Sicherheit in Information und Kommunikation

Übersicht

Die, etwas erweiterte, Pyramide der ISACA gibt einen Überblick über die gängigen Normen und Frameworks aus den Gebieten Corporate, Value und IT Governance, IT-Security Management, Service Management, sowie den Geschäftsmodellierungs- und Projektmanagement-Tools, die notwendig sind, um die Normen und Rahmenwerke umzusetzen.

King-Reports

Die King-Reports beschreiben die Governancebedingungen für Firmen, die in Südafrika an der Börse notieren. Die darin beschriebenen Strukturen und Prozesse sind durchaus allgemein anwendbar.

King I
Erster King Report über Corporate Governance, publiziert im November 1994, betreffend die Governancethematik weit über finanzielle und regulatorische Aspekte hinausgehend (mit Prinzipien guter sozialer, ethischer und umweltbewusster Praxis).

King II:
Überarbeitung von King I, erschienen 2002, motiviert durch Änderungen in der Gesetzgebung, Weiterentwicklungen bei Corporate Governance best practices und die wachsende Bedeutung von Informationstechnologie als Schlüsselimpuls für wirtschaftliche Strategien und Entscheidungen.

King III:
Weitere Überarbeitung, geplante Publikation im Jänner 2009, mit einem Spezialkapitel über "Stakeholder Relationship Management".

COSOs "ERM-Integrated Framework"

COSOs "ERM-Integrated Framework" aus 2004 definiert Komponenten einer internen Kontrolle, die Entitäten einer Organisation, auf die die internen Kontrollen angewendet werden können, sowie die Zielkategorien für die Kontrollen.

Kategorien
Bei den Kategorien muss unterschieden werde, wie weit sie unter der Kontrolle der jeweligen Organisation liegen.

• Teilweise außerhalb der Kontrolle der Organisation:

- Strategie: Definition der Grobziele, die im Einklang mit der Mission der Organisation stehen.
- Operations: effektive und effiziente Verwendung von Ressourcen

• Innerhalb der Kontrolle der Organisation :

- Finanzberichterstattung: Verlässlichkeit des operationellen und finanziellen Berichtwesens
- Compliance: Einhaltung aller zur Anwendung kommenden Gesetze, Regeln, …

Komponenten

• Interne Bedingungen: generelles Klima einer Organisation, stellt die Basis für die Beurteilung und Behandlung von Risiken dar.
• Zielsetzungen: Stellt sicher, dass das Management einen Prozess im Einsatz hat, um Ziele zu setzen, welche sowohl mit der Mission der Organisation im Einklang stehen als auch mit dem Maß an Risiko, dass die Organisation bereit ist, einzugehen.
• Identifikation von Ereignissen: Interne und externe Ereignisse, welche das Erreichen der gesteckten Ziele einer Organisation beeinflussen können (man unterscheidet zwischen Risken und Chancen).
• Risikobestimmung: Risiken werden nach ihrer Eintrittswahrscheinlichkeit und ihrer Wirkung beurteilt, als Basis für eventuelle Gegenmaßnahmen.
• Risikobehandlung: Management wählt passende Antworten auf die identifizierten Risken aus (vermeiden, akzeptieren, reduzieren, teilen)
• Kontrollaktivitäten: Erstellung von Policies und Prozeduren zur effektiven Umsetzung der geplanten Antworten auf die identifizierten Risiken.
• Information und Kommunikation: Zeitgerechtes Identifizieren, Einfangen und Kommunizieren relevanter Information.
• Überwachung: Alle Aktivitäten des ERM Prozesses werden überwacht, durch andauernde Managementaktivitäten, getrennte Auswertungen, oder beides.

Risk Management Standard RIMS

RIMS ist das Ergebnis der Arbeit eines Teams von vier namhaften Risk Management Organisationen in UK:

• Institute of Risk Management (IRM),
• Association of Insurance and Risk Managers (AIRMIC) und
• ALARM: Nationales Forum für Risk Management im öffentlichen Bereich.

Auch in RIMS werden die Risiken einer Organisation und ihrer Geschäftsdurchführung danach kategorisiert, wie sie beeinflusst werden können:

• Durch Faktoren außerhalb der Organisation und
• durch Faktoren innerhalb der Organisation.

Eine weitere Kategorisierung ist die nach Risikotypen wie strategisch, finanziell, operationell, usw.

Kernkompetenzen von RIMS

• ERM-basierter Ansatz: Beschreibt den Grad der Unterstützung auf Executive Ebene über das reine finanzielle und operationelle Risiko hinaus
• ERM Prozess Management: Beschreibt den Grad der Integration des ERM Prozesses in die geschäftsprozesse
• Risk Appetite Management: Beschreibt den Grad des Verständnisses des Verhältnissses von Risiko und zugehörigem, möglichen Gewinns
• Root Cause Disziplin: Beschreibt den Grad der Konsequenz mit der der Ursprung eines Problems erarbeitet wird, die zugehörigen Ereignisse korreliert werden und so Unsicherheit reduziert wird.
• Entdecken von Risken: Beschreibt den Grad der Qualität und Durchdringung mittels Risk Assessment Aktivitäten mittels Dokumentation von Risken und Chancen.
• Performance Management: Beschreibt den Grad der Umsetzung von Vision und Strategie mittels der Analysen von Finanzen, Kundensektor, Geschäftsprozessen sowie der Lern- und Wachstumspozesse
• Widerstandsfähigkeit und Aufrechterhaltbarkeit des Geschäfts: Beschreibt den Grad wie weit die Aufrechterhaltung des ERM Prozesses in die operationelle Planung integriert ist

Control Objectives for Information and Related Technology (COBIT)

COBIT stellt eine Sammlung von "Best Practices" für IT-Prozesse, IT-Management Prozesse und IT-Governance Prozesse basierend auf COSO dar. Als Framework deckt es den gesamten IT Lebenszyklus ab.
Das Governance Modell geht davon aus, dass IT die Informationen liefern muss, welche die Firma braucht, um seine Ziele zu erreichen. COBIT stellt Prozessorientierung und Prozesszuordnung sowie -verantwortlichkeit in den Vordergrund. Das Framework teilt die IT in 4 Bereiche und 34 Prozesse ein, mit insgesamt 210 Kontrollzielen. Es behandelt auf Vertrauen beruhende, qualitätsorientierte und sicherheitsrelevante Notwendigkeiten und definiert dazu 7 Informationskriterien für IT. Zuguterletzt adressiert COBIT die Ressourcen, welche der IT oder von der IT zur Verfügung gestellt werden.

Ziele werden top-down definiert:

• Ein Geschäftsziel bestimmt die Anzahl der IT Ziele, die zur Unterstützung notwendig sind
• Ein IT Ziel wird durch einen oder mehrere Prozesse erreicht.
• Prozessziele benötigen Aktivitäten, wodurch Aktivitätsziele vorgegeben werden.

Zur Auswertung des Erfüllungsgrades der Ziele gibt es zwei Arten von Messgrößen in COBIT:

• Ergebnismessungen: Key Goal Indicators (KGIs) zeigen, ob Ziele erreicht wurden ('lag indicators').
• Performanceindikatoren: Key Performance Indicators (KPIs), ob Ziele erreicht werden können ('lead indicators').

Ein eigenes Navigationskonzept erlaubt die Gewissheit, dass die nach COBIT definierten IT Prozesse jederzeit unter Kontrolle gehalten werden können.

Enterprise Value: Governance of IT Investments (ValIT)

Das Val IT Framework "Enterprise Value: Governance of IT Investments" des IT Governance Institute (ITGI) ist

• ein umfassender und pragmatischer Ansatz, der das Erwirtschaften von Geschäftswert aus IT gestützten Investitionen erlaubt.
• als Komplement zu COBIT entwickelt, um der Führungsebene einer Firma die optimale Realisierung von Mehrwert aus Investitionen in die IT zu ermöglichen
• ein "best practice" Ansatz und
• der einzige integrierte Governanceansatz, der IT und Werte-Governance verbindet.

Es gibt in ValIT drei entscheidende Begriffe, die auch als Bausteine für das Framework verstanden werden können:

• Projekt: Strukturierte Menge an Aktivitäten zur Schaffung einer wohldefinierten Fähigkeit für das Unternehmen in einem vorgegebenen Zeit- und Budgetrahmen. Die Fähigkeit ist notwendig aber nicht hinreichend, um einen geplanten Geschäftserfolg zu erreichen.
• Programm: Strukturierte Menge an Projekten, die notwendig und hinreichend sind, um einen geplanten Geschäftserfolg zu erreichen. Das Investitionsprogramm stellt die Basiseinheit für das Investitionsmanagement dar.
• Portfolio: Gruppierungen von interessanten Objekten (Programme, IT-Services, …) zur Optimierung des Geschäftserfolges.

Aufbauend auf COBIT werden in ValIT zwei entscheidende Fragen gestellt:

Die strategische Frage
Ist die Investition

• entsprechend der Vision,
• entsprechend den Geschäftsprinzipien,
• zu den strategischen Zielen beitragend
• optimalen Wert liefernd (bei akzeptablem Risikoniveau und akzeptablen Kosten)?

Die Wertfrage
Existiert

• ein klares, von allen geteiltes Verständnis der erwarteten Vorteile,
• eine klare Verantwortung für die Gewinnung der Vorteile,
• eine relevante Metrik,
• ein effektiver Prozess zur Gewinnung der Vorteile während des gesamten ökonomischen Lebenszyklus der Investition?

Diese beiden Fragen werden über zwei Prinzipien beantwortet:

Prinzip 1: IT-bezogene Investitionen werden

• wie ein Portfolio von Investitionen gemanaged,
• beinhalten alle Aktivitäten notwendig um Mehrwert zu generieren,
• während ihres gesamten ökonomischen Lebenszyklus gemanaged.

Prinzip 2: Tätigkeiten zur Generierung von Mehrwert müssen

• erkennen, dass verschiedenen Kategorien von Investitionen verschieden bewertet und gemanaged werden müssen.
• Schlüsselmetriken definieren und überwachen, um bei Abweichungen von den Planwerten rechtzeitig reagieren zu können,
• alle Stakeholder mit einbeziehen und ihnen passende Verantwortlichkeiten für die Gewinnung des erwarteten Mehrwerts zuordnen,
• kontinuierlich überwacht, ausgewertet und verbessert werden.

Diese zwei Prinzipien werden auf folgende Themen - die Themen in ValIT - angewandt:

• Werte Governance
• Portfoliomanagement
• Investitionsmanagement

Reifegradmodelle (CMMI)

Capability Maturity Model Integration (CMMI) ist ein Zugang zur Verbesserung von Prozessen, welcher von Organisationen genutzt wird, um zentrale Prozesse effektiver zu gestalten. Folgende Reifegradmodelle sind derzeit definiert:

• CMMI for Development (CMMI-DEV): Version 1.2 veröffentlicht August 2006. Addressiert Produkt- und Service-entwicklungsprozesse.
• CMMI for Acquisition (CMMI-ACQ): Version 1.2 veröffentlicht November 2007. Addressiert Lieferantenkettenmanagement, Aquisition, und Outsourcingprozesse im öffentlichen und industriellen Bereich.
• CMMI for Services (CMMI-SVC): veröffentlicht in der nächsten Version (January 2009). Addressiert Hilfestellung zur Lieferung von Dienstleistungen innerhalb der eigenen Organisation und für externe Kunden.

Alle CMMI Modelle enthalten mehrere Prozessbereiche (process areas - PAs). Jeder Prozessbereich hat spezifische Ziele und Praktiken. Ein Prozessbereich hat dabei ein bis vier Ziele, jedes welcher aus Praktiken besteht, die Aktivitäten beschreiben, die für einen Prozessbereich typisch sind. Zusätzlich gibt es noch generische Ziele und Praktiken, die für alle Prozessbereiche Gültigkeit besitzen.

Projects IN Controlled Environments (PRINCE 2)

PRINCE 2

• ist ein strukturierter Projektmanagementansatz mittels eines klar definierten Modells.
• beschreibt Prozeduren zur Koordination von Leuten und Aktivitäten in einem Projekt,
• beschreibt, wie man ein Projekt plant und leitet, und
• beschreibt, was zu tun ist, falls das Projekt angepasst werden muss, da es sich nicht wie vorgesehen entwickelt.

The Open Group Architecture Framework (TOGAF)

TOGAF erlaubt Modelle für Enterprise Architekturen zu erstellen. Es stellt einen umfassenden Zugang zu Planung, Design, Implementierung und Governance einer Enterprise Informationsarchitektur dar.

Das TOGAF Architektur-Framework stellt ein Werkzeug zur Entwicklung vieler verschiedener Architekturen dar und hat folgende Eigenschaften: Es

• beschreibt eine Methodologie um ein Informationssystem bausteinartig zu definieren.
• zeigt, wie die Bausteine zusammenpassen.
• beinhaltet einen Satz an Werkzeugen
• definiert eine gemeinsame Sprache
• beinhaltet eine Liste empfohlener Standards
• beinhaltet eine Liste passender Produkte, die man zur Implementierung der Bausteine verwenden kann.

TOGAF basiert auf 4 Architekturbereichen:

• Geschäfts- (oder Geschäftsprozess-) Architektur
• Applikationsarchitektur
• Datenarchitektur
• Technische Architektur

Information Technology Infrastructure Library (ITIL):

ITIL stellt Konzepte und Techniken für das Management von Informationstechnologieinfrastruktur (IT Infrastruktur), Entwicklung und Betrieb zur Verfügung.

ITIL V3 besteht aus 5 Hauptwerken:

• Service Strategy: stellt den Rahmen für die Entwicklung von Langzeitstrategien im Servicebereich zur Verfügung
• Service Design: Design von IT Diensten, die entsprechend einer best practice geplant werden, beginnend bei der Architektur, über Prozesse, Policies, Dokumentation und bei der Planung zukünftiger Geschäftsanforderungen endend
• Service Transition: Bringen von Diensten in den Live-Betrieb
• Service Operation: Best practice für die Auslieferung von Diensten nach vereinbarter QoS
• Continual Service Improvement: Ständige Anpassung der IT Dienste an die sich ändernden Geschäftsanforderungen.

ISO/IEC 20000

ISO/IEC 20000 ist der 1. internationale Standard für IT Service Management. Er besteht aus 2 Teilen:

• ISO/IEC 20000-1 ('part 1'): "promotes the adoption of an integrated process approach to effectively deliver managed services to meet the business and customer requirements". Teil 1 beinhaltet folgende Themen:

- Themenbereich
- Begriffe & Definitionen
- Planung und Implementierung von Service Management
- Anforderungen an einManagement System
- Planung und Implementierung neuer oder geänderter Dienste
- Service Delivery Prozess
- Relationship Prozesse
- Kontrollprozesse
- Resolution Prozesse
- Release Prozess.

• ISO/IEC 20000-2 ('part 2'): Teil 2 beschreibt Best Practices nach ISO20000-1.

Security Management nach der ISO/IEC 27K-Serie:

The ISO/IEC 27000-Serie besteht aus Informationssicherheitsstandards herausgegeben von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC).
Zitat: "The series provides best practice recommendations on information security management, risks and controls within the context of an overall Information Security Management System (ISMS)."

Die bekanntesten Normen dieser Serie, die auch für viele Auditausschreibungen oder Neuplanungen im Bereich Informationstechnologie als Basis dienen, sind:

• ISO/IEC 27001 - "Information technology -- Security techniques -- Information security management systems (ISMS) - Requirements": Standard, gegen den eine Zertifizierung des ISMS einer Organisation möglich ist (2005).

Dieser Standard beschreibt ein Vorgehensmodell zur Erstellung, Aufrechterhaltung, Überwachung und kontinuierlicher Verbesserung eines Informationssicherheitsmanagementsystems. Das Vorgehensmodell ist nach dem Plan-Do-Check-Act (PDCA) Modell geformt und hat folgende wesentliche Teile:

• Erstellung des genauen Wirkungsbereichs des ISMS betreffend Geschäftsprozesse, Betriebsorganisation, örtliche Gegebenheiten, zu schützende Werte, technische Gegebenheiten, sowie die Begründung eventueller Ausnahmen aus dem Betrachtungsfeld.
• Durchführung einer Risikoanalyse, welche sowohl Informationen als auch Prozesse als auch Personen und Objekte mit einbezieht.
• Erstellung eines Maßnahmenkatalogs zur Eindämmung oder Beseitigung der identifizierten Risiken, entsprechend genereller Sicherheitsrichtlinien des Unternehmens (Policies) und eventuell Überarbeitung letzterer.
• Definition eines Überwachungsprozesses für die Implementierung des ISMS mit entsprechenden Kontrollmechanismen.
• Definition qualitätsverbessernder Maßnahmen für den ISMS.
• Umsetzung des ISMS.
• Komplette Dokumentation aller Tätigkeiten

• ISO/IEC 27002 - Best Practice Empfehlungen zur Realisierung eines ISMS (früher ISO 17799 bzw BS 7799 Part 1)

Weitere Publikationen aus dieser Serie:

• ISO/IEC 27000 - Einführung und Überblick über die ISMS Standard Familie, plus einem Glossar
• ISO/IEC 27003 - ISMS Implementierungsleitfaden
• ISO/IEC 27004 - Standard für Information Security Management Messungen
• ISO/IEC 27005 - Standard für Information Security Risiko Management
• ISO/IEC 27007 - Leitfaden für ISMS Auditierung (Management System)
• ISO/IEC 27008 - Leitfaden für ISMS Auditierung (Security Controls)
• ISO/IEC 27011 - ISMS Implementierungsleitfaden für Telco Industrie (X.1051)
• ISO/IEC 27031 - Spezifikation für ICT readiness für Business Continuity
• ISO/IEC 27032 - Leitfaden für Cybersecurity
• ISO/IEC 27033 - IT Netzwerksicherheit (ISO/IEC 18028:2006)
• ISO/IEC 27034 - Leitfaden für Application Security

Security Management nach der ISO/IEC 13335: "Information technology Security techniques - Management of information and communications technology security"

ISO/IEC 13335 besteht derzeit aus 5 Teilen:
Part 1 "Concepts and models for information and communications technology security management": Gibt einen groben Management-Überblick über Konzepte, Modelle zur planung, Steuerung, Implementierung und Betrieb von ICT Security.
Part 2 "Techniques for information and communications technology security risk management": Beschreibt Sicherheitsrisikomanagement Techniken (wird, sobald publiziert, Teil 3 und 4 ersetzen).
Part 3 "Techniques for the management of Information Technology security": Beschreibt Sicherheitsrisikomanagement Techniken als technischer Bericht.
Part 4 "Selection of safeguards": Unterstützt bei der Auswahl von Sicherheitsmassnahmen und der Auswahl zugehöriger Baselinemodels und Kontrollen.
Part 5 "Management guidance on network security": Unterstützt beim Aufbau von Netzwerken und Kommunikationswegen zwischen den für IT Security Management Verantwortlichen.

ISO/IEC 15408: "Common Criteria for Information Technology Security Evaluation (CC)"

Dieser internationale Standard definiert Kriterien, die es erlauben, die Sicherheit von Rechnern und Kommunikationssystemen zu bewerten und zu zertifizieren mit Fokus auf:

• Datensicherheit und
• Datenschutz

Die Hauptbestandteile der "Common Criteria" sind:

• Target Of Evaluation (TOE): Das Produkt oder System, das der Evaluierung unterzogen wird.
• Protection Profile (PP): Ein Dokument, welches die Sicherheitsbedürfnisse eine Users oder einer Usergruppe beschreibt. Hersteller können ihre Produkte gegen solche Profile zertifizieren lassen.
• Security Functional Requirements (SFRs): spezifizieren einzelne Sicherheitsfunktionen, die von einem Produkt zur Verfügung gestellt werden können. Die CC beinhalten einen Standardkatalog solcher Funktionen.
• Security Target (ST): Dokument, welches die gewünschten Sicherheitseigenschaften des Zielsystems identifiziert.
• Security Assurance Requirements (SARs): Beschreibung der Maßnahmen, welche während der Entwicklung und Evaluierung des Produkts getroffen wurden, um die Konformität zu den behaupteten Sicherheitseigenschaften eines ST nachweisen zu können.
• Evaluation Assurance Level (EAL): Numerische Bewertung des Zielsystems, welches die erfüllten Nachweiskriterien reflektiert, welche evaluiert wurden. Jeder EAL entspricht einem Paket an SARs, welches die gesamte Entwicklung des bewerteten Produkts überstreicht.

ISO/IEC 15408 soll das Europäische ITSEC und das amerikanische TCSEC als Standard ersetzen und so die Notwendigkeit für teure Mehrfachzertifizierungen vermeiden.