IT-Sicherheits-Frameworks und -Standards: COBIT und ISO/IEC 27000

Wir stellen die bekannten IT-Sicherheits-Frameworks und -Standards COBIT und ISO/IEC 27000 vor und werfen einen Blick auf NIST SP 800 aus den USA.

Die Herausforderungen bei der Durchführung eines Programms zur Informations-Sicherheit können überwältigend groß ein. Es gibt so viele Bereiche, die angegangen werden müssen – von der Verschlüsselung über die Anwendungssicherheit bis hin zum Disaster Recovery. Dann sind da noch die Schwierigkeiten bei der Compliance mit regulatorischen Anforderungen wie PCI DSS. Wie sollten Sicherheitsbeauftragte ihre Bemühungen organisieren und priorisieren, um ein Programm zur Informations-Sicherheit aufzubauen und aktuell zu halten?

Was ist ein IT-Sicherheits-Framework?

Ein IT-Sicherheits-Framework ist eine Serie dokumentierter Prozesse, die benutzt werden, um Richtlinien und Prozeduren zu definieren, die sich mit der Implementierung und dem weitergehenden Management von Kontrollen der Informations-Sicherheit im Unternehmensumfeld beschäftigen. Diese Frameworks sind so etwas wie die „Blaupause“ zum Aufbau eines Programms zur Informations-Sicherheit, um Risiken zu managen und Angriffsflächen zu reduzieren. Profis für Informations-Sicherheit können die Frameworks nutzen, um Aufgaben zu definieren und zu priorisieren, die nötig sind, um diese Art der Sicherheit in eine Organisation zu integrieren.

Frameworks werden oftmals angepasst, um spezifische Probleme der Informations-Sicherheit zu lösen, genau wie Blaupausen für Bauwerke auch angepasst werden, um den geforderten Spezifikationen und Ansprüchen zu genügen. Es gibt Frameworks, die für spezielle Industrien oder zur Erreichung von bestimmten Zielen der regulatorischen Compliance entwickelt wurden. Es gibt sie außerdem in unterschiedlichen Komplexitäts- und Größenordnungen. Auf jeden Fall werden Sie feststellen, dass es eine Vielzahl von Überschneidungen bei den allgemeinen Sicherheitskonzepten gibt, da sich jedes einzelne weiterentwickelt.

Beispiele von Frameworks

Im Folgenden finden Sie Informationen zu COBIT und ISO/IEC 27000. Außerdem werfen wir einen kurzen Blick auf den deutschen IT-Grundschutz und die US-Regularien NIST SP 800.

COBIT

Control Objectives for Information and Related Technology (COBIT) ist ein Framework, das Mitte der 90er Jahre von der ISACA entwickelt wurde, einer unabhängigen Organisation von IT Governance Professionals. ISACA bietet als Zertifizierungen den bekannten Certified Information System Auditor (CISA), den Certified Information Security Manager (CISM), den IT-Governance-Experten [Certified in the Governance of Enterprise IT (CGEIT)] und den Certified in Risk and Information System Control Experten (CRISC) an. Das Cobit-Framework fokussierte sich ursprünglich darauf, die technischen Risiken innerhalb einer Organisation zu reduzieren. Mit COBIT 5 hat es sich jedoch dahingehend weiterentwickelt, dass nun auch die Anpassung der IT and die Ziele des Unternehmens berücksichtigt werden. Es ist das am häufigsten genutzte Framework, wenn es um die Erreichung der Compliance-Ziele gemäß der Sarbanes-Oxley-Regeln geht. Wichtig ist das vor allem für deutsche Unternehmen, deren Wertpapiere an einer US-Börse gehandelt oder öffentlich in den USA angeboten werden. Natürlich sind auch die deutschen Tochterunternehmen von US-Gesellschaften direkt vom Sarbanes-Oxley Act (SOA) betroffen. Aber auch Firmen, die Dienstleistungen für solche Unternehmen erbringen, müssen SOA berücksichtigen, denn die erbrachten Leistungen unterliegen diesen Vorgaben. Über die Auswirkungen des Sarbanes-Oxley Act informiert dieses PDF der Martin-Luther-Universität Halle-Wittenberg.

ISO/IEC-27000-Serie

Die ISO/IEC-27000-Serie wurde von der International Standards Organization (ISO) entwickelt. ISO/IEC 27000 bietet ein sehr weit gefasst Informations-Sicherheits-Framework, das auf Organisationen aller Arten und Größen angewendet werden kann. Man kann es sich als Äquivalent der Informations-Sicherheit zum Qualitätsstandard ISO 9000 des produzierenden Gewerbes vorstellen. ISO/IEC 27000 beinhaltet sogar einen ähnlichen Zertifizierungsprozess. Es ist je nach Inhalt in verschiedene Sub-Standards unterteilt. So besteht beispielsweise ISO/IEC 27000 aus einem Überblick und einem Begriffsverzeichnis, während ISO/IEC 27001 die Anforderungen des Programms definiert. ISO/IEC 27002, die sich aus dem britischen Standard BS7799 entwickelt hat, legt die operativen Schritte fest, die in einem Informations-Sicherheits-Programm notwendig sind.

Es gibt noch eine Vielzahl weiterer Standards und bewährter Vorgehensweisen, die in der ISO-27000-Serie dokumentiert sind. So beschreibt zum Beispiel ISO/IEC 27799 die Informations-Sicherheit im Gesundheitswesen.

Neue ISO-27000-Standards sind bereits in der Vorbereitung und bieten spezifische Ratschläge für Cloud Computing (ISO/IEC 27017), Storage-Sicherheit (ISO/IEC 27040) und für die digitale Beweissammlung. ISO/IEC 27000 ist weit gefasst und kann für jeden Industriezweig und Behörden angewendet werden, die darauf aus sind, ein aktives Sicherheitsprogramm zu fahren.

IT-Grundschutz

Die IT-Grundschutzkataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) umfassen eine Reihe von Dokumenten, die Standardsicherheitsmaßnahmen beschreiben. Das BSI will mit dem IT-Grundschutz eine einfache Methode bieten, um alle Daten einer Organisation angemessenen zu schützen. Die Kombination aus der IT-Grundschutz-Vorgehensweise im BSI-Standard 100-2 und den IT-Grundschutzkatalogen soll zum einen eine Sammlung von Sicherheitsmaßnahmen sein und zum anderen Hilfe zur Auswahl und Anpassung geeigneter Maßnahmen bieten. Auf Basis von IT-Grundschutz können Unternehmen und Behörden ein Zertifikat für ISO/IEC 27001 erlangen.

NIST SP 800 Series

Das amerikanische National Institute of Standards and Technology (NIST) hat eine umfangreiche Sammlung an Standards der Informations-Sicherheit und Dokumentationen bewährter Vorgehensweisen aufgebaut. Die NIST-Serie Special Publication 800 wurde erstmals im Jahr 1990 veröffentlicht und ist mittlerweile so umfangreich, dass sie zum jedem Aspekt der Informations-Sicherheit Ratschläge bieten kann. Da NIST SP 800 für deutsche Behörden und Unternehmen nicht verpflichtend ist, nur einige Infos dazu: Obwohl sie nicht speziell als ein Framework für Informations-Sicherheit gedacht ist, haben sich aus NIST SP 800-53 viele andere Frameworks entwickelt. Amerikanische Regierungsbehörden nutzen NIST SP 800-53, um den Anforderungen des Federal Information Processing Standard (FIPS) 200 zu entsprechen.

Hinweise und abschließende Gedanken

Die Schönheit jedes dieser Frameworks liegt darin, dass es Überschneidungen zwischen ihnen gibt, so dass Übergänge gebaut werden können, die eine Compliance mit verschiedenen Regulierungsstandards ermöglichen. So definiert zum Beispiel ISO/IEC 27002 die Richtlinien der Informations-Sicherheit in Abschnitt 5; COBIT definiert diese im Abschnitt „Planen und Organisieren“, Sarbanes-Oxley als „Interne Umgebung und PCI DSS als „Aufrechterhaltung einer Richtlinie zur Informations-Sicherheit". In dem man ein gängiges Framework wie ISO/IEC 27000 nutzt, kann ein Unternehmen dies als Übergang verwenden, um die Compliance mit mehreren Regulierungsstandards zu gewährleisten.

Die Entscheidung, ein spezielles IT-Sicherheits-Framework zu benutzen, kann von vielen Faktoren beeinflusst werden. Der Industriezweig und die Compliance-Anforderungen können Faktoren sein, die die Entscheidung beeinflussen. Börsennotierte Unternehmen werden wahrscheinlich bei COBIT bleiben, um einfacher den Anforderungen von Sarbanes-Oxley zu erfüllen. Die ISO-27000-Serie ist das Opus Magnum der Informations-Sicherheits-Frameworks und kann in jeder Branche Anwendung finden, auch wenn der Umsetzungsprozess lang und kompliziert ist. Allerdings ist sie die beste Wahl, wenn das Unternehmen seine Kompetenz im Bereich Informations-Sicherheit in Form der ISO-27000-Zertifizierung vermarkten möchte. Jedes von ihnen wird einem Sicherheits-Profi dabei helfen, ein Informations-Sicherheits-Programm zu organisieren und zu verwalten. Die einzig schlechte Wahl bei diesen Frameworks wäre es, gar keines davon zu nutzen.

Über den Autor:

Joseph Granneman ist fest angestellter Experte für Informations-Sicherheit bei  SearchSecurity.com. Er hat mehr als 20 Jahre Erfahrung im Technologie-Bereich und ist primär auf Informations-Sicherheit im Gesundheitswesen spezialisiert. Er ist ein aktiver, unabhängiger Autor und Redner im Bereich der Informationstechnologie und Informations-Sicherheit im Gesundheitswesen. Er berät regelmäßig Medien und wird über verschiedene Themen der Informationstechnologie und Sicherheit im Gesundheitswesen interviewt. Granneman hat sich die letzten 10 Jahre auf die Themen Compliance und Informations-Sicherheit im Cloud-Umfeld spezialisiert und viele unterschiedliche Implementierungen in der Medizin- und Finanzbranche begleitet.

Erfahren Sie mehr über Datenschutz und Compliance