Vergleich von IS-Frameworks: Übersicht, Gemeinsamkeiten, Unterschiede

Informationssicherheit als Schlagwort der heutigen digitalen Welt und Gesellschaft. Informationen (= Daten), die ein schützenswertes Gut/Wert darstellen, die aus einer Kombination aus technischen, organisatorischen, personellen und baulich-infrastrukturellen Strukturen bestehen sollen vor unbefugtem Zugriff geschützt und deren Schutz kontrolliert werden.

Es geht darum, ein Verständnis sowie eine Übersicht für die Informationssicherheit zu schaffen, die aufzeigen soll, wie diese Thematik in einem Unternehmen und/oder bei einer Behörde eingeführt, umgesetzt und verwaltet werden kann, für interne sowie externe Stakeholder (z.B. Kunden, Lieferanten, Gesetzgeber oder Fachbereiche).

Zur Erreichung dieses Sicherheitsniveaus haben sich verschiedene Standards und Normen entwickelt. In den Modellen wird beschrieben, wie ein Sicherheits-management systematisch aufgebaut und weiterentwickelt werden kann. Des Weiteren wird aufgezeigt, welche organisatorischen und technischen Massnahmen für Informationssicherheit erforderlich sind. Ausserdem werden Kriterien aufgeführt, anhand derer überprüft werden kann, ob die umgesetzten Massnahmen angemessen sind und weiterhin anerkannten Massstäben genügen. [1]

ISMS = Informationssicherheitsmanagementsystem

Dient dazu Risiken einzuschätzen und mit Mitteln so gering wie möglich zu halten

Durch die Integration eines Informationssicherheitsstandards anhand eines ISMS kann eine Organisation nicht nur die Projektrisiken reduzieren und den Implementierungsprozess beschleunigen, sondern auch einen Mehrwert für das Unternehmen schaffen, indem der Verwaltungsaufwand nach der Implementierung verringert und die Ressourcen optimiert werden.

Übersicht der Standards und Normen:

• ISO/IEC 27000x-Reihe [1]

ISO/IEC 27000: Überblick über Managementsysteme für ISMS

ISO/IEC 27001: Vorgaben zur Einführung, dem Betrieb und der Verbesserung eines dokumentierten ISMS. Mit entsprechendem Massnahmenkatalog.

ISO/IEC 27002: Auswahl und Umsetzung der Massnahmen. Aufbau eines Sicherheitsmanagements.

ISO/IEC 27004: Bewertung der Umsetzung und Wirksamkeit

ISO/IEC 27005: Rahmenempfehlungen zum Risikomanagement

ISO/IEC 27006: Anforderungen an Institutionen, die Audits und Zertifizierungen anbieten

ISO/IEC 27009: Sektor spezifische Erweiterungen für zukünftige Anforderungen

• BSI 200-1 /-2 /-3

BSI Standard 200-1: Management für Informationssysteme (ISMS).

Anforderungen, die ein Managementsystem für Informationssicherheit erfüllen muss.

BSI Standard 200-2: IT-Grundschutz-Methodik. Hilfestellungen zur schrittweisen Einführung eines ISMS.

BSI Standard 200-3: Risikoanalyse

Zusätzlich gibt es das IT-Grundschutz-Kompendium, das als Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit dient.

• BSI 100-4

BSI Standard 100-4: Notfallmanagement

• ITIL 4 Edition / ISO 20000

IT-Sicherheit und IT-Service-Management

Eine herstellerunabhängige Ansammlung von Büchern zum Thema „IT-Service-Management (ITSM)“, die ein „Best-Practice“-Verfahren zur Gestaltung, Implementierung und zum Management von Steuerprozessen liefert. Sie befasst sich mit dem Management von IT-Services aus Sicht des IT-Dienstleisters, mit dem Fokus auf deren Qualität und dem Zweck, diese zu optimieren.

• COBIT 5

(Control Objectives for Information and Related Technologies)

Entwickelt von ISACA (Information Systems Audit and Control Association)
Ein übergeordnetes Konzept, das die Informationstechnik (IT) als zentralen Faktor für die Erreichung der Unternehmensstrategie samt Zielen definiert. IT als wesentliche Grundlage einer Institution zur Erreichung der Geschäftsziele.

Die COBIT hat 37 Prozessgebiete, die in fünf Domänen unterteilt sind.

• PCI / DSS V3.2.1 (Payment Card Industry Data Security Standard)

Sicherheitsanforderungen bezüglich der Abwicklung von Kreditkartentransaktionen.

• NIST SP 800 (National Institute of Standards and Technology Special Publications)

Bestehend aus einer umfangreichen Sammlung an Standards und Dokumentationen mit bewährten Vorgehensweisen der Informationssicherheit, einige davon haben sich international etabliert. Die NIST-Standards sind für US-Behörden verpflichtend.

Gemeinsamkeiten

Informationssicherheits-Managementsysteme sowohl nach ISO27001 als auch nach BSI haben zum Ziel, die IT-Sicherheit in Organisationen und Unternehmen im Allgemeinen zu erhöhen. Sicherheitsrisiken im Informationsfluss sollen rechtzeitig erkannt und durch erprobte Massnahmen verhindert respektive auf ein Minimum reduziert werden.

ITIL Der Fokus liegt in der operativen Betrachtung und Beurteilung des Sicherheitsprozesses mit dem Schwerpunkt auf der Informationssicherheit, wobei sich ähnliche Vorgehensweisen im IT-Grundschutz und anderen Normen und Standards widerspiegelt.

ITIL und COBIT 5 setzen auf zielgerichtete, optimierte IT-Prozesse. Die Entwicklung von COBIT lehnt sehr stark an bereits existierende Normen und Standards an, insbesondere an die Norm ISO/IEC 27002.

Das COBIT-5-Prozessreferenzmodell definiert 37 Prozesse, welche in fünf Domänen gruppiert sind. Diese Prozesse können etwa den 26 Prozessen aus ITIL 2011 gegenübergestellt werden.

COBIT, ISO 27001 und NIST SP 800 verwenden einen prozessorientierten Ansatz für die Implementierung und Umsetzung eines (ISMS) und sind mit deren generalistischen Herangehensweisen technologieunabhängig.

Sämtliche dieser Standards und Normen können für eine Vielzahl von Unternehmen und Organisationen eingesetzt werden, wobei das NIST speziell für US-Behörden dient.

ISO 27001 und COBIT sind international anerkannt.

Praxisbeispiel, wie das BSI 200-2 Grundschutzmodell in der Praxis implementiert werden kann:

Abbildung 1: Vorgehensmodell

Unterschiede

Zu beachten ist, dass die unterschiedlichen Ansätze nicht unbedingt gegeneinander arbeiten oder sich gegenseitig ausschliessen, im Gegenteil, sie können verwendet werden, um die Lücken des anderen zu ergänzen und zu decken:

ISO/IEC 27001 und BSI-Grundschutz:

Der wesentliche Unterschied beider Normen für Informationssicherheit liegt darin, wie sie formal aufgebaut sind bzw. wie eine Zertifizierung erreicht werden kann.

Die ISO/IEC27001 konzentriert sich auf den Informationssicherheitsprozess an sich. Das IT-Grundschutz-Kompendium definiert Anforderungen, die konkreter ausgestaltet sind als entsprechende Anforderungen der ISO 27001.

ISO/IEC 27001 ist Prozessorientiert

Der BSI-Grundschutz ist dagegen technisch ausgerichtet und beschreibt konkret und detailliert, wie Organisationen bei der Minimierung von IT-Risiken vorgehen sollen.

COBIT hat klar definierte Ziele und Governance-Strukturen, während nach ISO 27001 Informationssicherheitsziele im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit nach organisatorischem Kontext definiert werden müssen.

COBIT dient zu Audit-Zwecken und misst kleinste Details innerhalb des Frameworks, die auf IT-Funktionen beschränkt sind.

ITIL und ISO/IEC 27000

ITIL bietet eine Reihe mit Best-Practice-Anleitungen für das IT-Service-Management.

ISO/IEC 27001 bietet Richtlinien, mit denen ein Unternehmen ein Informationssicherheits-Managementsystem entwerfen, bereitstellen und warten kann. Aus Sicht von ITIL sind die meisten in ISO/IEC 27001 identifizierten Sicherheitskontrollen bereits im Service-Management enthalten.

ISO 27001 und COBIT 2019 sind beides Frameworks, die sich mit der Art und Weise befassen, wie Organisationen ihre IT-Systeme verwalten und überwachen. Der Unterschied zwischen den beiden ist, dass sich ISO 27001 hauptsächlich auf die Sicherheit bezieht, während sich COBIT 2019 auf die IT insgesamt bezieht.

ISO 27001 geht über die IT hinaus. IT-Umgebungen sind nur ein Aspekt, der berücksichtigt werden muss, wenn es um den Schutz von Informationen geht. Informationen jeglicher Art (Informationen in Papierform aus Telefon-Gesprächen übertragen, bis hin zu Sitzungen/Besprechungen, sind ebenfalls schützenswerte Daten). ISO 27001 ist dafür besser ausgerüstet.

ITIL (und auch ISO 2700x) und COBIT ergänzen einander. ITIL und ISO 2700x definieren vorrangig, wie Anforderungen umzusetzen sind, COBIT definiert primär, was umzusetzen ist. COBIT befindet sich somit auf einer höheren Ebene. Stark vereinfacht ausgedrückt sind ITIL und ISO 2700x operativ und taktisch, während COBIT strategisch ist.

NIST SP 800 bietet auch eine Art Zertifizierungsprogramm an, das jedoch nur in den USA verwendet wird.

ISO 27001 ist ein internationaler Standard.

ITIL ist ein Best-Practice-Rahmenwerk.

Literaturquellen

BSI Framework – Script – Autor: Andreas Wisler

BSI-Standards – Arbeitsbuch

Links

ITIL
https://www.axelos.com/best-practice-solutions/itil/what-is-itil

BSI-Standards:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html

COBIT Framework:

http://www.isaca.org/COBIT/Documents/COBIT-Timeline-2019_ifg_eng_1118.pdf

Mapping der Prozesse von ITIL mit den COBIT 5:

https://www.glenfis.ch/application/files/1814/3040/2298/ITIL_Edition_2011_-_COBIT_5_-Mapping-22.pdf

---

Autor:
Davide Antonicelli

Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.