• © shutterstock.com by Myvisuals

Informations­­sicherheits­­management

Informationssicherheit ist durch die zunehmende Digitalisierung von Geschäftsmodellen und -prozessen ein zentraler Faktor für Ihren Geschäftserfolg. Informationen sind eine kritische Ressource in Unternehmen, Behörden und Organisationen.

Ihr Schutz vor unbefugter Kenntnisnahme, Veränderung oder Verlust ist wichtiger denn je. Cyberattacken können Unternehmen existenziell gefährden und deren Reputation nachhaltig und gravierend beeinträchtigen. Der Ausfall von IT-gestützten Dienstleistungen oder IT-gestützter Produktion – und sei er auch nur vorübergehend – kann zudem für Unternehmen zu signifikanten Umsatzeinbußen bzw. Kosten führen.

Beim Schutz dieser Informationswerte muss ein gesamtheitlicher Ansatz her, der technische Sicherheitsmechanismen mit organisatorischen Maßnahmen vereint. Einen solchen Ansatz verfolgt ein Informationssicherheits-Managementsystem, kurz ISMS. Ein effizientes ISMS umfasst nicht nur die physische Absicherung des Unternehmens, die Zugriffskontrolle auf Dateien oder die Einhaltung von Gesetzen und Richtlinien, sondern fängt bereits beim einzelnen Mitarbeiter und dessen Schreibtisch an. Die nachhaltige Umsetzung und ständige Verbesserung zeichnet ein ISMS erst aus.

Informations­­sicherheits­­management nach ISO/IEC 27001

Der weltweit anerkannte Standard im Bereich der Informationssicherheit ist die ISO-Norm 27001. Die ISO/IEC 27001 beinhaltet eine umfassende Sammlung von in der Praxis bewährten Verfahren (“best practices”) für das Management von Informationssicherheit, wobei die Aktivitäten und Maßnahmen auf einer vorhergehenden Risikoanalyse basieren.

Ein besonderer Vorteil der ISO/IEC 27001 ist die weltweite starke Verbreitung sowie die Möglichkeit der individuellen Ausgestaltung des zu modellierenden Information-Security-Management-Systems. Nicht zuletzt ist aber ebenfalls die flexible Erweiterung der Norm um anwendungsfallspezifische Szenarien hervorzuheben. So existieren Erweiterungen der Norm beispielsweise für Cloud‑Services (ISO/IEC 27018), Telekommunikationsservices (ISO/IEC 27011), Outsourcing (ISO/IEC 27036) sowie für Versorgungsunternehmen (ISO/IEC TR 27019) u. v. m.

Die Umsetzung und Auditierung des Managementsystems nach ISO/IEC 27001 erfolgt auf Basis festgeschriebener Prüfpunkte innerhalb der Prozesse, die als Controls bezeichnet werden. Zentraler Kern der Modellierung eines zertifizierbaren ISMS ist somit die Dokumentation und Umsetzung der anwendbaren Controls.

© shutterstock.com by ESB Professional

Weitere Normen und Standards

Darüber hinaus gibt es weitere Normen und Standards für das Management der Informationssicherheit. So z. B. der nationale IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der IT-Grundschutz ist gegenüber der ISO/IEC 27001 weitaus monolithischer ausgestaltet. Dieser Standard zielt vorrangig darauf ab, ein tatsächliches Sicherheitsniveau herzustellen, und wird vorrangig im Behördenumfeld eingesetzt.

Der IT-Grundschutz definiert dabei eine Reihe von Abgrenzungen von IT-Services oder dafür notwendiger Bestandteile in Form abstrakter Bausteine. Diese Bausteine unterliegen dabei spezifischen Gefährdungen, denen mit konkreten Maßnahmen begegnet werden muss. Neben den Bausteinen sind ebenfalls die Gefährdungen sowie die umzusetzenden Maßnahmen fest definiert. Bei vollem Umfang müssen rund 1.600 Maßnahmen umgesetzt werden, was im Rahmen von Zertifizierungen in Form von Prüffragen auditiert wird. Die Anzahl der Prüffragen liegt dabei bei über 15.000.

Seit 2015 existieren ferner die branchenneutralen VdS-Richtlinien 3473. Sie basieren auf den anerkannten Standards ISO 27001/2 und BSI-Grundschutz und sind ein speziell auf kleine und mittlere Unternehmen zugeschnittener Maßnahmenkatalog, mit dem der Informationssicherheitsstatus eines Unternehmens verbessert werden kann. Mit geringerem Aufwand im Vergleich zu ISO/IEC 27001 können kleinere und mittlere Unternehmen aus den VdS-Richtlinien Prozesse definieren und Maßnahmen ableiten, mit denen sie im IT-Bereich ein angemessenes Schutzniveau erreichen. Zusätzlich wurden die VdS-Richtlinien aufwärtskompatibel gestaltet. Dadurch kann eine Zertifizierung nach VdS 3473 auch jederzeit der Einstieg in die ISO-27000er-Reihe sein.

Nutzen eines Informations­sicherheits­managementsystems

In der Folge der Etablierung eines Informationssicherheitsmanagementsystems (ISMS) ergeben sich typische Nutzwerte für ein Unternehmen, wie beispielsweise:

  • Ein professionell umgesetztes ISMS verfolgt einen ganzheitlichen Ansatz und gewährleistet den Schutz der Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Informationen und Belastbarkeit der IT-Systeme (gemäß EU-DSGVO), die Grundlage für Ihren wirtschaftlichen Erfolg sind.

  • Ein ISMS unterstützt Ihre Organisation bei der Herstellung von Transparenz in Bezug auf Risiken entstehend aus Geschäfts- und IT‑Prozessen sowie bei der Herstellung von Entscheidungsgrundlagen für das Management und Umsetzungsstrategien für die operativen Bereiche gleichermaßen.

  • Mit Hilfe eines ISMS können gesetzliche Anforderungen oder Anforderungen der eigenen IS‑Revision umgesetzt und laufend angepasst werden.

  • Durch den Aufbau eines ISMS werden Ihre Prozesse unternehmensweit an dem erforderlichen Sicherheitsniveau ausgerichtet, wobei alle sicherheitsrelevanten Prozesse berücksichtigt werden. Durch unsere Erfahrung und durch den ganzheitlichen Ansatz wird Ihr ISMS geschäftsprozessorientiert ausgerichtet.

  • Die Ergebnisse des Risikoanalyse-Prozesses und/oder einer sog. Business-Impact-Analyse können als Entscheidungsgrundlage dienen. Unzureichende oder fehlgeleitete Investitionen, die am tatsächlichen Bedarf vorbeigehen, werden somit vermieden.

Hier finden Sie unsere Lösungsansätze rund um die Themen IT- und Informationssicherheit sowie unsere branchenspezifischen Lösungen:

Bestandsaufnahme/GAP-Analyse nach ISO/IEC 27001

Vor dem Start eines ISMS-Implementierungsprojekts gilt es zunächst zu untersuchen, ob und inwiefern bereits Prozesse und dazugehörige Maßnahmen etabliert wurden und in welchem Status sich diese befinden. Dabei werden Lücken (sog. GAPs) identifiziert und unsere Experten geben konkrete Handlungsempfehlungen für den direkten Weg zur erfolgreichen Zertifizierung.

Stellung eines Informationssicherheitsbeauftragten (ISB)

Teils gesetzlich gefordert, aber auch im Falle einer Zertifizierung ist die Benennung eines Informationssicherheitsbeauftragten (ISB) notwendig. Der Informationssicherheitsbeauftragte (ISB) ist zuständig für alle Belange der Informationssicherheit innerhalb der Organisation des Auftraggebers. Er unterstützt die Leitungsebene bei deren Aufgaben bezüglich der Informationssicherheit.

Wir stellen einen qualifizierten Experten, der die Rolle des Informationssicherheitsbeauftragten (ISB) in Ihrem Unternehme/in Ihrer Organisation übernimmt.

Cyber-Versicherungscheck

Cyberversicherer setzen in der Regel voraus, dass die Organisation Mindeststandards im Bereich IT- und Informationssicherheit umgesetzt hat. Dies kann mittels eines Quick-Checks (bspw. nach VdS-Standard) nachgewiesen werden.

Unterstützungsleistungen bei der Implementierung eines Informationssicherheitsmanagementsystems (ISMS)

Die Komplexität der Normen und Standards bzw. der darin beschriebenen Anforderungen erfordert eine individuelle und pragmatische Herangehensweise. Die AuraSec GmbH unterstützt Sie dabei, ein Ihren individuellen Ansprüchen gerecht werdendes Informationssicherheits-Managementsystem (ISMS) auf Basis anerkannter Standards wie IT-Grundschutz, ISO/IEC 27001 oder VdS 3473 zu gestalten und umzusetzen.

Durch unser normenkonformes und erprobtes Vorgehensmodell stellen wir sicher, dass wir gemeinsam mit Ihnen sowohl zielgerichtet und strukturiert auf eine Zertifizierung hinarbeiten als auch ein nachhaltig anwendbares und Ihre Organisation unterstützendes ISMS modellieren und implementieren. Ferner beinhaltet das Vorgehensmodell bereits einen PDCA-Zyklus im Rahmen des Implementierungsprojektes, sodass auch diese Voraussetzung der etablierten Zertifizierungsstellen eingehalten bzw. sichergestellt wird.

In einer optionalen „Training-on-the-job“-Variante bilden wir Ihren intern beauftragten Informationssicherheitsbeauftragten (ISB) innerhalb des Einführungsprojekts mit aus.

Lieferanten-Audit nach ISO/IEC 27001

Zu einem Informationssicherheits-Managementsystem (ISMS) gehört die regelmäßige Überprüfung der wichtigsten Lieferanten. Die AuraSec führt in Ihrem Auftrag ein Lieferantenaudit durch und erstellt einen ausführlichen Prüfbericht, der als Nachweis bspw. auch im Kontext der Auftragsverarbeitung (nach EU-DSGVO bzw. BDSG) dienen kann.

IT-Notfallmanagement / Business Continuity Management

Auf Basis einer gründlichen Evaluation, d. h. nach ausführlicher Analyse und Einschätzung von Informationswerten, Prozessen, Organisationseinheiten und deren Abhängigkeiten in Ihrem Unternehmen erstellen wir ein für Sie abgestimmtes Notfallkonzept zur Vermeidung von Datenverlust, zur effizienten Minimierung der Ausfallzeiten und damit verbundener Kosten im Schadensfall. Hierbei orientieren wir uns an gängigen Standards wie ISO 22301 und BSI 100-4 bzw. 200-4.

Penetrationstests und Schwachstellenanalyse

Unsere Penetrationstests überprüfen die Sicherheit Ihrer IT-Systeme und Netzwerke. Dadurch schützen Sie Ihr Unternehmenswissen vor fremden Zugriffen. Sie bestimmen, was wir prüfen, und legen den Umfang und Ansatzpunkte des Penetrationstests individuell fest. Sie können frei wählen, ob wir beim Penetrationstest nur Ihre extern zugänglichen Systeme oder auch Ihre interne IT und Infrastruktur oder beides testen. Zudem legen Sie die Tiefe der jeweiligen Tests fest.

Prüf- und Nachweisverfahren für kritische Infrastrukturen

Am 24.07.2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz „IT-Sicherheitsgesetz“ (IT-SiG) in Kraft getreten. Das Gesetz fordert von Betreibern „kritischer Infrastrukturen“, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, u. a. folgende Maßnahmen, die im novellierten BSI-Gesetz (BSIG) unter § 8a (1) zu finden sind:

Betreiber kritischer Infrastrukturen sind demnach verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung (BSI-KritisV) angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Ferner muss mindestens alle zwei Jahre die Erfüllung der Anforderungen auf geeignete Weise nachgewiesen werden. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Unsere Lead-Auditoren verfügen über branchenspezifische Erweiterungen und sind somit für die Auditierung kritischer Infrastrukturen zugelassen/akkreditiert.

Senden Sie uns gerne eine unverbindliche Anfrage

info@aurasec.de 030 408173352 Schau vorbei. Informiere dich!