Suchen

IT-Sicherheit im Rahmen der IT-Governance

IT-Standards COBIT und ISO 27001 kombinieren und Synergie-Effekte nutzen

Seite: 2/3

Firma zum Thema

Sicherstellung der Systemsicherheit

Die nun folgenden Sicherheitsmaßnahmen von COBIT stammen aus dem sicherheitsspezifischen Prozess „Sicherstellung der Systemsicherheit“ engl. “Ensure Systems Security“ der Domäne „Leistungserbringung und Unterstützungsprozesse“.

Manage Security Measures

Management von Sicherheitsmaßnahmen

COBIT fordert die nachhaltige Kontrolle von Sicherheitsmaßnahmen mit dem Fokus zur ständigen Kompatibilität zu Geschäftszielen und der Unternehmensstrategie. COBIT verlangt somit nach einer aktuellen IT-Sicherheitsplanung, welche durch den Information Security Management Prozess gemäß ISO/IEC 27001 genauer definiert werden kann.

Identification, Authentication and Access

Identifizierung, Authentifizierung und Zugriff

COBIT fordert grundlegende Sicherheitsprinzipien, welche oberhalb eines ISMS formuliert sind. Hierzu gehört der Grundsatz der Identifizierung und der Authentifizierung auf deren beider Basis Zugriff und Zugang zu Systemen und Unternehmenswerten erlaubt werden kann. Weiterhin fordert COBIT auf diesem Level eine Zugriffsrestriktion, welche den Sicherheitsgrundsätzen least privilege und need-to-know entsprechen. COBIT definiert hier lediglich Beispiele wie Benutzerprofil und Passworte oder eine zertifikatsbasierte Authentifizierung. Der ISO/IEC 27001 Standard bietet in Kombination mit CobIT eine detailliertere Ausprägung dieser Mechanismen.

29888050

Security of Online Access to Data

Sicherheit für Online-Zugriff auf Daten

COBIT definiert für spezifische Systemressourcen (insbesondere bei Zugriffen auf personenbezogene oder vertrauliche Daten) einen restriktiven Zugriff für einen beschränkten Personenkreis. Die ausdrückliche Notwendigkeit zum Zugriff auf diese Daten muss nachgewiesen sein. Mittels der Klasse „Einhaltung von Vorgaben“(engl. compliance) aus der ISO/IEC 27001 Norm werden Anforderungen zu vertraulichen und personenbezogenen Daten noch weiter vertieft und Brücken zu gesetzlichen und regulatorischen Vorgaben geschlagen.

User Account Management

Benutzerkontenverwaltung

COBIT fordert eine geregelte Verwaltung von Benutzerkonten. Zum Beispiel wird grundsätzlich gefordert, dass obsolete, ungenutzte Profile oder Profile von aus dem Unternehmen ausscheidenden Personen aus dem System entfernt werden müssen. Dieser Kontrollpunkt wirft auch Sicherheitsvorgaben in Bezug auf Lieferantenzugänge auf. Diese Regelungen sind nahezu deckungsgleich mit den Forderungen der ISO/IEC 27001 – z.B. die Maßnahmen der Kategorie 11.2 „Benutzerverwaltung“ oder Maßnahme 8.3.3 „Aufheben von Zugangsrechten“.

Management Review of User Accounts

Überprüfung von Benutzerberechtigungen

COBIT fordert zudem im Bereich der Benutzer- und Rechteverwaltung, dass jedes Profil auf die notwendigen Rechte beschränkt ist. Die ISO/IEC 27001 Maßnahme 11.2.4 „Überprüfung von Benutzerberechtigungen“ verlangt zu diesem Thema, dass Benutzerberechtigungen regelmäßig, unter Anwendung eines formalen Prozesses, durch das Management überprüft werden müssen. Entsprechend kann mit der Einführung eines ISO-27001-konformen ISMS nachweislich dieser COBIT Anforderung nachgekommen werden.

User Control of User Accounts

Überwachung von Benutzerprofilen

COBIT fordert grundsätzliche Sicherheitsmechanismen, um einen Missbrauch von User Accounts oder autorisierten Rechten zu erkennen. Die ISO/IEC 27001 Norm konkretisiert diese generischen Forderungen durch die Maßnahmenziele unter Abschnitt 10.10 „Überwachung”. Eine Überwachung kann z.B. über Protokollierungen an IT-Systemen erfolgen. Somit erfüllen ISO27001 konforme Unternehmen diesen COBIT Grundsatz und erbringen einen Nachweis zur Art und Weise der Erfüllung.

Security Surveillance

Sicherheitsprüfungen

COBIT sieht eine Prüfung der sicherheitsrelevanten oder einschlägigen Sicherheitsmaßnahmen und Sicherheitsprozesse vor, um Missstände und ein unzureichendes Sicherheitsniveau zu erkennen. Einen solchen Nachweis liefern Audits. Das ISO/IEC 27001 Zertifizierungsaudit selbst ist ein entsprechender Nachweis. Aber auch ein nicht zertifiziertes an der Norm orientiertes ISMS sieht interne oder externe Audits der ISO-Klassen vor.

Central Identification and Access Rights

Zentrale Verwaltung von Rechten

COBIT sieht ein zentrales Management der Identifizierungstechniken und der Benutzerrechte vor. Diese Idee harmoniert mit den einschlägigen Sicherheitsgrundsätzen der ISO/IEC 27001 Kategorie zur Benutzerverwaltung(11.2), wenngleich auch eine verteilte Rechteverwaltung mit der ISO/IEC 27001 vereinbar wäre.

Inhalt

  • Seite 1: Grundlegende Sicherheitsprozesse
  • Seite 2: Sicherstellung der Systemsicherheit
  • Seite 3: Empfehlungen zu Sicherheitsvorfällen

(ID:2053218)