Schlagwortarchiv für: ISO 27004

In den vorgehenden Beiträgen habe ich einen kurzen Überblick über die beiden Ebenen der Wirksamkeitsmessung im Informationssicherheits-Managementsystem (ISMS) gegeben und mich mit der Messung der Wirksamkeit des ISMS beschäftigt. Dieser Artikel vertieft den Aspekt der Wirksamkeit der Maßnahmen der Informationssicherheit, der Informationssicherheitsleistung.

Informationssicherheitsleistung – Wirksamkeit der Maßnahmen der Informationssicherheit

Dieser Artikel nimmt Bezug auf die ISO 27001:2022. Die o.g. vorhergehenden Artikel referenzierten noch die ISO 27001:2013. Allerdings gibt es keine nennenswerten inhaltlichen Änderungen die das Kapitel 9.1 “Überwachung, Messung, Analyse und Bewertung” betreffen. Neben redaktionellen Umstellungen ist lediglich die Anmerkung, dass die ausgewählten Methoden zu vergleichbaren und reproduzierbaren Ergebnissen führen sollten, damit sie als gültig zu betrachten sind, von einer Anmerkungen zu einer Anforderung geworden.

Die ISO 27001:2022 fordert: “Die Organisation muss die Informationssicherheitsleistung… bewerten.” Dazu muss überwacht und gemessen werden. Leistung meint ein messbares Ergebnis. An zwei Beispielen für zu überwachende und zu messende Größen, die der ISO 27004:2016 entnommen sind, soll dies dargestellt werden:

  1. Anzahl unbefugten Eindringens in Einrichtungen, in denen sich Informationssysteme befinden
  2. Anzahl der von Malware betroffenen Systeme, die nicht über eine aktualisierte Anti-Malware-Lösung verfügen

Anzahl unbefugten Eindringens in Einrichtungen, in denen sich Informationssysteme befinden

In welchem Unternehmen, gab es nicht schon einmal eine Situation, wo Personen in Bereichen angetroffen wurden, zu denen sie kein Recht zum  (unbegleiteten) Zutritt hatten. Der erste Schritt zur Eindämmung solcher Vorfälle ist zunächst einmal das Erfassen. Die reine Existenz einer solchen Kennzahl macht den eigenen Mitarbeitern deutlich, dass es sich hierbei um ein Problem (ein Informationssicherheitsrisiko) handelt. Das Meldeverhalten hierzu ist oft gering. Da die Situation, sofern sie auffällt, meist sofort entschärft wird. Der erste notwendige Schritt wäre also, die Mitarbeiter für das Thema zu sensibilisieren und zur Meldung anzuhalten.

Nach ihrer Einführung wird die Kennzahl zunächst wahrscheinlich steigen, was aber nicht auf mehr Fälle sondern auf ein besseres Meldeverhalten zurückzuführen ist. Ab der Stabilisierung kann beurteilt werden, ob es sich um vernachlässigbare Einzelfälle handelt oder ob Handlungsbedarf besteht. Nach ergriffen Maßnahmen müsste die Kennzahl dann auf ein akzeptables Niveau sinken.

Anzahl der von Malware betroffenen Systeme, die nicht über eine aktualisierte Anti-Malware-Lösung verfügen

IT-System können von Schadsoftware befallen werden. Dies wird sich wahrscheinlich niemals vollständig vermeiden lassen. Definitiv vermeidbar wäre der Befall durch bekannte Schadsoftware. Diese wird zuverlässig von den gängigen Anti-Viren-Softwarepaketen erkannt und ihre Ausführung verhindert. Bei den Systemen, die trotzdem befallen werden, wäre also noch weiter zu unterscheiden, nach Befall, der sich hätte vermeiden lassen und solchem, der auch bei aktueller AV-Software aufgetreten wäre. Möglicherweise gibt es für durch die Schadsoftware ausgenutzte Sicherheitslücken auch bereits Patches.

Warum wäre eine solche Kennzahl interessant? Wir erhalten hierdurch Hinweise, ob wir den Prozess zur Aktualisierung der AV-Lösung anpassen müssen oder ob es keinen akuten Änderungsbedarf gibt, da sich auch vielleicht nicht unverzügliche Aktualisierung zumindest in der Vergangenheit nicht als Problem erwiesen hat.

Möglicherweise gibt die Analyse von Kennzahlen Hinweise auf weitere wissenswerte Fakten. In unserem Beispiel wäre die “Anzahl der von Malware betroffenen Systeme, die nicht aktuell (nicht gepatcht) sind” möglicherweise eine weitere interessante Kennzahl.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In einem vorgehenden Beitrag habe ich einen kurzen Überblick über die beiden Ebenen der Wirksamkeitsmessung im Informationssicherheits-Managementsystem (ISMS) gegeben: Wirksamkeit des Managementsystems und Wirksamkeit der Maßnahmen der Informationssicherheit. Dieser Artikel vertieft den Aspekt der Wirksamkeit des Managementsystems.

Wirksamkeit des Managementsystems

Jedes bedeutende Rahmenwerk zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk, beschreibt ein Managementsystem. Sollen die gesteckten Ziele erreicht werden, muss das Managementsystem als System funktionieren. Dieses Funktionieren muss also sichergestellt und daher überprüft werden. Am Beispiel der ISO 27001:2013 möchte ich dies illustrieren.

Die ISO 27001:2013 nennt in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Den Punkten “Interne Audits” und “Managementbewertung” werden wir uns in einem späteren Artikel widmen. Hier soll es um den ersten Punkt “Überwachung, Messung, Analyse und Bewertung” gehen.

Die ISO 27001:2013 fordert: “Die Organisation muss … die Wirksamkeit des Informationssicherheits-Managementsystems bewerten.” Dazu muss überwacht und gemessen werden. An zwei Beispielen für zu überwachende und zu messende Teile des ISMS soll das dargestellt werden:

  1. Ressourcenverbrauch
  2. Reviews von Richtlinien

Ressourcenverbrauch

Gemessen werden kann in regelmäßigen Abständen, z.B. monatlich, der Verbrauch bestimmter Ressourcen wie beispielsweise Arbeitszeit oder Budget für externe Beratung. In der Analyse können diese gemessenen Werte ins Verhältnis zu den jeweiligen Plandaten gesetzt und dann entsprechend bewertet werden. Ist zur Jahresmitte beispielsweise erst ein Viertel der für das Jahr geplanten Arbeitszeit verschrieben, kann dies ein Indiz sein, dass zu wenig im und am ISMS gearbeitet wird. Eine solche Bewertung versetzt das Unternehmen dann in die Lage, rechtzeitig gegenzusteuern. Ein im Verhältnis zur abgelaufen Zeit zu hoher Arbeitszeiteinsatz kann ein Indiz für unzureichend eingeplante Ressourcen sein. Diese Information kann für den nächsten Planungszeitraum nützlich sein.

Die Bewertung muss dabei immer vor dem vorhandenen Hintergrundwissen “mit Verstand” erfolgen. Möglicherweise ist ja wegen eines größeren Projektes im zweiten Halbjahr kein gleichmäßiger Ressourcenverbrauch zu erwarten. Entscheidend bleibt daher immer die Bewertung der von Messung und Analyse durch den Menschen.

Reviews von Richtlinien

Viele Organisationen führen die notwendigen Reviews ihrer Richtlinien und sonstigen Dokumente über das Jahr verteilt durch. Zweck ist dabei eine kontinuierliche Beschäftigung mit den Dokumenten sowie die Vermeidung von “Review-Wochen”. Auch in diesem Fall liefert die Messung überfälliger Dokumente einen Hinweis auf bestehende Probleme und gibt so die Möglichkeit, rechtzeitig nachzusteuern. Die Ursachenanalyse könnte beispielsweise auf einen Ressourcenmangel hinweisen. Vielleicht haben die Verantwortlichen für das Review diese einfach vergessen. Der Einsatz eines Werkzeugs zur Erinnerung könnte hier hilfreich sein und das Funktionieren des ISMS an dieser Stelle unterstützen. Möglicherweise liegt es auch nur an mangelnder Motivation für eine ungeliebte Aufgabe ;-).

In einem späteren Artikel werde ich mich näher mit ausgesuchten Maßnahmen zur Informationssicherheit und der Möglichkeit ihrer Überwachung und Überprüfung beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Erreicht unser Informationssicherheits-Managementsystems (ISMS) seine Ziele? Wirken alle zur Informationssicherheit umgesetzten Maßnahmen wie gedacht? Kurz: Funktioniert das ISMS oder erzeugt es nur das wohlige Gefühl, sich um das Thema Informationssicherheit schon irgendwie gut zu kümmern? Ohne Überwachung und Überprüfung der Wirksamkeit des Managementsystems selbst sowie der zur Informationssicherheit umgesetzten Maßnahmen bleiben nur Gefühl und Hoffnung. Eine angemessene Wirksamkeitsmessung ist daher in jedem relevanten ISMS-Framework vorgesehen.

Einen ersten Überblick zum Thema hat meine Kollegin Alice Laudien in ihrem Artikel Wirksamkeitsmessung im ISMS – ist ein Stein nur ein Stein?  zu unserem Seminar “Wirksamkeitsmessung nach ISO 27004” gegeben.

Dieser Artikel soll den Blick für die beiden Ebenen der Überwachung und Bewertung schärfen: ISMS und Maßnahmen der Informationssicherheit.

Wirksamkeit des ISMS

Gleichgültig ob man ein ISMS nach ISO 27001, BSI IT-Grundschutz oder einem anderen Regelwerk folgt: Ein ISMS besteht immer aus einem Satz zusammenhängender Elemente einer Organisation zum Festlegen von Politiken und Zielen sowie von Prozessen zum Erreichen dieser Ziele. Die Frage lautet also: Sind die Prozesse und ihre tatsächliche Umsetzung geeignet, die gesteckten Ziele zu erreichen?

Zu dieser Zielerreichung sieht beispielsweise ein ISMS nach ISO 27001 verschiedene Vorgehensweisen und Abläufe (Prozesse) vor, u.a. das Risikomangement, Setzen und Verfolgen von Informationssicherheitszielen, Kompetenzmanagement, Wirksamkeitsmessung, interne Audits, Managementbewertung. Diese Abläufe müssen überwacht werden. Am Beispiel der Informationssicherheitsziele bedeutet das:

  • Werden die Ziele regelmäßig (wie vorgesehen) überprüft, ggfs. verändert oder erneuert?
  • Werden Maßnahmen zum Erreichen der Ziele geplant?
  • Wird die Planung wie vorgesehen umgesetzt?
  • Wird die Zielerreichung anhand von Zielerreichungskriterien überprüft?

In einem späteren Artikel werde ich mich ausführlicher mit der Wirksamkeitsprüfung des Managementsystems nach ISO 27001 auseinandersetzen.

Wirksamkeit der Maßnahmen der Informationssicherheit

In einem ISMS nach ISO 27001 wird die Liste der umzusetzenden Maßnahmen aus drei Quellen gespeist:

  • anwendbare gesetzliche, regulatorische, vertragliche und selbst auferlegte Anforderungen
  • Risikomanagement
  • Informationssicherheitsziele

Diese drei Gruppen sind nicht disjunkt, d.h. sie überschneiden sich in der Praxis.

Geeignete Maßnahmen müssen ausgewählt werden, die Umsetzung geplant und verwirklicht werden. Zum Zeitpunkt der Auswahl der Maßnahmen ist man angemessen überzeugt, dass die Maßnahmen im Sinne der Zielerreichung wirksam sein werden, also z.B. ein Risiko hinreichend mindern, eine gesetzliche Anforderung tatsächlich umsetzen oder zur Erreichung eines Zieles zumindest beitragen.

Maßnahmen können im Ergebnis vollumfänglich erfolgreich, teilweise erfolgreich, in Hinblick auf das Ziel wirkungslos oder schlimmstenfalls kontraproduktiv sein. Wer nicht hinschaut, wird es nicht oder bestenfalls zufällig erfahren. Aus diesem Grund überwachen und überprüfen wir unsere Maßnahmen.

In einem späteren Artikel werde ich mich ausführlicher mit ausgesuchten Maßnahmen zur Informationssicherheit und der Möglichkeit ihrer Überwachung und Überprüfung beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Könnten Sie auf Anhieb einen ungeschliffenen Diamanten von einem einfachen Glaskristall unterscheiden? Oder sieht er auf den ersten Blick nur aus wie ein Stein?
Um den wahren Wert zu erkennen, muss also nachgemessen werden. Und dabei sagt nicht etwa die Größe oder das Gewicht etwas über die Natur des Steines aus, sondern die chemische Zusammensetzung.

Genauso ist es auch bei der Bewertung eines Informationssicherheitssystemes. Es muss nicht nur geprüft werden, ob das System eingeführt und umgesetzt ist, es müssen auch die richtigen Werte gemessen werden, um zu sehen ob es richtig läuft.

Die ISO 27001 schreibt in Kapitel 9 die Bewertung der Leistung vor. Allerdings überlässt sie es der Organisation „was überwacht und gemessen werden muss, einschließlich der Informationssicherheitsprozesse und Maßnahmen“ sowie „die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen“ (ISO/IEC 27001:2013, 9.1a) und 9.1b)). Begrenzt hilfreich ist die ISO/IEC 27004 „Monitoring, Measurement, Analysis and Evaluation“, die zumindest Hinweise gibt, wer was wann und wie messen und bewerten sollte und im Annex B sogar ausführliche Beispiele für den Aufbau eines Messsystems aufgeführt werden. Jedoch kann hier die Masse und Ausführlichkeit vor allem für kleine und mittlere Unternehmen erschlagend wirken und ist auch gar nicht vollumfänglich notwendig.

In unserem Ein-Tages-Seminar „Wirksamkeitsmessung“ (online und Präsenz) erlangen Sie die Kompetenz, mit den richtigen Methoden Ihre Maßnahmen im ISMS zu bewerten. Welche Schwachstellen müssen beobachtet, gesteuert und letztendlich gemessen werden? Welchen Kennzahlen sollten zu Rate gezogen werden und was sagen sie überhaupt aus? Mit Hilfe dieser Kenntnisse können Sie dann die Wirksamkeit Ihres ISMS überprüfen und erkennen, ob Sie einen Diamanten oder einen Glaskristall in der Hand halten.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Schlagwortarchiv für: ISO 27004