Information Security Management System
Unternehmensweite, zentrale Steuerung der Informationssicherheit durch Risikoanalysen und Implementierung geeigneter Controls.

Methodische und technische Herausforderungen

Ein Information Security Management System (ISMS) gliedert nach der Definition der ISO-27001 sich rund um den PDCA-Zyklus (siehe Grafik). Aus diesem Zyklus kann in der Norm abgeleitet werde weche Aufgaben ein vollständiges ISMS erfüllen muss. Das Information Security Risk Management ist nur eine Teildomäne eines ISMS - ein GRC Werkzeug sollte also die gesamthaften Anfroderungen erfüllen können.

Eine der größten Herausforderung bei der Implementierung eines ISMS besteht in der Abbildung der komplexen Wirkungsbeziehungen zwischen Informationen, IT-Systeme, IT-Services und Prozessen. Diese Informationen sind sehr wichtig für die spätere Berechnung und Aufbereitung von Bewertungen. Dies umfasst auch die Möglichkeit dass ein und das selbe System für mehrere Services verwendet wird, jedoch im Kontext jedes Services verschiedene Kritikalitäten besitzt.

Sind die Wirkungsbeziehungen zwischen Informationen, Systemen und Prozessen identifiziert und implementiert muss eine Bewertungslogik erarbeitet werden welche es erlaubt Schwachstellen, Bedrohungen und Schutzmaßnahmen nach objektiven Kriterien zu bewerten und die Ergebnisse zu im Rahmen der Wirkungsbeziehungen aufzubereiten.

Wenn sowohl Scope als auch Methodik der Bewertung festgelegt sind müssen regelmäßige Selfassessments durchgeführt werden. Dies umfasst die Bewertung von Bedrohungen und Schwachstellen sowie umgesetzten und geplanten Controls. Ein ISMS muss den CISO hier bei der Verwaltung und Erstellung größtmögliche Freiheit lassen und den verantwortlichen Bewertern eine komfortable Bewertung erlauben.

Außer der den zyklischen Assessments muss ein ISMS die Möglichkeit bieten azyklische Ereignisse und Aktivitäten in die Bewertung der Informationssicherheit einzubinden:

• Die umfasst zunächst die Dokumentation und Verwaltung von Audits zur objektiven Überprüfung von Schutzmaßnahmen durch interne und externe Auditoren. Die in den Audits festgestellten Schwachstellen und Abweichungen müssen dokumentiert und die Nachverfolgung und Behandlung überwacht werden.
• Auch festgestellte und vermutete Sicherheitsvorfälle müssen dokumentiert und nachverfolgt werden können und in die Berichte einfließen.
• Neben den Audits und Sicherheitsvorfällen sollten auch Ausnahmeregelungen für einzelne Systeme in die Berichte aufgenommen werden um besondere Situationen und Schutzbedarfe zu dokumentieren.

Die so zyklisch und azyklisch erhobenen Daten sollten nun in Reports verdichtet werden in denen die Informationen nach den Informationsbedarfen und Verantwortlichkeiten der Stakeholder aufbereitet werden.

Lösungsbeschreibung

risk2value® bietet Ihnen ein flexibles Modell zur Erfassung Ihrer Organisations-, Service- und Prozesshierarchien und zur Abbildung allfälliger Wirkungsbeziehungen zwischen ihnen. So können IT-Systeme für mehrere Services verwendet werden. Außerdem bietet risk2value® ihnen die Möglichkeiten Systeme hinsichtlich ihrer Kritikalität für verschiedene Services individuell zu bewerten. Zusammen mit einer flexible konfigurierbaren Aggregationslogik können Sie so Berichte für die Informationsbedarfe einzelner Service Manager generieren oder sich einen Überblick über das Niveau der Informationssicherheit in Bezug auf den gesamten Wirkungsbereich des ISMS verschaffen. Die Bewertungskriterien sind dabei frei definierbar.

Im nächsten Schritt unterstützt risk2value® Sie bei der Identifikation der Bedrohungen und Schwachstellen. Sie können die Identifikation entweder dezentral und individuell von den bewertenden Benutzern durchführen lassen oder sich an bestehenden Rahmenwerken wie etwa der ISO-27005 orientieren. Dies bietet Ihnen zudem den Vorteil dass Wirkungsbeziehungen zwischen Bedrohungen und Schwachstellen bereits bekannt sind und nur an Ihre Bedürfnisse angepasst werden müssen.

risk2value® unterstützt Sie jedoch auch bei der Dokumentation von bestehenden Controls. Typischerweise werden für ein ISMS die in der ISO-27002 vereinbarten Controls als Basis verwendet, und um kundenspezifische Controls erweitert. Geplante, jedoch noch nicht umgesetzte Controls können auch während des Assessments als Änderungsmaßnahmen dokumentiert werden. Außerdem können zur näheren Beschreibung der Bewertung eines Controls Dokumentationen von wirkungsmindernde Ausnahmeregelungen hinterlegt. Gerade bei stark heterogenen IT-Landschaften haben Sie so die Möglichkeit Differenzen bei der Wirkung von Controls auf verschiedene Systeme zu dokumentieren. Außerdem haben Sie die Möglichkeit Audits und Sicherheitsvorfälle zu dokumentieren und damit die Bewertung einfließen zu lassen.

Sind Bedrohungen, Schwachstellen und Schutzmaßnahmen identifiziert werden diese in Self-Assessments nach freien Kriterien bewertet. Dabei können die die Ergebnisse aggregiert und so für jedes System oder jeden Service aufbereitet werden. Diese Ergebnisse können dann in verschiedenen Reports dargestellt werden. risk2value® bietet Ihnen dazu vorgefertigte Live Reports die Ihnen einen Überblick über den aktuellen Stand der Bewertung liefern. Zusätzlich hierzu haben Sie die Möglichkeit mit risk2value® einen OLAP Cube zur Auswertung in Excel oder nachgelagerten Systemen zu erstellen. So erhalten Sie flexible Auswertung der Sicherheitssituation in den einzelnen Bereichen der Service-, Prozess und Organisationsstruktur.

Die risk2value® Scorecard für das Information & IT Risk Management beinhaltet üblicherweise folgende Strukturen (vereinfacht, siehe Grafik):

• Asset- und Service-Strukturen - sie beinhalten üblicherweise den zu bewertende Assets, Asset-Gruppen, IT-Services sowie den organisatorischen Aufbau (Verantwortungsbereiche, Business Units, etc.)
• Geschäftsprozesse - sie ermöglichen es Risiken nicht nur der Verantwortlichkeit von Risiko-Ownern zuordnen zu können sondern auch den betroffenen Geschäftsprozessen
• Business Impact Analyse / Schutzbedarfsfeststellung - Fragenbogenmodul zur Bewertung und Klassifizierung der Kritikalität nach Vertraulichkeit, Verfügbarkeit und Integrität.
• Risikokataloge - sie dienen als Basis für die Identifikation und Bewertung von Risiken durch die Asset- oder Service-Owner und können hierarchisch (nach Kategorien, Subkategorien, etc.) aufgebaut sein. Durch die Verwendung von Risikokatalogen kann auch identifiziert werden, welche Risiken an mehreren Stellen in der Organisation zu Schäden führen können um bei in der gesamten Organisation oft auftretenden Risiken beispielsweise zentrale Mitigations-Strategien zu entwickeln
• Control Kataloge (beispielsweise ISO-27002) - Dokumentation, Zuordnung und Bewertung der Umsetzung von standardisierten oder individuellen Schutzmaßnahmen
• Aktivitäts-Management - Aktivitäts-Elemente wie Projekt- und Sicherheits-Maßnahmen, Audit-Feststellungen, Sicherheitsvorfälle oder Ausnahmeregelungen können ebenfalls in der Scorecard hinterlegt und zu konkreten Risiken und Organisationsbereichen zugeordnet werden. Diese Aktivitäten werden dann vom zentralen, workflowgesteuerten Maßnahmenmanagement und -tracking verwaltet. Dies ermöglicht beispielsweise auch Auswertungen über die Anzahl an offenen Maßnahmen geordnet nach Krititkalität in den unterschiedlichen Gesellschaften, Business Units oder IT-Services.

Key Points

• Abbildung kundenspezifischer Bewertungsmethoden für Business Impact, Risikoanalyse und Control-Assessments
• Workflowgestütztes Maßnahmenmanagement
• Zentrale Steuerung und Überwachung des Assessment-Fortschritts
• Dezentrale Durchführung der Assessments über den Webbrowser
• Automatiche Historisierung von Informationen / Bewertungen
• Nachvollziehbarkeit aller Änderungen
• Einfaches und hochqualitatives Risiko-Reportig mittel OLAP Technologie

Zurück zur Übersicht der GRC-Lösungen