Suchen

IT-Sicherheit im Rahmen der IT-Governance

IT-Standards COBIT und ISO 27001 kombinieren und Synergie-Effekte nutzen

Seite: 3/3

Firma zum Thema

Violation and Security Activity Reports

Berichten von Sicherheitsaktivitäten und -vorfällen

COBIT verlangt, dass die Verarbeitung und die Zugriffe auf schützenswerte Daten zentrale Überwachungsmechanismen ggf. gesammelt und anschließend kontrolliert werden. Hierüber können Missbräuche erkannt werden und derartige Sicherheitsvorfälle dokumentiert und gelöst werden. Der Zugriff auf die Protokolle muss auf „need to know“ Basis beschränkt werden sollte.

Die ISO/IEC 27001 Norm sieht mit der Kategorie zur Überwachung entsprechende Grundsätze vor. Mitunter wird hier auch eine COBIT kompatiblen Control zum Schutz von Protokollinformationen definiert (10.10.3).

Incident Handling

Behandlung von Stör- und Sicherheitsvorfällen

Der ISO/IEC 27001 Standard sieht in der Domäne 13 „Umgang mit Informationssicherheitsvorfällen“ ein Sicherheitsmanagement vor, welches Sicherheitsvorfälle analysiert, dokumentiert und löst. Hierunter fallen auch Regelungen für Mitarbeiter, die verpflichtet werden Sicherheitsvorfälle gemäß einem festzulegenden Prozess zu melden. Genau diesen Prozess zur Meldung von Sicherheitsvorfällen sieht COBIT ebenfalls vor, jedoch lässt der Governance Standard die genaue Ausprägung und das Handling offen. Diese Lücke füllt die ISO/IEC 27001 Norm.

Counterparty Trust

Akzeptanz von Drittparteien

COBIT sieht einen definierten Weg für den Datenaustausch vor. Dieses schließt eine sichere Übermittlungsmethodik und eine eindeutige Identifizierung ein der beteiligten Parteien ein. Das Ziel beim Austausch von Informationen und Software innerhalb einer Organisation oder mit Externen, die Sicherheit der Daten aufrecht zu erhalten, verfolgt die ISO/IEC 27001 Norm in der Kategorie 10.8 „Austausch von Informationen“. Auch hier zeigen sich klare Synergien der Standard ISO/IEC 27001 und COBIT. Allerdings lassen beide Standards in der Umsetzungsmethodik freie Hand.

29888050

Non-Repudiation

Unleugbarkeit bzw. Nachweisbarkeit

COBIT fordert die Einführung von Verfahren und geeignete Technologien zur Unleugbarkeit von versendeten Informationen oder getätigten Transaktionen. Die technischen Mittel z.B. in Form der digitalen Signatur sieht die ISO/IEC 27001 bzw. die ISO/IEC 27002 in den Maßnahmenzielen 12.3 „Kryptographische Maßnahmen“ vor. Diese ISO-Kategorie zielt auf Schutz der Vertraulichkeit, Integrität und Authentizität von Informationen durch Kryptographie ab.

Cryptographic Key Management

Verwaltung kryptographischer Schlüssel

Gemäß COBIT ist sicherzustellen, dass Richtlinien und Verfahren für die Erzeugung, Änderung, Widerrufung, Zerstörung, Verteilung, Zertifizierung, Speicherung, Eingabe, Verwendung und Archivierung von kryptographischen Schlüsseln etabliert sind. Ziel ist der Schutz der Schlüssel gegen Veränderung und unberechtigte Aufdeckung sicherzustellen. Der ISO/IEC 27001 Standard sieht ein sicheres Schlüsselmanagement in der Maßnahme 12.3.2 vor. Dort heißt es: „Zur Unterstützung der Anwendung kryptographischer Techniken in einer Organisation muss eine entsprechende Schlüsselverwaltung vorhanden sein.“

Malicious Software Preventions, Detection and Correction

Schutz vor sowie Erkennung und Korrektur von bösartiger Software

Um COBIT Compliance für die Domäne „Sicherheit von Systemen“ zu erreichen, müssen präventive, detektive und korrektive Sicherheitsmaßnahmen zum Virenschutz in der gesamten Organisation ergriffen werden (speziell aktuelle Sicherheits-Patches und Virenschutz). COBIT sieht vor, Informationssysteme und die Unternehmens-IT vor bösartigem Code (Viren, Würmer, Spyware, Spam) zu schützen. Der ISO/IEC 27001 Standard definiert mit gleichem Detaillierungsgrad konkrete Sicherheitsmaßnahmen. In den Maßnahmenzielen Abschnitt 10.4 „Schutz vor Schadsoftware und mobilem Programmcode“ werden auch mobile Systeme behandelt.

Fazit

COBIT kann auf der höchsten Ebene der IT-Governance verwendet werden, und somit einen Gesamtüberblick und einen Kontrollrahmen für weitere grundlegende Ansätze des IT-Managements bieten. Der spezifischere Standard ISO/IEC 27001 lässt sich unterhalb des COBIT-Regelwerk abbilden, wodurch eine wirkungsvolle Hierarchie von Leitfäden entsteht.

Der Vergleich der sicherheitsrelevanten COBIT Vorgaben und der analogen ISO/IEC 27001 Anforderungen zeigt, dass es viele Überschneidungen gibt. Bei entsprechend sorgfältiger Erfüllung der ISO/IEC 27001 Vorgaben können die Sicherheitsanforderungen von COBIT ebenfalls nahezu vollständig abgedeckt werden.

Eine ISO/IEC 27001 Zertifizierung kann als Nachweis zur Teilerfüllung von COBIT dienen. Umgekehrt kann COBIT mit seinen Steuerungs- und Messmethoden die Zielsetzungen (Sicherheitspolitik und Sicherheitsmanagement; Wirksamkeitsprüfung nach Reifegrad der ISO/IEC 27001-Maßnahmen) überprüfen. Die Gegenüberstellung der kombinierbaren Sicherheitsmaßnahmen aus beiden Standards zeigt, dass die Einführung einer der beiden Normen im Unternehmen weniger Aufwand und Zeit benötigt, wenn der jeweils andere Standard schon etabliert ist.

Dieser Artikel wurde auf Grundlage des COBIT-Standards der ISACA (Version 4.1 aus dem Jahr 2007) sowie dem Leitfaden für das Informationssicherheits-Management nach ISO/IEC 27002:2005 verfasst. Einige Inhalte sind dem COBIT-Newsletter von Carol Woodbury (SkyView Partners, 2004) entnommen.

Inhalt

  • Seite 1: Grundlegende Sicherheitsprozesse
  • Seite 2: Sicherstellung der Systemsicherheit
  • Seite 3: Empfehlungen zu Sicherheitsvorfällen

(ID:2053218)