Regulatoren und ihre Auswirkungen auf die IT Sicherheit |
![]() |
![]() |
Written by Administrator | ||||
Thursday, 24 January 2008 21:54 | ||||
Beim vorliegenden Artikel handelt es sich um einen Auszug aus dem vollständigen Konzept. Für die vollständige Übersicht, Analyse und Konklusion wird auf das registrierungspflichtige Dokument verwiesen.
EinleitungNormen und Gesetze sind allgegenwärtig. Im Privatleben kennen wir unsere wichtigsten daraus entstehenden Rechte und Pflichten. Im Geschäftsleben auch, es beginnt mit zwingenden Vorgaben über die Entstehung eines Unternehmen und setzt sich mit der Buchführungspflicht und der revisionsgerechten Archivierung fort. Diese Aufzählung liesse sich beliebig fortsetzen, aber es handelt sich dabei doch nicht um Verpflichtungen im Sinne der IT Sicherheit, oder? AusgangslageSpätestens jedoch seit Begriffen wie Sarbanes Oxley und Basel II wurde vielen Unternehmen bewusst, dass sie im Tagesgeschäft und in Projekten weit mehr Anforderungen unterliegen, als bisher angenommen. Diese regulatorischen Rahmenbedingungen stellen, wenn nicht berücksichtigt, ein massives operatives Risiko dar. Es stellen sich die folgenden Fragen:
Vorgehen bei der Erhebung der RegulatorenUm die erste Frage beantworten zu können, braucht es ein Vorgehensmodell, anhand dessen eine Auflistung der Regulatoren erfolgen kann. Das Vorgehensmodell ist hier nicht abgebildet – siehe hierzu die registrierungspflichtigen und/oder kostenpflichtigen Dokumente. Die Auflistung kann z.B. nach privatem und öffentlichem Recht erfolgen. Es zeigt sich aber bald, dass die Menge der Regulatoren, die auf ein Unternehmen wirken, praktisch unüberschaubar ist. Es ist daher nicht praktikabel, anhand einer vollständigen Aufstellung sicherheitsrelevante Anforderungen ableiten zu wollen. AnforderungsanalyseDie Anforderungsanalyse erfolgt im Prinzip in zwei Schritten. Zuerst erfolgt die Feststellung, ob und in welchem Mass unsere Regulatoren Auswirkungen auf die IT Sicherheit haben. Anschliessend werden die Auswirkungen in sicherheitsrelevante Anforderungen übersetzt. Vorweggenommen zeigt sich, dass es im Kern immer wieder um die generischen Punkte Vertraulichkeit, Verfügbarkeit und Integrität geht. Diverse spezifische Anforderungen werden mehrmals von den untersuchten Regulatoren angezogen. Auszug:
Bemerkung zu Basel II: Die Sicherheitsanforderungen von z.B. Basel II sind umfassend. Diese bewegen sich auf strategischem, taktischem und operativem Level. AnforderungsabdeckungJetzt, da wir die wichtigsten Anforderungen kennen, stellt sich die Frage: „Wie umsetzen“? Basel II stellt z.B. hohe Anforderungen, insbesondere an das Risk-Management. Für deren Umsetzung und Institutionalisierung ist ein umfassender Sicherheitsprozess notwendig. Auch andere Regulatoren sind nicht ohne. Im Rahmen einer Studie wurde untersucht, wie gut und umfassend Standards wie ISO 17799 / 2700x oder das Grundschutzhandbuch (GSHB) des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) die Anforderungen zu erfüllen vermögen. In der Studie erfolgte eine Gegenüberstellung der Frameworks zu den ermittelten Anforderungen. Der Vergleich hat ergeben, dass diese die ermittelten Anforderungen abzudecken vermögen, handelt es sich doch um umfassende Sicherheitsframeworks, welche sich zum Aufbau eines Information Security Management System (ISMS) eignen. Risk Management ProzessRisk Management spielt bei der Bewertung der operationellen Risiken und innerhalb eines ISMS eine wesentliche Rolle. Der Risk Prozess ist hier nicht abgebildet – siehe hierzu die registrierungspflichtigen und/oder kostenpflichtigen Dokumente. Die verschiedenen Regulatoren erzwingen Sicherheitsmassnahmen, welche bei angemessener Umsetzung eine Risikoverminderung bewirken sollten. Innerhalb des PDCA-Modell erfolgt das Risk Management und Controlling. Das PDCA-Modell stellt ebenfalls die Institutionalisierung sicher. KonklusionDie wichtigen Erkenntnisse zusammengefasst lauten:
Es gibt mehr als genug stichhaltige Gründe, sich um IT Sicherheit zu kümmern. Eine Erkenntnis aus der Analyse des ZGB, unterstreicht dies: Aus dem ZGB ergeben sich keine unmittelbaren Auswirkungen auf die IT Sicherheit - aber die Beweisregel gemäss Art. 8 fördert die Entlastung der Verantwortlichen im Schadensfall. BegriffserklärungenBasel II SOX ZGB OR |
||||
Last Updated on Sunday, 10 June 2012 09:57 |
0 Comments