Niemand ist eine Insel. Diese Erkenntnis begleitete uns bereits in den vergangen Beiträgen zum Thema Kontext und Geltungsbereich. Bei der Definition des Geltungsbereichs sind neben den internen und externen Themen und den interessierten Parteien auch die Schnittstellen und Abhängigkeiten zu berücksichtigen. In diesem Beitrag geht es ebendiese Schnittstellen und Anhängigkeiten.
Um was für Schnittstellen und Abhängigkeiten sprechen wir? Die Norm selbst fordert, Schnittstellen und Abhängigkeiten zwischen Tätigkeiten, die von der Organisation selbst durchgeführt werden, und Tätigkeiten, die von anderen Organisationen durchgeführt werden zu bestimmen und in der Definition des Geltungsbereichs zu berücksichtigen. Wenden wir also diese Definition auf das Beispiel aus dem ersten Beitrag dieser Serie an.
Aus der Beschreibung des Kontexts ergeben sich auf den ersten Blick die folgenden zu berücksichtigenden Schnittstellen:
Gebäudeverwaltung – stellt Zutrittskontrollen und Versorgungsleitungen zur Verfügung
RZ-Betreiber – hostet GitHub
Hersteller – liefern Bibliotheken für die Softwareentwicklung
Fremdfirma – Qualitätssicherung in der Softwareentwicklung
Fremde IT-Firma – Betreut die lokale IT
Callcenterbetreiber – Anwenderbetreuung, Dokumentation und User Acceptance Test
Über diese Schnittstellen werden Tätigkeiten erbracht, die nicht im Geltungsbereich abgedeckt sind. Sie sind jedoch für die Sicherheit im Geltungsbereich relevant. In dem Beispiel sind diese Tätigkeiten tatsächlich außerhalb des Unternehmens angesiedelt. Es mag jedoch auch Schnittstellen geben, die innerhalb des Unternehmens sind, aber nicht im Geltungsbereich. Nehmen wir als Beispiel die Personalverwaltung. Da die Personalverwaltung auf den ersten Blick nichts mit dem Kerngeschäft Softwareentwicklung zu tun hat, wäre es nur natürlich sie aus dem Geltungsbereich auszuschließen. Das wird auch regelmäßig getan und entsprechend in der Zertifizierung berücksichtigt. Allerdings gibt es für den Geltungsbereich sicherheitsrelevante Vorgänge, die in der Personalverwaltung ablaufen. Hier muss also eine klare Schnittstelle definiert werden und die Maßnahmen aus Anhang A.7 müssen in der Personalverwaltung umgesetzt werden. Das ist auch der Grund, warum Schnittstellen und Abhängigkeiten zu berücksichtigen sind. Durch diese Schnittstellen und Abhängigkeiten können sich für den Geltungsbereich Risiken ergeben, die nicht einfach akzeptiert werden können, weil die Ursache nicht im Geltungsbereich liegt. Stattdessen muss nach Möglichkeiten gesuch werden Risikobehandlungsmaßnahmen umzusetzen um auch die Risiken, deren Ursache außerhalb des Geltungsbereichs liegt, zu reduzieren. Im Fall der Personalverwaltung ist das noch recht einfach: Anhang A.7 liefert die entsprechenden Maßnahmen. Bei den anderen oben genannten Schnittstellen lässt sich nicht einfach der Sicherheitskatalog umsetzen. Stattdessen muss über andere Möglichkeiten nachgedacht werden.
Eine Schnittstelle besteht immer aus zwei Seiten: dem Leistungserbringer und dem Leistungsempfänger. Auf beiden Seiten können entsprechende Maßnahmen umgesetzt werden. Die o.g. Schnittstellen beschreiben typische Dienstleister. Hier fordert die Norm in A.15 entsprechende Vereinbarungen zu treffen, um Anforderungen der Informationssicherheit vertraglich zu vereinbaren. Der richtige Weg ist also, diese Schnittstellen im Risikomanagement zu berücksichtigen und auf identifizierte und zu behandelnde Risiken, die Schnittstelle betreffend, zu reagieren d.h. entsprechende Maßnahmen mit dem Dienstleister vertraglich zu vereinbaren. Liegt ein generelles Risiko vor, muss dieses in der Informationssicherheitsrichtlinie für Lieferantenbeziehungen (A.15.1) berücksichtigt werden und entsprechende Maßnahmen mit jedem Lieferanten vertraglich vereinbart werden. Auf der Seite des Leistungsempfängers entsteht dadurch die Notwendigkeit, die Leistungserbringung zu überwachung sowie auf Änderungen zu steuern. Je größer die Abhängigkeit von der Leistungserbringung umso enger die Überwachung und Steuerung des Dienstleister. Vertrauen ist keine Risikobehandlungsoption. Leider.
Und so schließt sich der Kreis wieder:
Der Kontext wird betrachtet. Der Kontext besteht aus internen und externen Themen die die Informationssicherheitsleistung beeinflussen können, aus interessierten Parteien und deren Anforderungen an die Informationssicherheit. Aus diesen Informationen wird der Geltungsbereich abgeleitet und dabei die Grenzen sauber beschrieben, sowie die Schnittstellen und Abhängigkeiten berücksichtigt. In diesem Geltungsbereich wird das ISMS einschließlich des Risikomanagements etabliert und dabei berücksichtigt, dass durch die Schnittstellen und besonders die Abhängigkeiten Risiken entstehen können, die auch in der Risikobehandlung zu berücksichtigen sind. Entsprechende Maßnahmen dazu sind im Sicherheitskatalog zu finden.
Durch diese Vorgehensweise wird eine sinnvolle Abdeckung der Risikolandschaft erreicht und der erste Schritt hin zu einem sinnvollen Informationssicherheits-Managementsystem ist getan.