Informationssicherheit

 Themenspektrum

Informationen + Sicherheit = Informationssicherheit

 Informationssicherheit im Unternehmen ist Wissen in jeglicher Art. z.B.

  • manuelle Akten wie Briefe und Ordner
  • das gesprochene Wort (in verbaler Form)
  • Informationen auf Datenträgern und in IT-Systemen
Informationen sind Werte (Assets) eines Unternehmens.

Informationen und damit verbundene Prozesse, Systeme, Netzwerke, und Personal zu deren Verarbeitung, stellen im Unternehmen organisationsweite Werte dar. Sie sind  genauso  wichtige Unternehmensressourcen für die Geschäftsziele wie andere Unternehmenswerte.
Sie verdienen damit den Schutz gegenunterschiedliche Gefährdungen!

Schutzziele

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Das Bundesamt für Sicherheit in der Informationstechnik beschreibt diese 3 Schutzziele als sogenannte Grundwerte. Im englischen Sprachraum fasst man diese 3 Begriffe auch unter dem Akronym CIA-Triade zusammen. (confidentiality, integrity, availability)

Informationssicherheit per Gesetz

Zum Schutz kritischer Infrastrukturen werden von staatlicher Stelle verschiedene Strategien verfolgt.

  • IT-Sicherheitsgesetz
  • IT-Sicherheitskatalog

Da wegen hochgradiger Vernetzung von Informationen und deren volkswirtschaftlicher Bedeutung auch ein staatliches Interesse an angemessener Sicherheit gegeben ist, gibt es entsprechende gesetzliche Regelungen.
https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/it_sig_node.html

2.0 Neue KRITIS-Sektoren und Bereiche

Eine zentrale Änderung ist die Ausweitung der einbezogenen Unternehmen. Ganz neu hinzugekommen ist die Abfallentsorgung. Ebenfalls betroffen sind die Bereiche Kultur und Medien.

Die Gesetzesbegründung nennt weiterhin auch „Infrastrukturen aus den Bereichen Chemie [und] Automobilherstellung“ als Unternehmen mit hoher Bedeutung für das Funktionieren des Gemeinwesens.

Dienstleister

Das neue Gesetz betrachtet nun die gesamte Lieferkette. Daraufhin werden alle Unternehmen entsprechende Standards einführen müssen, welche Dienstleister von Sektoren der kritischer Infrastruktur sind.

Sie unterliegen, ebenso wie allgemein alle Hersteller von IT-Produkten, einer Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Sicherheitsvorfällen.

Neue Bußgelder im Stil der DSGVO

Die bisherigen Bußgelder von maximal 100.000 € werden im Entwurf als zu gering angesehen, um eine lenkende Wirkung zu haben. Daher ist nun vorgesehen sich an der DSGVO zu orientieren und Bußgelder bis maximal 20.000.000 Euro oder von bis zu 4% des gesamten, weltweiten Umsatzes zu verhängen.

Einhaltung des IT-Sicherheitsgesetzes

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts des Unternehmens. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.

Managementsystem nach ISO 27001:2015

Der Standard für die Einhaltung der Sicherheit der Informationen im Unternehmen.

Die Acronum GmbH berät mittelständische Unternehmen in Dresden bei der Einführung der ISO 27001.

Was ist der Unterschied zwischen Informationssicherheit und Datenschutz.

Informationen

Sind alle vertraulichen Informationen in Ihrem Unternehmen die da wären:

  • Geschäftsstrategien
  • Passwörter
  • Schwachstellenanalysen
  • Aufzeichnungen über Entwicklungen
  • Entwicklercode
  • Preislisten
  • Buchhaltungsdaten – BWA, Gehalt, Liquiditätsrechnungen
  • personenbezogene Daten

Datenschutz

Ist eine EU- Weite Verordnung, welche alle personenbezogenen Daten schützt. Der Datenschutz ist ein Teil der Informationssicherheit.

Die technischen und organisatorischen Maßnahmen  der EU DSGVO enthalten einige Teile der ISO 27001.

In beiden Managementsytemen muss eine Risikoanalyse erstellt werden.
Erfahren Sie hier, wie eine Risikoanalyse durchgeführt wird.

Wer sollte die ISO 27001 im Unternehmen einführen?

Heute ist die ISO 27001 der weltweit am häufigsten eingesetzte Standard für die Informationssicherheit im Rechenzentrum. Unternehmen können das Zertifikat erhalten, indem Sie die eigene Sicherheit von unabhängigen Prüfern untersuchen lassen und diese Sicherheit auch über die kommenden Jahre einhalten. Aber nicht nur Rechenzentren geraten unter Druck diese Norm einzuführen. Aufgrund der Bindung an Subunternehmer und an die generelle Anforderung der Sicherheit der Informationen führen weltweit immer mehr Branchen die Norm ein.

  • Rechenzentren
  • Softwareunternehmen
  • IT-Dienstleister
  • Automobilhersteller und Zulieferer
  • Gesundheitsbranche

Die Funktionsweise von ISO 27001

Drei Kernaspekte von Informationen stehen im Zentrum von ISO 27001. Gewährleistet werden sollen

  • die Vertraulichkeit
  • die Integrität
  • und die Verfügbarkeit

von Informationen innerhalb einer Organisation beziehungsweise im Rechenzentrum. Um diese Ziele zu erreichen, nimmt ein Prüfungskomitee eine Risikoeinschätzung in den genannten Bereichen vor und erkennt damit potenzielle Probleme. Anschließend wird exakt ausformuliert, wie die erkannten Probleme beseitigt oder eingeschränkt werden können.

Welcher Sicherheitsmaßnahmen konkret umgesetzt werden, hängt von der Art der im Rechenzentrum erkannten Risiken ab. Gewöhnlicherweise werden in einem Datacenter bestimmte Richtlinien und Verfahren eingerichtet, welche der technischen Umsetzung der Sicherheit gelten. Dazu zählen in einem Rechenzentrum beispielsweise die Hardware und auch die verwendete Software.

Für gewöhnlich sind sowohl Hardware und Software im Datacenter bereits vorhanden, allerdings nutzt das Unternehmen sie auf eine nach ISO 27001 falsche Weise. Ein großer Teil der Umsetzung von ISO 27001 im Rechenzentrum läuft somit darauf hinaus, organisatorische Regeln einzuhalten, um Sicherheitslücken sowohl für das Unternehmen selbst als auch für dessen Kunden zu minimieren.

Insgesamt handelt es sich bei ISO 27001 somit um einen Standard, der nicht nur die generelle IT-Sicherheit in Form von Applikationen wie Firewalls und Antivirensoftware in einem Rechenzentrum umfasst, sondern der auch personelle Fragen, juristische Angelegenheiten und weitere Dinge miteinbezieht.

Die Vorteile von ISO 27001

Auf gleich mehreren Ebenen stellt die Einhaltung von ISO 27001 einen Vorteil dar:

Kosten: Durch die Einhaltung von ISO 27001 im Rechenzentrum sinkt auch die Wahrscheinlichkeit, dass es zu kleineren und größeren Störfällen kommt. Für das ISO 27001-Zertifikat werden wesentlich geringere Kosten anfallen als bei einem Ausfall wichtiger Systeme oder Prozesse. Langfristig sparen Unternehmen durch ISO 27001 somit Geld.

Organisation: Alle wichtigen Prozesse im Unternehmen sowie deren Bindung an die jeweiligen Mitarbeiter werden von ISO 27001 genau definiert. Im Rechenzentrum weiß also jeder, wann was zu tun ist. Das spart Zeit und sorgt dafür, dass Mitarbeiter weniger Leerlauf wahrnehmen müssen (auch außerhalb der eigentlichen IT-Sicherheit).

Wettbewerbsvorteil: Gerade der Umgang mit Kundendaten wird von ISO 27001 wesentlich sicherer gestaltet. Kunden, die eventuell zwischen Ihrem Unternehmen und einem anderen Anbieter, der nicht ISO 27001-zertifiziert ist, schwanken, werden für gewöhnlich Ihnen vertrauen.

Vorschriften: Vertragliche Bindungen, Gesetze und Vorschriften machen es komplex, ein Unternehmen rechtlich sicher zu führen. Organisationen, die auf ISO 27001 setzen, erfüllen im Rechenzentrum und außerhalb bereits die allermeisten Vorschriften zu 100 Prozent und wissen sich dadurch auf der rechtlich sicheren Seite.

ISO 27001 im Detail

Derzeit (Stand: Juni 2017) ist die ISO 27001 in elf einzelne Abschnitt sowie einen Anhang gegliedert. Die unterschiedlichen Abschnitte beschreiben sowohl eine Einführung in das Thema selbst (diese Abschnitte haben mit der späteren Umsetzung der Richtlinie im Rechenzentrum nichts zu tun) als auch die eigentlich relevanten Sektionen.

Ausnahmslos alle Abschnitte müssen zu 100 Prozent umgesetzt werden, damit ein Unternehmen das Gütesiegel in Form von ISO 27001 erhält. Die Abschnitte 0 bis 3 beschreiben dabei unter anderem die Einführung in das Thema sowie den Anwendungsbereich (für gewöhnlich jede Art von Organisation in jeder denkbaren Größe). Weiterhin finden sich hier Begrifflichkeiten und deren Definitionen, die in den kommenden Abschnitten umgesetzt werden.

Abschnitte 4 bis 10 beziehen sich auf die exakte Umsetzung im Rechenzentrum. Diese Abschnitte geben Richtlinien etwa für die Planung, den Support, die Durchführung, die Leitung oder die Verbesserung von bestehenden Systemen im Rechenzentrum. Der letzte Anhang A des gesamten Dokuments zeigt noch einmal alle 114 einzelnen Schutzmaßnahmen auf, die in ISO 27001 definiert sind. Werden alle Abschnitte umgesetzt und eingehalten, bekommt das jeweilige Rechenzentrum das gewünschte Zertifikat.

Umsetzung von ISO 27001 im Rechenzentrum

16 einzelne Schritte sind dafür verantwortlich, ISO 27001 letztendlich im Rechenzentrum einführen zu dürfen. Zuerst muss die Unterstützung der Geschäftsführung gegeben sein, außerdem muss der Anwendungsbereich des Management-Systems für Informationssicherheit definiert werden.

Weiterhin muss für das Rechenzentrum eine oberste IT-Sicherheitsrichtlinie erstellt sein. Unternehmen sollen per Definition einen Plan zur Risikobehandlung vorlegen und eine Erklärung der letztendlichen Anwendbarkeit verfassen. Im Rechenzentrum müssen alle Maßnahmen und Verfahren, die in ISO 27001 definiert sind, umgesetzt werden.

Neben den technischen Maßnahmen wird auch das Personal im Rechenzentrum in ISO 27001 einbezogen. Schulungsprogramme stehen daher ebenfalls auf dem Plan. Regelmäßige interne Revisionen durch externe oder interne Dienstleister sind durchzuführen, sowohl im Rechenzentrum als auch außerhalb. Alle genannten Schritte stellen nur einen kleinen Teil der Umsetzung von ISO 27001 dar. Damit ein Rechenzentrum am Ende das Zertifikat erhält, werden unter Umständen Monate vergehen.

ISO 27001 für Personen und Organisationen

Zwei verschiedene Zertifikate existieren derzeit für ISO 27001. Organisationen können den Antrag stellen, um anschließend von Revisoren geprüft zu werden. Dabei erfolgt eine Überprüfung von Dokumenten sowie des Unternehmens selbst.

In dieser Zeit stellen die Revisoren fest, ob alle in ISO 27001 definierten Maßnahmen eingehalten werden. Anschließend folgt eine dreijährige Phase, in der in unregelmäßigen Abständen geprüft wird, ob ISO 27001 eingehalten wird oder nicht.

Personen können das Zertifikat ebenfalls über diverse Kurse erhalten. Gegenstand dieser Kurse sind etwa die Umsetzung des Standards in Unternehmen oder die Durchführung von Prüfungen als Revisor in Unternehmen. Auch Grundlagenkurse für angehende Revisoren existieren. Nach erfolgreichem Abschluss dieser Kurse erhalten auch Privatpersonen ein Zertifikat für ISO 27001.

Email: info@acronum.de
Tel: +49.351.21971182

Wir freuen uns auf Ihre Nachricht!

Auch interessant!