Aug 29, 2011von Hans Schmitz 0
Informationssicherheit gewährleisten
Informationssicherheit gewährleisten
AKRA BS unterstützt beim Aufbau eines prozessorientierten Informationsmanagementsystems und auf dem Weg zur ISO Zertifizierung nach ISO 27001
Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt
Informationen werden immer mehr zu einem Teil des Unternehmenskapitals und sind damit schützenswert. Eine international anerkannte Möglichkeit, Kunden und Geschäftspartner von der Sicherheit der anvertrauten Daten zu überzeugen, ist ein nach der ISO-Norm 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS). Die Zertifizierung bestätigt, dass im Unternehmen stabile Prozesse zum Umgang mit Informationen und dem Schutz der Informationen vorhanden sind und gelebt werden.
Die ISO 27001 stellt prozessorientierte Aspekte und den Aufbau eines Informations-Sicherheitsmanagementsystems (ISMS) in den Vordergrund. Hierbei wird das Management zur Sicherstellung der Informationssicherheit mittels eines PDCA- (Plan-Do-Check-Act) Regelkreises organisiert:
Die wesentlichen Zyklen sind:
- Planung eines ISMS
Es werden zunächst die für die Informationssicherheit notwendige Sicherheitspolitik, die Sicherheitsprozesse und –verfahren festgelegt und konkret geplant. Dies geschieht Top-Down unter Einbeziehung des Managements und der IT-Verantwortlichen. - Umsetzen und Betreiben eines ISMS
Die festgelegten Sicherheitspolitiken, Sicherheitsziele und –prozesse werden entsprechend umgesetzt und dokumentiert
- Überprüfen des ISMS
Anhand der Norm-Vorgaben werden die umgesetzten Maßnahmen überprüft und auf Wirksamkeit geprüft. - Verbessern des ISMS
Auf der Basis der Prüfergebnisse werden Verbesserungsmaßnahmen formuliert, priorisiert und umgesetzt.
Um ein Zertifikat nach der ISO-Norm 27001 zu erhalten, muss ein Unternehmen ein Informationssicherheits-Managementsystem einführen, das jederzeit die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen auf angemessenem Niveau sicherstellt.
Vertraulichkeit:
Zum Schutz der Informationen werden diese üblicherweise in vier Geheimhaltungsstufen unterschieden. Eine Information wird damit als öffentlich, intern, vertraulich oder streng geheim klassifiziert. Öffentlich verfügbare Informationen werden von einem zertifizierten Unternehmen anders gehandhabt als streng geheime Daten. Der Umgang mit diesen Informationen ist vom Unternehmen genau festgelegt und muss die in der ISO 27001 definierten Voraussetzungen erfüllen. Jede Sicherheitsmaßnahme greift hier in die nächste. Das Sicherheitsniveau wird also durch das schwächste Glied der Kette bestimmt.
Um die höchstmögliche Vertraulichkeit sicherzustellen, müssen Rechenzentren, Systeme und Netze gleichermaßen gesichert sein: Die Daten werden dabei nur in hochwertiger Verschlüsselung über so genannte Virtual Private Networks (VPNs) übertragen. Firewalls schützen alle Rechner im Verbund vor unberechtigten Zugriffen. Standardanwendungen benötigen dafür regelmäßige Überprüfungen gegen alle bekannten Sicherheitslücken. Zudem unterliegt der physikalische Zugriff auf die IT strengen Auflagen, die sich etwa durch eine Zutrittskontrolle zum Gelände und den Gebäude durchsetzen lassen.
Verfügbarkeit
Sie wird in erster Linie durch eine leistungsfähige Netz- und Systemstruktur garantiert, die auch Belastungsspitzen problemlos verkraftet. Dazu kommen eine mehrfache Redundanz bei Servern und Leitungen sowie eine unabhängige Stromversorgung, die das Rechenzentrum bei Stromnetzstörungen in Betrieb hält. Warnsysteme für Server und Gebäude, die Performance-Abfälle anzeigen und infrastrukturelle Notfälle wie Feuer oder eintretendes Wasser frühzeitig melden, tragen zu einer hohen Datenverfügbarkeit bei. Auch bei in Papierform vorliegenden Informationen muss eine hohe Verfügbarkeit (Auffinden, Aufbewahren entsprechend gesetzlichen Vorschriften … ) gegeben sein.
Integrität
Die Informationsintegrität ist als dritte Komponente eines sicheren Informationsmanagements ebenso bedeutend wie Vertraulichkeit und Verfügbarkeit. Sie hängt in erster Linie von hochwertigen Datenspeichern und angemessenen Backup-Konzepten ab.
In der folgenden Abbildung wird das Konzept zur Erstellung des ISMS dargestellt. Die Einbindung erfolgt auf der Basis der Geschäftsprozesse und wird in das bestehende prozessorientierte Integrierte Managementsystem (Qualität, Umwelt, Arbeits- und Gesundheitsschutz) eingebunden
Im Rahmen des IT-Sicherheitsmanagementsystems wird ein systemübergreifendes internes Kontrollsystem (IKS) entworfen und implementiert. Mit diesem Kontrollsystem werden prozessbasiert Risiken erfasst, bewertet und minimiert. Die Ankopplung an eine zentrale Maßnahmenverfolgung ist geplant.
