IT-Security und Informationssicherheit

IT- und Informationssicherheit haben das Ziel, die Verarbeitung, Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit der Informationen in ausreichendem Maße sichergestellt ist.

Verantwortungen und Verpflichtungen

Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und sollte nach einem Top-Down Ansatz organisiert sein.

Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus verschiedenen Gesetzen z. B. Gesellschafts-, Haftungs-, Datenschutz und Bankenrecht herleiten.

International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle. Dennoch wird das Thema Informationssicherheit in vielen Organisationen immer noch durch die IT-Abteilungen betrieben. Zwar gibt es im Bereich der IT-Sicherheit sehr viele Technologien und Methoden, die die Umsetzung eines Informationssicherheitskonzeptes unterstützen. Diese Maßnahmen müssen jedoch in ein ganzheitliches Informationsschutzkonzept eingebettet sein und von vom obersten Management aktiv unterstützt und verantwortet werden.

Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Da das Management in der Regel nicht selbst diese Policies ausarbeitet, sollte ein Information Security Officer (Corporate Security Officer, CSO) oder eine Information-Security-Management-Gruppe eingesetzt werden, die für die Formulierung der Security Policies sowie der Überwachung ihrer Einhaltung innerhalb der Organisation verantwortlich ist.

Standards und Richtlinien

• Weisungen und Richtlinien zur Informationssicherheit
• Organisatorische Sicherheitsmaßnahmen und Managementprozess
• Verantwortung und Klassifizierung von Informationswerten
• Personelle Sicherheit
• Physische Sicherheit und öffentliche Versorgungsdienste
• Netzwerk- und Betriebssicherheit (Daten und Telefonie)
• Zugriffskontrolle
• Systementwicklung und Wartung
• Umgang mit Sicherheitsvorfällen
• Business Continuity Management - Notfallvorsorgeplanung
• Compliance - Einhaltung rechtlicher Vorgaben, Sicherheitsrichtlinien und Überprüfungen durch Audits

Im Bereich der technischen Sicherheitsmaßnahmen lässt sich ISO / IEC 17799 sinnvoll durch das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik ergänzen.

Aus Teil 2 des BS7799 hat sich der ISO / IEC Standard 27001:2005 entwickelt. Er spezifiziert die Anforderungen an ein ISMS (Information Security Management System) und ist, ähnlich wie ISO 9001, ein Management-Standard, nach dem zertifiziert werden kann. Die ISO / IEC-Standards zur Informationssicherheit sollen sukzessive erweitert werden: vier weitere Standards der der 27000-er Reihe sind bereits in Entwicklung, weitere in Planung.

Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften. Als wichtigste sind folgende Zertifizierungen zu nennen:

• Die Zertifizierungen der ISACA (Information Systems Audit and Control Association) - z.B. CISM (Certified Information Security Manager), CISA (Certified Information Security Auditor),
• Zertifizierungen des ISC² - z.B. CISSP (Certified Information System Security Professional), sowie die GIAC-Zertifizierungen des SANS Institute.
  Dieser Inhalt steht unter der GNU-Lizenz für freie Dokumentation