:: Swiss Infosec AG - kompetent in Fragen der IT- und Informationssicherheit

Security Management

Security Frameworks – das sichere Fundament

In einem Security Framework werden verbindliche Vorgaben definiert, die für die Sicherheit der elektronisch gespeicherten, übertragenen und verarbeiteten Informationen, der IT-Systeme und Prozesse Ihres Unternehmens verbindlich sind.
Das Security Framework setzt sich aus folgenden Dokumenten zusammen:

• die (Information oder IT) Security Policy als oberstes Strategiepapier mit Zielsetzungen, Leitsätzen und Prinzipien zur Informations-/IT-Sicherheit
• das (Information oder IT) Security Concept mit der Festlegung der Informations-/IT-Sicherheitsanforderungen, der Sicherheitsorganisation und dem Vorgehen zur Umsetzung des Security Frameworks
• das (Information oder IT) Security Regelwerk (Baselinekatalog) mit Grundschutzanforderungen und Massnahmen.

Mit dem Security Framework wird die Grundlage für ein einheitliches Sicherheitsmanagement innerhalb Ihres Unternehmens gelegt.

Bei der Umsetzung des Security Frameworks unterstützen wir Sie sowohl mit unserem Know-how (bspw. durch Ausarbeitung von Weisungen, Richtlinien, Bereichskonzepten sowie durch Mithilfe bei der Realisierung von Massnahmen) als auch mit dem Einsatz unseres webbasierten Baseline Intranet Clients, mit dem die einzelnen Regeln und Massnahmen verwaltet werden können.

Warum gerade Ihr Unternehmen?
Für jedes Unternehmen ist eine angemessene und gleichzeitig wirtschaftlich vertretbare Absicherung seiner Unternehmenswerte von existentieller Bedeutung. Abhängig davon, welcher Stellenwert die Sicherheit für Ihr Unternehmen hat und welche Zielsetzungen es verfolgt, unterscheiden wir zwischen folgenden Regelungs-/Geltungsbereichen:
• Integrale Sicherheit (Gesamtsicherheit betreffend)
• Informationssicherheit und
• IT-Sicherheit

Die Swiss Infosec AG unterstützt Sie in all diesen Bereichen, um Ihre Unternehmenswerte entsprechend ihrer Bedeutung abzusichern. Da aber Informationen zum (vielfach wichtigsten) Produktionsfaktor geworden sind, legen wir den Schwerpunkt unserer weiteren Ausführungen auf den Bereich der Informationssicherheit. Der Ausfall der Informationsverarbeitung (gestörte Verfügbarkeit), die Offenbarung von Informationen im falschen Moment (gestörte Vertraulichkeit) und die falsche Verarbeitung von Informationen (gestörte Integrität) können zu Schäden führen, deren Ausmass nicht selten die Existenz eines Unternehmens in Frage stellen.

Ihr Nutzen
Das Framework ist eine unentbehrliche Voraussetzung für alle Sicherheitsmassnahmen innerhalb Ihres Unternehmens. Sicherheitsmassnahmen können nur dann effizient umgesetzt und eingehalten werden, wenn Prinzipien und Zielsetzungen als Grundlage für eine einheitliche Selektion, Planung und Kontrolle der Sicherheitsmassnahmen vorhanden sind.
Ziel der hierarchischen Vorgehensweise ist die Realisierung eines unternehmensweit einheitlichen Sicherheitsstandards gemäss nachfolgendem Schema.

Mit Hilfe des Security Frameworks soll innerhalb Ihres Unternehmens das Fundament für die Informationssicherheit geschaffen werden. Dieses soll als Grundlage für alle Massnahmen und Aktivitäten im Bereich der Informationssicherheit dienen. Dabei sollen die strategische Ausrichtung sowie Zielsetzungen, Grundsätze, Leitlinien, Anforderungen, Guidelines und Verfahren für die Sicherheit der Informationen, der IT-Infrastruktur und aller relevanten Prozesse zusammengefasst werden. Mit dem Security Framework soll ein Sicherheitsstandard festgelegt werden, der unternehmensweit verbindlich ist.

Mit dem Framework werden also die Rahmenbedingungen geschaffen, um ein einheitliches Vorgehen im Bereich der Informationssicherheit unternehmensweit und angemessen gewährleisten zu können. Das Framework dient ebenfalls als verbindliche Vorgabe für die Neukonzeption der IT Security, den Betrieb der IT-Infrastruktur und deren Komponenten sowie als Messgrösse für Sicherheitsanalysen.
Das Framework zeigt zudem die Schnittstellen, Abhängigkeiten, aber auch die Abgrenzung zu anderen unternehmensrelevanten Sicherheitsbreichen auf.

Vorgehensmodell
Die Erstellung des Security Frameworks erfolgt in der Regel gemäss folgendem Ablauf:

Phase 1: Aufnahme spezifischer Kundenbedürfnisse und -Anforderungen, Projektplanung, Projektinitialisierung, Definition der Ziele
Phase 2: Informationsbeschaffung, Definition des Geltungsbereiches (Abgrenzung, Schnittstellen)
Phase 3: Erstellung der Security Policy
Phase 4: Erstellung des Security Concepts
Phase 5: Erstellung des Security Regelwerkes (Baselinekatalog)
Phase 6: Abklärung Handlungsbedarf und Realisierung der Sicherheitsmassnahmen entsprechend dem Unternehmensbedarf
Phase 7: Begleitende Awareness und Ausbildung

Von der Security Policy zu den Sicherheitsmassnahmen
Die Security Policy bildet die Grundlage für ein unternehmensweit einheitliches Management der Sicherheit. Die in der Sicherheitspolitik zusammengefassten obersten Leitsätze und Prinzipien zu Fragen der Sicherheit bilden die Grundlage für Konzepte und Massnahmen. Die Grundsätze der Security Policy werden im Security Concept konkretisiert und erläutert. Im Baselinekatalog - dem Regelwerk zur Sicherheit - werden die Anforderungen aus dem Security Concept als Massnahmen konkretisiert, um den Mitarbeitenden spezifische Handlungsanweisungen und Richtlinien zur Realisierung der unternehmensspezifischen Sicherheit vorzugeben.

Information Security Policy
Um ein Fundament für die Informations- und IT-Sicherheit zu schaffen, ist als erstes eine Information Security Policy zu erarbeiten. Diese dient als Grundlage für alle Massnahmen und Aktivitäten im Bereich der Informationssicherheit unter Einschluss der IT-Sicherheit, des Datenschutzes, des Informationsschutzes und der Schnittstelle physische Sicherheit.
Die Information Security Policy fasst die Grundsätze Ihres Unternehmens zur Informationssicherheit zusammen. Mit der Security Policy soll die Vertraulichkeit, Verfügbarkeit und Integrität aller bearbeiteten Informationen, der für ihre Bearbeitung benötigten Systeme und Prozesse definiert und realisiert werden.

Security Concept
Das Hauptziel des Information Security Concept ist die betriebliche Organisation der Sicherheit aller Informationen im Rahmen der gesetzlichen, vertraglichen und internen Anforderungen. Mit der Festlegung von Sicherheitsanforderungen, der Definition von Aufgaben, Verantwortlichkeiten und Kompetenzen für sicherheitsrelevante Funktionen und Gremien sollen die Informationen und damit auch die für ihre Bearbeitung benötigten IT-Systeme so geschützt werden, dass die Informationssicherheit unternehmensweit gewährleistet wird. Dazu gehören auch Massnahmen zur Sensibilisierung, Information und Kommunikation.

Im IT Security Concept wird auch das Baseline-Konzept (Grundschutzmethode mit Regelwerk) beschrieben, mit dem sich ein Unternehmen wirkungsvoll schützen kann. Die Grundschutzmethode beschreibt, wie mit standardisierten Regeln (Baselines) aufwändige Risikoanalyen vermieden werden können.

Bei der Definition des Sicherheitsmanagements und der Sicherheitsorganisation werden die bestehenden unternehmensspezifischen Prozesse und Funktionen analysiert und ins Concept eingearbeitet. Die im Rahmen der Policy formulierten Sicherheitsziele und Strategien werden konkretisiert und in Form von Sicherheitsanforderungen spezifiziert. Unternehmensspezifische Aspekte und Anforderungen werden berücksichtigt.

Security Regelwerk (Baselinekatalog)
Ziel des Baselinekataloges ist die Durchsetzung bzw. Umsetzung technischer, organisatorischer und personeller Massnahmen, um im gesamten Unternehmen einen allgemein verbindlichen und anerkannten Standard im Bereich der Informationssicherheit zu erreichen.

Der Baselinekatalog enthält generelle und spezielle Baselines. Die generellen Baselines sind für einen allgemeinen Schutzbedarf ausreichend. Sie sollen aber auch als Basis für den Schutz erhöht klassifizierter Objekte dienen, auch wenn in diesem Bereich zusätzlich spezielle Baselines notwendig sind.

Bei der Formulierung der Baselines wird deren Wirksamkeit und Wirtschaftlichkeit berücksichtigt. Die innerhalb Ihres Unternehmens vorliegenden Sicherheitsmassnahmen und -regeln werden zusammengetragen, überprüft, in den Baselinekatalog aufgenommen und ggf. angepasst.

Als Grundlage zur Erarbeitung des unternehmensspezifischen Regelwerkes wird der Baselinekatalog der Swiss Infosec AG verwendet, der seinerseits auf folgenden internationalen Standards beruht:
• Code of Practice for Information Security Management des British Standard Institutes BSI, London, 1999, ISO/EN/SN 17799 ("Leitfaden zum Management von Informationssicherheit")
• IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik BSI, Bonn, 2000.

Die Verwaltung des Baselinekataloges erfolgt in einer von der Swiss Infosec AG entwickelten Software-Applikation (Baseline Tool und Baseline Intranet Client).

Realisierung der Sicherheitsmassnahmen
Um die definierten Sicherheitsanforderungen anwenden zu können, müssen die betroffenen Schutzobjekte identifiziert, inventarisiert, klassifiziert und verantwortlichen Funktionen zugeordnet werden. Diese so genannten Schutzobjektverantwortlichen sind für die Sicherheit ihrer Objekte und somit auch für die Anwendung der Massnahmen zuständig.

Mit dem Regelwerk verfügt Ihr Unternehmen über einen Massstab, mit dem Sicherheitsüberprüfungen, Reviews, Audits und Umsetzungskontrollen durchgeführt werden können. Über die so genannte Deckungsgradanalyse erhält Ihr Unternehmen einen allgemeinen Überblick über den aktuellen Sicherheitsstatus. Dabei findet ein Ist/Soll-Vergleich mit Bezug zu den im Baselinekatalog definierten Sicherheitsanforderungen statt. Die Baselines werden hinsichtlich ihres Erfüllungsgrades beurteilt, priorisiert und der für die Realisierung entstehende Aufwand wird bewertet.

Die Deckungsgradanalyse dient als Grundlage für die Identifizierung von Sicherheitslücken und fehlenden Massnahmen. Entsprechend der Priorisierung der Baselines erfolgt die Massnahmenplanung. Dabei werden bei Bedarf zusätzliche Massnahmen definiert, um die Baselines umsetzen zu können. Zusätzlich werden weitere spezifische Massnahmen identifiziert für Sicherheitsbereiche, in denen Handlungsbedarf besteht.

Hilfsmittel
Zur Umsetzung des Security Frameworks wird das so genannte Baseline-Tool verwendet, das zur zentralen Verwaltung der Sicherheitsanforderungen und -massnahmen dient. Als eigentliche „Light-Version“ des Tools setzen wir den HTML-basierenden „Baseline Intranet Client (BIC)“ ein, der zur Inventarisierung der Schutzobjekte (IT-Systeme, Applikationen, Informationsbestände, Netze, Räume, etc.) dient. Dabei werden ebenfalls die verantwortlichen Owner (Objektverantwortliche), die Klassifizierungsstufen, die Abhängigkeiten unter den Objekten (Vererbung der Klassifizierungsstufen) angegeben. Über die Verknüpfung der Schutzobjekte mit den Baselines kann deren Erledigung kontrolliert werden. Zudem kann der BIC auch für Deckungsgradanalysen, Reviews und Audits sowie für das Hardening der Systeme (Sicherheitseinstellungen anhand von Checklisten) verwendet werden.

Learning by Doing
Die unternehmensweiten Bemühungen um Security muss durch eine geeignete Kommunikation zu einem Bestandteil Ihrer Unternehmensidentität werden. Von grosser Bedeutung sind die einzelnen Informations- und Kommunikationsmedien, die durch einen einheitlichen Auftritt miteinander in Verbindung gebracht werden müssen.

Mit einer entsprechenden Unterstützung soll das erarbeitete Framework bekannt gemacht und eine Sensibilisierung Ihrer Mitarbeitenden erreicht werden. Neben spezifischen Kursen kommen als Mittel der Aus- und Weiterbildung auch Merkblätter, Fachartikel oder die Orientierung im Rahmen von Mitarbeiterinformationen in Frage.

Referenzen
Wir durften bereits für eine Reihe namhafter mittlerer und grosser Unternehmungen in der Schweiz sowie im Ausland Security Frameworks aufbauen und bei deren Realisierung begleiten. Referenzen auf Anfrage.