Viele Gründe sprechen derzeit für die Umsetzung eines Managementsystems für Informationssicherheit (IS) (engl.: ISMS, Information Security Management System).

Informationen sind schon seit jeher schützenswert, aber neue Gesetze und Richtlinien bringen frischen Wind in den verantwortungsvollen und bewussten Umgang mit Daten.

Beispielsweise das IT-Sicherheitsgesetz oder die ab Mai 2018 verschärfte Datenschutz-Grundverordnung (DSGVO) fordern mehr Dokumentation und stringente Prozesse ein.

In einigen Organisationsformen ist der Betrieb eines ISMS schon seit jeher obligatorisch, aktuell werden es mehr. Prominentes Beispiel sind Betreiber kritischer Infrastrukturen (KRITIS) wie Krankenhäuser und Energieversorger, die aufgrund der europäischen NIS-Richtlinie zum Handeln verpflichtet werden.

Grundsätzlich gibt es mehrere Methoden, um ein ISMS erfolgreich umzusetzen. Der IT-Grundschutz des BSI ist eine bekannte und bewährte Methodik. Allerdings erfreut sich das Vorgehen nach ISO27001 immer größerer Beliebtheit. Dies liegt zum einen daran, dass die Norm den Umsetzungsrahmen in Relation zur Notwendigkeit und den Prozessen der eigenen Organisation definiert. Dadurch ist sowohl die Detaillierung als auch der verbundene Aufwand zielgerichteter. Zum anderen wird die Norm im Zusammenhang mit der EU NIS-Richtlinie explizit erwähnt.

ISO27001 Anforderungen und was i-doit pro bereits erfüllt

Die Norm fordert als Basis, dass sich die Organisation über den Anwendungsbereich, die eingebundenen Personen und interessierten Parteien gewahr wird und diese dokumentiert. Ebenfalls müssen die Führungen und Verpflichtungen in Form von Rollen und Verantwortungen definiert, dokumentiert und veröffentlicht werden. Im Weiteren ist es erforderlich, eine methodische Informationssicherheitsrisiko-Beurteilung und -Behandlung zu etablieren.

Abgerundet werden die Forderungen  durch die Etablierung eines PDCA-Verbesserungszyklus (Plan-Do-Check-Act) sowie eine Dokumentenlenkung, die alle Änderungen nachvollziehbar macht.

Allen Methoden zur Realisierung eines ISMS ist die Kombination aus detaillierter Dokumentation und einem prozessgetriebenem Vorgehen gemein. Bei genauerer Betrachtung wird klar, daß ein modernes ISMS kein Datengrab ist – es ist der zentrale Dreh- und Angelpunkt für IS-relevante Prozesse und deren Dokumentation

Schauen wir uns die Anforderungen im Detail an:.

Um überhaupt einen Anwendungsbereich definieren zu können, muss zunächst eine Dokumentation über die IS-relevanten Assets und Services existieren. Hier kommen die Vorzüge von i-doit pro ins Spiel: Hier gibt es bereits eine aktuelle und genaue Übersicht über technische und administrative IT-Assets sowie IT-Services.

  • Es gibt also keine Notwendigkeit, eine separate (und häufig redundante) Datenpflege aufzubauen und in Folge parallel zu betreuen.

Auf Basis der bereits erfassten Daten kann mit geringem Aufwand definiert werden, welche Services, Assets und Prozesse für das ISMS relevant sind.

Die weiteren Anforderungen:

  • Die Verteilung von Verpflichtungen und Verantwortungen durch eine Rollendefinition ist ebenfalls eine Kerndisziplin in i-doit.

Kontakte und Rollen können nicht nur exakt ausdefiniert werden, sondern auch nachvollziehbar mit Assets, Services oder Prozessen verknüpft werden. Die notwendigen Informationen zur jeweiligen Verantwortung werden einfach direkt in i-doit erfasst und können sogar grafisch dargestellt werden.

Der Hauptaspekt der Informationslenkung liegt in der Erstellung und Ablage von Dokumenten, einer nachvollziehbaren Erfassung jeglicher Neuerungen und Änderungen sowie einer gezielten öffentlichen  Zugänglichkeit einer Teilmenge dieser Informationen. i-doit pro hat mit dem Dokumente Add-on und dem Logbuch zwei Funktionen, die genau diese Bedürfnisse der Dokumentenlenkung erfüllen.

  • Im Dokumente Add-on können ISMS-relevante Dokumente erstellt und veröffentlicht werden, das revisionssichere Logbuch erfüllt alle Anforderungen an die Nachvollziehbarkeit und Integrität der gelenkten Informationen.

Über das Rechtesystem ist zusätzlich definierbar, welche Informationen für welche Zielgruppe zugänglich sein sollen.

Risikobeurteilung und -Behandlung mit dem ISMS Bundle

Der Kern der ISO27001 Methodik ist die regelmäßige Risikobeurteilung.

Mit dem ISMS Add-on schließt i-doit pro nun auch die letzte Lücke zur Normerfüllung. Es bietet eine native Informationssicherheitsrisiko-Beurteilung und -Behandlung innerhalb der IT-Dokumentation.

Das Add-on erfasst mit i-doit Bordmitteln Maßnahmen, Gefährdungen und Schwachstellen. Anhand benutzerdefinierter Schadensszenarien und Bewertungskriterien können Risiken beurteilt werden. Mitgelieferte Reporte decken die von der Norm geforderten Übersichten ab, zusätzlich können auch individuelle Reporte und Ansichten gestaltet werden.

Um einen schnellen Start zu ermöglichen stehen im i-doit ISMS Bundle drei prominente Kataloge zur Verfügung:

  • Der Anhang A der ISO27001 Norm (Maßnahmenkatalog)
  • Der Gefährdungskatalog der EL 15 des BSI IT-Grundschutzkataloges
  • Der Maßnahmenkatalog der EL 15 des BSI IT-Grundschutzkataloges

Ist die Risikobeurteilung durchgeführt, erfolgt im Anschluss die Risikobehandlung. Meistens müssen Maßnahmen ergriffen werden. Dazu bedarf es der Planung von Zeit und Ressourcen, der Auswahl von Maßnahmen und Verantwortungen für die Umsetzung. Auch diese Aufgaben können im i-doit ISMS Add-on dokumentiert werden.

Hier schließt sich der Kreis: Ein Blick in den Anhang A der ISO27001 Norm lässt auf den ersten Blick erkennen, daß i-doit pro die Umsetzung vieler dort genannter Maßnahmen ideal unterstützen kann.

  • Das Kapitel A.8, “Verwaltung der Werte” beschäftigt sich beispielsweise mit der Inventarisierung, Zuständigkeit und Rückgabe von Assets. Auch das ist eine Kerndisziplin von i-doit pro.
  • Die unter A.8.3 genannte “Handhabung von Datenträgern” ist letztendlich komplett mit dem i-doit pro Lifecyclemanagement abgedeckt.

Und so lassen sich noch zahlreiche andere Anwendungsfälle heranziehen, von der Dokumentation von Lieferentanbeziehungen bis hin zur Dokumentation physischer Sicherheit.

Fazit

Eine IT-Dokumentation mit i-doit pro erfüllt bereits einen großen Teil der Anforderungen der ISO27001 Norm. Die Erfassung aller IS-relevanten Assets und Services sowie Verantwortungen und Rollen ist eine Kerndisziplin von i-doit.

i-doit pro ist mit seiner zentralen Erreichbarkeit und der gelenkten Dokumentation der Dreh- und Angelpunkt aller ISMS-Prozesse in der Organisation.

Da ein modernes ISMS kein Datengrab sein darf, bildet die API Schnittstelle den idealen Ausgangspunkt zur Integration weiterer Tools und Prozesse in der Organisation.

Das ISMS Add-on schließt die letzte Lücke zur ISO27001 Normerfüllung: Die Informationssicherheitsrisiko-Beurteilung und -Behandlung wird innerhalb von i-doit möglich und bedient sich dabei nativer Strukturen, so daß Funktionen wie Reporting oder Templates möglich werden.

Und natürlich steht i-doit für die am Ende der Kette notwendigen Änderungen an IT-Systemen und Services bereit: Mit den bewährten Funktionen für Planung, Organisation und Dokumentation.