Kochbuch ISMS
eBook - ePub

Kochbuch ISMS

Informationssicherheits-Management nach ISO 27001

  1. 418 Seiten
  2. German
  3. ePUB (handyfreundlich)
  4. Über iOS und Android verfügbar
eBook - ePub

Kochbuch ISMS

Informationssicherheits-Management nach ISO 27001

Über dieses Buch

Dieses Buch führt in umgänglicher, leicht verständlicher Sprache in dieses weitläufige Thema der Informationssicherheit und insbesondere in die Umsetzung der ISO 27001 ein. Es liefert konkrete und praxisorientierte Hinweise, die einzelnen Anforderungen aus der ISO 27001 und seinem internen Kontrollsystem (ISO 27002) umzusetzen, ohne den kritischen Blick auf die Branche 'Informationssicherheit' auszusparen. Aufgrund seiner Vielseitigkeit, ist dieses Buch nicht nur für Beginner und Manager, sondern auch für verantwortliche Personen der Informationssicherheit sowie für Berater und Auditoren geeignet. Die Anforderungen der ISO 27001 sind mit Audithinweisen und gegebenenfalls mit Messzielen versehen, um die kontinuierlichen Verbesserungen der eigenen Leistung bewerten zu können. Darüber hinaus wagt der Auditor auch den Blick über den Tellerrand und liefert, wenn es angebracht scheint, den Zugang zu weiteren Technologien und Standards.Ein weiteres Alleinstellungsmerkmal ist der abschließende Blick auf die IT-Sicherheit und Cybersecurity sowie alternative Rahmenwerke und die Anpassung der Organisationskultur auf eine optimierte Informationssicherheit.

Häufig gestellte Fragen

Ja, du kannst dein Abo jederzeit über den Tab Abo in deinen Kontoeinstellungen auf der Perlego-Website kündigen. Dein Abo bleibt bis zum Ende deines aktuellen Abrechnungszeitraums aktiv. Erfahre, wie du dein Abo kündigen kannst.
Derzeit stehen all unsere auf mobile Endgeräte reagierenden ePub-Bücher zum Download über die App zur Verfügung. Die meisten unserer PDFs stehen ebenfalls zum Download bereit; wir arbeiten daran, auch die übrigen PDFs zum Download anzubieten, bei denen dies aktuell noch nicht möglich ist. Weitere Informationen hier.
Perlego bietet zwei Pläne an: Elementar and Erweitert
  • Elementar ist ideal für Lernende und Interessierte, die gerne eine Vielzahl von Themen erkunden. Greife auf die Elementar-Bibliothek mit über 800.000 professionellen Titeln und Bestsellern aus den Bereichen Wirtschaft, Persönlichkeitsentwicklung und Geisteswissenschaften zu. Mit unbegrenzter Lesezeit und Standard-Vorlesefunktion.
  • Erweitert: Perfekt für Fortgeschrittene Studenten und Akademiker, die uneingeschränkten Zugriff benötigen. Schalte über 1,4 Mio. Bücher in Hunderten von Fachgebieten frei. Der Erweitert-Plan enthält außerdem fortgeschrittene Funktionen wie Premium Read Aloud und Research Assistant.
Beide Pläne können monatlich, alle 4 Monate oder jährlich abgerechnet werden.
Wir sind ein Online-Abodienst für Lehrbücher, bei dem du für weniger als den Preis eines einzelnen Buches pro Monat Zugang zu einer ganzen Online-Bibliothek erhältst. Mit über 1 Million Büchern zu über 1.000 verschiedenen Themen haben wir bestimmt alles, was du brauchst! Weitere Informationen hier.
Achte auf das Symbol zum Vorlesen in deinem nächsten Buch, um zu sehen, ob du es dir auch anhören kannst. Bei diesem Tool wird dir Text laut vorgelesen, wobei der Text beim Vorlesen auch grafisch hervorgehoben wird. Du kannst das Vorlesen jederzeit anhalten, beschleunigen und verlangsamen. Weitere Informationen hier.
Ja! Du kannst die Perlego-App sowohl auf iOS- als auch auf Android-Geräten verwenden, um jederzeit und überall zu lesen – sogar offline. Perfekt für den Weg zur Arbeit oder wenn du unterwegs bist.
Bitte beachte, dass wir keine Geräte unterstützen können, die mit iOS 13 oder Android 7 oder früheren Versionen laufen. Lerne mehr über die Nutzung der App.
Ja, du hast Zugang zu Kochbuch ISMS von Thomas Ili im PDF- und/oder ePub-Format sowie zu anderen beliebten Büchern aus Informatik & Informatik Allgemein. Aus unserem Katalog stehen dir über 1 Million Bücher zur Verfügung.

Information

Verlag
Books on Demand
Jahr
2022
ISBN drucken
9783755777656
eBook-ISBN:
9783755771388
Auflage
3
Thema
Informatik
Thema
Informatik Allgemein

1. EINLEITUNG

  • 1.1 Definitionen
  • 1.2 Kurzbeschreibung Informationssicherheits-Managementsystem (ISMS)
  • 1.3 Kurzbeschreibung ISO 27001
  • 1.4 Auditprozess
  • 1.5 Machbarkeitsanalyse ISMS
Einleitend möchte ich erwähnen, dass ich versucht habe eine möglichst deutsche Sprachführung zu verwenden. Manch englische Begriffe haben sich jedoch derart eingedeutscht, dass es schwerfällt, diese durchgängig in Deutsch zu verwenden.
Die Informationssicherheit wird immer bedeutender. Das ist im Zeitalter der Informationen sicher nicht verwunderlich.
Das Zeitalter der Informationen wurde nicht eingeleitet, weil wir plötzlich alle angefangen haben zu lesen. Vielmehr liegt es an der Verarbeitung der Informationen. Wenn ich ein Buch verschicken möchte, muss das nicht erst zum Buchdrucker geliefert, gesetzt, gedruckt und anschließend verschickt werden, sondern es kann einfach elektronisch per eMail verschickt werden. In weniger als einer Minute ist dieses Buch beim Empfänger.
Wenn ich früher einen Vertrag vereinbaren musste, musste ich diesen per Hand schreiben und verschicken. Nur selten bin ich mit dem ersten Versuch fertig geworden und musste mehrere Exemplare erstellen.
Die Verarbeitung der Informationen findet in schwindelerregender Geschwindigkeit statt. Das führt nicht nur zum schnellen Austausch, sondern auch zum besonderen Nutzen. Maschinen werden nicht mehr handgesteuert und Rezeptbestandteile nicht mehr handgewogen und handgemischt.
Diese Verarbeitungsgeschwindigkeit führt auch zu mehr Vielfalt. Wenn ein Schneider früher froh war, sobald er den Schnitt für eine Jacke fertiggestellt hatte, kann eine Maschine mit einem Knopfdruck einfach ein neues Schnittmuster umsetzen.
Diese Beispiele zeigen, dass die Informationsverarbeitung nicht nur für mehr Geschwindigkeiten sorgt, sondern auch der Umfang der Verarbeitung steigt. Die Informationen nehmen eine immer bedeutendere Rolle ein.
Mit der größeren Bedeutung erhöht sich auch der Schutzbedarf dieser Informationen. Die Sicherheit der Informationen muss gewährleistet werden, da sonst die Maschinen still stehen oder die Konkurrenz schneller ist.
Früher hatte ich das Rezept im Kopf und zur Sicherung im Tresor. Heute liegt es auf dem Computer, in der SPS-Anlage und zur Sicherheit im Backup. Und alle Systeme sind mit dem Internet verbunden.
Mit der Bedeutung der Informationen wächst auch der Neid darauf und das Bedürfnis anderer, sich diese Informationen anzueignen. Die Zahl der Angreifer ist größer geworden, die Möglichkeiten durch die Vergrößerung der Schnittstellen vervielfacht.
Es wird deutlich, dass die Informationen geschützt werden müssen. Die zugehörige Disziplin ist die Informationssicherheit.
Die Informationssicherheit betrachtet die Risiken, die auf die Informationen wirken und schafft Maßnahmen, die diese Risiken verringern oder gar vermeiden sollen. Sie betrachtet dabei alle Organisationsbereiche und Abteilungen.
Wenn sich eine Organisation das erste Mal mit der Informationssicherheit beschäftigt, entsteht meist die Erwartungshaltung, dass es bereits ein Standardrezept für alles gibt. „Alles eine Soße“ scheinen die Verantwortlichen zu denken. Doch dem ist nicht so!
Das sollte schon beim Lesen dieser voranliegenden Zeilen klar sein. Doch es gibt noch weitere Aspekte, die zu berücksichtigen sind. Ein Zwei-Personen Unternehmen muss sicher andere Maßnahmen ergreifen, als ein zwanzigtausend mitarbeiterstarkes Unternehmen.
Und selbst im Vergleich zweier gleichgroßen Unternehmen gibt es Unterschiede. Sicherlich geht man in einem Maschinenbauunternehmen anders mit der Sicherheit von Informationen um, als in einem Software Entwicklungsunternehmen.
Selbst der Vergleich zwischen gleichgroßen Unternehmen in derselben Branche hinkt. Die Kultur in den zwei Unternehmen kann komplett unterschiedlich sein. Ein Unternehmen ist vielleicht eher prozessorientiert, während das andere Unternehmen nach „best practice” arbeitet. Jeder Mitarbeiter ist dann vielleicht mit maximalen Freiheiten ausgestattet und selbstverantwortlich, die best practices umzusetzen.
Wie sagte mir doch einmal ein „Vice President” eines Software Entwicklungsunternehmens: „Wir sind alles Künstler, Regeln schränken uns ein.”
So kleinkariert das auch klingen mag, dann ist dieses Unternehmen nicht für gängige Standardprozesse geeignet und nach meiner Einschätzung von Professionalität weit entfernt.
Ein Unternehmen oder eine Organisation, wie ich die allgemeine Bezeichnung in dem Buch synonym verwende, arbeitet nach Möglichkeit nach Zertifizierungsstandard. Das hat zum einen den Vorteil, dass diese Standards bereits nach „Best Practice” entstanden sind und zum anderen macht man sich damit vergleichbar.
Die Best Practices dieser Standards beruhen allerdings nicht auf die Erfahrungen der begrenzten Zahl an Mitarbeitern, sondern auf die Best Practices der ganzen Industrie. Eine Organisation kann sich zudem mit einem zertifizierten Standard seinen Kunden gegenüber rühmen und damit werben. Der Kunde weiß, dass diese Organisation gute Qualität abliefert, die Umwelt schützt oder die Informationen sichert. Je nachdem, welchen Mehrwert die Organisation für ihre Kunde liefert.
Dennoch: Informationssicherheit als Einheitsbrei, ist wie das Essen einer schlechten Großküche. Jedes Gericht ist verkocht und schmeckt irgendwie immer gleich.
Die Informationssicherheit erfordert für jede Organisation ihre eigene Menükarte und individuell abgeschmeckte Menüs.
In der Informationssicherheit wird die Menükarte in einem Managementsystem abgebildet.
Wie in jeder guten Menükarte werden zunächst einmal die Inhaltsstoffe vorgestellt. So beginnt dieses Buch nach der Einleitung auch mit der Definition vielleicht unbekannter oder widersprüchlicher Begrifflichkeiten. Damit die Inhalte dieses Buches auch für jeden interessierten Leser verständlich sind, möchte ich also die missverständlichen Begriffe kurz erläutern, sofern sie nicht ohnehin an geeigneter Stelle im Buch erklärt werden. Bitte stellen Sie sicher, dass Sie die hier genannten Definitionen kennen. Sie stellen das Verständnis im Buch sicher.

1.1 Definitionen

Audit & Auditor, Review & Revisor
Möchte eine Organisation die Einhaltung ihres ISMS auf einen Standard nachweisen, lässt sie sich auditieren. Ein Auditor überprüft auf Standard-Kompatibilität und kann dabei auf Reviews zurückgreifen.
Ein Review ist auf Arbeitsergebnisse begrenzt. Wie beim Audit können dazu Dokumente eingesehen, Mitarbeiter befragt oder Stichproben genommen werden.
Die Revision „reviewed” einzelne Arbeitsergebnisse, um die Wirtschaftlichkeit, die Zweck- und Ordnungsmäßigkeit sowie die Sicherheit einzelner Geschäftsprozesse und des internen Kontrollsystems zu überprüfen. Die interne Revision ist aus dem englischen Begriff „Internal Auditing” entstanden, weshalb die Abgrenzung zum standardprüfenden Auditor nicht konsequent stattfindet.
Best Practices
Sie beruhen auf Erfahrungen und stellen die vermeintlich besten Lösungen der Personen dar, die diese best practices auswählen. Standards beruhen auf best practices einer ganzen Industrie, sind jedoch nicht auf eine individuelle Organisation zugeschnitten.
BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersteht dem Bundesministerium des Inneren und ist für den Schutz der Informationen in der Verwaltung, Wirtschaft und Gesellschaft sowie für die IT-Systeme des Bundes zuständig. Verwechslungsgefahr besteht zum britisch standard institute, das maßgeblich an der Entwicklung vieler Standards des Schweizer Normungsgremiums ISO beteiligt ist und dieselbe Abkürzung verwendet.
Clauses, Controls und Kapitel
Das interne Kontrollsystem enthält Controls. Warum unterschiedliche Sprachquellen verwendet werden, ist in der „Kurzbeschreibung Informationssicherheits-Managementsystem” beschrieben.
Die Controls sind jedenfalls in Clauses zusammengefasst. Diese Clauses sind unter Umständen noch einmal in Sub-Clauses unterteilt.
Das Ergebnis eines zentralen Risiko Management sind die Controls, um die Risiken zu verringern oder ganz auszuschalten. Das Rahmenwerk der ISO 27001 ist selbst nicht auf Controls aufgebaut. Seine Anforderungen sind in den Kapiteln der ISO 27001 formuliert. Die Mindestanforderung an Controls findet sich im Anhang A der ISO 27001.
Client / Server
Ein Server liefert den Service - den Dienst, den ein Client (Deutsch: Kunde) anfragt und anschließend erhält.
Wenn in der IT ein Dienst von einem anderen IT-System angenommen wird, handelt sich immer um eine Client-/Server-Beziehung. Das Dienst-anfragende IT-System ist der Client, das Dienst-Iiefernde IT-System ist der Server. Das gilt zum Beispiel auch in Peer-to-Peer Netzwerken, die eben gerade nicht eine Client-/Server-Beziehung darstellen. Das liegt daran, dass beide Partner abwechselnd als Client oder Server fungieren. Eine eindeutige Client-/Server-Beziehung lässt sich daraus nicht ableiten.
Hacker
Grundsätzlich bezeichnet ein Hacker jemanden, der sich systemnahe Kenntnisse der IT angeeignet hat. Der Begriff „Hacker” entstand in den Achtzigern für die Leute, die den ganzen Tag in die Tastaturen der damaligen Home-Computer „gehackt” haben. Sie sind die Nerds der Achtziger.
Als aus dieser Szene heraus die böswilligen Aktivitäten erfolgten, entwickelte sich die negative Assoziation für den Blackhat Hacker. Der ethisch gute Hacker ist der mit dem Whitehat. Der Greyhat Hacker hat zwar auch gute Absichten, nimmt es mit der Ethik jedoch nicht so genau.
laaS / PaaS / SaaS
Die Angebotspalette eines Cloud-Anbieters kann die Infrastructure-as-a-Service (laaS), die Platform-as-a-Service (PaaS) oder die Software-as-a-Service (SaaS) umfassen. Das Angebot geht dabei von einer reinen virtuellen Hardware-Infrastruktur aus, in der ein Kunde seine eigenen Systeme installiert (laaS), eine vorinstallierte Betriebssystem-Plattform (PaaS) erhält oder eine vollwertige Anwendungsumgebung (SaaS) nutzen kann. Der Kunde benötigt nur noch einen Teil an technischer Expertise, bis zu dem Punkt, an dem in der SaaS-Umgebung keine technische Kompetenz mehr erforderlich ist. Da diese „as-a-Service” Angebote aus Marketinggründen verschiedene Auswüchse genommen haben, wurde der Begriff „XaaS” geschaffen, um eine gemeinsame Bezeichnung aller Services zu schaffen.
IT-Sicherheit & Informationssicherheit in einem ISMS
Beiden Sparten der IT-Sicherheit und Informationssicherheit geht es um die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen. Während die IT-Sicherheit dabei den Schutz der Informationen in der technischen Verarbeitung sicherstellen möchte, nimmt sich die Informationssicherheit der kompletten Verarbeitung innerhalb einer Organisation an. Eben auch dem Umgang mit Papierware oder dem persönlichen Zutritt sowie der Einhaltung juristischer Anforderungen und der technischen Informationssicherheit. Die IT-Sicherheit ist somit ein Teilbereich der Informationssicherheit.
Idealerweise setzt man dafür ein Informationssicherheits-Managementsystem (ISMS) ein. Ich stelle weitere Alternativen vor, jedoch ist das ISMS der ISO 27001 das Hauptthema dieses Buches.
Information Asset (IT-Asset)
Zusammengefasst aus der ISO 27005: „Ein IT-Asset ist alles, was für das Unternehmen von Wert ist und daher geschützt werden muss. Für jedes IT-Asset sollte ein Owner identifiziert werden, um die Verantwortung und Rechenschaftspflicht dafür zu übernehmen.”
Die ISO 27005 betrachtet „primäre Assets” als sensible Kernprozesse und sensible Informationen sowie „unterstützende Assets”, die bedroht werden können, um die primären Assets zu beeinträchtigen.
IT-Asset Owner & IT-Risk Owner
Beide Owner haben in der Regel keine Eigentumsrechte. Die „Ownerschaft” bezieht sich auf die Zuständigkeit und fachliche Verantwortung für das IT-Asset oder das IT-Risiko.
Neben der fachlichen Verantwortung gibt es immer auch reine...

Inhaltsverzeichnis

  1. INHALTSVERZEICHNIS
  2. 1. EINLEITUNG
  3. 2. ISO 27001 RAHMENWERK
  4. 3. RISIKO MANAGEMENT
  5. 4. INTERNES KONTROLLSYSTEM
  6. 5. IT-SICHERHEIT
  7. 6. WEITERE RAHMENWERKE DER INFORMATIONSSICHERHEIT
  8. 7. KULTUR DER INFORMATIONSSICHERHEIT
  9. 8. ZUM SCHLUSS: DAS ZERTIFIZIERUNGSVERFAHREN
  10. ANHANG „ABBILDUNGSVERZEICHNIS“
  11. ANHANG „PRAXIS-BEISPIELE“
  12. Impressum