitarbeiter
- Physische Sicherheit (Physical and Environmental Security), die alle notwendigen Maßnahmen beschreibt, um einen nicht autorisierten Zugriff oder Beschädigungen auf die Einrichtungen der Organisation/Firma zu verhindern
- Kernbereiche ausführbares Management (Communications and Operations Management), wie beispielsweise die Dokumentation von Betriebssvorgängen oder das Änderungs-Management (Change Management)
- Zugriffskontrolle (Access Control), die Richtlinien zur Betriebssystem- und Anwendungszugriffskontrolle beschreibt
- Erwerben, Entwickeln und Warten von Informationssystemen (Information systems acquisition, development and maintenance). Dieser Paragraph beschäftigt sich unter Anderem mit der Sicherheit von Systemdateien und der Handhabung von Informationslücken
- Management bei Sicherheitsvorfällen (Information security incident management), die sich auf die Berichterstattung, Verantwortlichkeiten und Prozeduren und der Archivierung der Vorfälle bezieht
- Fortführung der Geschäftsvorgänge bei einem Vorfall (Business Continuity Management), wo das Riskomanagement angesprochen wird
- Rechtliche Einwilligungen (Compliance), die sich auf alle o. g. Sicherheitsrichtlinien beziehen, soweit diese mit dem jeweils gültigen Landesrecht konform gehen
Fazit
ISO 27001:2005 beschreibt ein Managementsystem für Informationssicherheit (ISMS). Das ISMS ist von dem „Plan-Do-Check-Act“-Lebenszyklusmodell abgeleitet, dass bereits bei anderen Normen seine Gültigkeit hat.
Das Modell wird mit den Best-Practice-Normen aus ISO 17799:2005 gefüttert, um anhand der Aufgabenliste geeignete Maßnahmen zu erstellen. Nach der Idee des PDCA-Modells arbeiten auch BSI-Standards, welche die ISO 27001:2005-Norm zu 100% in den BSI-Grundschutz integriert haben.
Artikelfiles und Artikellinks
(ID:2005842)
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/05/a80509053aff785e878adeb2e6e4da1a/0112115041.jpeg "Die ISO 27000 ist eine Normenreihe und einführender Standard für Informationssicherheitsmanagementsysteme. (Bild: gemeinfrei)")