Bert Kondruss, KonBriefing Research, Deutschland
Welche Praktiken sollte ein GRC-Tool abdecken? Welche Anforderungen sollte es erfüllen? Wir beschäftigen uns hier mit dem Informationssicherheits-Management bzw. mit Informationssicherheitsmanagementsystemen (ISMS) und ihre Umsetzung in Software für Governance, Risk Management und Compliance (GRC).
Inhaltsverzeichnis
1
Was ist Informationssicherheitsmanagement im Kontext von GRC?
1.1
Definition
1.2
Wichtige Anwendungsfälle und Funktionen
1.2.1
Definition des Anwendungsbereichs (Scope)
1.2.2
Erfassung und Verknüpfung der betroffenen Assets
1.2.3
Schutzbedarfsanalyse
1.2.4
Risikoanalyse
1.2.6
Kontinuierliche Verbesserung
1.2.7
Vorfallsmanagement:
1.2.8
Maßnahmen-Management
1.2.9
Reporting
1.3
Integrationen
2
Standards
2.1
ISO 27xxx-Serie
2.2
BSI-Grundschutz
2.3
USA
3
Anforderungen an ein GRC-Tool
4
Und früher?

1 Was ist Informationssicherheitsmanagement im Kontext von GRC?

1.1 Definition

Das Informationssicherheitsmanagement bzw. ein ISMS (Information Security Management System) umfasst alle organisatorischen und technischen Maßnahmen, mit denen die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in einer Organisation sichergestellt werden. Ziel ist es, Risiken für Informationen systematisch zu erkennen, zu bewerten und durch geeignete Kontrollen zu behandeln. Das ISMS stellt dabei sicher, dass Informationssicherheit ein kontinuierlicher, sich anpassender Prozess ist, der in die Unternehmensprozesse integriert ist.

1.2 Wichtige Anwendungsfälle und Funktionen

1.2.1 Definition des Anwendungsbereichs (Scope)

Welche Bereiche der Organisation sollen vom ISMS abgedeckt sein?
  • Welche Organisationseinheiten, Geschäftsprozesse, Informationen, IT-Systeme, Standorte?
  • Umgang mit den Schnittstellen zu anderen Bereichen und zu Dritten.

1.2.2 Erfassung und Verknüpfung der betroffenen Assets

Welche Werte sind im Hinblick auf Informationssicherheit schützenswert?
  • Welche Informationen, Prozesse, IT-Services, Anwendungen, Geräte, Standorte, Räume sind zu betrachten?
  • Wie sind sie miteinander verknüpft und welche Abhängigkeiten bestehen zwischen ihnen?

1.2.3 Schutzbedarfsanalyse

Bewertung der Informationswerte im Hinblick auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit (und ggf. weitere)
  • Wie groß wäre der Schaden für die Organisation bei Verletzung eines dieser Schutzziele?
  • Daraus ergibt sich ein Schutzbedarf.
  • Der Schutzbedarf wird an die verknüpften Assets weitergegeben, daraus ergibt sich der Schutzbedarf für IT-Systeme, Standorte usw.

1.2.4 Risikoanalyse

Systematische Identifikation und Bewertung von Risiken für die Assets.
  • Einschätzung möglicher Bedrohungen (z.B. Cyberangriff) und Schwachstellen (z.B. nicht gepatchte Software) im Hinblick auf Eintrittswahrscheinlichkeit und Auswirkungen.

1.2.5 Risikobehandlung

Auswahl und Umsetzung von Maßnahmen zum Umgang mit den Risiken
  • Vermeiden, vermindern, übertragen, akzeptieren
  • Berechnung von Brutto- und Nettorisiko

1.2.6 Kontinuierliche Verbesserung

Das ISMS fortlaufend optimieren und an Veränderungen anpassen.
  • Umsetzung von Maßnahmen aus Audit-Feststellungen
  • Anpassung an geänderte gesetzliche Anforderungen
  • Erkenntnisse aus Sicherheits-Vorfällen

1.2.7 Vorfallsmanagement:

Systematische Erfassung und Behandlung von Sicherheitsvorfällen
  • Schnelle und planvolle Reaktion
  • Begrenzung von Folgeschäden
  • Einhaltung gesetzlicher Vorgaben, z.B. Meldepflichten
  • Vermeidung von Wiederholungen

1.2.8 Maßnahmen-Management

Nachverfolgen von Maßnahmen
  • Status
  • Erinnerungen, Eskalationen

1.2.9 Reporting

Berichte zum Status der Informationssicherheit, um Transparenz herzustellen und eine wirkungsvolle Steuerung zu gewährleisten, z.B.:
  • Status des Risikomanagements
  • Risikobehandlungsplan
  • Relevante Sicherheitsmaßnahmen/Kontrollen (Statement of Applicability, SoA)
  • Status der Umsetzung von Maßnahmen
  • Trends bei Sicherheitsvorfällen

1.3 Integrationen

Häufig gibt es Integrationen mit diesen Drittsystemen ...
  • CMDB (Configuration Management Database): Import von IT-Assets
  • ERP- und Finanzsysteme: Import organisatorischer Stammdaten
  • Incident-Management-Systeme: Behandlung von Vorfällen in Drittsystemen

2 Standards

Für die Umsetzung eines wirksamen Informationssicherheitsmanagements gibt es eine Reihe von internationalen und nationalen Standards, Rahmenwerken und Leitlinien

2.1 ISO 27xxx-Serie

  • ISO/IEC 27001: Managementsystem für Informationssicherheit (ISMS)
 
 
  • ISO/IEC 27002: Informationssicherheitsmaßnahmen
 
  • ISO/IEC 27017: Informationssicherheitsmaßnahmen für Cloud-Dienste
 
  • ISO/IEC 27018: Leitfaden zum Schutz personenbezogener Daten in öffentlichen Cloud-Diensten
 
  • ISO/IEC 27701: Anforderungen und Leitlinien zum Datenschutz
 

2.2 BSI-Grundschutz

  • BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
 
  • BSI-Standard 200-2: IT-Grundschutz-Methodik
 
  • BSI-Standard 200-3: Risikomanagement
 

2.3 USA

  • NIST Cybersecurity Framework
 
  • SOC 2: System and Organization Controls 2 Trust Services Criteria - Prüfstandard für die Wirksamkeit
 

3 Anforderungen an ein GRC-Tool

im Hinblick auf Informationssicherheitsmanagement / ISMS
Welche Anforderungen lassen sich an ein GRC-Tool speziell zu ISMS stellen? Welche Kriterien sollten in einer Ausschreibung bzw. in einem RFI / RFP gestellt werden? Hier einige Vorschläge. Die Liste muss an die Gegebenheiten der eigenen Organisation angepasst werden. Eine gute Software muss nicht unbedingt alle Kriterien erfüllen und umgekehrt ist eine Software, die alle Kriterien erfüllt, trotzdem nicht unbedingt die beste für die Situation.einer Organisation bzw. eines Unternehmens.
Unterstützung der geforderten Standards
  • Abbildung der Anforderungen aus ISO 27001, BSI IT-Grundschutz, NIST, TISAX, SOC 2 usw.
  • Möglichkeit zur Anpassung oder Erweiterung um unternehmensspezifische Standards oder Policies
  • Mapping der Kontrollen auf die Standards
Asset-Management
  • Erfassung und Verknüpfung von Assets
  • Durchführung von Schutzbedarfsanalysen
  • Vererbung der Schutzbedarfe
Risikomanagement
  • Vordefinierte Kataloge von Bedrohungen und Schwachstellen
  • Identifikation und Bewertung von Informationssicherheitsrisiken
  • Qualitative und quantitative Risikobewertung
  • Risikobehandlungsplan
  • Zuweisung von Kontrollen
  • Zuweisung von Maßnahmen
Richtlinienmanagement
  • Verwaltung von ISMS-relevanten Richtlinien und Dokumenten
  • Erstellungs-, Wiedervorlage- und Genehmigungsworkflows
Maßnahmenmanagement
  • Erfassung und Nachverfolgung von Maßnahmen
  • Benachrichtigungen und Eskalationen
Vorfallsmanagement
  • Bearbeitung von Sicherheitsvorfällen
  • Benachrichtigungen und Eskalationen
  • Verknüpfung mit Assets
  • Verknüpfung mit anderen Systemen
Berichtswesen
  • Dashboards, Statusübersichten, Berichte
  • In den Standards vorgesehene Berichte wie Risikobehandlungsplan und Statement of Applicability
Schnittstellen
  • Integrationen mit CMDB, SIEM, Ticketing-Systemen, ERP
  • Technische Integrationen mit LDAP/Active Directory, SSO
Hier sind nur Kriterien speziell für Informationssicherheit aufgeführt. Darüber hinaus gelten zahlreiche weitere allgemeine Kriterien, beispielsweise zum Systemumfeld, zur Integration u.a.

4 Und früher?

Schon die alten Römer nutzten einzelne Maßnahmen, um ihre Informationen zu schützen. Mit dem Caesar Chiffre wurden Nachrichten verschleiert, indem jeder Buchstabe im Klartext um eine feste Anzahl von Positionen im Alphabet verschoben wird. Aus heutiger Sicht völlig unsicher, aber es wurde ein Anfang gemacht.
Das Bild ist KI-generiert. Ob die alten Römer wirklich so eine Scheibe nutzten, ist fraglich. Auch stimmen die angezeigten Alphabete nicht 😀

Verwandt