ISMS
IT-Sicherheit braucht eine gute Organisation
von
Thomas
Bär
Frank-Michael
Schlede - 22.06.2018
Foto: Wright Studio / Shutterstock.com
Um Unternehmen zu sichern, gibt es diverse Konzepte von BSI-Grundschutz bis ITIL. Für die Verwaltung sind daher Managementsysteme für Informationssicherheit (ISMS) unbedingt erforderlich.
ISMS-Software: Programme wie das Open-Source-Tool Verinice helfen IT-Verantwortlichen dabei, die Gefährdungen und die IT-Sicherheitsmaßnahmen im Blick zu behalten.
Was leistet ein ISMS?
Ein Managementsystem umfasst ganz allgemein eine Vielzahl von Regelungen, die für die Steuerung und Lenkung einer Organisation und das Erreichen der Unternehmensziele notwendig sind. Ein ISMS ist folglich ein System, mit dem ein Managementprozess systematisch implementiert werden kann, dessen Ziel der umfassende Schutz von Informationen gleich welcher Art ist. Das ISMS stellt sicher, dass alle erdenklichen Bestandteile der IT-Organisation in einem sicherheitsrelevanten Kontext betrachtet werden.
So ist es zum Beispiel grundsätzlich sehr sinnvoll, eine leistungsstarke, moderne Firewall der neuesten Generation im Netzwerk zu betreiben. Um jedoch das Maximum an Sicherheit aus einer solchen Anschaffung zu ziehen, ist es notwendig, das System korrekt zu konfigurieren und die Protokolle regelmäßig zu sichten.
Dafür wäre noch nicht zwingend ein ISMS notwendig, doch spielt es gerade hier seine Stärken aus. Ein ISMS beschreibt nämlich, an was der IT-Leiter noch alles denken sollte, wenn eine solche Firewall in Betrieb geht. Wurden wirklich alle Verbindungswege so gewählt, dass sie durch die neue Anlage fließen? Welche Auswirkungen hat es auf die Konfiguration, wenn im Außenstandort etwas verändert wird? Entspricht die gewählte Konfiguration den üblichen Sicherheitsanforderungen oder hat der hinzugezogene externe Berater nur seine Lieblingsvariante eingestellt? Wie sollte die Qualifikation der Mitarbeiter entwickelt werden oder welches Rollenkonzept sollte der verantwortliche Bereichsleiter wählen?
Quelle: Cyber Ark „Global Advanced Threat Landscape Report 2018“ (n = 1300)
ISMS helfen Verantwortlichen somit, eine am Unternehmen ausgerichtete, in den Prozessen verwurzelte, technisch zeitgemäße IT-Sicherheitskonzeption auf den Weg zu bringen. Angesichts der Fülle von Parametern und deren Wechselwirkungen ist die Unterstützung durch ein ISMS zwingend erforderlich.
Im Folgenden skizziert com! professional zunächst zwei Arten von Standards, die Unternehmen für ein ISMS heranziehen können: zum einen dediziert als ISMS ausgelegte Sicherheitsstandards, zum anderen klassische IT-Standards mit starkem Sicherheitsbezug. Anschließend geben wir Tipps für die erfolgreiche Umsetzung eines ISMS.