Datum: 25.07.2022 | Kategorien: Cybersecurity, Unternehmensseite

Atomisierung von Richtlinien

Zusammen mit der EnBW hat die ACG das Thema Policy Management aus Sicht eines Management Systems in der ACG-Toolsuite abgebildet. Der entstandene Prototyp war die Grundlage für einen gemeinsamen Vortrag beim 18. Deutschen IT-Sicherheitskongress 2022 „Cyber-Sicherheit ist Chefinnen- und Chefsache“.

Interne und externe Anforderungen an die Informationssicherheit von Unternehmen nehmen zu und sind ohne die Unterstützung durch IT-Werkzeuge kaum noch zu überblicken und zu beherrschen. Herkömmliche IT-Werkzeuge zum Management von Richtlinien, die externe Anforderungen als Regelwerk für Informationssicherheit in das Unternehmen transportieren, bewegen sich nur auf der Granularität ganzer Dokumente, so dass viele Fragestellungen an Anforderungen, Regeln und Richtlinien pragmatisch durch Volltextsuche von Stichwörtern über das gesamte Regelwerk gelöst werden. Der hier vorgestellte Ansatz löst Richtlinien in ihre Bestandteile auf – die so genannte „Atomisierung“ in Einzelanforderungen – und legt diese strukturiert in einer Datenbank ab. Durch eine flexible Attribuierung der Einzelanforderungen können verschiedene Sichten auf das Regelwerk gelegt werden. Dadurch wird das Suchen von Regeln auf Basis von Themen oder Eigenschaften von Anforderungen möglich. Auch die Quellen externer Anforderungen (z.B. Gesetze, Verordnungen, Standards) werden nach dem gleichen Verfahren („atomisiert“) abgelegt und mit den resultierenden Einzelanforderungen verknüpft, so dass der Zusammenhang von externen Anforderungen und unternehmensinternem Regelwerk stets nachvollzogen werden kann. RACI-Matrizen sind im engeren Sinne meistens kein Bestandteil von Richtlinien, bilden aber die Brücke zwischen Einzelanforderungen, Maßnahmen und Aufgaben zu deren Umsetzung und deren Rollen und Verantwortlichkeiten. Eine prototypische Implementierung der o.g. Datenbank und einer IT-Anwendung mit praxisnahen Use Cases, die auch die Behandlung von Ausnahmen zu Einzelanforderungen beinhaltet, hat den Ansatz validiert. Die Möglichkeit der Erzeugung von Richtlinien-Dokumenten im bisherigen Format ist vorgesehen, um der „alten Welt“ z.B. für Audit- oder Ausbildungszwecke Rechnung zu tragen.

Anforderungen an die Informationssicherheit sind in vielen Unternehmen nicht das beliebteste Thema. Dennoch ist deren Beachtung und Umsetzung das Fundament für einen sicheren IT-Betrieb, für Datenschutz und Compliance zur Regulatorik. Das traditionelle Management dieser Anforderungen mittels Richtliniendokumenten birgt eine Vielzahl von Nachteilen, sowohl für den Richtlinienverantwortlichen als auch für den Leser und Benutzer, der in der Umsetzungspflicht steht. Der beschriebene Lösungsansatz der „Atomisierung“ von Sicherheitsrichtlinien in Einzelanforderungen wirkt auf den ersten Blick disruptiv. Die Kombination aus einem aus der Praxis erwachsenen, universellen Datenmodell mit Use Cases, die den Nutzen für den Richtlinienmanager sowie Leser und Benutzer in den Mittelpunkt stellen, führt zu einer IT-Anwendung, deren Pilotierung bereits jetzt zeigt, dass sich der Aufwand der Migration lohnt. Der Richtlinienmanager kann sich auf die Vollständigkeit, Angemessenheit, Ausgewogenheit und Konsistenz der Anforderungen fokussieren, anstatt sich mit Dokumentenmanagement zu beschäftigen. Der Anwender der Richtlinien findet schneller und verlässlicher die relevanten Informationen, anstatt nach Stichworten zu suchen und seitenweise zu lesen, um schließlich zu der Information vorzudringen, die ihn interessiert.

Der vorgestellte Ansatz bietet ein hohes Potenzial für weitere Use Cases, z.B. zur Unterstützung der Umsetzung von Anforderungen und deren Prüfung; diese Use Cases können erst durch den Zugriff auf Einzelanforderungen und das Datenmodell realisiert werden. Wird die Datenbank für den Zugriff durch andere Fachanwendungen offengehalten, kann dies eine nahtlose Integration weiterer Prozesse, z.B. Risikomanagement, Berichtswesen, Maßnahmenverfolgung oder kontinuierliche Verbesserung, ermöglichen.

Nicht nur das hier beschriebene ISMS kann abgebildet werden, sondern jedes Managementsystem welches Anforderungen an ihr Unternehmen stellt.

Sind sie neugierig geworden, dann sprechen Sie uns an.


Quelle/Erstveröffentlichung: Bundesamt für Sicherheit in der Informationstechnik (Hg.): Cyber-Sicherheit ist Chefinnen- und Chefsache, Tagungsband zum 18. Deutschen IT-Sicherheitskongress 2022, ISBN 978-3-922746-84-3, SecuMedia-Verlag Gau-Algesheim 2022

nach oben