Den Überblick behalten ist schwierig
Eine schier unglaubliche Vielfalt an Normen und Standards
Artikel erschienen in Swiss IT Magazine 2023/03
Artikel erschienen in Swiss IT Magazine 2023/03
Wenn ich den obigen Artikel von Andreas Wisler zur Aktualisierung von ISO27001/2 lese, werde ich ganz nostalgisch: Ich mag mich noch gut erinnern an den damals visionären DTI Code of Practice for Information Security Management, der anfangs der 90er erstmals veröffentlicht und dann 1995 fast wortwörtlich in den British Standard BS7799 umgewandelt wurde. Damals war die Welt der Informationssicherheits-Standards noch einfach: In meiner Erinnerung gab es BS7799 und sonst nichts. Daraus wurden dann mit der Zeit eine Serie mit immer mehr Standards – unterdessen sind es wohl rund 40, wobei sich teils mehrere zum selben Thema äussern.
Die Bedürfnisse beschränken sich aber nicht nur auf eine angemessene Informations-/IT-Sicherheit: Relativ früh gab es Bestrebungen, Risiken im Bereich der Rechnungsabschlüsse durch den Einsatz entsprechender Gesetze, Standards und Normen zu reduzieren (z.B. Sarbanes-Oxley Act, SOC1 und SOC2, Basel II/III, Gramm-Leach Bliley Act). Aktuell erscheint gefühlt fast im Sekundentakt irgendein neuer Cyber- und andere Sicherheitsstandard: NIST CSF, CIS, NY CRR 500, usw. um nur einige zu nennen – viele davon mit einem vorgegebenen Set an je vielleicht 100 oder auch mehr Kontrollen (im Kasten sind ein paar der in der Schweiz bekannteren dieser Standards aufgeführt).
Ein einzelnes Unternehmen hat meist die Möglichkeit, sich auf einen dieser Standards zu fokussieren. Von einem Provider wird aber erwartet, dass er sämtliche Kontrollen/Sicherheitsmassnahmen aus allen passenden Standards implementiert hat und dies auch bestätigen kann. Entsprechend schmücken viele Provider ihre Webseite mit einer Sammlung von Zertifikaten und/oder Attestierungen.
Die Bedürfnisse beschränken sich aber nicht nur auf eine angemessene Informations-/IT-Sicherheit: Relativ früh gab es Bestrebungen, Risiken im Bereich der Rechnungsabschlüsse durch den Einsatz entsprechender Gesetze, Standards und Normen zu reduzieren (z.B. Sarbanes-Oxley Act, SOC1 und SOC2, Basel II/III, Gramm-Leach Bliley Act). Aktuell erscheint gefühlt fast im Sekundentakt irgendein neuer Cyber- und andere Sicherheitsstandard: NIST CSF, CIS, NY CRR 500, usw. um nur einige zu nennen – viele davon mit einem vorgegebenen Set an je vielleicht 100 oder auch mehr Kontrollen (im Kasten sind ein paar der in der Schweiz bekannteren dieser Standards aufgeführt).
Ein einzelnes Unternehmen hat meist die Möglichkeit, sich auf einen dieser Standards zu fokussieren. Von einem Provider wird aber erwartet, dass er sämtliche Kontrollen/Sicherheitsmassnahmen aus allen passenden Standards implementiert hat und dies auch bestätigen kann. Entsprechend schmücken viele Provider ihre Webseite mit einer Sammlung von Zertifikaten und/oder Attestierungen.
Wenn man das Ganze etwas genauer betrachtet, merkt man rasch, dass es zwischen den verschiedenen Standards zu einem bestimmten Thema wie z.B. Cyber Security nicht allzu grosse Unterschiede gibt. Das ist nicht wirklich erstaunlich, weil alle themenspezifischen Standards mehr oder weniger dieselben Risiken abdecken und damit in der Regel auch sehr ähnliche Sicherheitsmassnahmen (Kontrollen) aufführen. Als Unternehmen sollte man sich daher wohl auf den einen (z.B.) Cyber Security-Standard fokussieren, der für die meisten Stakeholder passend ist.
Bohrt man bezüglich Standard-Vielfalt noch etwas tiefer, stellt man fest, dass auch viele Standards aus höchst unterschiedlichen Fachbereichen sehr ähnliche Kontrollen aufweisen. Zum «Change Management» findet sich z.B. im Service Management-Standard ITIL eine Kontrolle, aber auch bei ISO27001, BSI 200, NIST 800 oder «sogar» im Schweizer Revisionshandbuch. Fast identische Kontrollen in unterschiedlichsten Standards lassen sich für enorm viele Themen finden (z.B. Incident Management, Business Continuity Management, Schutz der Privatsphäre, …).
Bohrt man bezüglich Standard-Vielfalt noch etwas tiefer, stellt man fest, dass auch viele Standards aus höchst unterschiedlichen Fachbereichen sehr ähnliche Kontrollen aufweisen. Zum «Change Management» findet sich z.B. im Service Management-Standard ITIL eine Kontrolle, aber auch bei ISO27001, BSI 200, NIST 800 oder «sogar» im Schweizer Revisionshandbuch. Fast identische Kontrollen in unterschiedlichsten Standards lassen sich für enorm viele Themen finden (z.B. Incident Management, Business Continuity Management, Schutz der Privatsphäre, …).
Für unsere eigene Arbeit setzen wir seit Jahren ein minimalistisches Tool ein mit «allen» relevanten Kontrollen aus dem Handbuch für Wirtschaftsprüfer, aus dem uralten Vorgehensmodell IT-Risikoanalyse für KMU-Prüfer, aus dem IKT-Minimalstandard des Bundes (= NIST 800), aus ISA 315 revised, aus den beiden kürzlich aktualisierten FINMA-Rundschreiben 18/3 und 23/1 (vormals 08/21) und auch aus ISO27001 (aktuelle Version 2022). Je nachdem, auf welcher Abstraktionsebene man die Kontrollen auflistet, gibt es auf der Inputseite wohl rund 500 Kontrollen aus den hier aufgeführten Standards und Normen – auf der Outputseite aber nur rund 80, wovon weniger als die Hälfte wirklich relevant sind. Stark vereinfacht ausgedrückt heisst das:
1. Es gibt Überlappungen zwischen den verschiedenen Standards (eliminiert schon mal einen sehr grossen Teil der offensichtlich redundanten Sicherheitsmassnahmen).
2. Nur wenige der in den Standards aufgeführten Kontrollen sind für die Mehrheit der Stakeholder von Bedeutung, so dass sie (mindestens in einem Provider-Bericht) auch weggelassen werden können.
In Einzelfällen (z.B. bei einer verlangten ISO-Zertifizierung) kann es durchaus notwendig sein, dass man jede einzelne Detailmassnahme aus einem bestimmten Standard umsetzt. Aus meiner ganz persönlichen Optik macht es aber wesentlich mehr Sinn, sich als Unternehmen auf die vielleicht 30–50 Kontrollen zu fokussieren, welche den grössten Nutzen bringen – unabhängig davon, ob diese jetzt in einem internen Bericht an die obere Führungsetagen rapportiert oder in einem formalen ISAE3000-Bericht externen Stakeholdern zur Verfügung stellt.
1. Es gibt Überlappungen zwischen den verschiedenen Standards (eliminiert schon mal einen sehr grossen Teil der offensichtlich redundanten Sicherheitsmassnahmen).
2. Nur wenige der in den Standards aufgeführten Kontrollen sind für die Mehrheit der Stakeholder von Bedeutung, so dass sie (mindestens in einem Provider-Bericht) auch weggelassen werden können.
In Einzelfällen (z.B. bei einer verlangten ISO-Zertifizierung) kann es durchaus notwendig sein, dass man jede einzelne Detailmassnahme aus einem bestimmten Standard umsetzt. Aus meiner ganz persönlichen Optik macht es aber wesentlich mehr Sinn, sich als Unternehmen auf die vielleicht 30–50 Kontrollen zu fokussieren, welche den grössten Nutzen bringen – unabhängig davon, ob diese jetzt in einem internen Bericht an die obere Führungsetagen rapportiert oder in einem formalen ISAE3000-Bericht externen Stakeholdern zur Verfügung stellt.
Überblick über die in der Schweiz wohl bekanntesten «Sicherheits»-Standards
Thema Finanzen
- BCBS: Basel III IT Operations Controls
- GLBA: Gramm-Leach Bliley Act
- PCI DSS: Payment Card Industry Data Security Standards
- SOX: Sarbanes-Oxley Act
Thema Sicherheit allgemein & Cyber Security
- BSI: BSI 200-1, 200-2, 200-3: Informationssicherheit
- CIS: Center for Internet Security – Critical Security Controls
- CMMC: Cybersecurity Maturity Model Certification
- ISO270xx: Information Security (40 Standards)
- SOC Service Organization Control 2 Type II
Thema Persönlichkeitsschutz, Datenschutz
- NIST 800-171: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
- NIST 800-172: Enhanced Security Requirements for Protecting Controlled Unclassified Information
- NIST 800-53 Security and Privacy Controls for Information Systems and Organizations
- GDPR: General Data Protection Rule
- HIPAA: Healthcare Insurance Portability and Accountability Act
- HITRUST: Healthcare Information Trust Alliance Common Security Framework
Meta-Standard
- COBIT 2019 mit unzähligen nahtlos integrierten «Zusatzpaketen»
Thema Finanzen
- BCBS: Basel III IT Operations Controls
- GLBA: Gramm-Leach Bliley Act
- PCI DSS: Payment Card Industry Data Security Standards
- SOX: Sarbanes-Oxley Act
Thema Sicherheit allgemein & Cyber Security
- BSI: BSI 200-1, 200-2, 200-3: Informationssicherheit
- CIS: Center for Internet Security – Critical Security Controls
- CMMC: Cybersecurity Maturity Model Certification
- ISO270xx: Information Security (40 Standards)
- SOC Service Organization Control 2 Type II
Thema Persönlichkeitsschutz, Datenschutz
- NIST 800-171: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
- NIST 800-172: Enhanced Security Requirements for Protecting Controlled Unclassified Information
- NIST 800-53 Security and Privacy Controls for Information Systems and Organizations
- GDPR: General Data Protection Rule
- HIPAA: Healthcare Insurance Portability and Accountability Act
- HITRUST: Healthcare Information Trust Alliance Common Security Framework
Meta-Standard
- COBIT 2019 mit unzähligen nahtlos integrierten «Zusatzpaketen»
Machen Sie sich fit !
Besuchen Sie die ISACA After Hours Events, die ISACA-Fachtagungen oder die ISACA-Zertifikatsausbildungen. Hier lernen Sie, in der riesigen Fülle an vorhanden Sammlungen von sinnvollen (und weniger sinnvollen) Kontrollen die Gemeinsamkeiten sowie die wirklich wesentlichen Schlüsselkontrollen zu erkennen. Für alle Personen aus dem Umfeld der IT-Revision, der IT- und/oder Informationssicherheit, dem (IT-) Risikomanagement, der IT-Governance und neu auch aus Data Privacy bietet das ISACA Switzerland Chapter eine seriöse Aus- und Weiterbildung in der Form von umfassenden Vertiefungskursen für CISA, CISM, CGEIT, CRISC und CDPSE an, welche den Teilnehmenden sowohl die notwendigen theoretischen Grundlagen (grösstenteils im Rahmen eines strukturierten Selbststudiums ab 1. Februar 2023) als auch die bewährte Berufspraxis (grösstenteils im Präsenzunterricht im Juni) vermitteln. Ausführliche und klar strukturierte Unterlagen mit Fachbüchern, Skript und Fallstudien dienen nicht nur zur Vorbereitung auf die internationale Zertifikatsprüfung, sondern auch als Nachschlagewerk im Berufsalltag (siehe www.itacs-training.ch).Für Personen, welche sich (ausschliesslich) auf eine der internationalen Zertifikatsprüfungen vorbereiten wollen, gibt es verschiedene Anbieter mit kompakten Prüfungsvorbereitungskursen. Informieren Sie sich bei www.isaca.ch
Artikel kommentieren
