Skip to main content

Grundbegriffe und Zusammenhänge

Wir kommentieren folgende Schlüsselbegriffe der Normenreihe ISO 27000 in der angegebenen Reihenfolge:

  1. Organisation
  2. Prozesse
  3. Rollen
  4. Ressourcen und Assets
  5. Ziele, insbesondere Sicherheitsziele
  6. Daten und Klassifizierungen
  7. Events und Incidents
  8. Dokumentation
  9. Aufzeichnungen
  10. dokumentierte Information
  11. Kontext
  12. Interessierte Parteien
  13. ISMS und Anwendungsbereich
  14. Kontinuierliche Verbesserung
  15. Schnittstellen
  16. Risiken
  17. Risikobeurteilung
  18. Risikobehandlung
  19. Messen und Überwachen im ISMS
  20. Leit- und Richtlinien

" Wenn wir im Folgednen von der Norm sprecen meinen wir explizit die ISO 27001".

Organisation

In der ISO 27001-Reihe ist häufig die Rede von Organisation, was stellvertretend für ein Unternehmen, eine Behörde oder jede andere Institutionsform steht, die die Norm nutzen bzw. anwednen will.

Was den internen organisatorischen Aufbau anbeztrifft, sprechen wir von Aufbauorgansisation, im Zusammenhang mit den internen Prozessen bzw. Abläufen einer Organsation verwenden wir den Begriff Ablauforganisation.

Prozesse

Ein Prozess ist eine vernetzte Struktur aus einzelnen Aktivitäten mit einer definierten Verarbeitungsrichtung: Ein Prozess benötigt auf der Eigangsseite gewisse Ressourcen (Input) und liefert unter deren Nutzung ein Ergebnis (Output), z.B. ein Produkt oder eine Dienstleistung. Die Abb. 1.1 visualisiert den Sachverhalt. Ein Verwaltungsprozess z.B. einer Behörde erbringt in der Regel eine Dienstleitung, die durch gesetzliche Vorgaben festgelegt ist bzw. hiervor gefordert wird. Auch in Unternehmen gibt es solche Verwaltungsprozesse z.B. das Management der Finazen und das Personalmanagement. Die Kernaufgabe eines Unternehmens besteht jedoch darin, Produkte und Dienstleistung gegen Entgelt anzubieten, weshalb man auch von Geschäftsprozessen spricht: Mit ihrer Hilfe werden z.B. Produkte hergestellt und vertrieben - analog werden Dienstleistungen bereitgestellt und zur Nutzung angeboten. Da es für die Sicherheit von Prozessen meist unerheblich ist, ob es um einen Verwaltungs- oder Geschäftsprozess geht, wollen wir uns der Einfachheit halber auf einen Begriff beschränken und sprechen von Geschäftsprozessen. Neben den Geschäftsprozessen existieren in Organisationen unterstützende bzw. begleitende Prozesse wie .z.B. die Revision, das Qualitätsmanagement, das Controlling und das Management der Informationssicherheit. Abb. 1.1 Abb 1.2

Einen Prozess - gleich welcher Art - kann man in mehrere Stufen zerlegen (prozess-hierachie). Meist geschieht dies, um die Übersichtlichkeit zu verbessern, Komplexität zu reduzieren, Abhängigkeiten zu erkennen und Analysen zu vereinfachen. Die Abb. 1.2 gibt ein Beispiel dazu an: Ein Geschäftsprozess ist in 4 Teilprozesse zerlegt worden, in denen einzelne Aktivitäten aneinandergereiht sind. Diesen Aktivitäten könnten in der nächsten Ebene die beteiligten IT-Anwendungen und /oder manuelle Arbeiten zugeordnet sein. Alle in einer Organisation festgelegten Prozesse bilden gemeinsam die oben schon genannte Ablauforganisation. Im Zuge einer gewissen Professionalität gehört zu einem Prozess zunächst eine für alle Belange des Prozesses verantwortliche Stelle. Dann sollte eine Prozessdokumentation vorhanden sein, in der

  • Aufgaben und Ziele (u.a. Sicherheitsziele) des Prozesses,
  • im Prozess mitwirkende Rollen bzw. Personen sowie deren Aufgaben,
  • sonstige benötigte Ressourcen, die jeweiligen Abläufe und die erwarteten Ergebnisse beschrieben sind.

Eine zügige Anpassung des Prozesses bei Änderungsbedarf (einschließlich Überarbeitung des Prozessdokumentation) wird geboten sein, ebenso wie eine Überwachung der Prozesses betreffend korrekter Umsetzung,der Ergebnisse und der Zielerreichung. Weiterhin müssen auftretende Probleme, Abweichungen und Fehler behoben werden können - z.B. im Rahmen des Incident Managements.

Rollen

Unter Rolle verstehen wir eine Instanz mit zugewiesenen Aufgaben, Pflichten und Rechten (z.B. der/die Sicherheitsbeauftragte, die System-Administration). Eine Rolle kann durch eine Person oder mehrere Personen besetzt sein (Beispiel: die Rolle des System-Administration, die meist mit vielen Administratoren besetzt ist). Da man für eine Rolle nicht nur einen Rolleninhaber, sonder fast immer acuh Stellvertretungen benötigt, haben also sloche Rollen mindestens zwei Personen als Besetzung. Die betreffenden Personen tragen gemeinsam die Verantwortung dafür, dass die zugewiesenen Aufgaben korrekt und termingerecht erledigt werden. Ein grundlegenden Prinzip für Rollenbesteht darin, Tätigkeiten/Afugaben ganz oder teilweise an andere Personen delegieren zu können, d.h. der Rolleninhaber macht Vorgaben für die zu delegierende Tätigkeit oder Aufgaben und kontrolliert die DUrchführung der Tätigkeit bzw. das Ergebnis der Aufgabe. Eine Person kann formal mehrere Rollen innehaben - was natürlich nur sinnvoll ist, wenn die Rollenhäufung tatsächlich leistbar ist und wenn es zwischen diesen Rollen keine Intressenkonflikte gibt. Wir nennen zwei Beispiele für solche Konflikte:

  • Sollen die Verantwortung für den Datenschutz und die IT-Sicherheut einer Person zugewiesej werden? Dieser Punkt wird durchaus kontrovers diskutiert. Betrachten wir folgenden Fall: Zur Aufklärung manipuliver Handlungen könnte sich die Notwendigkeit ergeben, Log- und Zugriffsprotokolle auszuwerten. Diese stellen aber personalbezogene Daten dar. Wäre die Gleiche Person für die beiden Themen zuständig, müsste sie sich sozusagen selbst die Genehmigung zur Einscht in die Protokolle erteilen oder versagen - eine nicht tragbare Situation. Dies könnte man dadruch auflösen, dass solche Überprüfungsaufgaben aif eine andere Rolle verlagert werden.
  • Kann die IT-Leitung gleichzeitig die Rolle des / der IT-Sicherheitsbeauftragten übernehmen? Bei einem vermuteten Kacker-Angriff könnte die IT-Leitung die Präferenz haben, mit Rücksicht auf die Kunden die IT weiterlaufen zu lassen, während die/der Sicherheitsbeauftragte die IT-Systeme herunterfahren, zumindest aber "vom Netz" nehmen möchte - ein Intressenkonflikt.

Ressourcen und Assets

Jeder Prozess benötigt Ressourcen: Daten, Personal, technische Hilfsmittel, informationsverarbeitende Systeme, Versorgungen wie Strom, Klimatisierung und Internetzugang , oft auch unterstützende Dienstleitungen von Lieferanten (z.B. Internet-Provider, Cloud Provider) sowie die betrieblich genutzten Liegenschaften und Gebäude. Viele dieser Ressourcen sind unverzichtbar, weil ohne sie die erwarteten Ergebnisse eines Prozesses nicht erzielt werden könne. Damit stellen sie für die Organisation einen Wert dar. Solche Ressourcen haben meist auch einen finaziellen Wert, möglicherweise auch einen Wert für das Image der Organisation oder für die Qualität ihrer Produkte usw. Auch die Geschäftsprozesse selbst stellen Werte dar, ebenso das in der Organisation vorhandene Know-how, besondere Betriebsgeheimnisse usw. Soweit solche Werte im Zusammenhang mit der Informationsverarbeitung stehen, werden sie auch Informationswerte genannt. Für (Informations-)Werte wird im Englischen der Begriff (Information) Asset verwendet. In den Werten gibt es eine gewisse Hierarchie: Einige Werte sind mit anderen, sozusagen als Unterstützung, verbunden. Betrachtet man z.B. eine IT-Anwendung als Wert, so werden zu ihre, Betrieb Server und hierfür dann auch Strom benötigt. Server und Stromversorgung wären bei diesem Beispiel mit der IT-Anwendung verbundene Werte. Das Managemetn der Assets ist ein eigener (unterstützender) Prozess: Es ist ein Assetverzeichnis zu erstellen, neue Assets sind hinzuzufügen, ausgemusterte Assets zu entfernen, d.h. das Verzeichnis ist stets aktuell zu halten. Voir allem in größeren Organisationen findet man ein Asset Management bzw. Rolle des Asset Managers, der für die skizzerten Aufgaben verantwortlich ist.

Ziele, insbesondere Sicherheitsziele

Im Zusammenhang mit der Informationssicherheit werden als erwartete Ergebnisse häufig sog. Sicherheitsziele formuliert: Die bekanntesten Ziele sind die Vertraulichkeit von Informationen, die Integrität und die Verfügbarkeit von Daten und anderen Objekten.

  • Vertraulichkeit: Die betreffenden Informationen dürfen nur einem festgelegten Personenkreis - den Befugten - zur Kenntnis gelangen
  • Integrität: Die betreffenden Daten dürfen nur in beabsichtigter / zugelassen Weise und von dazu autorisiertem Personal verändert werden.
  • Verfügbarkeit: Die betroffenden Daten müssen zum beabsichtigten Zeitpunkt für eine Bearbeitung durch autorsiertes Personal bereitgestellt werden können - ggf. kann dabei eine gewisse Verzögerung akzeptiert werden.

In dieser Aufzählung wird zwischen Information (bei Vertraulichkeit) und Daten (bei Integrität und Verfügbarkeit) unterschieden: Jede Information kann auf viele arten in Daten umgesetzt und dann gespeichert werden. Hinsichtlich der Vertraulichkeit muss neben solchen Daten auch die Information selbst bzw. als Ganzes betrachtet werden.